Kişisel Verilerin Korunması ve İşlenmesi Politikası
DOĞUSAN METAL SANAYİ VE TİCARET ANONİM ŞİRKETİ
KİŞİSEL
VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
I.
GİRİŞ
Doğusan
Metal Sanayi Ve Ticaret Anonim Şirketi (“Doğusan Metal”) 6698 sayılı Kişisel Verilerin
Korunması Hakkında Kanun kapsamında veri sorumlusudur. Kişisel veri sahipleri ise, kişisel verileri
aşağıda belirtilen amaçlar dâhilinde 6698 sayılı KVK Kanunu ve Doğusan Metal’in tabi olduğu sair
mevzuat hükümleri gereğince kişisel verileri toplanan, işlenen ve aktarılan
gerçek kişiler olup, Doğusan Metal tarafından kişisel verilerin güvenliği
hususuna azami dikkat ve özen gösterilmektedir.
Şirketimiz tarafından bu bilinçle kişisel veri sahiplerinin kişisel verileri,
6698 sayılı KVK Kanunu, Kanun’un ikincil düzenlemelerini teşkil eden 28 Ekim
2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 1
Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik
ve diğer ilgili yönetmeliklere uygun olmak suretiyle işlenmekte ve muhafaza
edilmektedir.
II.
POLİTİKANIN AMACI VE KAPSAMI
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) 7
Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu Kişisel Verilerin Korunması ve
İşlenmesi Politikası (“Politika”), Doğusan Metal Sanayi Ve
Ticaret Anonim Şirketi (“Doğusan Metal”) tarafından kişisel verilerin
korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak
prensiplerin belirlenmesini ve kişisel verileri işlenen veri sahiplerinin
aydınlatılmasını amaçlamaktadır. Politika, kişisel verilerin işleme şartlarını
belirlemekte ve kişisel verilerin işlenmesinde Doğusan Metal tarafından benimsenen ana ilkeleri ortaya
koymaktadır. Bu çerçevede Politika, Doğusan
Metal tarafından Kanun kapsamındaki tüm kişisel veri işleme
faaliyetlerini, Doğusan Metal’in işlediği
tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri
kapsamaktadır.
Kişisel Verilerin Korunması Kanunu ve ek mevzuatların
uygulanmasına yönelik olarak Şirketimiz içerisinde gerekli prosedürler
düzenlenmekte, özel aydınlatma metinleri oluşturulmakta, gizlilik sözleşmeleri
yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için
Şirketimiz tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda
gerekli denetimler yapılmakta veya yaptırılmaktadır.
III.
TANIMLAR
KİŞİSEL VERİ:Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgiyi ifade eder. Kişilerin adı, soyadı, doğum
tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair özelliklerine
ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik
numarası, pasaport numarası gibi veriler kişisel veridir.
ÖZEL NİTELİKLİ KİŞİSEL VERİ: Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileridir.
AÇIK RIZA:İlgili Kişinin kişisel verileriyle ilgili olarak bilgilendirilmeye
dayanan ve özgür iradesiyle açıkladığı rıza anlamına gelmektedir.
İLGİLİ KİŞİ:Kişisel Verisi işlenen gerçek kişiyi ifade eder.
VERİ İŞLEYEN:Veri Sorumlusunun verdiği yetkiye dayanarak, onun adına
kişisel verileri işleyen gerçek ya da tüzel kişiyi ifade eder.
VERİ SORUMLUSU:Kişisel verilerin işleme amaçlarını ve vasıtalarını
belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişiyi ifade eder.
VERİ KAYIT SİSTEMİ:Kişisel verilerin, elektronik veya fiziksel ortamda,
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
ANONİMLEŞTİRME: Verilerin başka verilerle eşleştirilse dahi, hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişi ile
ilişkilendirilemeyecek hale getirilmesini ifade eder.
KİŞİSEL VERİLERİN SİLİNMESİ:
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve
tekrar kullanılamaz hale getirilmesi işlemidir.
KİŞİSEL VERİLERİN YOK EDİLMESİ:
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
IV.
KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
Doğusan
Metal, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Politika kapsamında kalan
kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
Hukuka
ve dürüstlük kuralına uygunluk; Doğusan Metal, veri sorumlusu sıfatı
ile ve basiretli bir tacir olarak Anayasa ve KVK Kanunu başta olmak üzere
yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak
ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir
biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.
Doğruluk
ve Güncellik; Doğusan Metal, kişisel verilerin işlenmesi faaliyetlerinde,
tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin
sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri
sorumlusu sıfatı ile Doğusan Metal’a bildireceği talepler ve Doğusan Metal’in
bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan
kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için şirketimiz tarafından
kurulan idari ve teknik mekanizmalar işletilecektir.
Belirli, Açık ve Meşru Amaçlarla İşleme; Şirketimiz tarafından kişisel
veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak
olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel
verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin
olarak belirlenmektedir.
Verileri
İşlendikleri Amaç İle Bağlantılı, Sınırlı ve Ölçülü Olarak İşleme; Doğusan
Metal tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak
ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda
verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel
verilerin işlenmesinden kaçınılması temel esastır.
Mevzuat
Hükümleri İle Öngörülen veya İşlenme Amacının Gerektirdiği Süre İle Sınırlı
Olarak İşleme; Kişisel veriler, ilgili mevzuat hükümleri ile
öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği
süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin
sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel
veriler şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin
önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.
V.
KİŞİSEL
VERİLERİN İŞLENMESİ
Doğusan Metal yukarıda belirtilen genel ilkelere uygun olarak,
Kanun’un 5.maddesinin 1. Fıkrası kapsamında, kişisel verileri, ancak ve ancak
ilgili kişinin açık rızasının bulunması
halinde işlemektedir. Ayrıca işbu kişisel veriler, amacın gerektirdiği durumlar
dışında da kullanılmamaktadır
Kanun 5. Madde kapsamında,
aşağıda belirtilen durumlarda ise Doğusan Metal, kişisel veri sahiplerinin verilerini açık rıza
almaksızın işleyebilmektedir;
-Kanunlarda açıkça öngörülmesi,
-Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
-Kişisel
verilerin işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya
ilgili ve gerekli olması,
-Kişisel verilerin işlenmesinin şirketimizin hukuki yükümlülüğünü yerine
getirebilmesi için orunlu olması,
-Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla;
alenileştirme amacıyla sınırlı bir şekilde işlenmesi,
-Kişisel verilerin işlenmesinin şirketimizin veya veri sahibi veya üçüncü
kişilerin haklarınıntesisi, kullanılması veya korunması için zorunlu olması,
-Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla
şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde
bulunulmasının zorunlu olması,
Tarafımızca KVKK’nın 6. Maddesi ile zikredilen ve hukuka aykırı
olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski
taşıyan “özel nitelikli” kişisel verilerin işlenmesinde dikkat ve hassasiyet
gösterilmektedir.
Bu verilerin işlenebilmesi için Kanun 6. Madde de yer verilen istisnalar
dışında veri sahibinin açık rızasının
alınması zorunludur.
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli
kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, açık rıza almadan
işlenebilmektedir.
VI.
KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
i.
Kişisel Verilen Elde Edilme Yöntemi
Bu kapsamda kişisel verileriniz, Doğusan
Metal veya Doğusan Metal adına veri işleyen gerçek ya da tüzel
kişiler tarafından, sayılanlarla sınırlı olmamak üzere, yazılı veya elektronik
olarak, aşağıda belirtilen yöntemlerle toplanabilir;
·
Doğusan Metal tarafından hazırlanan formlar,
·
Vekaletnameler, sözleşmeler,
·
İş akdi kapsamında,
·
Veri sahipleri tarafından gönderilen
e-postalar ve veri sahipleri ile yapılan fuarlar, stantlar ve telefon üzerinden
sürdürülen iletişim vasıtasıyla,
·
İş başvurusu kapsamında Kariyer.net vb.
internet siteleri üzerinden,
·
İş başvurularında SGK Bildirgesi gibi resmi
belgelerin ibrazı ile,
·
Mesleki eğitim faaliyetleri kapsamında Eğitim
Katılım Tutanakları ile,
·
Ticari elektronik ileti onayları, SMS,
E-posta,
·
Doğusan Metal ile ilişki kurmak, iş başvurusu
yapmak gibi amaçlarla evrak gönderilmesi vb. yollarla kişisel verilerini
paylaşma,
·
Ziyaretçi kayıtları,
·
Doğusan Metal’in iş ilişkisi içerisinde olduğu
sigorta şirketleri, bankalar vb. şirket ve kurumların çalışanları olmak
nedeniyle, bu kurumlar üzerinden,
·
İş ortakları veya iş ortakları adayı
tarafından ibraz yolu ile,
·
Güvenliğin sağlanması amacıyla kamera kayıt
sistemi ile,
·
Şirket içi departmanlar arası bilgi paylaşımı
ile,
·
Kartvizit paylaşımı,
·
Kargo faaliyetleri,
üzerinden elde edilmekte ve veri kayıt
sistemine ve envantere bu şekilde işlenmektedir.
Ayrıca değinmek isteriz ki veri işlemenin hukuki sebepleri; KVKK md.5/2/a
ve md.6/3 uyarınca kanunlarda açıkça öngörülmesi halinde;
·
md.5/2/c uyarınca varsa veri sahibi veya bağlı
olduğu kurumla sözleşmenin kurulması, ifası ve sona erdirilmesi için,
·
md.5/2/ç uyarınca Şirket’in hukuki
yükümlülüklerini yerine getirmesi için,
·
md.5/2/d uyarınca tarafınızca alenileştirilmiş
olması,
·
md.5/2/f uyarınca ilgili kişilerin temel hak
ve özgürlüklerine zarar vermemek kaydıyla, kurumun tanıtımı gibi veri
sorumlusunun meşru menfaatleri için zorunlu olması halleridir.
Burada ve Kanun’da belirtilen hukuki sebeplerden birinin olmadığı durumlarda,
gerekli olması halinde kişisel verileriniz md.5/1 ve md.6/2 uyarınca açık
rızanız alınarak işlenecektir. Doğusan Metal, burada sayılan kişisel veri elde
etme yöntemi ile işbu yöntemlere yenilerini ekleme ve var olanlardan vazgeçme
ve Politika metninde değişiklik yapma haklarını saklı tutmaktadır.
ii.
Veri Kategorizasyonu
Şirket nezdinde; Şirket’in meşru ve hukuka uygun kişisel veri
işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri
işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel
verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere
Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere
uyularak ve işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen
kategorilerdeki kişisel veriler, Kanun’un 10. M uyarınca ilgili kişiler
bilgilendirilmek suretiyle işlenmektedir.
Veri
Kategorisi |
Kişisel
Veri Kategorizasyonu Açıklama |
Kimlik
Bilgisi |
Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik
numarası, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus
bilgileri, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet,
nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası,
imza bilgisi v.b. bilgiler |
İletişim
Bilgisi |
Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
telefon numarası, adres, e-mail adresi, faks numarası gibi bilgiler |
Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar
ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka
bilgileri, güvenlik noktasında alınan kayıtlar, v.b. |
Finansal
Bilgi |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Doğusan Metal ’in kişisel veri sahibi ile kurmuş olduğu hukuki
ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara ilişkin
işlenen finansal kişisel veriler ile banka hesap numarası, banka hesap
bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi v.b. ve çalışanlara
ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim
tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka
hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb
bilgiler |
Özlük
Bilgisi ve Mesleki
Deneyim Bilgisi |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Doğusan Metal ile çalışma ilişkisi
içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak ve
özlük dosyasında yer alması kanunen zorunlu tutulan bilgilerin(Öğrenim
durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve
beceriler, CV, aldığı kurslar, İzin kıdem baz tarihi, izin kıdem ilave gün,
izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı
adres/telefon, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş
tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik
no, esnek saatlerde çalışma durumu, seyahat durumu çalışma gün sayısı,
çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih,
kıdem tazminatı ilave gün, grevde geçen gün, çalışanın bulunduğu pozisyonda
ilerleyebilmesi için gerekli olan performans (Eğitim ve beceriler, hangi
tarihte hangi eğitimi aldığı bilgisi, e-posta, imzalı katılım formu, müşteri
ile görüşme kalite değerlendirme formu, aylık performansının
değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite) bilgileri |
Özel
Nitelikli Kişisel Veri |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen
veriler (örn. sağlık raporu, adli sicil kayıtları). |
Talep/Şikâyet
Yönetimi Bilgisi |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Doğusan Metal‘e yöneltilmiş olan her türlü
talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
Hukuki
İşlem |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen, adli makamlar, dava ve icra takip süreçleri
ile yazışmalar sonucunda elde edilen kişisel veriler. |
Müşteri
İşlem |
Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya
veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen,
fatura, çek, senet, gişe, dekont, talep ve sipariş formları gibi sebeplerle
elde edilen kişisel veriler. |
Fiziksel
Mekan Güvenliği ve Görsel/İşitsel Kayıtlar |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen, Doğusan Metal‘de bulunan güvenlik kameraları
uyarınca elde edilen kişisel veriler. |
Diğer
Bilgiler |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen Doğusan Metal çalışanlarının aile bireylerinin
bilgileri ile sigorta bilgilerine dair kişisel veriler. |
iii.
Veri Grupları
İşbu Politika kapsamındaki kişisel veri
sahipleri aşağıdaki gibidir:
Kişisel Veri Konusu Kişi Grupları
|
Açıklaması |
Doğusan
Metal Hissedarları |
Doğusan Metal’in hissedarı gerçek
kişiler |
Doğusan
MetalYetkilileri |
Doğusan Metal’in yönetim kurulu
üyesi ve diğer yetkili gerçek kişiler |
Ürün ve/veya Hizmet Alan Kişiler |
Doğusan Metal’den sözleşme ilişkisi
içerisinde mal veya hizmet satın alan gerçek kişiler yahut tüzel kişilerin
yetkilileri |
Potansiyel Ürün veya Hizmet Alıcısı |
Doğusan Metal’den sözleşme ilişkisi
içerisinde mal veya hizmet satın alma potansiyeline sahip gerçek kişiler
yahut tüzel kişilerin yetkilileri |
Çalışan |
Doğusan Metal bünyesinde çalışan
gerçek kişiler |
Çalışan Adayları |
Herhangi bir yolla iş başvurusunda
bulunmuş ya da özgeçmiş ve ilgili bilgilerini Doğusan Metal’in incelemesine
açmış olan ancak Doğusan Metal bünyesinde çalışmayan ya da staj yapmayan
gerçek kişiler |
İşbirliği İçinde Olduğumuz
Kurumların Çalışanları, Hissedarları ve Yetkilileri (Doğusan Metal’in mal ve hizmet tedarikçileri, iş ortakları v.b.) |
Doğusan Metal‘in sözleşme ilişkisi
içinde yahut herhangi bir sözleşme ilişkisi olmaksızın operasyonel hizmetin
sağlanabilmesi, yatırımların geliştirilmesi ve ticari faaliyetlerin
yürütülebilmesi amacıyla iş ilişkisi kurduğu kurumlar (iş ortağı, mal ve
hizmet tedarikçisi gibi, ancak bunlarla sınırlı olmaksızın) da dahil olmak
üzere her türlü iş ilişkisi içerisinde bulunduğu; kurumların hissedarları,
çalışanları ve yetkilileri dahil olmak üzere gerçek kişiler |
Ziyaretçi |
Doğusan Metal’in bulunduğu
yerleşkeye fiziksel olarak her türlü amaçla gelen yahut internet sitelerine
ve Wİ-Fİ sistemine giriş yapan gerçek kişiler |
VII.
KİŞİSEL VERİ İŞLEME AMAÇLARI
Doğusan Metal tarafından kişisel veriler aşağıdaki amaçlarla
Kanuna uygun olarak işlenmektedir:
·
Acil Durum Yönetim Süreçlerinin Yürütülmesi
·
Bilgi Güvenliği Süreçlerinin Yürütülmesi
·
Çalışan Adayı Süreçlerinin Yürütülmesi
·
Çalışan Adaylarının Başvuru Süreçlerinin
Yürütülmesi
·
Çalışanların Memnuniyeti ve Bağlılık
Süreçlerinin Yürütülmesi
·
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı
Yükümlülüklerin Yerine Getirilmesi
·
Çalışanlar İçin Yan Haklar Ve Menfaatleri
Süreçlerinin Yürütülmesi
·
Denetim ve Etik Faaliyetlerin Yürütülmesi
·
Eğitim Faaliyetlerinin Yürütülmesi
·
Erişim Yetkilerinin Yürütülmesi
·
Faaliyetlerin Mevzuata Uygun Yürütülmesi
·
Finans ve Muhasebe İşlerinin Yürütülmesi
·
Fiziksel Mekan Güvenliğinin Temini
·
Görevlendirme Süreçlerinin Yürütülmesi
·
Hukuk İşlerinin Takibi ve Yürütülmesi
·
İletişim Faaliyetlerinin Yürütülmesi
·
İnsan Kaynakları Süreçlerinin Planlanması
·
İş Faaliyetlerinin Yürütülmesi / Denetimi
·
İş Sağlığı ve Güvenliği Faaliyetlerinin
Sürdürülmesi
·
İç Denetim/ Soruşturma / İstihbarat
Faaliyetlerinin Yürütülmesi
·
Lojistik Faaliyetlerin Yürütülmesi
·
Mal Hizmet Satım Alım Süreçlerinin Yürütülmesi
·
Müşteri İlişkileri Yönetimi Süreçlerinin
Yürütülmesi
·
Müşteri Memnuniyetine Yönelik Aktivitelerin
Yürütülmesi
·
Mal / Hizmet Üretim ve Operasyon Süreçlerinin
Yürütülmesi
·
Organizasyon ve Etkinlik Yönetimi
·
Reklam / Kampanya / Promosyon Süreçlerinin
Yürütülmesi
·
Risk Yönetimi Süreçlerinin Yürütülmesi
·
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
·
Sözleşme Süreçlerinin Yürütülmesi
·
Talep / Şikayetlerin Takibi
·
Taşınır Mal ve Kaynaklarının Güvenliğini
Temini
·
Tedarik Zinciri Yönetimi Süreçlerinin
Yürütülmesi
·
Ücret
Politikasının Yürütülmesi
·
Ürün / Hizmetlerin Pazarlama Süreçlerinin
Yürütülmesi
·
Veri Sorumlusu Operasyonlarının Güvenliğinin
Temini
·
Yetenek / Kariyer Gelişimi Faaliyetlerinin
Yürütülmesi
·
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi
Verilmesi
·
Yönetim Faaliyetlerinin Yürütülmesi
·
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
amaçları ile,
İlgili mevzuat uyarınca elde edilen ve işlenen kişisel verileriniz
Doğusan Metal Sanayi Ve Ticaret Anonim Şirketi’ne ait fiziki arşivler
ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki
ortamda muhafaza altında tutulabilecektir.
KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahipleri
bilgilendirilmekte ve 11. Madde gereğince kişisel veri sahiplerinin talebi
halinde talep edilen bilgiler veri sahibine iletilmektedir.
VIII.
VERİ KONUSU KİŞİ GRUPLARI İLE BU KİŞİLERE AİT
VERİ KATEGORİLERİNİN İLİŞKİLENDİRİLMESİ
Kişisel Veri Kategorizasyonu
|
İlgili Kişisel Verinin İlişkili Olduğu Veri Sahibi Kategorisi |
Kimlik Bilgisi |
Çalışan Adayı, Çalışan, Diğer-Ticari İlişki Kurulan Gerçek Kişi,
Diğer-Ticari İlişki Kurulan Tüzel Kişi Çalışanı, Diğer-Ticari İlişki Kurulan,
Tüzel Kişi Yetkilisi, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Stajyer,
Tedarikçi Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli /
Vasi / Temsilci, Ziyaretçi |
İletişim Bilgisi |
Çalışan
Adayı, Çalışan, Diğer-Staj Sözleşmesi Çerçevesinde İrtibat Kurulacak
Koordinatör Müdür Yardımcısı, Diğer-Çalışan Adaylarına referans olan kişiler,
Diğer-Çalışan Adaylarına ulaşılamama durumunda ismi belirtilen kişi, Diğer-Ticari
İlişki Kurulan Tüzel Kişi Yetkilisi/Çalışanı, Diğer-Ticari İlişki Kurulan
Gerçek Kişi, Hissedar/Ortak, Potansiyel Ürün veya Hizmet Alıcısı, Stajyer, Tedarikçi,
Çalışanı, Tedarikçi Yetkilisi, Ürün veya Hizmet Alan Kişi, Veli / Vasi /
Temsilci, Ziyaretçi |
Finansal Bilgi |
Doğusan
Metal’in Hissedarları, Doğusan Metal’inYetkilileri,Çalışan, Ürün veya Hizmet
Alan Gerçek Kişiler, İşbirliği İçinde Olduğumuz Gerçek Kişi Tedarikçiler |
Hukuki İşlem |
Çalışan,
Diğer- Alt İşveren Çalışanları, Hissedar/Ortak, Tedarikçi Çalışanı |
Müşteri İşlem |
Potansiyel
Ürün veya Hizmet Alıcısı, Ürün veya Hizmet Alan Kişi, Ziyaretçi |
Fiziksel Mekan Güvenliği, Görsel/İşitsel Kayıtlar |
Çalışan
adayı, Çalışan, Hissedar/Ortak, Tedarikçi Çalışanı, Tedarikçi Yetkilisi
Potansiyel Ürün veya Hizmet Alıcısı, Ürün veya Hizmet Alan Kişi, Ziyaretçi,
Potansiyel Ürün veya Hizmet Alan Kişi, Ziyaretçi |
Özlük Bilgisi ve Mesleki Deneyim |
Çalışan,
Hissedar/Ortak, Tedarikçi Çalışanı, Çalışan Adayları. |
Özel Nitelikli Kişisel Veri
|
Doğusan
Metal’in Hissedarları, Doğusan Metal’in Yetkilileri, Çalışan/Stajyerler,
Çalışan Adayları, İşbirliği İçinde Olduğumuz Kurumların Çalışanları,
Hissedarları ve Yetkilileri |
Diğer Kişisel Veriler |
Çalışanlar,
Hissedar/Ortaklar, Çalışanların Aile Üyeleri |
Talep/Şikâyet Yönetimi Bilgisi |
Doğusan
Metal’in Hissedarları, Doğusan Metal’in Yetkilileri, Kiracılar/Kiracıların Taşeronları,
Çalışan/Stajyerler, Çalışan Adayları, İş birliği İçinde Olduğumuz Kurumların
Çalışanları, Hissedarları ve Yetkilileri, Ziyaretçi |
IX.
KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz yukarıda belirtilen Kişisel Veri İşleme Amaçları’nı
gerçekleştirebilmek için kişisel verileri yurt içinde gerçek veya tüzel
kişilerle gerekli güvenlik önlemleri alınarak ve gizlilik içerisinde
paylaşabilmektedir. Doğusan Metal, söz konusu paylaşımları gerçekleştirirken
Kanun’un 8. ve 9. maddelerinde yer alan kurallara ve Kişisel Verileri Koruma
Kurulu tarafından belirlenmiş olan ilave düzenlemelere uygun davranılmasına
yüksek önem göstermektedir.
Doğusan Metal, Kanunun genel ilkeleri ile 8. ve 9. maddelerinde
yer alan veri işleme şartları dâhilinde gizlilik ve veri paylaşım sözleşmesi
imzalanması dâhil gerekli teknik ve idari tedbirler alarak;
a.
İş ortakları, iştirakler ve bağlı ortaklıklar,
b.
Tedarikçiler,
c.
Departman ve yetkilileri,
d.
Doğusan Metal hissedar/ortakları,
e.
Bankalar,
f.
Hukuken bilgi almaya yetkili kamu kurum ve
kuruluşları,
g.
Hukuken bilgi almaya yetkili özel hukuk/kamu
hukuku tüzel kişileridir.
ile veri aktarımı gerçekleştirebilmektedir.
VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI
|
TANIMI |
İŞLENEN VERİLERİN AKTARIM AMACI
|
İş Ortağı/ İştirakler/Bağlı Ortaklıklar |
Doğusan
Metal’in ticari faaliyetlerini yürütürken birlikte muhtelif projeler
yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları
tanımlamaktadır |
İş
ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla
sınırlı olarak |
Tedarikçi |
Doğusan
Metal’in ticari faaliyetlerini yürütürken emir ve talimatlarına uygun olarak
sözleşme temelli yahut sözleşme olmaksızın münferit olarak Doğusan Metal’e
hizmet sunan tarafları tanımlamaktadır |
Doğusan
Metal’in tedarikçiden elde ettiği ve ticari faaliyetlerini yerine getirmek
için gerekli hizmetlerin Doğusan Metal’e sunulmasını temin etmek üzere |
Bankalar |
Doğusan
Metal ile çalışan ve aylık ücretin ödenmesi dahil çeşitli alanlarda
çalışmalar yapılan özel ve kamu bankaları |
Doğusan
Metal’in hak ve alacakları ile ilgili Sözleşmeler, temliknameler ve ilgili
yasal mevzuat gereği paylaşımı zorunlu olan bilgilerle sınırlı olarak |
Şirket Yetkilileri |
Doğusan
Metal’in yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler |
İlgili
mevzuat hükümlerine göre Doğusan Metal’in ticari faaliyetlerine ilişkin
stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim
amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum Ve Kuruluşları |
İlgili
mevzuat hükümlerine göre Doğusan Metal’den bilgi ve belge almaya yetkili kamu
kurum ve kuruluşları. |
İlgili
kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla
sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili
mevzuat hükümlerine göre Doğusan Metal’den bilgi ve belge almaya yetkili özel
hukuk kişileri |
İlgili
özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı
olarak |
Tüm bu hususlara ilave olarak, KVKK 5. Madde kapsamında, aşağıda
belirtilen durumlarda Şirketimiz, kişisel veri sahiplerinin verilerini açık
rıza almaksızın aktarmaktadır;
·
Kişisel verilerin işlenmesinin bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli ise,
·
Kişisel verilerin işlenmesinin şirketimizin
hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumunda,
·
Kişisel verilerin veri sahibi tarafından
alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde,
·
Kişisel verilerin işlenmesinin şirketimizin
veya veri sahibi veya üçüncü kişilerin haklarının tesisi, kullanılması veya
korunması için zorunlu olması durumunda,
·
Veri sahiplerinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla şirketimiz meşru menfaatleri için kişisel veri işleme
faaliyetinde bulunulmasının zorunlu olması durumunda.
Özel nitelikteki verilerin aktarılabilmesi için KVKK 6. Madde de
yer verilen ve aşağıda yer verilen istisnalar dışında veri sahibinin açık
rızasının alınması zorunludur.
İlgili istisnalar Kişisel veri sahibinin sağlığına ve cinsel
hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından açık rıza almadan aktarılabilmektedir.
Şirketimiz tarafından yurtdışına kural olarak kimlik, iletişim ve
mesleki deneyim bilgileri aktarılmakta olup, bunların dışında kişisel verilerin
yurt dışına aktarılmaması konusunda gerekli her türlü idari ve teknik tedbir
alınmaktadır.
X.
VERİ SAHİPLERİNİN AYDINLATILMASI VE VERİ
SAHİPLERİNİN HAKLARI
i.
Veri Sahibinin Aydınlatılması
KVK
Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde
edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması
gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine
iletilmesi gereken bilgiler şunlardır:
1.Veri
sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel
verilerin hangi amaçla işleneceği,
3.İşlenen
kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4.Kişisel
veri toplamanın yöntemi ve hukuki sebebi,
5.KVK
Kanunu’nun 11. maddesinde sayılan diğer haklar.
Şirketimiz
KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin hakları
kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri
sahibine yol göstermektedir ve kişisel veri sahiplerinin haklarının
değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin
yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç
işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Şirketimiz, aydınlatma yükümlülüğünü yerine getirmek amacıyla,
süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü
kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır.
Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, şirketimizin
ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının
alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de
açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık
rıza beyanlarında, KVK Kanunu’na dayanak teşkil eden Avrupa Birliği
düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin şirketimiz
tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza
temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında
bilgilendirmede bulunulmuştur.
ii.
Veri Sahibinin Hakları
Veri sahibi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara
sahip olduğunuzu belirtmek isteriz:
- Kişisel verilerinizin işlenip
işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna
ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel
verilerinizin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinizin eksik veya yanlış
işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda
yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
- Kanun’a ve ilgili diğer kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun
ortaya çıkması durumunda buna itiraz etme,
- Kişisel verilerinizin kanuna aykırı
olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini
talep etme.
Yukarıda sıralanan haklarınıza yönelik şirketimize başvuruda
bulunmanız halinde, talebinizin niteliğine göre en kısa sürede ve en geç otuz
gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin
ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu
tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
Gerek görülen durumlarda talebin daha iyi anlaşılabilmesi için detaylı ve ek
bilgi istenebilmektedir.
Doğusan Metal tarafından veri sahibi başvurularına yanıtlar,
yazılı olarak veya elektronik ortamda veri sahiplerine bildirilmektedir.
Başvurunun reddedilmesi halinde ret nedenleri gerekçeli olarak veri sahibine
açıklanacaktır.
Bununla
birlikte, KVK Kanunu’nun 28. maddesi uyarınca aşağıdaki hallerde Kişisel Veri
Sahibinin yukarıda ifade edilen haklarını kullanamayacağını dikkatlerinize
sunmak isteriz:
(1)
Kişisel verilerin resmi istatistik ile anonim
hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla
işlenmesi.
(2) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
(3) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve
istihbari faaliyetler kapsamında işlenmesi.
(4)
Kişisel verilerin soruşturma, kovuşturma,
yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz
mercileri tarafından işlenmesi.
KVK
Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri
sahipleri zararın giderilmesini talep etme hakkı hariç, 11. bölümde sayılan
diğer haklarını ileri süremezler:
(1)Kişisel
veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
(2)
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel
verilerin işlenmesi.
(3)
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili
kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
(4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin
olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
iii.
Hakların Kullanılması
Veri
sahipleri bu bölümde sıralanan haklarına ilişkin taleplerini kimliklerini
tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya
Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle EK-1’de yer
alan Başvuru Formu’nu doldurup imzalayarak şirketimize ücretsiz olarak
iletebileceklerdir:
(a)
5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza”
ile imzalanarak dogusanmetal@hs02.kep.tr e-posta
adresine gönderecekleri bir e-posta
(b)
Ziya Gökalp Mah.Abdullah Paşa Cad.No.45 Başakşehir/İstanbul adresine noter
vasıtasıyla veya elden teslim yöntemi ile gönderecekleri Başvuru Formu ile
öğrenme hakkına sahiptirler.
Kişisel
veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri
sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş
özel vekâletname bulunmalıdır.
Kişisel veri sahibi olarak KVK Kanunu’nun 14. maddesi gereğince
şirketimize yaptığınız başvurunun reddedilmesi, verilen cevabımızın tarafınıza
yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; şirketimizin
cevabını öğrendiğiniz tarihten itibaren otuz ve herhâlde başvuru tarihinden
itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilirsiniz.
iv.
Başvurulara Cevap Verilmesi
Başvurulara
Cevap Verilme Usulü ve Süresi
Kişisel
veri sahibinin, bu politikada düzenlenen usule uygun bir biçimde talebini
Şirketimize iletmesi halinde Doğusan Metal talebin içeriğine göre en geç otuz
gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Fakat KVK
Kurulunca bir ücret öngörülmesi hâlinde, Doğusan Metal tarafından başvuru
sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
Başvuruda
Bulunan Kişisel Veri Sahibinden Talep Edilecek Bilgiler
Doğusan
Metal, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit
etmek adına ilgilisinden bilgi talep edebilir. Doğusan Metal, kişisel veri
sahibinin müracaatında yer alan hususları netleştirmek adına, kişisel veri
sahibine başvurusu ile ilgili sorular yöneltebilir.
Doğusan
Metal’ın Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Doğusan
Metal aşağıda yer alan durumlarda müracaat eden kişinin başvurusunu,
gerekçesini açıklayarak reddedebilir:
1)
Kişisel verilerin resmi istatistik ile anonim
hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla
işlenmesi.
2) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
3) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve
istihbari faaliyetler kapsamında işlenmesi.
4) Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
5) Kişisel
veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
6) Kişisel
veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi.
7) Kişisel
veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
8) Kişisel
veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması.
9) Kişisel
veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme
ihtimali olması
10) Orantısız
çaba gerektiren taleplerde bulunulmuş olması
11)
Talep edilen bilginin kamuya açık bir bilgi
olması.
XI.
VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ
Aydınlatma
Yükümlülüğü: Doğusan Metal tarafından işlenilen
verilere ilişkin olarak Aydınlatma Metni tanzim edilmiş olup, ilgili kişiler
süreç hakkında bilgilendirilmiştir.
Veri
Güvenliğine İlişkin Yükümlülükler:Doğusan Metal, kişisel verilerin
hukuka aykırı olarak işlenmesini önleme, bu verilere hukuka aykırı olarak
erişilmesini önleme ve bunların hukuka uygun olarak muhafazasını sağlama
yükümlülüklerinin tümünü yerine getirdiğini taahhüt eder. Şirket, kişisel verilerin
işlenme amaçlarını ve vasıtalarını belirleyen veri kayıt sistemini kurmuştur.
Denetim
Yapma Veya Yaptırma Yükümlülüğü:Doğusan Metal, kanun hükümlerinin
uygulanmasını sağlamada, kişisel verilerin kanunda öngörülen usul ve esaslara
uygun olarak işlenmesi amacı ile gerekli denetimleri yaptığını / yaptırdığını
taahhüt eder.
Sır
Saklama Yükümlülüğü:Doğusan Metal, işlediği kişisel verileri,
kanuna aykırı olarak aktarım yaptığının bilgisini verdiği ve açık rızasını
aldığı veriler dışında, başkalarına açıklamayacağını veya kullandırmayacağını
taahhüt eder. Bu taahhüdü, işleme esnasında görev verdiği veri sorumlusu veya
veri işleyenlerin, görevlerinden ayrıldıklarında dahi devam eder.
İhlal
Halinde Bildirim Yükümlülüğü:Doğusan Metal, işlediği verilerin kanuni
olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa
sürede, ilgili kişiye ve Kurula bildirecektir.
İlgili
Kişiler Tarafından Yapılan Başvuruların Cevaplanması Ve Kurul Kararlarının
Yerine Getirilmesi Yükümlülüğü:Doğusan Metal, veri sahipleri
tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemler ile
kendisine iletilen Kanunun uygulanmasına yönelik talepleri, niteliklerine göre
en kısa sürede ve en geç otuz gün içinde, ücretsiz olarak cevaplayacaktır. Bu işlem bir maliyet gerektiriyorsa, Doğusan
Metal,Kurulca belirlenen tarifedeki ücretleri, talepte bulunan ilgili kişiden
isteyebilir.
Veri
Sorumluları Siciline Kayıt Olma Yükümlülüğü:Doğusan
Metal, Kişisel Verileri Koruma Kurulu tarafından ilan edilecek tarih ve sürede,
sicil kaydını tamamlayacaktır.
XII.
KİŞİSEL VERİLERİN SAKLANMASI
Elde
ettiğimiz kişisel veriler, Doğusan Metal’ın faaliyetlerinin devam edebilmesi
amacıyla, uygun sürede fiziksel veya elektronik ortamda güvenli bir şekilde muhafaza
edilmektedir. Söz konusu faaliyetler kapsamında, Doğusan Metal tarafından
kişisel verilerin korunmasına ilişkin olarak KVK Kanunu başta olmak üzere,
ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Kişisel
verilerin daha uzun süre saklanmasına müsaade edilen veya zorunlu olan haller dışında,
elde edilen kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Doğusan
Metal tarafından re’sen yahut sahiplerinin talebi üzerine veriler silinecek,
yok edilecek yahut anonim hale getirilecektir.
Veri
sorumlusunun hukuken meşru menfaatinin olduğu hallerde, işlenme amacının ve
ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri
sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel
veriler, genel zamanaşımı (on yıl) süresi içerisinde saklanabilir. Bahsi geçen
zamanaşımı süresinin sona ermesinin ardından kişisel veriler, İmha
Politikası’ndaki prosedüre göre silinir, yok edilir yahut anonim hale getirilir
(bu konuda İmha Politikası’nın
incelenmesini önemle tavsiye ederiz).
XIII.
KİŞİSEL
VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
Doğusan
Metal, KVKK’nın12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak
erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik
düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu
kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel
verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan
yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Doğusan Metal bu
durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
1-
Teknik Tedbirler
Ø
Organizasyon bünyesinde çalışan kişilerin
oluşturabileceği bilinçli veya bilinçsiz tehditler dikkate alınarak bilgiye
erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda
yazılım ve donanın cihazları üzerinden gerekli güvenlik kontrollerini hayata
geçirilmiştir.
Ø Sistem yöneticilerinin sistemi güçlü bir şekilde
izlemesine yardımcı olmak amacıyla programlar kullanılmaktadır.
Ø
Kişisel veri kaynaklarına erişim için personel
veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler için
tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir.
Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonların dan oluşan,
akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler kullanılmaktadır.
Ø
Şirkette dış ağlardan gelebilecek tehditlere
karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir.
Ø
Teknolojideki gelişmelere uygun teknik
önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve
yenilenmektedir.
Ø
İş birimi bazında belirlenen hukuksal uyum
gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye
alınmaktadır.
Ø
Erişim yetkileri sınırlandırılmaktadır.
Ø
Alınan teknik önlemler periyodik olarak
kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli
teknolojik çözüm üretilmektedir.
Ø
Virüs koruma sistemleri ve güvenlik
duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
Ø
Şirket Bilgisayar sistemlerinde firewall, anti-virüs
yazılımları, güvenlik duvarları, VPN yazılım/donanımları, içerik kontrolcüler,
merkezi yönetim yazılımları kullanılmaktadır.
Ø
Teknik konularda bilgili personel istihdam
edilmektedir.
Ø
Kişisel verilerin toplandığı uygulamalardaki
güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından
geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
Ø
İhtiyaç oluştuğunda sızma testi hizmeti alarak
sistem zafiyetlerinin kontrolünü sağlar.
Ø
Kişisel verilerin yok edilmesi geri
dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
Ø
Özel nitelikli kişisel verilerin aktarıldığı
durumlarda;
-
Verilerin e-posta ile aktarılması gerekiyor
ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı
kullanılarak aktarılmasını,
-
Verilerin taşınabilir bellek, CD, DVD gibi
ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
-
Farklı fiziksel ortamdaki sunucular arasında
aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle
aktarmanın sağlanmasını,
-
Verilerin kağıt ortamında aktarımı gerekiyorsa
evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.
Ø
Bilgi teknolojileri birimlerinde çalışanların
kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
2-
İdari Tedbirler
Ø
Doğusan Metal tarafından kişisel verilerin
hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel
verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlayacağına ilişkin hükümler eklenmektedir.
Ø
Doğusan Metal personeli ile arasındaki
ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin
hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere
uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği,
kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel
verilere ilişkin gizlilik yükümlülüğünün Doğusan Metal ile olan iş akdinin sona
ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu
yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların
uygulanmasını gerektirmektedir.
Ø
Doğusan Metal tarafından kişisel verilerin
hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel
verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere
uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
Ø
Çalışanlar, kişisel verilere hukuka aykırı
erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
Ø
İş birimi bazında kişisel veri işlenmesi
hukuksal uyum gerekliliklerine uygun olarak Doğusan Metal içinde kişisel
verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve
uygulanmaktadır.
Ø
Doğusan Metal personeli ile arasındaki
ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin
hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere
uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği,
kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel
verilere ilişkin gizlilik yükümlülüğünün Doğusan Metal ile olan iş akdinin sona
ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu
yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların
uygulanmasını gerektirmektedir.
Ø
Çalışanlar, öğrendikleri kişisel verileri KVK
Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı
dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da
devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden
gerekli taahhütler alınmaktadır.
Ø
Doğusan Metal tarafından kişisel verilerin
hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel
verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere
uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
Ø
İşlenen kişisel verilerin hukuka aykırı
yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede
ilgilisine ve Kurul’a bildirir.
Ø
Kişisel verilerin işlenmesi hakkında bilgili
ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması
mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
Ø
Kendi tüzel kişiliği nezdinde Kanun
hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve
yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini
giderir.
Ø
Doğusan Metal, kişisel verileri aktardığı
üçüncü şahıslarında, işbu Politika ve KVK Kanunu hükümleri doğrultusunda
verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun
olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12. maddesi
uyarınca sorumludur. Bu nedenle Doğusan Metal, üçüncü kişilere veri
aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların
sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler
almalıdır. Yine Doğusan Metal tüm personelini kişisel verilerin üçüncü
şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak
bilgilendirmelidir.
3-
Kişisel Verilerin Korunması Konusunda Alınan
Tedbirlerin Denetimi
KVK
Kanunu kapsamında Doğusan Metal veri sorumlusu sıfatı ile VERBİS sistemine
kayıt olmuştur. Yönetmelik’in 11inci maddesinin 1. fıkrasında “Türkiye’de yerleşik olan tüzel
kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat
hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya
ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir.
Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine
getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye
görevlendirebilir” şeklinde düzenleme yapılmıştır. Bu düzenleme uyarınca şirketimiz tarafından
KVK sorumluları belirlenmiş olup, bu sorumlular tarafından belirli periyotlarla
ve bazı zamanlarda denetimler yapılmaktadır.
XIV.
ÜÇÜNCÜ KİŞİLERİN EYLEM VE GİZLİLİK
POLİTİKALARINDAN DOĞAN SORUMLULUK
Doğusan
Metal, web sitesinden link verilen diğer web sitelerinin gizlilik ve kişisel
veri politika uygulamaları veya içeriklerinden veya üçüncü kişilerin gizlilik
ve kişisel veri politikaları ve uygulamalarından sorumluluk taşımamaktadır.
DOĞUSAN
METAL SANAYİ VE TİCARET ANONİM ŞİRKETİ
Mersis No: 0648016750500013
Ticaret Sicil No: 306590-0
Kep: dogusanmetal@hs02.kep.tr