1.
Giriş
ONATÇA MOTORLU
ARAÇLAR A.Ş. (bundan böyle “Onatça”
veya “şirket” olarak ifade edilecektir) Yenidoğan
Mah. Girne Blv. No: 245/A Yüreğir/Adana adresinde mukim,
6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle “KVK Kanunu” olarak ifade edilecektir) kapsamında veri
sorumlusu konumundaki tüzel kişiliktir.
Kişisel
verilerin korunması, Şirketimiz için büyük hassasiyet arz eden ve Şirketimizin
öncelikleri arasında yer alan bir husustur. Özellikle, işbu Prosedür ile
yönetilen çalışanlarımızın, satjyerlerimizin, şirket
hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, müşterilerimizin, potansiyel
müşterilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının
ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması en önemli
kısmı oluşturmakta ve bu bağlamda, bunu bir şirket politikası haline
getirmektedir.
Bu
kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması, işlenmesi
için Şirketimiz tarafından gereken idari ve teknik tedbirler alınmaktadır.
Onatça olarak, İşbu Kişisel Verilerin Korunması ve İşlenmesi
Prosedürü ile, kişisel verilerin toplanması, kullanılması, işlenmesi,
aktarılması, saklanması süreç ve sistemlerimiz ile temel ilkelerimiz hakkında
sizleri bilgilendirmeyi amaçlamaktayız.
1.1.
Kişisel Verilerin Korunmasının Önemi
Kişisel
verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında
yer almaktadır. Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir
sistem kurulması amaçlanmış ve işbu prosedür oluşturulmuştur. 6698 sayılı
Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu sıfatıyla, Şirketimiz,
iş ortaklarına, hissedarlarına, müşterilerine, hukuki ilişkide ve iletişimde
bulunduğu gerçek ya da tüzel kişilere yönelik genel aydınlatma ve bilgilendirme
yükümlülüğünü yerine getirmek üzere yapılmakta ve bu Prosedür kapsamında
müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, stajyerlerimizin,
destek elemanlarımızın, şirket hissedarlarının, şirket yetkililerinin,
ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin
korunması konusundaki temel esaslar düzenlemektedir.
Bu
Prosedür’de belirtilen konuların uygulanmasına
yönelik olarak Şirket içerisinde özel aydınlatma metinleri oluşturulmakta,
gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel
verilerin korunması için şirketimiz tarafından gereken idari ve teknik
tedbirler alınmakta, bu kapsamda gerekli denetimleri yapmakta veya
yaptırmaktadır. Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte
ve bu konuda KVK Sorumlusu olarak şirket KİŞİSEL VERİ SORUMLUSU görevlendirerek
kişisel verilerin korunması süreçleri yönetilmektedir.
1.2.
Prosedürün amacı
Bu prosedürün
temel amacı, şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel
veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen
sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımız, stajyerlerimiz,
destek elemanlarımız, şirket hissedarları, şirket yetkilileri, ziyaretçilerimiz,
müşterilerimiz, potansiyel müşterilerimiz, işbirliği içinde olduğumuz
kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler başta
olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri
bilgilendirilerek şeffaflığı sağlamaktır.
1.3.
Prosedürün kapsamı
Bu Prosedür;
çalışanlarımızın, stajyerlerimizin, destek elemanlarımız, şirket hissedarlarının,
şirket yetkililerinin, ziyaretçilerimizin, müşterilerimizin, potansiyel
müşterilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının,
hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen tüm kişisel verilerine ilişkindir.
1.4.
Tanımlar ve
Kısaltmalar
Tanımlar:
|
KISALTMA |
TANIM |
|
Açık
rıza |
Belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rıza |
|
Başvuru
Formu |
Kişisel
veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698
Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri
Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru
Formu” |
|
Stajyer
|
Şirketimiz
tarafından yetenekleri yönlendirilen, eğitilen ve değerlendirilen
sözleşmeli çalışan gerçek kişi |
|
İşbirliği
İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
Şirketimizin
her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, taşeron, tedarikçi
gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları
ve yetkilileri dahil olmak üzere, gerçek kişiler |
|
İş
Ortağı |
Şirketimizin
ticari faaliyetlerini yürütürken bizzat hizmet almak gibi amaçlarla iş
ortaklığı kurduğu taraflar |
|
Kişisel
verilerin işlenmesi |
Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem |
|
Kişisel
veri sahibi |
Kişisel
verisi işlenen gerçek kişi |
|
Kişisel
veri |
Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
|
Özel
nitelikli kişisel veri |
Irk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik
ve genetik veriler |
|
Şirket
Hissedarı |
Şirketimizin
hissedarı gerçek kişiler |
|
Şirket
Yetkilisi |
Şirketimiz
yönetim kurulu üyesi ve diğer yetkili gerçek kişiler |
|
İlgili Kullanıcı |
Verilerin
teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya
da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen
kişiler |
|
Kişisel verilerin anonim hale
getirilmesi |
Kişisel
verilerin başka verilerle eşleştirilse dahi kimliği belirli veya
belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi,
bu işlem istatistiki bilgi temini amacıyla sadece şirket politikasının
belirlenmesi ve satış planlamalarının yapılması amacıyla kullanılabilecek
olup, silme yapılabilecek kişisel verilerin saklama süresi dolduktan sonra
yıldızlama yöntemiyle kullanılması yoluyla sadece planlama amacıyla
kullanılacaktır. |
|
Kişisel Verilerin Silinmesi |
Kişisel
verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi |
|
Kişisel Verilerin Yok Edilmesi |
Kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve
tekrar kullanılamaz hale getirilmesi işlemi |
|
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen,
veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek
veya tüzel kişi |
|
Ziyaretçi |
Şirketimizin
binalarını veya Şirketimiz tarafından işletilen internet sitelerini ziyaret
eden gerçek kişiler |
|
Destek elemanı |
Güvenlik,
temizlik vs hizmetler için dışarıdan tedarik edilen
çalışanlar. |
|
Yeterli Korumaya Sahip veya Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkeler |
Kişisel
Verileri Koruma Kurumu tarafından yurtdışı veri aktarımı için onay verilmiş
güvenli ülkeleri |
|
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri
işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve
veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel
verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme
süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
|
KVK
Kanunu |
7 Nisan 2016
tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan,
24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu |
|
A.Y. |
9 Kasım
1982 tarihli ve 17863 sayılı Resmi Gazete'de
yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.
|
|
KVK
Kurulu |
Kişisel
Verileri Koruma Kurulu |
|
KVK
Kurumu |
Kişisel
Verileri Koruma Kurumu |
|
Onatça/Şirket |
Onatça Motorlu Araçlar Anonim Şirketi |
|
Prosedür |
Kişisel
Verilerin İşlenmesi ve Korunması Prosedürü |
|
Türk
Ceza Kanunu |
12 Ekim
2004 tarihli ve 25611 sayılı Resmi Gazete'de
yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu. |
|
Yönetmelik |
Veri Sorumluları Sicili Hakkında Yönetmelik |
1.5.
Prosedürün ve İlgili Mevzuatın Uygulanması
Kişisel
verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni
düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve prosedür arasında
uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama
alanı bulacağını kabul etmektedir.
2.
Kişisel Verilerin
İşlenmesinde Benimsenen Genel İlkeler
Şirketimiz,
KVK Kanunu’nun 4. maddesi doğrultusunda işbu Prosedür kapsamında kalan kişisel
verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
2.1. Hukuka ve
Dürüstlük Kuralına uygunluk
Şirketimiz;
kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile
genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin
işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri
amacın gerektirdiği dışında kullanmamaktadır.
2.2. Doğruluk ve
güncellik
Şirketimiz;
kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate
alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu
doğrultuda gerekli tedbirleri almaktadır.
2.3. Belirli, açık ve meşru amaçlarla işleme
Şirketimiz,
meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak
belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle
bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin
işleneceği amaç işleme faaliyeti öncesi belirlenmektedir.
2.4. Verileri
işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
Şirketimiz,
kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir
biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
2.5. Mevzuat
hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı
olarak işleme
Şirketimiz,
kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç
için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz
öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp
öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun
davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve
kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından
silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3.
Kişisel Verilerin
İşlenme Şartları
Kişisel
verilerin korunması Anayasal bir hak olup, temel hak ve hürriyetler, özlerine
dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere
bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü
fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlenebilecektir. Şirketimizce, kişisel verilerin
işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası
aranmaksızın kişisel verileri işlenmektedir;
a)
Kanunlarda
açıkça öngörülmesi,
b)
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması,
c)
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
d)
Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
e)
İlgili
kişinin kendisi tarafından alenileştirilmiş olması,
f)
Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
g)
İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması
Yukarıdaki
şartların bulunmaması halinde ilgilinin Şirketimizce açık ve bilgilendirmeye
dayalı rızasına başvurulmaktadır.
4.
Özel Nitelikli
Kişisel Verilerin İşlenme Şartları
Şirketimiz
tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin
işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere uygun
davranılmaktadır. KVK Kanunu’nun 6.
maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli”
olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet
gösterilmesi gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi
inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da
sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir. KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel
nitelikli kişisel veriler, gerekli önlemlerin alınması kaydıyla aşağıdaki
durumlarda işlenmektedir:
·
Kişisel
veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel
veriler, kanunlarda öngörülen hallerde veya kişisel veri sahibinin açık rızası var
ise buna dayalı olarak,
·
Kişisel
veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından veya kişisel veri sahibinin
açık rızası ile işlenmektedir.
·
Hangi
nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri
dikkate alınır ve bununla ilkelere uygunluk sağlanır.
5.
Kişisel Verilerin
ve Özel Nitelikli Kişisel Verilerin Toplanması ve İşlenmesi Yöntemleri
Şirketimiz, KVK
Kanunu’na uygun olarak ve Yönetmelik’in 5., 7.,9. ve 10. maddeleri kapsamında
düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri
İşleme Envanteri’ne dayalı olarak gerçek kişilere ait
kişisel verileri işlemektedir.
İşbu Prosedüe’de ayrıca Kişisel Veri İşleme envanteri başlığına
yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki
bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri”
hükmünde sayılacaktır.
1. Kişisel veri
işleme amaçları,
2. Veri kategorisi
3. Verilerin
aktarıldığı alıcı grubu veya alıcı grupları
4. Veri konusu
kişi grupları
5. Veri kategorisi
ile veri konusu kişi gruplarının ilişkilendirilmesi
6. Yabancı
ülkelere aktarımı öngörülen kişisel veriler
7. Veri
güvenliğine ilişkin alınan tedbirler
8. Kişisel verilerin
işlendikleri amaçlar için gerekli olan azami süre
5.1. Kişisel Veri Konusu Kişi Grupları
Şirketimiz
KVK Politikası kapsamı dahilinde olan ve kişisel verileri işlenen veri
sahipleri aşağıda gruplandırılmaktadır:
·
Çalışanlarımız
·
İş Ortakları Yetkilileri, Çalışanları
·
Ziyaretçiler
·
Destek elemanları (güvenlik personeli)
·
Müşteriler
·
Potansiyel Müşteriler
·
Stajyerler
·
Taşeron yetkilisi, çalışanları
·
Şirket hissedarları/yetkilileri
5.2. İşlenen Kişisel Verilerin Sınıflandırılması
|
İŞLENEN
VERİ TÜRÜ |
AÇIKLAMASI |
|
Kimlik Bilgileri |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu
verilerdir; ad-soyad isim, Doğum Tarihi, T.C. Kimlik
Numarası, Önlü arkalı Kimlik fotokopisi (Yeni Kimlik belgesine göre. Eski
kimlikse, din ve kan grubu hanesi kapatılmaktadır) bilgileri |
|
İletişim Bilgileri |
Kimliği belirli veya belirlenebilir
bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde
veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde
işlenen kişinin
elektronik posta adresi, ikamet adresi, ev telefonu numarası, cep telefonu numarası
bilgileri |
|
Özlük Belgesi |
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; şirketimiz ile çalışma ilişkisi içerisinde olan
gerçek kişilerin özlük haklarının oluşmasına temel olacak ve özlük dosyasında
yer alması kanunen zorunlu tutulan bilgilerdir. Askerlik durumu, Eğitim Geçmişi ve Detayları, Referans
Bilgileri, Çalışma Geçmişi ve Detayları, Özgeçmiş, Yabancı Dil Bilgisi,
Bakmakla yükümlü olduğu kişilerin ad-soyad bilgisi,
çocuk sayısı, eş bilgisi, sigorta sicil numarası, diploma, vesikalık
fotoğraf, vukuatlı nüfus kaydı, |
|
İşlem Güvenliği Bilgisi |
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; şirketimiz kablosuz ağına kullanımı nedeniyle oluşan
veri grubudur. Parola,
Cihaz MAC Adresi, Dâhili IP Adresi, Harici IP Adresi, Trafik Verileri (ÖRN:
Bağlantı Zamanı/Süresi, İletişim Miktarı vb.) |
|
Finans Bilgileri |
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; şirketimizin kişisel veri sahibi ile kurmuş olduğu
hukuki ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara
ilişkin işlenen finansal kişisel veriler ile banka hesap numarası, banka hesap bilgileri, banka kartı fotokopisi, maaş bodrosu bilgileri, çalışanlara
ilişkin finansal ve maaş detayları, prim hak edişleri, prim tutarları, icra
takip dosyalarına ilişkin dosya ve borç bilgileri, asgari geçim indirimi
bilgisi, özel sağlık sigortası tutarı vb bilgiler |
|
Mesleki Deneyim Bilgileri |
Kişinin
mesleğine ait bilgilerin bulunduğu veri grubudur
.Kalfalık Belgesi,
Ustalık Belgesi, Mesleki Yeterlilik Belgesi, Eğitim Belgesi/Sertifikası |
|
Sağlık Bilgileri |
Kişinin sağlık
bilgilerinin bulunduğu veri grubudur . Engellilik Durumuna Ait Bilgiler,
Akciğer Grafisi, Odyometri,
Tam Kan Testi, İş Göremezlik Raporu |
|
|
Kişinin işe alım sürecinde
şirketimizde sunduğu veri grubudur. İsim, Soy isim, Sicil Numarası, Çalıştığı
Bölüm, Unvan, Referans Tipi, Telefon Numarası |
|
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde
kalış sırasında alınan kamera kayıtları, telefon aramalarında alınan ses
kayıtları v.b. |
|
|
Talep/Şikayet Yönetim Bilgisi |
Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; şirketimize yöneltilmiş olan her türlü
talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
|
Taşıt
Bilgisi |
Kişinin araç
bilgilerinin bulunduğu veri grubudur (Plaka no,
şase no, motor no, ruhsat
bilgisi ) |
|
Risk Yönetimi Bilgisi |
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda
genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun
olarak kullanılan yöntemler vasıtasıyla işlenilen
kişisel verileri |
|
Olay Yönetimi Bilgisi |
Kişisel veri sahibiyle ilişkilendirilen ve şirketimiz
çalışanlarını, hissedarlarını etkileme potansiyeli olan olaylarla ilgili
toplanan bilgileri ve değerlendirmeleri (örneğin; kamuoyunun doğru
yönetilmesine ilişkin toplanan bilgiler, değerlendirmeler gibi). |
5.3. Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel
Veri Sahiplerinin Kişisel Verilerinin Toplanması ve İşlenmesinin Amaçları
a) Şirketimiz hissedarlarının, yönetim
kurulu üyelerinin ve yetkililerinin kişisel verilerini, Türk Ticaret Kanunu,
Vergi Usul Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri
çerçevesinde Giriş kısmında yazılı olan faaliyetlerin gerçekleştirilebilmesi
amacıyla işlemektedir. İşbu kişisel veriler resmi kurumlarda şirketimize
ilişkin olarak tutulan kayıtlardan, genel kurul ve yönetim kurulu toplantı
tutanakları, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan
evraklardan elde edilmektedir.
b) Şirketimiz bünyesinde çalışan
personellerin ve stajyerlerin kişisel ve özel nitelikli kişisel verilerini, SGK
kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve Güvenliği
Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında
bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve
işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık
rızaları ile ilettikleri özgeçmiş, iş başvuru formları, aday havuzu hizmetleri
veren insan kaynakları yazılım programlarının (Kariyer.net, Linkedin
gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine
sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar
aracılığıyla elde edilmektedir.
c) Şirketimiz, kendisine iş başvurusu
yapan gerçek kişilerden kişisel ve özel nitelikli kişisel verilerini, kişiyle
işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin
nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup
olmadığını tespit etmek amacıyla talep etmekte ve işlemektedir. İşbu kişisel ve
özel nitelikli kişisel veriler, başvuru yapan kişilerin kendi açık rızaları ile
özgeçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında
kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday
havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, Linkedin gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile
elde edilmektedir.
d) Şirketimiz, işbirliği içerisinde
olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerin verilerini iş
ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal ve hizmet
tedarikçilerinden temin edilen ve şirketimizin ticari faaliyetlerini yerine
getirmek için gerekli hizmetlerin şirketimize sunulmasının sağlanması ve bunun
denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel
veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları,
mail yazışmaları, telefon ve sair yollarla kurulan iletişim yollarıyla elde
edilmektedir.
e) Şirketimizin faaliyetlerinin yerine
getirilmesinde yardımcı olan tedarikçi ve taşeronların yetkili gerçek
kişilerinin ve bu tedarikçi ve taşeronlar tarafından görevlendirilen gerçek
kişi çalışanlarının verileri, görevlerini yerine getirip getirmediğini kontrol
etmek ve şirketin faaliyetlerinin düzenini sağlamak amacıyla kaydeder.
Tedarikçi ve taşeronların yetkilileri ile çalışanlarının kişisel verileri,
kendileri ile kurulan iletişim sonucu kendi açık rızalarıyla yollanan ve alınan
emailler, yapılan telefon görüşmeleri ile kartvizit
ve internet sitesi bilgilerinin aktarılması yoluyla elde edilmektedir.
f) Şirketimizin faaliyet göstermiş
olduğu yerleşkesine her ne sebeple olursa olsun gelen tüm ziyaretçilerin
kişisel verileri yerleşkenin güvenliğinin sağlanması ve ziyaretçilerin talep ve
şikâyetlerinin iletilmesi için 0322 346 71 71 numaralı hattımızın aranması
sonucu güvenlik nedeniyle ses kayıtları ilgili mevzuat kapsamındaki
yükümlülüklerinin yerine getirilmesi amacı ile talep edilmekte ve
işlenmektedir. Söz konusu kişisel veriler; plaka bilgisi, şikâyet ve talep
formlarının şirketimize iletilmesi, ilgili kimlik bilgilerinin etkinlik kayıt
masalarında, danışmada veya Wİ-Fİ giriş ekranında verilmesi, şirketimizin
telefon ile aranmasında arayan kişilerin ses kayıtlarının tutulması ve güvenlik
kamera görüntüsü yöntemleri ile elde edilmektedir.
g) Şirketimiz müşterilerinin ve
potansiyel müşterilerinin kişisel verilerini, faaliyetlerin mevzuata uygun
yürütülmesi, finansal ve muhasebe işlerinin yürütülmesi, firma/ürün/hizmetlere
bağlılık süreçlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iş
faaliyetlerinin denetimi/yürütülmesi, iş sürekliliğinin sağlanması, lojistik
faaliyetlerin sağlanması, mal/hizmet satış süreçlerinin ve satış sonrası destek
hizmetlerinin yürütülmesi, mal/hizmet üretim ve operasyon süreçlerinin
yürütülmesi, müşteri ilişkileri süreçlerinin yürütülmesi, müşteri memnuniyetine
ilişkin aktivitelerin yönetilmesi, pazarlama analiz çalışmalarının yürütülmesi,
performans değerlendirme süreçlerinin yürütülmesi, reklam/kampanya/promosyon
süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi,
sözleşme süreçlerinin yürütülmesi, stratejik planlama faaliyetlerinin
yürütülmesi, talep/şikayetlerin takibi, tedarik zinciri yönetimi süreçlerinin
yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini, gerekmesi
halinde, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amacıyla talep
etmekte ve işlemektedir. işbu kişisel veriler, sözleşmenin
kurulma anında elde edilmektedir.
5.4. Veri Konusu Kişi Grupları ile Bu Kişilere Ait Veri
Kategorilerinin İlişkilendirilmesi
|
İŞLENEN VERİ TÜRÜ |
İLİŞKİLİ OLDUĞU
VERİ SAHİBİ |
|
Kimlik Bilgileri |
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, ziyaretçiler, müşteriler, destek elemanları, taşeron çalışanları,
yetkilileri, potansiyel müşteriler |
|
İletişim Bilgileri |
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, ziyaretçiler, müşteriler, destek elemanları, taşeron çalışanları,
yetkilileri, potansiyel müşteriler |
|
Özlük Belgesi |
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, destek elemanları, taşeron çalışanları, yetkilileri, |
|
İşlem Güvenliği Bilgisi |
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, ziyaretçiler, müşteriler, destek elemanları, taşeron çalışanları,
yetkilileri, potansiyel müşteriler |
|
Finans Bilgileri |
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, ziyaretçiler, müşteriler, destek elemanları, taşeron çalışanları,
yetkilileri, potansiyel müşteriler |
|
Mesleki Deneyim Bilgileri |
Şirket yetkilileri,
çalışan/stajyerler, destek elemanları, taşeron çalışanları, yetkilileri |
|
Sağlık Bilgileri |
Çalışan/stajyerler, destek
elemanları, taşeron çalışanları |
|
Çalışan/stajyerler, destek
elemanları, taşeron çalışanları |
|
|
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, ziyaretçiler, müşteriler, destek elemanları, taşeron çalışanları,
yetkilileri, potansiyel müşteriler |
|
|
Talep/Şikayet Yönetim Bilgisi |
Şirket
hissedarları, yetkilileri, çalışan/stajyerler, ziyaretçiler, müşteriler,
destek elemanları, taşeron çalışanları, yetkilileri, potansiyel müşteriler |
|
Taşıt
Bilgisi |
Şirket hissedarları, yetkilileri,
çalışan/stajyerler, müşteriler, destek elemanları, taşeron çalışanları,
yetkilileri, |
|
Risk Yönetimi Bilgisi |
Şirket
hissedarları, yetkilileri, çalışan/stajyerler, ziyaretçiler, müşteriler,
destek elemanları, taşeron çalışanları, yetkilileri, potansiyel müşteriler |
|
Olay Yönetimi Bilgisi |
Şirket
hissedarları, yetkilileri, çalışan/stajyerler, ziyaretçiler, müşteriler,
destek elemanları, taşeron çalışanları, yetkilileri, potansiyel müşteriler |
5.5. İnternet Sitemizde Yer Alan Çerezler Üzerinden Toplanan
Kişisel Verilerin İşlenmesi
https://www.onatca.com.tr
adresli internet sitemiz üzerinden çerezler aracılığıyla kişisel verilerinizi
toplamaktayız.
Çerezleri,
internet sitemizin işleyiş biçimini ve kullanımını geliştirmek ve
kolaylaştırmak, internet sitemizin çeşitli özelliklerinin düzgün bir şekilde
çalışmasını sağlamak amacıyla kullanmakta ve internet sitemizde geçirdiğiniz
vakti daha verimli ve keyifli hale getirmeye çalışmaktayız. Bunlara ek olarak,
internet sitelerimizde yaptığınız tercihleri hatırlamaya yönelik bazı
çerezlerden yararlanmakta ve bu sayede size geliştirilmiş ve kişiselleştirilmiş
bir deneyim sağlamaktayız.
İnternet sitemizde
yer alan çerezler üzerinden kişisel verilerinizi toplayabilir, aktarabilir,
saklayabilir ve başka şekillerde işleyebiliriz. Çerezler üzerinden topladığımız
veriler, kimliğinizin belirlenmesi, şahsınıza özel profilleme ve hedefleme
yapılması veya internet sitemiz haricindeki internet faaliyetlerinizin takibi
amacıyla kullanılmamaktadır.
Kişisel
verilerinizin çerezler aracılığıyla toplanıp işlenmesini istemiyorsanız internet
sitemizde yer alan çerezleri reddedebilirsiniz. Çerezleri reddetmeniz durumunda
internet sitelerimizin gerektiği gibi çalışmayabileceğini ve hizmetlerin
görüntülenmesi veya sunulmasında aksaklıklar meydana gelebileceğini
hatırlatırız.
İnternet sitemizde kullandığımız çerezlere ilişkin detaylı
bilgi için ilgili sitemizde yayınlanmakta olan Çerez Politikası’nı
inceleyebilirsiniz.
5.6. Kablosuz Ağa
Erişim Kapsamında Toplanan Kişisel Verilerin İşlenmesi
https://www.onatca.com.tr
adresli
internet sitemiz üzerinden çerezler aracılığıyla kişisel verilerinizi
toplamaktayız.
Çerezleri, internet sitemizin işleyiş biçimini ve kullanımını
geliştirmek ve kolaylaştırmak, internet sitemizin çeşitli özelliklerinin düzgün
bir şekilde çalışmasını sağlamak amacıyla kullanmakta ve internet sitemizde
geçirdiğiniz vakti daha verimli ve keyifli hale getirmeye çalışmaktayız.
Bunlara ek olarak, internet sitelerimizde yaptığınız tercihleri hatırlamaya
yönelik bazı çerezlerden yararlanmakta ve bu sayede size geliştirilmiş ve
kişiselleştirilmiş bir deneyim sağlamaktayız.
İnternet sitemizde yer alan çerezler üzerinden kişisel
verilerinizi toplayabilir, aktarabilir, saklayabilir ve başka şekillerde
işleyebiliriz. Çerezler üzerinden topladığımız veriler, kimliğinizin
belirlenmesi, şahsınıza özel profilleme ve hedefleme yapılması veya internet
sitemiz haricindeki internet faaliyetlerinizin takibi amacıyla
kullanılmamaktadır.
Kişisel verilerinizin çerezler aracılığıyla toplanıp
işlenmesini istemiyorsanız internet sitemizde yer alan çerezleri
reddedebilirsiniz. Çerezleri reddetmeniz durumunda internet sitelerimizin
gerektiği gibi çalışmayabileceğini ve hizmetlerin görüntülenmesi veya
sunulmasında aksaklıklar meydana gelebileceğini hatırlatırız.
İnternet sitemizde kullandığımız çerezlere ilişkin detaylı
bilgi için ilgili sitemizde yayınlanmakta olan Çerez Politikası’nı
inceleyebilirsiniz.
Şirket içinde kablosuz internet hizmeti verilmekte olup, söz
konusu hizmet kapsamında ilgili mevzuat gereği Onatça,
“İnternet Kullanım Sağlayıcı”sı olarak
tanımlanmaktadır.
Şirket içinde kablosuz ağa erişim hizmetin faydalanmak
isteyen kullanıcıların tanımlanması, IP adres bilgisi, kullanıma başlama ve
bitirme zamanı, hedef IP bilgisi gibi erişim kayıtlarının elektronik ortamda
sisteme kaydedilmesi İnternet Toplu Kullanım Sağlayıcı’nın
yükümlülükleri arasındadır. Bu kayıtlara ek olarak, 5651 sayılı İnternet
Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen
Suçlarla Mücadele Edilmesi Hakkında Kanun ve ilgili mevzuat gereğince log bilgileri de saklanmaktadır.
5.7. Genel Güvenliğin Sağlanması Kapsamında Kişisel Verilerin
İşlenmesi
Çalışanlarımız kişisel verilerinin işlenmesine ilişkin
kurallarla alakalı olarak ayrıca bilgilendirilmektedir.
Onatça olarak
çalışanlarımız, stajyerlerimiz, destek elemanlarımız, taşeron çalışanlarımız, müterilerimiz ve ziyaretçilerimizin kişisel verilerini
fiziksel mekân güvenliğinin temini ve faaliyetlerin mevzuata uygun yürütülmesi
amaçlarıyla işlemekteyiz.
Bu
kapsamda tesislerimizde bulunan kişilerin kamera görüntülerini CCTV (kapalı
devre kamera kayıt sistemleri) vasıtasıyla temin etmekte ve bu kayıtları ilgili
mevzuatın öngördüğü süreler boyunca saklamakta ve veri saklama ve imha politika
ve prosedürlerimize uygun olarak silmekte, yok etmekte ve anonim hale
getirmekteyiz.
6.
Kişisel Verilerin
ve Özel Nitelikli Kişisel Verilerin Aktarılma İlkeleri
Şirketimiz,
veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6.
maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu
politikada belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9.
maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir. Veri
aktarım amaç ve kapsamları aşağıda belirtilmektedir.
Bu
kişi ve Kurumlar;
a- iş ortakları, (banka ve sigorta şirketleri, Seyahat Acenteleri,
çalışanlara sağlık hizmeti sağlanan kurum ve kuruluşlar, oteller, eğitim
firmaları, bayiler, yetkili servisler)
b- tedarikçileri,
c- kiracı/kiracı taşeronları,
d- hissedarları,
e- yetkilileri,
f- Hukuken bilgi almaya yetkili kamu kurum ve
kuruluşları,
g- Hukuken
bilgi almaya yetkili özel hukuk / kamu hukuku tüzel kişileridir.
|
VERİ AKTARIMI YAPILABİLECEK ALICI
GRUPLARI |
TANIMI |
İŞLENEN VERİLERİN AKTARIM AMACI |
|
İş ortakları |
Şirketimizin
ticari faaliyetlerini yürütürken birlikte muhtelif projeler yürütmek, hizmet
almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. |
İş ortaklığının
kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
aktarılmaktadır. |
|
Tedarikçileri |
Şirketimizin
ticari faaliyetlerini yürütürken şirketin emir ve talimatlarına uygun olarak
sözleşme temelli yahut sözleşme olmaksızın münferit olarak şirketimize hizmet
sunan tarafları tanımlamaktadır. |
Şirketimizin
tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine
getirmek için gerekli hizmetlerin şirkete sunulmasını sağlamak amacıyla
sınırlı olarak aktarılmaktadır. |
|
Şirket Hissedarları |
Şirketimiz
hissedarı tüzel ve gerçek kişileri tanımlamaktadır. |
İlgili
mevzuat hükümlerine göre şirketimizin şirketler hukuku, etkinlik yönetimi ve
kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla
sınırlı olarak aktarılmaktadır. |
|
Şirket Yetkilileri |
Şirket
yönetim kurulu üyeleri ve diğer yetkili gerçek kişileri tanımlamaktadır. |
İlgili
mevzuat hükümlerine göre şirketimizin ticari faaliyetlerine ilişkin
stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim
amaçlarıyla sınırlı olarak aktarılmaktadır. |
|
Hukuken bilgi almaya yetkili kamu kurum ve kuruluşlar |
İlgili
mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili kamu
kurum ve kuruluşları tanımlamaktadır. |
İlgili
kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla
sınırlı olarak aktarılmaktadır. |
|
Hukuken bilgi almaya yetkili özel hukuk / kamu hukuku tüzel
kişiler |
İlgili
mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya yetkili özel
hukuk kişilerini tanımlamaktadır. |
İlgili
özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı
olarak aktarılmaktadır. |
7.
Kişisel Verilerin
ve Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Kişisel
veriler ve özel nitelikli kişisel veriler şirketimiz tarafından yurtdışına
aktarılmamaktadır.
8.
Kişisel Verilerin
Korunmasına İlişkin Alınan Tedbirler
9.
Kişisel Verilerin
Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirketimiz, işbu Politika ve KVK
Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin
uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman
ve re’sen denetleme hakkına haizdir ve bu kapsamda
gerekli rutin denetimleri yapar veya yaptırır. Bu denetim sonuçları Şirketin iç
işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için
gerekli faaliyetler yürütülür.
Kişisel Verilerin
Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler Şirketimiz, KVK
Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede
ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi
yürütmektedir.
10.
Kişisel Verilerin
ve Özel Nitelikli Kişisel Verilerin Saklanma Süreleri
Şirketimiz, ilgili kanun ve mevzuatlarda
öngörülmesi halinde, kişisel verileri bu mevzuatlarda belirtilen yasal süreler
boyunca saklamaktadır.
Kişisel verilerin saklanmasına ilişkin
mevzuatta bir süre belirlenmemişse, bu veriler şirketimizin o veriyi işlerken
yürüttüğü faaliyet ile bağlı olarak şirketimizin uygulamaları ve sektörün
teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta daha sonra
verinin niteliği uyarınca şirketimiz tarafından Şirketimizin Saklama ve İmha
Politikası uyarınca veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
Kişisel verilerin işlenme amacı sona
ermiş; ilgili mevzuat ve şirketimizin belirlediği saklama sürelerinin de sonuna
gelinmişse; kişisel veriler sadece olası hukuki uyuşmazlıklarda delil teşkil
etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya
savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin
tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri
ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda
şirketimize yöneltilen örnekler esas alınarak saklama süreleri
belirlenmektedir. Bu durumda, saklanan kişisel verilere herhangi bir başka
amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği
zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre
sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
11.
Veri Sorumlusunun
Aydınlatma Yükümlülüğü
Şirketimiz,
KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını
kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri
sahibine yol göstermektedir. Kişisel veri sahiplerinin haklarının
değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin
yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç
işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
KVK
Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde
edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması
gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine
iletilmesi gereken bilgiler şunlardır:
1.
Veri sorumlusunun ve varsa temsilcisinin
kimliği,
2. Kişisel
verilerin hangi amaçla işleneceği,
3. İşlenen
kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel
veri toplamanın yöntemi ve hukuki sebebi,
5.
KVK Kanunu’nun 11. maddesinde sayılan
diğer haklar.
Şirketimiz,
aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen
kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri
sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma
beyanlarının veri sahiplerine sunulmasının ardından, şirketimizin ticari
faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını
gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları
hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVK
Kanunu’na dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak,
veri sahiplerine kişisel verilerinin şirketimiz tarafından işlenip
işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi
halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.
Öte
yandan, KVK Kanunu’nun 28/1. maddesi çerçevesinde sayılan durumlarda şirketimizin
aydınlatma yükümlülüğü bulunmamaktadır.
12.
Veri Sahibinin
Hakları ve bu hakların kullanılması
Kişisel
veri sahipleri aşağıda yer alan haklara sahiptirler:
(1) Kişisel
veri işlenip işlenmediğini öğrenme,
(2) Kişisel
verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
(4) Yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
(6) KVK
Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme.
12.1.
Veri Sahibinin
Haklarını İleri Süremeyeceği Haller
Kişisel
veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK
Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda
işbu politikanın 14. maddesinde sayılan haklarını ileri süremezler:
(1) Kişisel
verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi
(2) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
(3) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
(4) Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK
Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri
sahipleri zararın giderilmesini talep etme hakkı hariç, işbu politikanın 14.
maddesinde sayılan diğer haklarını ileri süremezler:
(1) Kişisel
veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması
(2) Kişisel
veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi
(3) Kişisel
veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması
(4) Kişisel
veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması
12.2.
Veri Sahibinin
Haklarını Kullanması
Kişisel Veri
Sahipleri bu politikada belirtilen haklarına ilişkin taleplerini kimliklerini tespit
edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel
Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak şirketimize ücretsiz olarak
iletebileceklerdir:
· www.onatca.com.tr
adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının
bizzat elden veya yazılı olarak posta aracılığı ile Yenidoğan Mah. Girne Bulvarı No: 245/A Yüreğir /Adana adresine iletilmesi
· www.onatca.com.tr adresinde
bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli
elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun onatcamotorluaraclar@hs01.kep.tr adresine kayıtlı
elektronik posta ile gönderilmesi güvenli elektronik imza, mobil imza ya da
ilgili kişi tarafından şirketimize daha önce bildirilen ve şirketimizin
sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya
başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla
başvuru yapılması
· www.onatca.com.tr
adresinde bulunan formun doldurulup kimlik belgesi ile birlikte şahsi başvuru
yapılması
gerekmektedir.
Kişisel veri
sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi
tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname verilmesi gereklidir.
12.3.
Veri Sahibinin KVK
Kurulu’na Şikayette Bulunma Hakkı
Kişisel
veri sahibi, KVK Kanunu’nun 14.2. maddesi gereğince, yapmış olduğu başvurunun
reddedilmesi veya verilen cevabın yetersiz bulunması veya süresinde başvuruya
cevap verilmemesi hâllerinde; veri sorumlusunun cevabını öğrendiği tarihten
itibaren otuz ve her hâlde başvuru tarihinden itibaren
altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
12.4.
Şirketin
başvurulara cevap verme usulü ve süresi
Kişisel
veri sahibinin, işbu politikanın 14.2. maddesinde belirtilen usule uygun olarak
talebini şirketimize iletmesi durumunda şirketimiz talebin niteliğine göre en
geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak,
KVK Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından başvuru
sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
12.5.
Şirketimizin
Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirketimiz,
başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek
adına ilgili kişiden bilgi talep edebilir, kişisel veri sahibinin başvurusunda
yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile
ilgili soru yöneltebilir.
12.6.
Şirketimizin
Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirketimiz,
aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu,gerekçesini açıklayarak reddetme hakkına
sahiptir;
(1) Kişisel
verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi
(2) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
(3) Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
(4) Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi
(5) Kişisel
veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması
(6) Kişisel
veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi
(7) Kişisel
veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması
(8) Kişisel
veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması
(9) Kişisel
veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme
ihtimali olması
(10) Orantısız
çaba gerektiren taleplerde bulunulmuş olması
(11) Talep
edilen bilginin kamuya açık bir bilgi olması
13.
Bina, Tesis Girişlerinde ve İçerisinde
Yürütülen Kamera İle İzleme Faaliyeti
Bu
bölümde şirketimizin kamera ile izleme sistemine ilişkin açıklamalar yapılacak
ve kişisel verilerin gizliliğinin ve kişinin temel haklarının nasıl korumaya
alındığına ilişkin bilgilendirme yapılacaktır. Şirketimiz, güvenlik kamerası
ile izleme faaliyetiyle şirketin ve diğer kişilerin güvenliğini sağlama amacı taşımaktadır.
13.1.
Kamera ile İzleme
Faaliyetinin Yasal Dayanağı
Şirketimiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Özel Güvenlik Hizmetlerine dair Kanun ile KVK Kanununda yer alan düzenlemelere uygun hareket edilmektedir. Şirketimiz, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
13.2.
Kamera ile İzleme
Faaliyetinin Duyurulması
Şirketimiz
tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi
aydınlatılmaktadır. İşbu politikanın 13. maddesinde belirtilen genel hususlara
ilişkin olarak yapılan aydınlatmanın kamera ile izleme faaliyetine ilişkin
birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri
sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi,
şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması
amaçlanmaktadır.
Şirketimiz tarafından kamera ile izleme
faaliyetine yönelik olarak; şirketimiz internet sitesinde işbu Politika
yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına
ilişkin bildirim yazısı asılarak yerinde aydınlatma yapılmaktadır.
13.3.
Kamera ile İzleme
Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirketimiz,
KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Şirketimiz tarafından
video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda,
güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı,
güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya
alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale
sonucu doğurabilecek alanlarda (tuvaletler, soyunma kabinleri vs.)izlemeye tabi
tutulmamaktadır.
13.4.
Elde Edilen
Verilerin Güvenliğinin Sağlanması
Şirketimiz tarafından KVK Kanunu’nun 12.
maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen
kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari
tedbirler alınmaktadır.
13.5.
Kamera ile İzleme
Faaliyeti ile Elde Edilen Kişisel Verilerin Saklanma Süresi
Şirketimizin kamera ile izleme faaliyeti ile
elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye Kişisel
Veri Saklama ve İmha Politikamızda yer verilmiştir.
13.6.
İzleme Sonucunda
Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere
Aktarıldığı
Canlı kamera
görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara
yalnızca sınırlı sayıda sınırlı sayıda çalışanının erişimi bulunmaktadır.
Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği
verilerin gizliliğini koruyacağını kabul, beyan ve taahhüt etmektedir.
14.
Bina, Tesis
Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Şirketimiz
tarafından; güvenliğin sağlanması ve bu Prosedür’de
belirtilen amaçlarla, şirketimiz binalarında ve tesislerinde misafir giriş
çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak şirketimiz
binalarına gelen kişilerin isim ve soyadları elde edilirken ya da şirketimiz
nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler
aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda
aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde
edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki
ortamda veri kayıt sistemine kaydedilmektedir.
15.
Bina ve
Tesislerinde Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların
Saklanması
Şirketimiz
tarafından güvenliğin sağlanması ve bu Prosedür’de
belirtilen amaçlarla; bina ve tesislerimiz içerisinde kaldığı süre boyunca
talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda
internet erişimlerine ilişkin log kayıtları 5651
Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre
kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları
tarafından talep edilmesi veya şirketimiz içinde gerçekleştirilecek denetim
süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla
işlenmektedir.
Bu
çerçevede elde edilen log kayıtlarına yalnızca
sınırlı sayıda şirketimiz çalışanının erişimi bulunmaktadır. Bahsi geçen
kayıtlara erişimi olan şirket çalışanları bu kayıtları yalnızca yetkili kamu
kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere
erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi
olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin
gizliliğini koruyacağını beyan etmektedir.
16.
İnternet Sitesi
Ziyaretçileri
Şirket, internet sitesini ziyaret eden
kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde
gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler
gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla
teknik vasıtalarla (Kurabiyeler-cookie gibi) site
içerisindeki internet hareketlerini kaydedilmektedir. Şirketimizin yapmış
olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine
ilişkin detaylı açıklamalar Çerez Politikamızda yer almaktadır.
17.
Kişisel Verilerin
Korunması ve İşlenmesi Bakımından Yönetim Yapısı
Şirket bünyesinde kişisel verilerin korunması mevzuatına uygunluğun
sağlanması, muhafazası ve sürdürülmesi kapsamında KVK Sorumlusu olarak Kişisel
Veri Sorumlusu görevlendirilmiştir. Kişisel veri sorumlusunun
yükümlülükleri aşağıda belirtilmiştir;
• Kişisel
Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerektiğinde
değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına
sunmak
• Kişisel
Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve
denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket
içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst
yönetimin onayına sunmak
• Kişisel
Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması
gereken hususları tespit
etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını
gözetmek ve koordinasyonunu sağlamak
• Kişisel
Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş
ortakları
nezdinde farkındalığı
arttırmak
• Şirketin kişisel
veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli
önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin
onayına sunmak
• Kişisel
verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak
ve icra edilmesini sağlamak
• Kişisel veri
sahiplerinin basvurularını en üst düzeyde karara
bağlamak
• Kişisel veri
sahiplerinin; kişisel veri isleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini
temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine
etmek
• Kişisel
Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere
ve düzenlemelere uygun olarak şirket içinde yapılması gerekenler konusunda üst yönetime
tavsiyelerde bulunmak
• Kişisel
Verilerin Korunması Kurulu ve Kurumu ile olan iliskileri
koordine etmek
Şirket üst
yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra
etmek
18.
Dökümanın yayınlanması ve
saklanması
İşbu Prosedür basılı kağıt
ve elektronik ortamda olmak üzere iki farklı ortamda saklanır.
19.
Güncelleme periyodu
İşbu Prosedür yılda bir kez gözden geçirilir
ve ihtiyaç halinde esaslar dahilinde güncellenir.