GİRİŞ
Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.
İlgili kanun kapsamında kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kişisel veri işleme terimi ise kişisel verilerin toplanmasından silinmesine kadar geçen sürede yapılan her türlü işlem anlamına gelmektedir.
Kişisel verilerin işlenmesinde Şirketimizin uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.
İşbu politikada Batıkent Bilgi Sağlık Hizmetleri Turizm İnşaat ve Ticaret A.Ş. (“Şirket”) çalışanlarının kişisel verileri işlenirken hangi kurallara uyulacağı düzenlenmektedir. Dolayısıyla bu politikanın amacı çalışanların ve politika kapsamında yer alan diğer kişisel verilerin nasıl işleneceğini tespit etmektedir. Bu politikanın bir diğer amacı da çalışanların kişisel verilerinin işlenmesi konusunda bilgilendirilmesidir.
Bu politika şirket çalışanlarını kapsamakta ve onlar hakkında uygulama alanı bulmaktadır. Çalışanlar yanında hala kişisel verileri işlenmekte olan eski çalışanlar ile Topluluk Şirketimize iş başvurusunda bulunan adaylar da bu politikada yer alan kuralların uygulanmasından etkilenebileceklerdir. Bu politika kapsamında çalışan ifadesi, politika uygulanabilir olduğu ölçüde eski çalışanlar ve çalışan adayları ile stajyerleri de kapsar.
YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK
İşbu Politika, Şirket tarafından düzenlenerek 28.10.2020 tarihinde yürürlüğe girmiştir. Bu politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde çalışanlarımız, ilgili güncelleme hakkında çeşitli kanallar aracılığı ile bilgilendirileceklerdir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Bu politikanın uygulanmasından İnsan Kaynakları sorumludur.
İŞE ALIM VE YERLEŞTİRME SÜRECİNDE ADAYLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Bu bölüm altında, işe alım sürecinde adayların kişisel verilerinin işlenmesine ilişkin özel düzenlemeler yer almaktadır. Adaylara ilişkin özel düzenlemeler, bu politikada çalışanlar için yer alan diğer düzenlemelerle birlikte uygulanır.
Şirket, bu politikanın “6. Kişisel Verilerin Kategorizasyonu” başlıklı bölümünde belirtilen bilgilerin tamamını veya bir kısmını yapılan başvurunun niteliğine göre işleyebilir. Şirket ayrıca, iş başvurusunda bulunan adayların aşağıdaki bilgilerini toplayabilir ve işleyebilir.
İşin niteliğine göre Şirket, başvuruda bulunan adaydan özel nitelikli kişisel verilerini (örneğin, sabıka kaydı veya sağlık raporu) talep eder. Böyle bir durumda, aday ilgili özel nitelikli kişisel verinin talep edilme nedeni ve kullanım amacı hakkında başvuru formu veya ayrı bir açıklayıcı not ile bilgilendirilir.
Şirket, bu politikanın 7. bölümünde belirtilen amaçların bir veya birden fazlasına dayalı olarak ve başvurunun niteliğini dikkate alarak adayın verilerini işleyebilir.
İşe alım sürecinde adayların kişisel verileri bu politikada belirtilen diğer yöntem ve vasıtalarla birlikte veya bu yöntem ve vasıtalara ek olarak aşağıdaki yöntem ve vasıtalarla toplanabilir.
Şirket toplanan kişisel verileri, bilgisayar sistemleri ve insan kaynakları personeli vasıtasıyla otomatik olan veya otomatik olmayan yollarla işler.
Şirket, adaylar hakkında referans araştırması yapabilir. Yapılacak referans araştırması genel olarak adayın verdiği bilgilerin doğruluğunu tespit etmeye yönelik olacaktır. Ayrıca adayın kendisi hakkında sakladığı ve Şirketimiz bakımından risklerin doğmasına sebep olabilecek bilgileri tespit etmek de yapılabilecek araştırmanın amaçları arasında olacaktır. Referans sürecinde, adayların referans olarak gösterdiği ve Şirket’e sunduğu üçüncü kişilere ait kişisel verilere ilişkin aday, üçüncü kişi verilerinin sahiplerini bilgilendirdiğini ve kendilerinden gerekli rızalarını aldığını kabul, beyan ve taahhüt eder.
Yapılacak referans araştırması kapsamında üçüncü kişilerle adaylara ait kimlik bilgileri, iş ve eğitim tecrübeleri gibi gerekli kişisel veriler paylaşılabilir. Ayrıca adaylar hakkında üçüncü kişilerden kişisel veri elde edilebilir.
Adaylar, kendileri ile ilgili yapılacak referans araştırması hakkında her zaman Şirket ile irtibat kurabilir.
Kanun’dan kaynaklanan haklarını kullanmak isteyen adaylar bu politikada açıklanan usul ve esaslar kapsamında Şirkete başvurabilirler.
İşe alım süreçleri boyunca hakkınızda toplanan ve işlenen tüm kişisel veriler, adayın ilgili açık pozisyonda istihdam edilmesine karar verilmesi halinde özlük dosyasına aktarılır.
Şirketin çalışanları ile Şirkete iş başvurusunda bulunan adayların kişisel verilerinin güvenliği arasında negatif ayrımcılık yapılmaz. Kişisel verilerin güvenliği hakkında detaylı bilgi bu dokümanın kişisel verilerin güvenliğine ilişkin kısmında bulunabilir.
Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.
Çalışanların meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulur.
Kişisel veriler açık ve kesin veri işleme amaçlarına dayalı olarak işlenmektedir. Kişisel veriler sadece bu amaçlar için gerekli olduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulur.
Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
Şirket kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirketimizin bu yönde uyguladığı politika esaslarına göre periyodik imhalarla silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan sadece bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir.
Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde burada yazan kuralların yanında; aşağıda bu bölüm altında “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” Başlığı içerisinde yer alan şartlar uygulanır.
Çalışanlarımız, işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında da bilgilendirilir.
Kanunda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Şirket verisi işlenecek çalışanın ayrıca açık rızasını almadan kişisel verilerini işler.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan çalışanın kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir.
Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın çalışan verileri işlenebilir.
Çalışanın, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde alenileştirmeye amacıyla sınırlı açık rızaya gerek olmaksızın veriler işlenebilir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
Çalışanın temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemenin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
Çalışan kişisel verilerinin, yukarıda 3.1 - 3.7 maddelerinde belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda, açık rızaya dayalı olarak işlenmektedir.
Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.
Özel nitelikli kişisel veriler, çalışanın açık rızası olması halinde, bu politikada belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir.
Özel nitelikli kişisel veriler, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu (“ Kurul”) tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri, Kişisel Verilerin Korunması Kanunu’nun 10.maddesi uyarınca Şirket tarafından bilgilendirilir. Bu kapsamda varsa Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile çalışanların sahip oldukları haklar kendilerine bildirilir.
Çalışanların, kişisel verilerine ilişkin Kişisel Verilerin Korunması Kanunu 11.maddede düzenlenmiş ilgili kişilerin hakları kapsamında bilgi talep etmesi halinde, Şirket tarafından gerekli bilgilendirme yapılır.
Bu politika kapsamında, Şirket tarafından çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.
KİŞİSEL VERİ 1 KATEGORİZASYONU |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
Kimlik Bilgisi |
Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler |
İletişim Bilgisi |
Telefon numarası, adres, e-mail gibi bilgiler |
Aile Bireyleri ve Yakın Bilgisi |
Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler |
Fiziksel Mekân Güvenlik Bilgisi |
Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler |
İşlem Güvenliği Bilgisi |
Şirket faaliyetlerimizi yürütürken gerek çalışanlarımız gerekse de Şirketin teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz |
Finansal Bilgi |
Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler |
Özlük Bilgisi |
Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri |
Çalışan Adayı Bilgisi |
Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler- |
Çalışan İşlem Bilgisi |
Çalışanlarımızın veya şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler |
Çalışan Performans ve Kariyer Gelişim Bilgisi |
Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler |
Yan Haklar ve Menfaatler Bilgisi |
Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi işin işlenen kişisel verileriniz |
Hukuki İşlem ve Uyum Bilgisi |
Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz |
Denetim ve Teftiş Bilgisi |
Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel verileriniz |
Özel Nitelikli Kişisel Veri |
6698 Sayılı Kanun’un 6ıncı maddesinde belirtilen veriler felsefi inanç, dini görüş bilgileri, sağlık bilgileri, ceza hükmü ve güvenlik tedbirleri bilgileri, biyometrik veriler |
Talep/Şikâyet Yönetimi Bilgisi |
Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
Risk Yönetimi Bilgisi |
Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler |
Olay Yönetim Bilgisi |
Şirketimizin, çalışanlarının, hissedarlarının etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler |
Görsel/İşitsel Veri |
Fotoğraf ve kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir. Bu koşullar;
Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için Şirket kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
Şirketimiz, kişisel verileri; Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini; Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Şirket'in ticari ve/veya iş stratejilerinin planlanması ve icrası; Şirket'in insan kaynakları politikaları ve süreçlerinin planlanmasının ve icra edilmesi; Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi; Şirket tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve icrası kapsamında aşağıdaki amaçlarla ancak bunlarla sınırlı olmamak üzere işlemektedir:
Bu amaçlar çerçevesinde Şirketimizce yürütülen faaliyetlerin önemli bir kısmı, Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddesinin 3. Fıkrasında belirtilen kişisel veri sahibinin açık rızasını gerektirmeyen faaliyet ve süreçlerdir. Şirketimiz Kanun’un anılan maddeleri kapsamında olmayan faaliyet ve süreçleri için kişisel veri sahibinin açık rızasını ayrıca almaktadır. Bu çerçevede alınan kişisel verilerin Şirketimizce, Kanun’da sayılan ve açık rıza gerektiren faaliyetler yanında Kanun’da açık rıza gerektirmeden veri işlemeye izin veren faaliyetler için de kullanılabileceği unutulmamalıdır.
Çalışanın açık rızasını vermemesi durumunda yukarıda amaca giren tüm kişisel veri işleme faaliyetlerin yapılamaması değil; madde 7.1’de belirtilen çalışanın veri işlemeye yönelik açık rızasına gerek olmayan aynı amaç kapsamı içindeki kişisel veri işleme faaliyetlerinin dışında kalan ve bu amaca yönelmiş kişisel veri işleme faaliyetlerinin yapılamayacağı anlamı çıkmalıdır.
Bu başlık altında kişisel verilerin işlendiği özel durumlar hakkında açıklamalara yer verilecektir.
Özel sağlık sigortası, bireysel emeklilik ya da benzeri faydalar bu başlık altında ek ve/veya yan fayda olarak adlandırılır.
Yan haklar ve menfaatlerin (sağlık sigortası, bireysel emeklilik vb.) temin edileceği üçüncü şirketlerin topladıkları kişisel veriler veya bu şirketlerin çalışanlarından elde edilen kişisel veriler, genel iş ilişkisine ilişkin olarak kullanılmaz. Bu doğrultuda gereken önlemler alınır ve bu önlemler sürekli olarak güncel tutulur.
Yan haklar ve menfaatlerin temin edileceği kişiler ile çalışan verileri paylaşılırken, çalışana sağlanacak faydanın gerektirdiği asgari seviyeden fazla kişisel veri paylaşımı yapılmaz. Ayrıca paylaşılan kişisel verilerin bu kişiler tarafından başka amaçla işlenmesini engellemeye yönelik tedbirleri alınır. Paylaşılan kişisel verilerin özel nitelikli kişisel veri olması halinde, bu tip kişisel veriler hakkında uygulanan önlemler alınır.
Çalışanlar arasında ırk, etnik köken, din, mezhep, engellilik ve cinsel tercihler gibi farklılıklar nedeniyle ayrımcılık yapmamak ve tüm çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde, çalışan kişisel verileri işlenebilir.
Fırsat eşitliğinin sağlanması amacıyla öncelikli olarak Şirket çalışanlarının anonim verileri kullanılır. Anonim verilerin yeterli olmaması halinde kişisel veri işlenir.
Şirket bünyesinde yapılabilecek usulsüz işlemleri engellemek adına değişik birimlerde yer alan kişisel veri setleri karşılaştırılabilir. Bu kapsamda başta çalışanların mali işlemleri olmak üzere herhangi bir işlem kontrol edilebilir ve bunlarla ilgili değişik birimlerde yer alan kişisel veri setleri incelenebilir ya da karşılaştırılabilir.
Yapılacak ön inceleme sonucunda ciddi bir usulsüzlüğün varlığına ilişkin şüpheye düşülmesi halinde bu işlemle ilgili kişisel veriler konunun uzmanı üçüncü kişiler tarafından incelenebilir.
Çalışanlara iş ve eğitim gibi gereken konularda referans olunabilir. Bu kapsamda her çalışanın
bağlı olduğu birim yöneticisi ile varsa alt seviyedeki yöneticiler, o çalışana referans olabilir.
Bir yöneticinin herhangi bir çalışana referans olması için o yöneticinin ilgili çalışana referans olmayı kabul etmesi gerekir.
Referans verilmesi halinde çalışanın kimlik bilgileri, işyerindeki performansı, çalışanın kişisel özellikleri ve niteliklerine ilişkin bilgiler paylaşılabilir. Ayrıca çalışanın açık rızasını vererek talep ettiği ve referans olacak kişinin uygun bulduğu bilgiler, referans talep eden kişi tarafından istenen bilgiler de paylaşılabilir.
Şirket birleşme ve devralmaları ile şirket yapısını değiştiren diğer işlemler sırasında kişisel veriler mümkün olduğunca anonimleştirerek paylaşılır. Anonimleştirilmesi mümkün olmayan kişisel verilerin, bu tip işlemler kapsamında paylaşılmasının gerekmesi halinde bunların paylaşıldığı kişilerden aşağıdaki konulara ilişkin garanti alınmasına özen gösterilir:
Çalışan hakkında yapılabilecek disiplin soruşturmaları kapsamında sadece disiplin soruşturmasının gerektirdiği kadar kişisel veriye erişim sağlanır. Kişisel verilerin doğruluğu ve güncelliğinin kontrol edilmesi için gerekli çaba gösterilir ve bu kapsamda soruşturmanın etkinliğinin önemli şekilde ortadan kaldırılmaması kaydıyla gerekli aksiyonlar alınır.
Kişisel veriler ve özel nitelikli kişisel veriler, işleme amaçları doğrultusunda veya çalışanın açık rızasının bulunması durumunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarılabilmektedir.
Kişisel veriler, veri işleme amaçları doğrultusunda, yukarıdaki madde 7.1’de belirtilen hallerin varlığı durumunda üçüncü kişilere aktarılabilir:
Çalışanın özel nitelikli kişisel verileri aşağıdaki durumlarda üçüncü kişilere aktarabilir.
Kurumumuz, Çalışan kişisel verilerini işbu Politika’da belirtilen işleme amaçları dahilinde aşağıdaki amaçlarla üçüncü kişilere aktarabilmektedir:
Kişisel verileriniz aşağıda sıralanan kişi kategorilerine aktarılabilir:
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler |
Tanımı |
Veri Aktarım Amacı |
İş Ortağı |
Şirketin faaliyetlerini yürütürken şirketin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. |
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak |
Tedarikçi |
Şirketin faaliyetlerini yürütürken Şirketin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirkete hizmet sunan tarafları tanımlamaktadır. |
Şirketin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketin faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirkete sunulmasını sağlamak amacıyla sınırlı olarak. |
İştirakler |
Şirketin hissedarı olduğu şirketler |
Şirketin ileride tesis edilebilecek iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
Hissedarlar |
İlgili mevzuat hükümlerine göre Şirketin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan ana hissedarlar |
İlgili mevzuat hükümlerine göre Şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuat hükümlerine göre Şirketin bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine göre Şirketten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelerde mukim üçüncü kişilere aktarılabilmektedir.
Kişisel veriler, veri işleme amaçları doğrultusunda, Madde 7.1’de belirtilen hallerden birinin varlığı durumunda yurtdışına aktarabilmektedir:
Özel nitelikli kişisel veriler aşağıdaki durumlarda yurtdışına aktarabilmektedir.
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirkete yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.
Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken her türlü teknik, idari ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.
Yetkilendirilmiş kişiler gereken güvenlik kontrollerinden geçirilir. Ayrıca bu kişiler söz konusu kişiler görev ve sorumlulukları hakkında eğitilir.
Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal soruşturma başlatılır.
Şirket ile ilgisi olmayan çalışan kişisel verileri içeren e-posta veya diğer dokümanların tespit edilmesi halinde bunların imha edilmesi için bildirimde bulunulur. Belirlenen sürede gerekli aksiyonların alınmaması halinde imha işlemleri Şirket tarafından gerçekleştirilir.
Kişisel verileri işleyen çalışanlarımız, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki yükümlülüklere uyar:
Çalışanların iş faaliyetleri sırasında gerçekleştirdikleri işlemler hem Şirketin hem müşterilerin hem çalışanların hem de diğer üçüncü kişilerin güvenliği açısından önem taşıyabilmektedir. Çalışanların elektronik haberleşme işlemlerine ilişkin kişisel verilerin işlenmesi halinde; çalışan verilerinin işlenmesinde bu politikada yer alan düzenlemelere uygun davranılır.
Elektronik haberleşme işlemleri ile elde edilen çalışanlara ilişkin kişisel verilere dayanarak bir çalışan aleyhinde şikâyet prosedürü veya disiplin süreci başlatmadan önce ve sonrasında Kanun ve işbu Politika’da yer alan kişisel verilerin korunması ve işlenmesi kurallarına uygun hareket edilir. Bu politika ile getirilen kurallara aykırı davranarak çalışanlar hakkında hukuka aykırı veri işleyen; ya da bu faaliyetler sonucunda elde edilen bilgileri başka amaçlarla kullanan çalışanlar hakkında disiplin soruşturması başlatılabilir.
Şirket tarafından çalışana sağlanmış veya sağlanabilecek olan cep telefonu, diz üstü bilgisayar, tablet ve benzeri elektronik haberleşme araçlarının kullanımına ilişkin olarak çalışan verileri işlenebilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır. Elektronik haberleşme araçlarının kullanımına ilişkin elde edilen kişisel verilere ilişkin, bu politikadaki diğer hükümler uygulama alanı bulur.
Şirket telefonundan yapılan iletişim, telefon görüşmesi yapılan numaralar ve iletişimin süresine ilişkin kişisel verilerin sadece işlendikleri amaçla sınırlı olarak kullanılmasına özen gösterilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır.
Çalışan kurumsal e-posta hesabı üzerinden elde edilen kişisel veriler yasal mevzuat kapsamında bu politikada yer alan hükümler çerçevesinde işlenebilir.
Yasal mevzuat çerçevesinde, çalışanların internet kullanımı sırasında kişisel verilerin elde edilmesi halinde; elde edilen kişisel verilere ilişkin, bu politikadaki ilgili hükümler uygulama alanı bulur.
İşyerinde güvenlik veya benzeri amaçlarla kamera kayıtları kullanımı nedeniyle kişisel verilerin elde edilmesi halinde; elde edilen kişisel veriler ileride bir şüpheli işlemin araştırılması, uyuşmazlığın çözümü veya şikâyet halinde delil olarak kullanmak gibi amaçlarla veya bu politikada belirtilen diğer amaçlarla işlenebilir.
Çalışanlara Şirket tarafından tahsis edilen veya ileride edilebilecek araçlara ilişkin faaliyetler sırasında elde edilen kişisel verilerin işlenmesine ilişkin olarak bu politikada yer alan hükümler uygulama alanı bulur.
Belirli durumlarda üçüncü kişilerden çalışanlar hakkında bilgi talep edilebilmektedir. Bu üçüncü kişiler bankalar, kredi notu değerlendirme kuruluşları ve benzeri araştırma şirketleri olabilmektedir. Bu yönde bir uygulamanın olması halinde, işlenen kişisel verilere ilişkin olarak bu politikada yer alan hükümler uygulama alanı bulur.
14.1. Sağlık Verilerinin Ayrı Saklanması ve Sağlık Verilerini İşlemeye Yetkili Çalışanlar
Sağlık verileri, Şirket olanakları elverdiği oranda, yetkisiz erişimlerden korumak ve daha yüksek güvenlik sağlamak adına, diğer kişisel verilerden ayrı olarak saklanmaktadır. Şirket, sağlık verilerini mümkün olan en dar kapsamda işlemeye özen göstermektedir. Sağlık verilerinin işlenmesi gereken durumlarda, bu işlemeyi gerçekleştirmek amacıyla yetkilendirilen kişilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır.
14.2. Sağlık Verilerinin Özel Nitelikli Kişisel Veri Olarak Muamele Görmesi
Çalışan sağlık verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel veriler hakkında uygulanan tüm önlemler sağlık verileri için de uygulanır.
14.3. Sağlık Verilerine Erişim
Sağlık verilerinize erişim sadece gerekli olması durumunda bu konuda yetkilendirilmiş çalışanlar tarafından gerçekleştirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede sağlık verileri açıklanabilir.
14.4. Alkol ve Uyuşturucu Testleri
Uyuşturucu ve alkol kullanımı nedeniyle iş sözleşmesinin, çalışma şartlarının veya disiplin kurallarının esaslı bir şekilde ihlal edilmesi ya da söz konusu ihlallere ilişkin ciddi riskler ortaya çıkması halinde, yasal düzenlemelerin izin verdiği ölçüde, çalışan üzerinde alkol ve uyuşturucu testleri yapılabilecektir.
Kişisel verilere ilişkin olarak çalışanların kullanabileceği kanuni haklar aşağıda sayılmaktadır:
Kişisel verilere ilişkin hakları kullanmak için çalışanlar, Şirket’e yazılı başvuruda bulunabilir. Bu doğrultuda yapacağınız başvurulara en geç 30 gün içerisinde cevap verilmektedir.
Detaylı bilgiye Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası aracılığıyla ulaşabilirsiniz.
Şirketin işbu politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda kaleme alınmış/alınacak temel politika, prosedür ve talimatlar bu Politika ile ilişkilendirilmiştir. Bu politika, prosedür ve talimatların Şirketin diğer alanlarda yürüttüğü temel politikalarla da bağı kurularak, Şirketin benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında harmonizasyon da sağlanmaktadır.
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. |
Kişisel Veri Sahibi |
Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb. |
Özel Nitelikli Kişisel Veri |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, Şirket’in verilerini tutan bulut bilişim firması, müşterilere formları imzalattığı anketörleri, scriptler çerçevesinde arama yapan call- center firması vb. |
Veri Sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur. |