SKC KARBON SANAYİ VE TİCARET A.Ş.
KİŞİSEL VERİLERİN KORUNMASI - İŞLENMESİ SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ
A. POLİTİKANIN AMACI ve KAPSAMI
SKC KARBON SANAYİ VE TİCARET A.Ş. (“SKC KARBON”) veri sorumlusu olarak, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi yetkililerimizin, tedarikçi çalışanlarımızın, hissedar ve ortaklarımızın, yönetim kurulu üyelerimizin, ziyaretçilerimizin ve ilişki içinde olduğumuz diğer gerçek kişilere ait kişisel verilerin korunmasına büyük önem vermekteyiz.
İşbu Politika’nın temel amacı, SKC Karbon’un faaliyetleri sırasında elde ettiği kişisel verilerin işlenmesine ve korunmasına yönelik alınan idari ve teknik tedbirler ile başta 6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuatta anılan ilkeler doğrultusunda işlenmesine dair izlenilen yöntemleri ve tüm bu sürece ilişkin veri sahibi ilgili kişileri bilgilendirerek şeffaflık sağlamaktır.
İşbu politika, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, tedarikçi yetkililerimizin, tedarikçi çalışanlarımızın, hissedar ve ortaklarımızın, yönetim kurulu üyelerimizin, ziyaretçilerimizin ve ilişki içinde olduğumuz sayıları sınırlı olmamak üzere; SKC Karbon tarafından veri işleme faaliyetine tabi tutulan tüm gerçek kişilere uygulanmaktadır.
B. TANIMLAR
SKC Karbon, işbu politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır.
SKC Karbon : SKC Karbon Sanayi ve Ticaret A.Ş.’yi
Açık rıza : Belirli bir konuya ilişkini bilgilendirilmeye ve özgür iradeyle açıklanan rıza.
Anonim hale getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : SKC Karbon personeli
Çalışan adayı : SKC Karbon’a iş başvurusunda bulunmuş kişi.
Stajyer : SKC Karbon’da staj gören kişi
Tedarikçi : Sözleşme temelli SKC Karbon’a hizmet veya mal sunan gerçek kişi
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel veri sahibi (ilgili kişi): Kişisel verisi işlenen gerçek kişi.
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel veri işleyen gerçek veya tüzel kişi
Kişisel veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
KVK Kanunu : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
KVK Kurulu : Kişisel Verileri Koruma Kurulu
KVK Kurumu : Kişisel Verileri Koruma Kurumu
Politika : SKC Karbon’un Kişisel Verilerin Korunması ve İşlenmesi Polikitası
2. İLGİLİ KİŞİLERE KARŞI AYDINLATMA YÜKÜMLÜLÜĞÜMÜZ
SKC Karbon, veri sorumlusu olarak meşru ve hukuka uygun kişisel veri işleme amaçlar doğrultusunda kişisel verileri toplarken 6698 sayılı Kanun’un 10. Maddesinden hareketle,
· Veri sorumlusu olarak ticari unvanımıza ilişkin bilgileri,
· Kişisel verilerin hangi amaçla işleneceğini,
· İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceğini,
· Kişisel veri toplama yöntemlerimizi ve hukuki sebeplerimiz ile ilgili kişinin Kişisel Veri mevzuatından doğan hakları hususlarında aydınlatma yükümlülüğümüzün bilinciyle hareket etmeke kişisel veri sahiplerini aydınlatmaktayız.
İnternet sitemiz üzerinden, bu politika ile birlikte müşteri aydınlatma metni ve başvuru formu da yayınlanmıştır.
SKC Karbon olarak; ilgili kişileri karşı aydınlatma yükümlülüğümüzü açık, anlaşılır ve kolay erişilebilirliğine önem vermekteyiz. Bu kapsamda şirket yerleşkesinde ziyaretçilerin görebilecekleri alanlara Aydınlatma metinleri yerleştirilmiştir. Ayrıca aydınlatma yükümlülüğümüzü, internet sitemiz üzerinden ve ilgili kişi bilgilendirme metinleri vasıtasıyla yerine getirmekteyiz.
İnternet sitemiz üzerinden, bu politika ile birlikte müşteri aydınlatma metni ve başvuru formu da yayınlanmıştır.
3. KİŞİSEL VERİLERİN TASNİFİ
SKC Karbon’un, veri sorumlusu olarak öncelikle ticari faaliyetlerimiz ve istihdam amaçlarımız ile meşru ve hukuka uygun kişisel veri işleme amaçları ile kişisel veri mevzuatında benimsenen ilkeler doğrultusunda; çalışan, çalışan adayı, stajyer, tedarikçi yetkili ve çalışanları, ürün veya hizmet alan kişiler ile potansiyel ürün veya hizmet alacak kişiler, hissedarlar, yönetim kurulu üyeleri, ziyaretçi kategorilerindeki kişiler ile sınırlı olarak kişisel verileri işlemekteyiz.
Kişisel verilerin korunması sadece gerçek kişileri kapsamaktadır. Bu nedenle salt tüzel kişilere ait bilgileri veri koruma kapsamında değildir. İşbu politika hükümleri Tüzel kişilerin verilerine yönelik uygulanmayacaktır.
SKC Karbon veri sorumlusu sıfatıyla, Kurum tarafından çıkarılan Veri Sorumluluları Sicil Yönetmeliği kapsamında kişisel veri envanteri oluşturmuştur. İşbu kişisel veri envanterinde veri kategorilerini, verinin işleme amaçlarını, veri kaynağını, veri işleme süreçlerini, veri aktarımını, aktarıldığı alıcı gruplarını, veri saklama sürelerini, alınan teknik ve idari tedbirlerini düzenlemiştir. SKC Karbon kişisel veri envanterinde aşağıda sayılan veri kategorileri bulunmaktadır.
1-Kimlik Bilgisi: İlgili gerçek kişiye ait Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b.
2-İletişim Bilgisi: İlgili gerçek kişiye ait Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.
3-Lokasyon Bilgisi: İlgili gerçek kişinin , veri sorumlusunun ticari faaliyeti kapsamında şirket araçlarını kullanırken bulunduğu yerin konumuna ilişkin GPS konum servisi.
4-Özlük Bilgileri: İlgili gerçek kişinin, veri sorumlusu ile akdettiği hizmet sözleşmesi uyarınca çalışan sıfatıyla özlük haklarının oluşmasına yönelik işlenen kişisel veriler. Örneğin: Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.
5-Hukuki İşlem Bilgileri: Veri sorumlusunun ticari faaliyet kapsamında haklarının tespiti, alacaklarının tahsili, borçlarının ifası ile kanuni yükümlülüklerin yerine getirilmesi sırasında işlenen kişisel veriler. Örneğin Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.
6-Müşteri İşlem Bilgileri: Veri sorunmlusunun ticari faaliyetleri kapsamında, ürün ve hizmetlerin satışına, kullanımına yönelik kayıtlar ile müşterinin taleplerinin yerine getirilmesi esnasında işlenen kişisel veriler. Örneğin: Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.
7-Fiziksel Mekan Güvenliği: Veri sorumlusunun meşru menfaati kapsamında, fiziksel mekanlara girişte, içeride bulunulduğu sırada alınan kayıtlar ve belgerelere ilişkin kişisel verileri örneğin Ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.
8-İşlem Güvenliği : İlgili kişiye ait IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri gibi kişisel veriler.
9-Risk Yönetimi: Veri sorumlusunun ticari faaliyeti ve meşru menfaati kapsamında işlediği kişisel veriler örneğin ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.
10-Finans Bilgileri: Veri sorumlusunun ilgili kişiler ile kurmuş olduğu ticari ilişkinin gereği olarak işlenen veriler. Örneğin Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.
11-Mesleki Deneyim: Veri sorumlusunun, ilgili kişi ile hizmet sözleşmesi kapsamında anlaşma sağlamasından önce ve anlaşma sağladıktan sonraki süreçte iş organizasyon faaliyeti kapsamında işlemiş olduğu veriler. Örneğin, Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.
12-Pazarlama : Veri sorumlusu ile ilgili kişi arasındaki ticari faaliyetin geliştirilmesi kapsamında işlenen verileri örneğin, Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.
13-Kılık Ve Kıyafet: Veri sorumlusu ile arasında hizmet akdi bulunan ilgili kişilerin fabrika üretim sahasında iş sağlığı ve güvenliği mevzuatı kapsamında giymesi zorunluluk olan tedbir kıyafetlerinin takibi amacıyla işlenen veriler.
14-Sendika Üyeliği : Veri sorumlusu ile arasında hizmet akdi bulunan ilgili kişiye yönelik mevzuattan kaynaklanan yükümlülüğünü yerine gitmesi amacıyla işlenen kişisel veriler.
15-Sağlık Bilgileri : Veri sorumlusu ile arasında hizmet akdi bulunan ilgili kişiye yönelik mevzuattan kaynaklanan yükümlülüğünü yerine gitmesi amacıyla işlenen kişisel veriler. Örneğin Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.
16-Ceza Mahkûmiyeti Ve Güvenlik Tedbirlere ilişkin bilgi: Veri sorumlusu ile arasında hizmet akdi bulunan ilgili kişiye yönelik mevzuattan kaynaklanan yükümlülüğünü yerine gitmesi amacıyla işlenen kişisel veriler.
17- Aile Bireylerine ait Veriler: İlgili mevzuat gereği ve/veya Şirketimiz veya ilgili kişinin hukuki ve diğer menfaatlerini korumak amacıyla çalışanlarımızdan, çalışan adaylarımızdan ve alt yüklenici ve benzeri iş ilişkisinde bulunduğumuz kurum yetkili ve çalışanlarından topladığımız ilgili kişinin aile bireyleri ve yakınları hakkında verilerdir.
4. KİŞİSEL VERİLERİN İŞLENMESİ
A. KİŞİSEL VERİLERİN İŞLENMESİNDE BENİMSEDİĞİZ İLKELER
SKC Karbon olarak veri sorumlusu sıfatıyla, aydınlatma yükümlülüğünü ve rızanın alınması gereken koşullarda ilgili kişiden rızalarını talep ederek ve bu kişisel verileri aşağıda sayılan ilkeler doğrultusunda işlemekteyiz.
i. Hukuka ve Dürüstlük Kuralına Uygun İşleme
SKC Karbon olarak kişisel verileri hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğümüzü yerine getirerek işlemekteyiz. Dürüstlük kuralına uygun hareket etme adına, veri işleme amacına ulaşırken ilgili kişilerin hak ve menfaatlerine büyük önem veriyoruz.
ii. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
SKC Karbon olarak kişisel verili doğru ve güncel olarak tutma önceliklerimiz arasındadır. Bu sebeple ilgili kişilerin verilerini güncellemesi ve var ise hatalı kayıtların düzeltilmesi için başvuru kanallarımızı açık tutmaktayız.
iii. Belirli, Açık ve Meşru Amaçlarla İşleme
SKC Karbon olarak işlenen kişisel verilerin kapsamı, amacı ve içeriği açıkça belirlenmiştir. Kişisel verilerinizi; ticari faaliyetlerimizle bağlantılı, iş organizasyonumuzu mevzuata uygun yönetmek amaçlarıyla yeterli ölçüde işlemekteyiz.
iv. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
SKC Karbon olarak kişisel verilerinizi belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü işlemekteyiz. Amacımızın gerçekleşmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerinizi yasal gereklilik olmadığı sürece işlememekte; işlememiz gerektiğinde ise açık rızanızı talep etmekteyiz.
v. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
B. KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ
SKC Karbon tarafından elde edilen kişisel verileriniz aşağıda açıklanan amaçlar dahilinde işlenecektir.
· Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
· Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
· Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
· Talep / Şikayetlerin Takibi
· Sözleşme Süreçlerinin Yürütülmesi
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
· Yönetim Faaliyetlerinin Yürütülmesi
· Performans Değerlendirme Süreçlerinin Yürütülmesi
· İletişim Faaliyetlerinin Yürütülmes
· Fiziksel Mekan Güvenliğinin Temini
· Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi
· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
· Hukuk İşlerinin Takibi Ve Yürütülmesi
· Görevlendirme Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
· Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
· Diğer-Kurumsal İtibar Faaliyetlerinin Yürütülmesi
· Ücret Politikasının Yürütülmesi
· Organizasyon Ve Etkinlik Yönetimi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Lojistik Faaliyetlerinin Yürütülmesi
· Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
· İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
· Risk Yönetimi Süreçlerinin Yürütülmesi
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
· Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Yukarıda sayılan amaçlar kapsamında gerçekleştirilen işleme faaliyetinin Kanun’un 5. ve 6. maddesinde öngörülen hukuka uygunluk nedenlerinden birini karşılamaması halinde, ilgili işleme sürecine yönelik olarak SKC Karbon tarafından açık rızasın alınmaktadır.
C. KİŞİSEL VERİ TOPLAMA YÖNTEMLERİMİZ
SKC Karbon olarak kişisel verilerizi; ticari, hukuki, sözleşmesel veya başka bir şekilde kurulan ilişki kapsamında toplanmaktadır. (Örn: Sınırlı sayıda olmamak üzere iş başvuru formu, staj başvuru formu, basılı/ iletişim veya şikayet formları, çevrimiçi elektronik formlar, iş sözleşmeleri, mesleki eğitim staj sözleşmesi, sözleşmeler, özgeçmiş, iş yerinde bulunan takip cihazları, fiziksel erişim kontrol sistemleri, bilgi sistemleri, elektronik cihazlar, İŞKUR, özel istihdam büroları ve web siteleri, ilgili kişi tarafından beyan edilen bilgiler ve ibraz edilen belgeler.)
D. KİŞİSEL VERİ TOPLANMASINDA HUKUKİ SEBEPLERİMİZ
SKC Karbon, yukarıda deyatlı olarak açıklanan amaçlar çerçevesinde kişisel verileri;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebeplerine dayanarak toplamaktadır.
E. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN TOPLANMASINA İLİŞKİN HUKUKİ SEBEPLERİMİZ
SKC Karbon olarak sağlık verilerini Kanun’un 6. Maddesi’nin 3. fıkrasında “kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” Düzenlemesindeki hukuki sebebe dayanarak işlemekteyiz. Ancak söz konusu bilgilerin işlenmesinde ilgili kişinin açık rızası alınmaktadır.
SKC Karbon olarak, sendika üyeliği, kılık ve kıyafet verisi ile ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili kişi kişisel veriler yukarıda belirtilen amaçlar doğrultusunda, Kanun’un 6. Maddesindeki “sağlık ve cinsel hayat verileri dışındaki verilerin, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebileceği” hukuki sebebine dayanılarak işlenmektedir. Ancak söz konusu bilgilerin işlenmesinde ilgili kişinin açık rızası alınmaktadır.
F. KİŞİSEL VERİ İŞLEME ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. Bu nedenle SKC Karbon olarak aşağıda sayılan hallerde kişisel verileri açık rıza olmaksızın işleyebilmekteyiz.
i. Kanunlarda Açıkça Öngörülmesi
İlgili kişinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
ii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
iii. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
iv. Hukuki Yükümlülüğünü Yerine Getirmesi
SKC Karbon’in, hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
v. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
vi. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
vii. SKC Karbon’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla SKC Karbon’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
G. SKC KARBON MERKEZ BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
SKC Karbon tarafından güvenliğin sağlanması amacıyla, Kanun’un 5. Maddesinin 2. Fıkrasında düzenlenen meşru menfaat ilkesi uyarınca SKC Karbon tesisinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının kayıt altına alınması suretiyle kişisel veri işleme faaliyetinde bulunulmaktadır.
i. Kamera Kayıt Faaliyeti
Kanun ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. SKC Karbon tarafında Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
ii. Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
SKC Karbon, fiziksel mekân güvenliğinin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak gelen kişilerin kimlik verileri elde edilirken ya da tesiste asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.
Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
iii. SKC Karbon Tesislerinde Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması
SKC Karbon tarafından güvenliğin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya SKC Karbon içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.
5. KİŞİSEL VERİLERİN AKTARILMASI
A. KİŞİSEL VERİLERİNİZİN YURT İÇİNE AKTARIMI
SKC Karbon olarak veri sorumlusu sıfatıyla, kişisel verilerin aktarılması konusunda Kanun’da öngörülen düzenlemelere ve Kurul tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz.
Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak üzere, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan üçüncü kişilere aktarılmaz.
B. KİŞİSEL VERİLERİNİZİN YURT DIŞINA AKTARIMI
SKC Karbon olarak veri sorumlusu sıfatıyla, kişisel verilerinizi yurtdışına aktarmıyoruz.
Diğer taraftan kişisel veriler kural olarak İlgili Kişi’nin açık rızası olmaksızın yurt dışına aktarılamaz. Bununla birlikte, işbu Politika’da yer alan hukuka uygunluk nedenlerinden birisinin varlığı ve yurt dışına aktarım yapılacak olan üçüncü kişinin:
i. Kurul tarafından güvenli kabul edilen ülkelerden birinde yerleşik olması
ii. Kurul tarafından güvenli kabul edilen ülkelerden birinde yerleşik olmaması halinde ise, SKC Karbon ve güvenli olmayan ülkedeki veri sorumlusunun, yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un ilgili yurt dışı aktarımına izninin bulunması hallerinde kişisel veriler açık rızaya bağlı olmaksızın yurt dışına aktarılabilecektir.
6. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN TEDBİRLER
A. KİŞİSEL VERİLERİN SAKLANMASI
SKC Karbon tarafından ilgili kişiler olan çalışanlar, çalışan adayları, stajyerler, stajyer adayları, ziyaretçiler, çevrimiçi ziyaretçiler, tedarikçi yetkilileri, tedarikçi çalışanları, hissedar/ortaklar, yönetim kurulu üyeleri, ürün veya hizmet alan kişiler ve potansiyel ürün veya hizmet alan kişiler olan gerçek kişilerin kişisel verileri Kanun’a uygun olarak saklanır.
SKC Karbon, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, SKC Karbon öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
SKC Karbon işlenen kişisel verileri ilgili mevzuatta öngörülen süre kadar muhafaza eder.
Bu kapsamda kişisel veriler;
● 6698 sayılı Kişisel Verilerin Korunması Kanunu
● 6098 sayılı Türk Borçlar Kanunu
● 6102 sayılı Türk Ticaret Kanunu
● 4857 sayılı İş Kanunu
● 6361 sayılı İş Sağlığı ve Güvenliği Kanunu
● 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
● 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla
İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
● 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu
● 213 sayılı Vergi Usul Kanunu
● 4925 sayılı Karayolu Taşıma Kanunu, yukarıda sayılanlar başta olmak üzere yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
SKC Karbon aşağıda sayılan amaçlar doğrultusunda işlemekte olduğu kişisel verileri saklamaktadır. Bu amaçlar;
● İnsan kaynakları süreçlerini yürütebilmek
● Denetim ve etik faaliyetlerini yürütebilmek
● Bilgi güvenliği süreçlerini yürütmek
● Çalışan memnuniyeti ve bağlılığı süreçlerini yürütmek
● Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülükleri yerine getirmek
● Çalışanlar için yan haklar ve menfaatleri süreçlerini yürütmek
● Çalışan adaylarının başvuru süreçlerinin yürütülmesi
● Çalışan adayı, stajyer seçme ve yerleştirme süreçlerinin yürütülmesi
● Eğitim faaliyetlerini yürütmek
● Erişim yetkilerini belirlemek
● Finans ve muhasebe işlerini yürütmek
● Fiziksel mekân güvenliğini sağlamak
● Görevlendirme süreçlerini yürütmek
● Hukuk işlerini yürütmek
● İç denetim, disiplin faaliyetlerinin yürütülmesi
● İletişim faaliyetlerini yürütmek
● İş faaliyetlerinin yürütülmesi ve denetimi
● İş sağlığı ve güvenliği faaliyetlerini yürütmek
● Mal / hizmet satın alım süreçlerini yürütmek
● Mal / hizmet satış süreçlerini yürütmek
● Mal / hizmet satış sonrası destek hizmetlerini yürütmek
● Mal / hizmet üretim ve operasyon süreçlerini yürütmek
● Saklama ve arşiv faaliyetlerini yürütmek
● Sosyal sorumluluk ve sivil toplum aktivitelerini yürütmek
● Sözleşme süreçlerini yürütmek
● Yetkili kişi, kurum ve kuruluşlara bilgi vermek
● Yönetim faaliyetlerinin yürütülmesidir.
SKC Karbon olarak elde ettiğimiz kişisel verileri saklama süresine uygun olarak, Elektronik Ortamlarda (Veri tabanları, yazılımlar, taşınabilir cihazlar, uygulama otomasyonları, bulut ortamları) ile elektronik olmayan ortamlarda (Klasör, kâğıt ortamı gibi)
B. KİŞİSEL VERİLERİN İMHASI
SKC Karbon tarafından işlenen kişisel veriler;
i. İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
ii. İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
iii. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişini açık rızasını geri alması,
iv. Kanun’un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun SKC Karbon tarafından kabul edilmesi
v. SKC Karbon’un, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması
vi. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, SKC Karbon tarafından silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
C. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
SKC Karbon’un işlemiş olduğu kişisel veriler ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
i. Kişisel Verilerin Silinmesi
SKC Karbon olarak, kişisel verilerin hukuka uygun olarak silinmesi işlemini gerçekleştirebilmek amacıyla tarafımızca teknikler şu şekildedir:
Fiziksel ortamda bulunan, kişisel veriler karartma yöntemi kullanılarak veya belgenin, ilgili kullanıcılar tarafından hiçbir şekilde erişilmeyecek şekilde güvenli bir ortamda saklanılması suretiyle silinmektedir.
Veri tabanlarında yer alan kişisel veriler, İlgili kullanıcının, rol ve izin ataması yapılarak, veri tabanında yer alan kişisel verilere erişimi engellenmektedir.
Merkezi sunucularda yer alan kişisel veriler İlgili kullanıcının, kişisel veri içeren dosyanın bulunduğu dizin üzerindeki erişim hakları kaldırılmaktadır.
Taşınabilir cihazlarda (USB, Hard disk, CD, DVD gibi) yer alan kişisel veriler Kişisel verilerin bulunduğu dosyalar şifreli olarak saklanmakta ve ilgili kullanıcının dosyaya erişimi engellenmektedir.
ii. Kişisel Verilerin Yok Edilmesi
SKC Karbon kişisel verilerin hukuka uygun olarak yok edilmesi işlemini gerçekleştirebilmek amacıyla şu teknikleri kullanmaktadır;
Fiziksel ortamda yer alan kişisel veriler; kâğıt kesme makinesi ile öğütülerek veya yakılarak yok edilmektedir. İmza işlemi sırasında Kişisel Veri İçeren Kayıtlara İlişkin İmha Tutanağı tertip edilir.
Bulut ortamlarında yer alan kişisel veriler; depolanması ve kullanımı sırasında kriptografik yöntemlerle şifrelenmekte, kullanılan şifre anahtarlarının yok edilmesi ile de bu ortamlarda yer alan kişisel veriler yok edilmektedir.
Çevresel (ağ cihazları, flash tabanlı ortamlar, optik sistemler vb.) ve yerel sistemlerde yer alan kişisel veriler Kişisel veri içeren cihazlar; yakma, küçük parçalara ayırma, eritme gibi fiziksel işlemlerle yok edilmektedir. Ayrıca, demanyetize etme yöntemi ile aygıtın üzerinde yer alan kişisel veriler okunamaz hale getirilerek yok etme işlemi gerçekleştirilmektedir. Bununla birlikte; özel yazılımlar ile var olan verilerin üzerine rastgele veri girişi yapılması sonucu eski verilerin kurtarılmasının önüne geçilerek yok etme işlemi uygulanmaktadır.
iii. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
7. SAKLAMA VE İMHA SÜRELERİ
Kişisel verilerin saklama süreleri ilgili mevzuatta öngörülen süreler çerçevesinde belirlenmiştir. Kişisel verilerin imha süresi SKC Karbon tarafından her bir ilişkiye uygun olarak ilgili mevzuat gözetilerek belirlenmiş olan saklama süreleri doğrultusunda yürütülmektedir. Saklama süreleri sona eren kişisel veriler, SKC Karbon tarafından belirlenmiş olan periyodik imha sürelerinde silinir, yok edilir veya anonim hale getirilir. İnsan kaynakları çalışan süreçlerinin yürütülmesi Çalışanın işten ayrılmasından itibaren 10 yıl, Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
Çalışan adaylarına ilişkin süreçlerin yürütülmesi Başvuru tarihinden itibaren maksimum 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
Sözleşmesel ilişkilerin yürütülmesi Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde;
Kamera kayıtları 1 ay - 3 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi kayıtları 3 ay - 6 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log kayıt takip sistemleri 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
8. Periyodik imha süresi Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. maddesi gereğince SKC Karbon tarafından, 6 ay olarak belirlenmiştir.
9. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ VE KORUNMASINI SAĞLAMAK İÇİN ALINAN TEDBİRLER
A. SKC Karbon veri sorumlusu sıfatıyla, Kanun’un 12. Maddesine uygun olarak,
i. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
ii. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
iii. Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır.
B. SKC Karbon kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için özel Kurul tarafından belirlenerek ilan edilen önlemleri alır.
i. SKC Karbon tarafından alınan teknik tedbirler aşağıda sayılmıştır;
1. Ağ ve uygulama güvenliği sağlanmaktadır.
2. Anahtar yönetimi uygulanmaktadır.
3. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamında güvenlik önlemleri alınmaktadır.
4. Erişim logları düzenli olarak ve kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
5. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
6. Güncel anti-virüs sistemleri kullanılmaktadır.
7. Güvenlik duvarları kullanılmaktadır.
8. Kişisel veri güvenliğinin takibi yapılmaktadır.
9. Kişisel veriler mümkün olduğunca azaltılmaktadır
10. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
i. SKC Karbon tarafından alınan İdari Tedbirler aşağıda sayılmıştır.
1. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
2. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
3. Kişisel veri güvenliği politika ve prosedürleri hazırlanmıştır.
4. Kişisel veri işleme envanteri hazırlanmıştır.
5. Şirket içi periyodik ve rastgele denetimler yapılmaktadır.