Çalışanlarınıza verdiğiniz telefon, notebook, şirket hattı ,araç v.b zimmetlerin kaydını yönetebileceğiniz ve
takip edebileceğiniz modülümüzdür.
Tahsis ettiğiniz telefon hattı harcamalarını, araç benzin masraflarını yönetebileceğiniz Zimmet Yönetimi uygulamasında, takip fişlerinin oluşturulması ve raporlanması çok daha kolay.
İnsan Kaynakları Yönetim Sistemleri ve Ticaret A.Ş (Şirket olarak anılacaktır) olarak, kullanıcı ve ziyaretçilerimizin (Ziyaretçi olarak anılacaktır) web sitesi ve sair online platformlarımızı kullanımları süresince sunmakta olduğumuz deneyimi iyileştirmek ve daha iyi hizmet verebilme amacıyla çerez (cookie), mobil cihaz tanımlayıcılar ve piksel etiketleri gibi teknolojilerin (Çerez olarak anılacaktır) kullanımına başvurmaktayız.
Şirket, internet sitesi ve platformlarımızın kullanmakta olan ziyaretçilerimize ait kişisel verilerin korunması konusunda yüksek hassasiyet sahibi olup, tüm veri işleme faaliyetlerinde 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun olarak anılacaktır) riayet edilmekte olduğunu ve Kişisel Verilerin Korunması ve İşlenmesi Politikasına bu link üzerinden ulaşabileceğinizi hatırlatmak isteriz.
İşbu Çerez Politikası, ziyaretçilerimizin Çerez kullanımı ve amaçları konusunda bilgilendirilmeleri amacıyla hazırlanmış olup politika üzerinde Şirket tarafından herhangi bir zamanda değişiklik yapılabilecektir.
Şirket tarafından Çerez kullanımına başvurulmasının amacı, ziyaretçilerimizin deneyimlerini güvenli şekilde geliştirmek, sitenin kullanımını etkinleştirmek ve kolaylaştırmaktır. Ancak tercih edilmemesi halinde çerez kullanımı tarayıcı ayarları üzerinden engellenebilmekte ve önceki kullanımlara dair veriler imha edilebilmektedir. Belirtmek gerekir ki çerezlerin engellenmesi, web sitesi ve platformların kullanım deneyimlerini etkileyebilecektir.
Çerez Nedir?
Çerez (Cookie), bir internet sitesi ziyaret edildiği veya bir mobil uygulama cihaza yüklendiğinde, ilgili site veya uygulama tarafından, tarayıcı veya uygulama üzerinden cihaza (veya ağ sunucusuna) yüklenen ve saklanan küçük bilgi parçacıkları içeren veri dosyalarıdır. Veri dosyaları, web sitesini ziyaretinize ilişkin verileri içermekte olup hiçbir suretle bilgisayar veya mobil cihazda barındırılan verilere erişememektedir.
Çerez Türleri ve Kullanım Amaçları
Çerezlere başvurulmasının amacı temel olarak, kullanıcı ve ziyaretçilerimizin web sitemizde yaşadıkları deneyimi kişisel hale getirerek iyileştirmektir. Bu veriler; web/mobil sitemizin ziyaretçiler için işlevselliğin artırılmasına, internet sitemizin kullanım kolaylığını ve işlevselliğinin ölçülerek geliştirilmesine ve bu kapsamda daha iyi hizmet verilmesine olanak sağlamaktadır.
Teknik Çerezler / Zorunlu Çerezler
Zorunlu çerezler olarak da kabul edilen teknik çerezler; Şirket tarafından [https://www.pernet.com.tr] uzantılı internet sitesi vasıtasıyla verilerin elektronik hizmetin kullanılması için gereken minimum bilgilerdir. Teknik çerezler, güvenlik ve doğrulama gibi amaçlarla kullanılmakta olup internet sitenin sağlıklı şekilde çalışması sağlanmakta ve çalışmayan sayfa ve alanlar tespit edilmektedir.
İşlevsellik / Tercih Çerezleri
Tercih çerezleri; kullanıcı tarafından [https://www.pernet.com.tr/] uzantılı internet sitesi vasıtasıyla girilen dil tercihi, giriş bilgileri gibi verilerin bir sonraki girişlerde Şirket tarafından hatırlanarak kullanıcının otomatik giriş yapabilmesi gibi pratik ve işlevsel çözümler sağlar.
İstatistik / Performans Çerezleri
İstatistik çerezleri; kullanıcı tarafından internet sitesi üzerinde gerçekleştirilen eylemlerinin anlaşılmasını sağlar. Şirket; daha doğru bir analiz için, istatistik çerezlerini Google Analytics vasıtasıyla anonim şekilde işlemektedir.
Pazarlama Çerezleri
Pazarlama çerezleri; web sitesi veya sair mecralarda, ziyaretçilerin ilgi alanlarına uygun reklam ve tanıtımların sunulması amacıyla kullanılmaktadır.
Web sitesinde kullanılmakta olan çerezler ve kullanım amaçları aşağıdaki gibidir:
Servis Sağlayıcı |
Çerez |
Kullanım Amacı |
Çerez Kullanımının Yönetimi
Ziyaretçiler, tarayıcı ayarları üzerinden çerezlere ilişkin tercihlerini yöneterek kişiselleştirebilir ve bilgi paylaşımını kısıtlayabilirler. Ancak belirtmek isteriz ki bu durum web sitesinin bazı işlevlerini kısmen veya tamamen yerine getirmesini engelleyebilir. Çerez kullanımını engelleyen ziyaretçiler, buna bağlı olarak gelişebilecek performans sorunlarını kabul etmiş sayılır.
Çerez kullanımını kısıtlamak için aşağıda her bir tarayıcı karşısında yazılı linkler takip edilebilir.
Adobe Analytics |
|
AOL |
https://www.help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser |
Google Adwords |
|
Google Analytics |
|
Google Chrome |
http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647 |
Internet Explorer |
https://www.support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies |
Mozilla Firefox |
|
Opera |
|
Safari |
Veri Sahibinin Hakları
Ziyaretçilerin “veri sahibi” olarak Kanun’un 11. maddesi uyarınca sahip olduğun ve web sitesi üzerinden başvurarak kullanılabilecek haklar aşağıda sıralanmaktadır:
İnsan Kaynakları Yönetim Sistemleri ve Ticaret A.Ş (Bundan böyle “Veri Sorumlusu” olarak anılacaktır), ticari varlık ve başarılarını desteklediği etik değerleri gereği hukuki düzenlemelere riayet edilmesi konusunda yüksek hassasiyet sahibi olup, kişisel verilerin korunmasına ilişkin mevzuata uyum çerçevesinde gerekli her türlü yapılanmayı tesis etmektedir.
Kişisel Verilerinin Korunması ve İşlenmesi Politikası (Bundan böyle “Kişisel Verilerinin Korunması ve İşlenmesi Politikası veya Politika” olarak anılacaktır) ile Veri Sorumlusuyla istihdam veya sözleşmsel ilişkisi içerisinde bulunan gerçek kişilere ait verilerin işlenmesinde benimsenen ilke ve esaslar düzenlenmekte ve bu kapsamda Veri Sorumlusu tarafından yürütülen kişisel veri işleme faaliyetlerinde veri sahiplerinin hukuki güvenlikleri temin edilmekte ve şeffaflık sağlanmaktadır.
Kişisel Verilerinin Korunması ve İşlenmesi Politikası, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkin olarak Veri Sorumlusu tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanununda (Bundan böyle “KVK Kanunu” olarak anılacaktır) yer alan düzenlemelere uyum kapsamında temel prensipler ve Veri Sorumlusu tarafından yerine getirilecek esaslar belirlenmektedir.
İşbu Politika, ilgili mevzuat ile paralel bir içeriği haiz olmakla birlikte, Politika ile yürürlükte bulunan yasal mevzuatın çelişmesi durumunda mevzuat hükümleri tatbik edilecektir.
Veri Sorumlusu; KVK Kanunu gereği amaç ve vasıtalarını belirlemekte olduğu kişisel veri işleme faaliyetlerinde “veri sorumlusu” sıfatını haizdir ve işbu politika ile veri sorumlusu sıfatı sebebiyle edinmiş olduğu yükümlülükleri kamuoyuna duyurmaktadır.
KVK Politikası’nda ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Özel Nitelikteki Kişisel Veri |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
Veri Sahibi |
Kişisel verisi işlenen belirli yada belirlenebilir gerçek kişi (İlgili kişi) |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan muvafakat |
Anonim Hale Getirme |
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Veri Sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleme faaliyetinde bulunan organizasyon dışı gerçek ve tüzel kişi |
KVK Kanunu (Kanun) |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVK Kurulu |
Kişisel Verileri Koruma Kurulu |
KVK Kurumu (Kurum) |
Kişisel Verileri Koruma Kurumu |
VERBİS |
KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde kamuya açık şekilde tutulan Veri Sorumluları Sicili |
Veri Sorumlusu (Şirket) |
İnsan Kaynakları Yönetim Sistemleri ve Ticaret A.Ş |
Veri Sorumlusu İş Ortakları |
Veri Sorumlusu’nun ticari ilişkiler gereği işbirliğinde bulunduğu kişiler |
Veri Sorumlusu KVK Saklama ve İmha Politikası |
Bünyesinde barındırdığı kişisel verilerin saklanma, silinme, yok edilme ve anonim hale gelme süreçlerinin düzenlendiği Veri Sorumlusu tarafından tanzim edilmiş olan politika |
Veri Sorumlusu Tedarikçileri |
Sözleşme temelli olarak Veri Sorumlusu’na hizmet sunan üçüncü kişiler |
Veri Sorumlusu Veri Sahibi Başvuru Formu |
Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
Veri Sorumlusu KVK Politikası |
Veri Sorumlusu Kişisel Verilerin İşlenmesi ve Korunması Politikası |
Grup Şirketler |
Veri Sorumlusu bünyesinde yer alan topluluk şirketleri |
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
Veri Sorumluları Sicili Hakkında Yönetmelik |
30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik |
Veri Güvenliği Kurulu |
Veri Sorumlusu tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul |
Veri Güvenliği Kurulu; Veri Sorumlusu bünyesinde işlenen kişisel verilerin korunmasından ve kişisel verilerin korunması mevzuatına uyum sürecinin takibinden sorumlu olan birimdir. Finans ve IT ve Hukuk departmanları temsilcilerinden oluşmaktadır.
Kurul tarafından gerek duyulması halinde veya talep doğrultusunda gerekli toplantılar gerçekleştirilir. Politikaların revizyonu ve mevzuata uyumu Veri Güvenliği Kurulu tarafından kontrol edilmektedir. Bu kapsamda aşağıda belirtilen faaliyetler ile sair uyum süreçleri Veri Güvenliği Kurulu tarafından yürütülmektedir:
Kurum ile kurulacak iletişim için veri sorumlusu tarafından VERBIS kayıt ve bilgi girişi işlemleri görevini ifa edecek olan “İrtibat kişisi” değiştirilmesine ilişkin karar Veri Güvenliği Kurulu ve Yönetim Kurulu kararı ile atanır.
“Kişisel Veri Sahibi İlişkileri Kılavuzu” gereği ‘Veri sahibi ilişkileri ve ilgili mekanizmaların işlerliliğini kontrol’ görevlerini ifa edecek olan “Esra Akça Şaşmazer” Veri Güvenliği Kurulu kararı veya Yönetim Kurulu kararı ile atanır.
Yukarıda belirtilen asgari görevlere ek olarak, kişisel veri mahremiyeti uyumunun temini için duyulacak ihtiyaçlar sebebi ile atanacak görevli kişilere birtakım ek görev ve sorumluluklar verilebilir.
Kişisel verilerin korunması mevzuatına uyumun sağlanmasının temini amacıyla Veri Güvenliği Kurulu tarafından; Veri Sorumlusu adına veri sorumlusu sıfatı ile aşağıda yazılı dokümanların revizyonu sağlanır.
Veri Sorumlusu tarafından, kişisel verilerin işlenmesi esnasında aşağıda yazılı temel ilkeler benimsenmektedir.
5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme
Veri Sorumlusu, Türkiye Cumhuriyeti Anayasası ve KVK Kanunu başta olmak üzere, kişisel veri işleme faaliyetlerini, veri mahremiyeti mevzuatına ve dürüstlük kuralına uygun şekilde yürütür.
5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme
Veri Sorumlusu, işlemekte olduğu kişisel verilerin doğruluğunu ve güncelliğini sağlayarak bu çerçevede gereken idari ve teknik tedbirleri alır ve süreç takibini sürdürür.
5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme
Veri Sorumlusu; kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işler. Bu kapsamda; kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmektedir. Diğer bir deyişle, kişisel veriler yalnızca ileride kullanılabileceği varsayımı ile işlenmemektedir (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir). Bu çerçevede Veri Sorumlusu, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurur.
5.1.4.Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
Veri Sorumlusu; kişisel verileri, ilgili mevzuatta bir süre öngörüldüğü takdirde bu süreye riayet edecek süre ile işler. Mevzuatta bu doğrultuda bir düzenleme bulunmaması halinde ise verileri, veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza eder. Veri Sorumlusu; mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silme, yok etme veya anonim hale getirme yöntemleriyle imha etmektedir. Bu kapsamda, oluşturulmuş olan Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası'na riayet edilmektedir.
Veri Sorumlusu; kişisel verilerin işlenmesi faaliyetlerinde bulunurken; temel ilkelere de riayet etmek kaydıyla, KVK Kanunu’nun 5. ve 6. maddelerinde belirlenen veri işleme şartlarına uygun şekilde hareket eder.
Veri Sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgular. Ayrıca kurum içi eğitimlerle veri mahremiyeti konusunda personel farkındalığını sağlayarak sürecin sürekliliğini hassasiyetle yürütür.
Veri Sorumlusu; kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, 5237 Sayılı Türk Ceza Kanunu, KVK Kanunu ve sair mevzuat ile Veri Sorumlusu KVK Politikası’nda ortaya konulan kurallara paralel şekilde faaliyet göstermektedir.
5.2.1. Veri İşleme Şartları
Kişisel veriler, Veri Sahibinin açık rızası temin edilmek kaydıyla mevzuata ve Kurul kararlarına uygun şekilde işlenmektedir. Aşağıda belirtilen koşullardan en az birinin temini halinde, açık rıza aranmaksızın veri işleme faaliyetleri gerçekleştirilebilmektedir:
5.2.2. Özel Nitelikli Kişisel Veri İşleme Şartları
Özel nitelikli kişisel veriler, aşağıdaki şartların bulunması halinde; ilgili mevzuat, Kurul kararları ve Veri Sorumlusu tarafından tatbik edilen politikalara uygun şekilde Kanunun 6. Maddesine uygun olarak açık rıza çerçevesinde işlenebilecektir.
5.2.3 Veri İşleme Faaliyetine Konu Özel Durumlar
Veri Sorumlusu tarafından; kişisel verilerin, grup şirketleri ve 3. kişilerle paylaşımında veya kişisel verilerin 3. kişilerin paylaşımına açılmasında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına riayet edilir. Verilerin aktarıldığı 3. kişilere, bahse konu kişisel verilerin güvenliğini sağlaması için gerekli tüm tedbir ve denetimler yaptırılır.
5.3.1. Kişisel Verilerin Aktarımı
Kişisel veriler, Veri Sahibinin açık rızası üzerine aktarılabileceği gibi, gerekli koruyucu tedbirler mevzuata ve Veri Sorumlusu politikalarına uygun şekilde tatbik edilmek kaydıyla aşağıdaki koşulların varlığı halinde ilgilinin açık rızası bulunmaksızın aktarılabilmektedir:
5.3.2. Özel Nitelikli Kişisel Verilerin Aktarımı
Yeterli teknik ve idari güvenlik önlemlerinin tesis edilmesi koşuluyla ve aşağıda belirtilen şartların varlığı halinde özel nitelikli kişisel veriler aktarılabilmektedir:
Belirtilen veri aktarım şartlarının mevcudiyeti halinde ilgili kişisel veriler, Kurul tarafından tespit ve ilan edilen yeterli korumaya sahip/güvenli ülkelere veya yeterli korumanın bulunmaması halinde ilgili mevzuat ve Kurul düzenlemeleri ile belirlenen veri aktarım koşulları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlanmasına ilişkin yazılı taahhüdünün temin edildiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabileceği gibi; Kurul tarafından belirlenen sınırlama ve koşullara riayet edilmek kaydıyla Bağlayıcı Şirket Kuralları uygulamasına başvurulması halinde yurt dışına aktarılabilecektir.
Kişisel Verilerin hangi amaçlarla işleneceği, veri aktarımının kimlere yapılabileceği, hangi amaçlarla veri işlenebileceği ve aktarılabileceği, veri toplama yöntemlerine ilişkin olarak veri sahipleri Şirket tarafından bilgilendirir. Bu bilgilendirme kapsamında, veri sahibinin kişisel verilerine ilişkin olarak sahip oldukları haklar ve ne şekilde kullanılacağı konusunda da aydınlatılır.
Veri Sorumlusu; KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymaktadır. Bu kapsamda işbu politikada Veri Sorumlusu’nun uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:
Veri Sorumlusu; kişisel verilerin korunması faaliyetlerini düzenleyen ve bu alanda ülkemizin idari otoritesi olan KVK Kurumu’nun icra organı olan KVK Kurulu tarafından, şikayet halinde ya da resen yapılan inceleme sonucunda tebliğ edilen kararları derhal uygular. Ayrıca KVK Kurulu tarafından tesis edilen ilke kararlarını da veri mahremiyeti kuralları olarak benimser.
Veri Sorumlusu; veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırır.
Veri Sahipleri, KVK Kanunu’nun 11. maddesi uyarınca Veri Sorumlusuna web sitesi adresi üzerinden başvurarak aşağıda belirtilen haklarını kullanabilmektedirler.:
Veri Sorumlusu; Veri Sorumluları Sicili Hakkında Yönetmelik’te bahsi geçen kriterleri sağlaması halinde, KVK Kanunu’nun 16. maddesine ve yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmaktadır.
Veri Sorumlusu; KVK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun şekilde kişisel verilerin elde edilmesi sırasında veri sahiplerinin, yetkilendirdiği kişiler tarafından bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Aydınlatma yükümlülüğünü yerine getirme amacıyla internet sitesinde yayımlanmış olan KVK Aydınlatma Metnini inceleyebilirsiniz.
Veri Sorumlusu tarafından, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle ve;
amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmaktadır. Ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimler tatbik edilmektedir.
Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek ve kişisel verilerin güvenli şekilde muhafazasını sağlamak amacı ile imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri alır.
Veri Sorumlusu; işlenen kişisel verilerin hukuka aykırı şekilde yetkisiz kimseler tarafından elde edilmesi durumunda, 72 saat içerisinde durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirir. Bu sebeple Veri Sorumlusu Veri İhlali Prosedürü (link) oluşturulmuş; bu prosedür kapsamında Veri Güvenliği Kurulu tarafından Veri Sorumlusu bünyesindeki tüm ihlal tatbikatları kurgulanmaktadır.
Veri Sorumlusu; KVK Kanunu’nun 7. maddesi gereğince, hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik oluşturduğu Kişisel Veri Saklama ve İmha Politikası gereği kişisel verilerin imhasına ilişkin gerekli tüm iç sistemlerini oluşturmuştur.
İşbu Politika, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Veri Güvenliği Kurulu yetkilidir.
KVK Politikası, Veri Sorumlusu tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Veri Sorumlusu, idari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak KVK Politikası’nda değişiklik yapma hakkını saklı tutar.
İşbu politikada veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek politikaya eklenecek, gerekli duyurular yapıldıktan sonra politikanın ayrılmaz bir parçası olarak kabul edilecektir. KVK Politikası’nın güncel versiyonu Veri Sorumlusu’na ait internet sitesinden- yayımlanacaktır.
İnsan Kaynakları Yönetim Sistemleri ve Ticaret A.Ş (Bundan böyle “Veri Sorumlusu” olarak anılacaktır), ticari varlık ve başarılarını desteklediği etik değerleri gereği hukuki düzenlemelere riayet edilmesi konusunda yüksek hassasiyet sahibi olup, kişisel verilerin korunmasına ilişkin mevzuata uyum çerçevesinde gerekli her türlü yapılanmayı tesis etmektedir.
Kişisel Veri Saklama ve İmha Politikası vasıtasıyla, Veri Sorumlusu tarafından işlenen kişisel verileri şirket bünyesinde bulundurma ve imha etme süreçlerinde benimsenen ilke ve esaslar düzenlenmektedir.
Veri Sorumlusu tarafından hukuka uygun şekilde işlenen kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması ya da veri sahibinin imhaya ilişkin talepte bulunması üzerine işbu Politika hükümleri uygulanacaktır.
Kişisel Veri İmha Politikası; KVK Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği yayımlanmış olup; Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan yayın ve rehberlere sirayet ederek hazırlanmıştır.
Tüzel kişiliği altında işlenen kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri işleme faaliyetinden sorumlu olan Veri Sorumlusu; KVK Kanunu gereği veri sorumlusudur.
İşbu politika gereği; Veri Sorumlusu bünyesinde işlenen kişisel verilerin imha süreçlerinde Veri Güvenliği Kurulu yetkilidir.
Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Özel Nitelikteki Kişisel Veri |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler |
Veri Sahibi |
Kişisel verisi işlenen belirli ya da belirlenebilir gerçek kişi (İlgili kişi) |
Kişisel Verilerin İmhası |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Veri Sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzelkişi |
Periyodik İmha |
Kişisel veri işleme ve saklama süresi dolduğunda Veri Sorumlusu tarafından, tekrar eden aralıklarla ve Resen gerçekleştirilecek olan imha işlemi |
KVK Kanunu (Kanun) |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Veri Güvenliği Kurulu |
Veri Sorumlusu tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul |
KVK Kurumu (Kurum) |
Kişisel Verileri Koruma Kurumu |
Veri İhlali |
Kişisel verilerin korunması hukukunda; işlenen kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi |
Veri Sorumlusu nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Veri Sorumlusu; kişisel verilerin, güvenli şekilde saklanması ve hukuka aykırı müdahalelere maruz kalmaması adına gerekli idari ve teknik tedbirleri alır. Veri güvenliğine ilişkin alınan tedbirler ve veri saklama gerekçeleri hususlarında Kişisel Verilerin Korunması ve İşlenmesi Politikası’na riayet edilir.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları farklı nitelik ya da Veri Sorumlusu’nun hukuki yükümlülükleri nedeniyle aşağıda gösterilen ortamlardan farklı bir ortamda tutulabilir.
Fiziki Ortamlar |
Kağıt ve benzeri fiziki yollarla saklanan kişisel veriler |
Elektronik Ortamlar |
Veri Sorumlusu bünyesinde yer alan ve yalnızca Veri Sorumlusu’nun erişim yetkisini haiz olduğu sunucu ve harici disklerde saklanan kişisel veriler |
Bulut Ortamlar |
Kriprogratif yöntemler kullanılarak şifrelenmiş internet tabanlı sistemlerden yararlanılarak saklanan kişisel veriler |
Kişisel verilerin imha edilmesi; işleme amacını yitiren ya da veri sahibinin talepte bulunduğu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerini ifade eder. Kişisel verinin varlığı sözleşmesel, ticari, hukuki, idari işlemler gereğince doğması muhtemele hak taleplerine ilişkin ise söz konusu işleme ilişkin zamanaşımı süresince veriler muhafaza edilir.
Veri Sorumlusu bünyesinde işlenen kişisel veriler; İlgili kişinin talebi halinde ya da KVK Kanunu’nun 5’nci ve 6’ncı maddelerinde ve Veri Sorumlusu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda sayılan veri işleme nedenlerinin ortadan kalkması halinde resen işbu Politika uyarınca silinir, yok edilir veya anonim hale getirilir.
Veri Güvenliği Kurulu; Veri Sorumlusu tarafından işlenmekte olan tüm kişisel veriler için 6 aylık zaman aralıkları ile periyodik imha işlemi gerçekleştirir.
Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen verilere, veri sorumlusu haricinde bulunan ilgili kullanıcılar tarafından erişilemez.
Bu konuda talep ve şirket politikası arasında bir çelişki doğması halinde çelişkinin giderilmesi amacı ile Kişisel Verileri Korunma Kurumu’na yazılı başvuru yapılır ve ilke kararı doğrultusunda işlem yapılır.
Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcılar tespit edilir ve kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespiti yapılarak akabinde ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılmasına ilişkin işlemler gerçekleştirilir.
7.1.1. KARARTMA
Kağıt ortamında bulunan ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilerek, aksi halde mürekkep kullanılarak kullanıcılar tarafından görünmez kılınması tekniğidir.
7.1.2. DİJİTAL ORTAMDAN GÜVENLİ ŞEKİLDE SİLME
Merkezi sunucularda ve bulutta yer alan kişisel veriler, işletim sistemindeki silme komutu ile güvenli şekilde silinir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, silinmesinden farklı olarak imha işlemi sonrasında veri sorumlusunun da söz konusu verilere erişememesi anlamına gelir.
8.1.1. DE-MANYETİZE
Manyetik medya, de-manyetize etme özellikli bir cihazdan geçirilerek verilerin okunamaz biçimde bozulur. De-manyetize özellikli cihaz ihtiyaç halinde Veri Sorumlusu tarafından temin edilir.
8.1.2. FİZİKSEL YOK ETME
Optik medya ve manyetik medya eritilerek, yakılarak veya toz haline getirilerek fiziksel olarak yok edilir.
8.1.3. ÜZERİNE YAZMA
Manyetik medya yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilir. Gerek halinde şirket tarafından bu amaçla yazılım temin edilir.
8.1.4. DİJİTAL ORTAMDAN GÜVENLİ ŞEKİLDE YOK ETME
Merkezi sunucularda yer alan kişisel veriler, işletim sistemindeki yok etme komutu ile bir daha geri döndürülemeyecek şekilde yok edilir.
Kişisel verilerin anonim hale getirilmesi; kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Veri Sorumlusu; kişisel verilerin anonim hale getirilmesi ile alakalı her türlü güvenlik önlemini alır.
Kişisel verilerin anonim hale getirilmesinde; gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi teknikler bulunmaktadır. Veri Sorumlusu; anonimleştirme yöntemini seçerken, kişisel verinin niteliği ve büyüklüğü, kişisel verinin fiziki ortamlarda bulunma yapısı ve çeşitliliği, veriden sağlanmak istenen fayda / işleme amacı, verinin işlenme sıklığı, kişisel verinin aktarılacağı 3. şahısların güvenilirliği, anonimleştirme için gereken çabanın anlamlı olması, kişisel verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, verinin dağıtıklık/merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü ve anonimliği bozacak bir saldırı ihtimallerini dikkate alır.
Veri Sorumlusu tarafından işlenen kişisel veri kategorilerinin saklama sebep ve süreleri aşağıdaki tabloda belirtilmiştir. Saklama süresi dolan her veri, takip eden ilk periyodik imha süresinde imha edilir. Kanuni ve sözleşmesel yükümlülüklerin ifası kapsamında gerektiği takdirde bu süre değişkenlik gösterebilecek olup, ilgili yükümlülüğün ortadan kalması üzerine takip eden ilk periyodik imha süresinde imha edilir.
Veri Kategorisi |
Saklama Süresi |
Saklama Sebebi |
Özlük Verileri |
5510 Sayılı Kanuna göre belge saklama süresi, belgenin ilgili olduğu yılı takip eden yılbaşından başlamak üzere 10 yıldır. |
Çalışanlar için iş akdi ve mevzuattan doğan yükümlülüklerin yerine getirilmesi |
Sağlık Bilgileri |
İş Sağlığı ve Güvenliği hükümlerine göre, çalışanların sağlık dosyaları 10 yıl süreyle saklanır |
İş sağlığı ve güvenliği yükümlülüklerinin sağlanması |
Mesleki Deneyim |
Çalışan adaylarının özgeçmiş bilgileri 3 ay süreyle saklanır. |
Çalışan adaylarının başvuru süreçlerinin yürütülmesi |
Kimlik ve İletişim Verileri |
Müşteri ve müşteri adayına ilişkin alınan iletişim bilgileri 10 yıl süreyle saklanır. |
İletişim faaliyetlerinin yürütülmesi |
Hukuki İşlem |
İşlem tarihinden itibaren 10 yıl süreyle saklanır. |
Yetkili yargı / idari kurum ve merciler tarafından iletilen taleplerin cevaplandırılması |
Müşteri İşlem |
TBK. İlgili hükümler doğrultusunda 10 yıl süreyle saklanır. |
Mal / hizmet satın alım ve satış süreçlerinin yürütülmesi ve müşteri memnuniyetinin sağlanması |
Finans ve Muhasebe Verileri |
TTK. md. 82’ye göre 10 yıl süreyle saklanır. |
Finans ve muhasebe işlerinin yürütülmesi |
Pazarlama Verileri |
Elde edilmesinden İtibaren 10 yıl süreyle saklanır. |
Pazarlama faaliyet ve çalışmalarının yürütülmesi |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
İş sağlığı ve güvenliği hükümlerine göre 10 yıl süreyle saklanır. |
İş Sağlığı / Güvenliği ve Hukuk işlerinin takibinin yürütülmesi |
Fiziksel Mekan Güvenliği |
Güvenlik kamerası kayıtları 3 aylık süre boyunca saklanır. |
Fiziksel mekan güvenliğinin temini |
İşlem Güvenliği |
10 yıl süreyle saklanır. |
Bilgi güvenliği süreçlerinin yürütülmesi |
Diğer |
10 yıl süre ile saklanır |
Şirket faaliyetlerinin sürekliliği |
Veri sahibi tarafından imha talebinin Veri Sorumlusu’na iletilmesi halinde; durum 24 saat içerisinde Veri Güvenliği Kurulu’na bildirilir. Talebin cevaplandırılması süreçlerinde Veri Sorumlusu Veri Sahibi İlişkileri Kılavuzu’na riayet edilir.
Veri Sorumlusu’na iletilen veri sahibi başvurusunun bir veri ihlali ihtimaline yönelik bulgular barındırması halinde Veri Sorumlusu Veri İhlali Prosedürü uygulamaya konulur. İhlal ihtimali derhal ve en geç 24 saat içerisinde Veri Güvenliği Kurulu’na bildirilir.
Veri sorumlusu tarafından yayınlanmış olan kişisel verilere ilişkin politika ve prosedürlerin çalışanlar tarafından ihlal edilmesi halinde; İş Sözleşmesi ve 4857 sayılı İş Kanunu gereğince çalışanın savunması alınır ve fiile uygun disiplin tedbiri tesis edilir. Fiilin aynı zamanda 5237 sayılı Türk Ceza Kanunu veya sair kanunlarca suç teşkil etmesi halinde gerekli adli mercilere bildirim yapılır.
İşbu Politika, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda yine Veri Güvenliği Kurulu yetkilidir.
Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politikada yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Veri Sorumlusu, idari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikasına değişiklik yapma hakkını saklı tutar. İşbu prosedür veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek prosedüre eklenecek, gerekli duyurular yapıldıktan sonra prosedürün ayrılmaz bir parçası olarak kabul edilecektir.