ASM DEKORASYON MOBİLYA GRANİT MERMER İNŞAAT SANAYİ TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİ İŞLEME VE KORUMA POLİTİKASI
ANKARA 2020
(Yürürlük Tarihi: 01/09/2020)
ASM olarak yenilikçi ve gelişime açık kimliğimizle uzmanlaştığımız inşaat sektöründe kaliteli ve yaratıcı projelerimizle kurumsal varlığımızı geleceğe taşımak temel amacımızdır. Bu temel amacımızın gerçekleştirilmesi yolunda, en az ana faaliyet konularımızdaki başarı kadar, mevzuat ve en iyi uygulamalara uyum sağlamanın büyük önem taşıdığının bilincindeyiz.
Çalışanlarımız, müşterilerimiz, tedarikçilerimiz ve ilişki içerisinde olduğumuz tüm menfaat sahiplerine ilişkin kişisel verilerin hukuka uygun surette işlenmesi, mevzuatta gerekliliği olması yanında en iyi yönetim uygulamalarına uyum açısından da kuşkusuz önemli bir yere sahiptir.
Bu bağlamda, faaliyetlerimiz sırasında toplayarak işlediğimiz kişisel verilere ilişkin kapsamlı ve sistematik bir politika belgesinin hazırlanarak Şirket yönetim belgelerimiz arasına konulmasını, çalışanlarımızdan tedarikçilerimize kadar olan yelpazedeki çözüm ortaklarımız ile karşılıklı güven, etkin iletişim ve ekip çalışması temelinde yükselen, katılımcı ve yatay yönetim anlayışımızın önemli bir bileşeni olarak görmekteyiz.
Bu belge ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemeler çerçevesinde hazırladığımız, Şirketimizdeki Kişisel Verileri İşleme ve Koruma Politikası tespit edilmektedir.
Bu politika metninin Şirketimizce kabul edilmiş olması, Kişisel Veri Çalışma Komitesinin oluşturulmuş olması, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerimizi yerine getirdiğimiz, kişisel verilerin işlenmesine ilişkin prosedürleri tamamlayarak gerekli belgelendirme sistemini hayata geçirdiğimizin bir göstergesidir.
Bütün bunlara ek olarak, Şirketimizin kişisel verileri işleme politikasının önemli bir bileşeni olan bu politika metnini, mevzuattaki gelişmeler ve ihtiyaçlara bağlı olarak belirli aralıklarla gözden geçirerek ihtiyaçlara cevap veren ve iş ve işlemlere ışık tutan niteliğini canlı tutmak konusundaki kararlılığımızı açıkça ifade etmek isteriz.
Saygılarımızla.
ASM DEKORASYON MOBİLYA GRANİT MERMER İNŞAAT SANAYİ TİCARET LİMİTED ŞİRKETİ
| 1. GENEL OLARAK KİŞİSEL VERİLERİ İŞLEME VE SAKLAMA POLİTİKA METNİ | 3 |
| 1.1. Politika Metninin Hedefleri | 3 |
| 1.2. Teknik İfadeler | 4 |
| 1.3. İlkeler | 4 |
| 2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI | 4 |
| 2.1. Genel Olarak | 4 |
| 2.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları | 5 |
| 3. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER | 6 |
| 3.1. Toplanan Kişisel Veri Kategorileri | 6 |
| 3.1.1. Kimlik Bilgisi / 3.1.2. İletişim Bilgisi / 3.1.3. Özlük Bilgileri / 3.1.4. Hukuki İşlem Bilgisi | 6-7 |
| 3.1.5. Müşteri İşlem Bilgileri / 3.1.6. Fiziksel Mekân Güvenliği Bilgisi / 3.1.7. İşlem Güvenliği Bilgisi | 8 |
| 3.1.8. Finans Bilgisi / 3.1.9. Mesleki Deneyim Bilgisi / 3.1.10. Görsel ve İşitsel Kayıtlar | 8-9 |
| 3.1.11. Sağlık Bilgileri / 3.1.12. Ceza Mahkûmiyeti ve Güvenlik Tedbiri Bilgisi | 9 |
| 3.1.13. Biyometrik Bilgi / 3.1.14. Diğer Veriler | 10 |
| 3.2. Kişisel Verilerin Toplanma Yöntemleri (Fiziki, Elektronik, CCTV) | 10 |
| 3.3. Toplanan Kişisel Verilerin Sahipleri | 10 |
| 3.4. Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni | 11 |
| 3.5. Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği | 11 |
| 4. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI VE HUKUKİ DAYANAĞI | 12 |
| 5. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ | 13 |
| 5.1. Kişisel Verilerin Saklanması (5.1.1. İdari Tedbirler / 5.1.2. Teknik Tedbirler) | 13-14 |
| 5.2. Kişisel Verilerin İmhası | 15 |
| 6. VERI SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI | 16 |
| 7. KİŞİSEL VERİ ÇALIŞMA KOMİTESİ | 16 |
| 8. POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU | 17 |
ASM Dekorasyon Mobilya Granit Mermer İnşaat Sanayi Ticaret Limited Şirketi inşaat sektöründe başlıca inşaat proje ve yapımı alanında faaliyet göstermektedir. Şirket merkezimiz, Ahi Mesut Mahallesi Elvan Cadde No: 42B/1 ETİMESGUT/ANKARA adresinde bulunmaktadır.
Şirketimizin Kişisel Verileri İşleme Ve Korunma Politika Metni ("Politika Metni") ile:
amaçlanmakta ve nihayet, bunun Şirketimizin toplam kalite hedefleyen bütüncül perspektifli yönetim anlayışımızın önemli bir bileşeni haline getirilmesi öngörülmektedir.
Politika Metni, Şirketimizde hakim olan yönetim anlayışının, kişisel verilerin korunması hukuku çerçevesinde geliştirilmesi; bu bağlamda, kişisel veriler konusunda Şirketimiz, personel, müşteri, tedarikçi, çalışan ve diğer ilgili kişilerin hak ve yükümlülüklerini, bu konuda Şirketimizce yapılacak iş ve işlemleri, ilgili kişilerin haklarını kullanma esaslarını toplu ve tutarlı ve sistematik bir şekilde ortaya koymaktadır.
Politika Metni, şu hedefleri gerçekleştirmek üzere hazırlanmıştır:
Bu Politika Metninde yer alan hukuki ifadeler KVKK ve ilgili mevzuatta kullanıldıkları kapsam ve içerikte kullanılmıştır.
Bu Politika Metni, KVKK md.4 4/2'de yer alan şu 5 ilke üzerine hazırlanmıştır:
Şirketimiz, kişisel verilerin işlenmesi konusundaki uygulamalarını, mevzuata ve bu 5 ilkeye dayandırmaktadır. Özellikle mevzuatta açıklık bulunmayan hallerde veya uygulamada tereddüt yaşandığı durumlarda, Şirketimiz, şartların mümkün kıldığı özen çerçevesinde gerekli incelemeleri ve araştırmaları yaptıktan sonra, uygulamasına bu ilkeler çerçevesinde yön verecektir.
Şirketimizin yönetim belgeleri içerisinde yer alan Kişisel Veri Saklama ve İmha Politikası Metni Şirketimizin, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak alınan politikayı ortaya koyan bir metin olup, bu Politika Metninin bir tamamlayıcısıdır. Kısaca imha politikası metni olarak adlandıracağımız bu metne ilişkin ilkeler ise şunlardır:
Şirketimiz bulundurduğu kişisel verileri, KVKK md.5'te yer alan aşağıdaki şartlar dahilinde işleyecektir:
i. Şirketimizce toplanan kişisel veriler, kural olarak ilgili kişinin açık rızası var ise işlenir.
ii. Şirketimizin bulundurduğu kişisel veriler ilgili kişinin açık rızası olmasa dahi, KVKK md. 5/2 sayılan şu hallerde işlenebilir:
Özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması şarttır. Ancak şu hallerde özel nitelikli kişisel veriler açık rıza aranmaksızın Şirketimizce işlenebilir:
i. Sağlık ve cinsel hayat dışındaki kişisel veriler söz konusu olduğunda kanunlarda öngörülen hâllerde,
ii. Sağlık ve cinsel hayata ilişkin kişisel veriler söz konusu olduğunda ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunduğumuz hallerde.
KVKK md.6 6/1 1'de özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsayacak şekilde sınırlı olarak sayılmıştır. Şirketimiz ana faaliyet konularına ilişkin normal işleyişinde özel nitelikli kişisel verilerin işlenmesi nadir karşılaşılan bir durumdur. Bununla birlikte, bu tür kişisel verilerin işlenmesinin gerektiği durumlarda veri sahibinden açık rıza alınmaktadır. Özel nitelikli kişisel verilerin işlenmesinde, Kişisel Veri Koruma Kurumu ("KVK Kurumu") tarafından belirlenen önlemlerin de alınacağı tabiidir.
Bu bölümdeki bilgiler, Şirketimizce işlenen kişisel verilere KVK Kurumu bünyesindeki Veri Sorumluları Sicil Bilgi Sistemine kaydı yapılmış bulunan Şirketimiz Veri Envanterine dayanmaktadır.
Şirketimizde aşağıdaki 14 kategori altında kişisel veri toplanmaktadır:
3.1.1. Kimlik Bilgisi: Her ticari işletmede olduğu gibi yoğun olarak toplanmakta ve işlenmektedir. Çalışan adayı, referans, çalışanlar, çalışan eşi ve çocukları, eğitmenler, ziyaretçiler, tedarikçi/taşeron veya müşteri yetkilisi, arsa sahipleri, potansiyel müşteriler vb. kişilere aittir. İş akdi, finans, hukuk, İSG, pazarlama ve yönetim süreçleri amacıyla işlenir.
3.1.2. İletişim Bilgisi: Faaliyetlerin sürdürülmesi için büyük önemi haizdir. Çalışan adayı, çalışan, tedarikçi/taşeron çalışanları, müşteriler, proje müellifleri, yapı denetim çalışanlarına ait telefon, e-posta vb. verilerdir.
3.1.3. Özlük Bilgileri: Çalışan adayları, çalışanlar, şirket yetkilileri ve taşeron çalışanlarının özlük bilgileri mevzuattan kaynaklı yükümlülükler ve iş akdi süreçleri doğrultusunda toplanır ve işlenmektedir.
3.1.4. Hukuki İşlem Bilgisi: Çalışanların hukuki işlem bilgileri; hukuk işlerinin takibi, iş akdi ve denetim faaliyetleri amacıyla toplanmaktadır.
3.1.5. Müşteri İşlem Bilgileri: Tahsil/tediye, ruhsat ve teminat işlemlerinin gerçekleştirilmesi kapsamında finans, muhasebe ve satış süreçleri amacıyla toplanır.
3.1.6. Fiziksel Mekân Güvenliği Bilgisi: Güvenliğin temini ve ziyaretçi kaydı amacıyla, mevcut kamera sistemleri ve danışmadaki Excel kayıtları üzerinden binaya giriş çıkış yapanlardan toplanır.
3.1.7. İşlem Güvenliği Bilgisi: Kablolu/kablosuz internet erişimi kullanan çalışanların IP adresleri, kullanıcı adları ve parolaları loglanarak bilgi güvenliği amacıyla işlenir.
3.1.8. Finans Bilgisi: Ticari faaliyet ve ödemelerin kesintisiz sürmesi amacıyla çalışan, müşteri, potansiyel müşteri, taşeron/tedarikçi finansal bilgileri işlenmektedir.
3.1.9. Mesleki Deneyim Bilgisi: Çalışanlar, adaylar, taşeronlar ve yapı denetim firması çalışanlarının kariyer gelişimi ve görevlendirme süreçleri için mesleki deneyim bilgileri toplanır.
3.1.10. Görsel ve İşitsel Kayıtlar: Fiziksel mekan güvenliği amacıyla kamera güvenlik sistemi üzerinden toplanan görsel kayıtlardır.
3.1.11. Sağlık Bilgileri (Özel Nitelikli): Çalışan ve müşterilerden; İSG faaliyetleri, yan haklar ve iş sürekliliği süreçlerinin yürütülmesi amacıyla toplanır.
3.1.12. Ceza Mahkûmiyeti ve Güvenlik Tedbiri Bilgisi (Özel Nitelikli): Çalışan ve taşeron çalışanlarının adli sicil bilgileri fiziki olarak toplanır ve açık rıza ile işlenir. Taşeron çalışanlarının verileri taşeron şirketten alındığı için açık rıza sorumluluğu taşeron şirkete aittir.
3.1.13. Biyometrik Bilgi (Özel Nitelikli): Çalışanların parmak izleri, elektronik takip sistemi üzerinden iş akdi takibi ve performans değerlendirme amacıyla açık rıza alınarak toplanmaktadır.
3.1.14. Diğer Veriler: Banka kredisi başvurularında ortakların malvarlığı bilgileri, tapu, gayrimenkul ve muvafakatname bilgileri sicile kayıt esnasında "diğer" başlığı altında işlenmektedir.
Şirketimizde 3'ü ana olmak üzere toplam 7 yöntem ile kişisel veri toplanmaktadır:
Şirketimiz tarafından işlenen özel nitelikli kişisel veriler ise KVKK md.6’ya uygun şekilde veri sahibinin açık rızası ve kanunlarda yer alan hallere münhasır olarak işlenmektedir.
Şirketimizin kişisel veri işleme amaçları genel olarak şunlardır:
Şirketimizce işlenen kişisel verilerin aktarılma durumları şu şekildedir:
a) Şirketimizce işlenen hiçbir kişisel veri yurt dışına aktarılmamaktadır.
b) Özel nitelikli kişisel veri haricindeki kişisel veriler ile çalışan/adaylara ait adli sicil raporu, sağlık raporu, engellilik durumu, parmak izi vb. veriler yalnızca hissedarlarımıza, kanunen yetkili kamu ve özel kurumlara ve danışman/denetçilere aktarılmaktadır. Bu aktarımlar için gerekli açık rızalar alınmıştır.
Aktarım dayanakları KVKK md.8 atfıyla md.5/2'de yer alan; Kanunlarda açıkça öngörülmesi, Sözleşme ifası, Hukuki yükümlülük, Bir hakkın tesisi ve Veri Sorumlusunun Meşru Menfaati şartlarına dayanır.
Şirketimiz, "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" uyarınca bir Kişisel Veri Saklama ve İmha Politikası hazırlayarak kabul etmiştir. Veriler; ticari faaliyetlerin sürdürülmesi, hukuki yükümlülükler, özlük dosyası oluşturulması ve muhasebe amaçlarıyla yasal sınırlar dahilinde saklanır.
KVKK md.12 uyarınca, verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirler alınmıştır:
Saklama Süreleri: Çalışan adayları/referans verileri ve kamera kayıtları en fazla 1 yıl, kullanıcı adı ve parola bilgileri 2 yıl, log kayıtları ise 6 ay saklanır. Diğer veriler mevzuat veya meşru menfaat süresince tutulur.
Fiziki Güvenlik: Fiziki veriler birim yöneticilerinin kilitli arşivlerinde, 2 yılı geçen aktif veriler Genel Arşivde, eski ve aktif olmayan veriler ise sadece arşiv amaçlı kiralanan güvenlikli bir sitedeki dairede saklanır. Dijital veriler ise güvenli sunucularda korunmaktadır.
TCK md.138 ve KVKK md.7 çerçevesinde işleme sebepleri ortadan kalktığında veriler re'sen veya talep üzerine silinir, yok edilir veya anonim hale getirilir. Prosedürlerin detayları İmha Politikasında yer almaktadır.
KVKK md.11 uyarınca herkes şirketimize başvurarak kendisiyle ilgili;
Başvurular şirketimizin web sitesi (www.asm-group.com.tr) üzerinden veya sağlanan imkanlarla yapılabilir. Başvurular değerlendirilerek 30 gün içerisinde ücretsiz olarak olumlu/olumsuz şekilde yanıtlanacaktır.
Şirketimizde mevzuat değişikliklerinin izlenmesi, yönetime raporlama sunulması, farkındalık artırılması ve yönetim belgelerinin güncellenmesi amacıyla Genel Müdür tarafından belirlenen 2 personelden (İnsan Kaynakları ve Mali İşler) oluşan Kişisel Veri Çalışma Komitesi ihdas edilmiştir. Gerekli hallerde şirket dışından teknik destek alınacaktır.
Bu Politika Metni Şirketimiz genel kurulunca 31/08/2020 tarihinde kabul edilerek 01/09/2020 tarihi itibariyle yürürlüğe konulmuştur. Revizyon teklifleri komite tarafından genel müdüre sunulur.
| Revizyon Tarihi | Revizyon Maddesi ve Konu |
|---|---|
| 1. | |
| 2. |