ASM DEKORASYON MOBİLYA GRANİT MERMER İNŞAAT SANAYİ TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİLERİ İŞLEME VE KORUMA POLİTİKASI

ANKARA 2020
(Yürürlük Tarihi: 01/09/2020)

ASM olarak yenilikçi ve gelişime açık kimliğimizle uzmanlaştığımız inşaat sektöründe kaliteli ve yaratıcı projelerimizle kurumsal varlığımızı geleceğe taşımak temel amacımızdır. Bu temel amacımızın gerçekleştirilmesi yolunda, en az ana faaliyet konularımızdaki başarı kadar, mevzuat ve en iyi uygulamalara uyum sağlamanın büyük önem taşıdığının bilincindeyiz.

Çalışanlarımız, müşterilerimiz, tedarikçilerimiz ve ilişki içerisinde olduğumuz tüm menfaat sahiplerine ilişkin kişisel verilerin hukuka uygun surette işlenmesi, mevzuatta gerekliliği olması yanında en iyi yönetim uygulamalarına uyum açısından da kuşkusuz önemli bir yere sahiptir.

Bu bağlamda, faaliyetlerimiz sırasında toplayarak işlediğimiz kişisel verilere ilişkin kapsamlı ve sistematik bir politika belgesinin hazırlanarak Şirket yönetim belgelerimiz arasına konulmasını, çalışanlarımızdan tedarikçilerimize kadar olan yelpazedeki çözüm ortaklarımız ile karşılıklı güven, etkin iletişim ve ekip çalışması temelinde yükselen, katılımcı ve yatay yönetim anlayışımızın önemli bir bileşeni olarak görmekteyiz.

Bu belge ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemeler çerçevesinde hazırladığımız, Şirketimizdeki Kişisel Verileri İşleme ve Koruma Politikası tespit edilmektedir.

Bu politika metninin Şirketimizce kabul edilmiş olması, Kişisel Veri Çalışma Komitesinin oluşturulmuş olması, Kişisel Verilerin Korunması Kanunu ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerimizi yerine getirdiğimiz, kişisel verilerin işlenmesine ilişkin prosedürleri tamamlayarak gerekli belgelendirme sistemini hayata geçirdiğimizin bir göstergesidir.

Bütün bunlara ek olarak, Şirketimizin kişisel verileri işleme politikasının önemli bir bileşeni olan bu politika metnini, mevzuattaki gelişmeler ve ihtiyaçlara bağlı olarak belirli aralıklarla gözden geçirerek ihtiyaçlara cevap veren ve iş ve işlemlere ışık tutan niteliğini canlı tutmak konusundaki kararlılığımızı açıkça ifade etmek isteriz.

Saygılarımızla.
ASM DEKORASYON MOBİLYA GRANİT MERMER İNŞAAT SANAYİ TİCARET LİMİTED ŞİRKETİ


İÇİNDEKİLER

1. GENEL OLARAK KİŞİSEL VERİLERİ İŞLEME VE SAKLAMA POLİTİKA METNİ 3
    1.1. Politika Metninin Hedefleri 3
    1.2. Teknik İfadeler 4
    1.3. İlkeler 4
2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 4
    2.1. Genel Olarak 4
    2.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları 5
3. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER 6
    3.1. Toplanan Kişisel Veri Kategorileri 6
        3.1.1. Kimlik Bilgisi / 3.1.2. İletişim Bilgisi / 3.1.3. Özlük Bilgileri / 3.1.4. Hukuki İşlem Bilgisi 6-7
        3.1.5. Müşteri İşlem Bilgileri / 3.1.6. Fiziksel Mekân Güvenliği Bilgisi / 3.1.7. İşlem Güvenliği Bilgisi 8
        3.1.8. Finans Bilgisi / 3.1.9. Mesleki Deneyim Bilgisi / 3.1.10. Görsel ve İşitsel Kayıtlar 8-9
        3.1.11. Sağlık Bilgileri / 3.1.12. Ceza Mahkûmiyeti ve Güvenlik Tedbiri Bilgisi 9
        3.1.13. Biyometrik Bilgi / 3.1.14. Diğer Veriler 10
    3.2. Kişisel Verilerin Toplanma Yöntemleri (Fiziki, Elektronik, CCTV) 10
    3.3. Toplanan Kişisel Verilerin Sahipleri 10
    3.4. Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni 11
    3.5. Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği 11
4. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN AKTARILMASI VE HUKUKİ DAYANAĞI 12
5. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ 13
    5.1. Kişisel Verilerin Saklanması (5.1.1. İdari Tedbirler / 5.1.2. Teknik Tedbirler) 13-14
    5.2. Kişisel Verilerin İmhası 15
6. VERI SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI 16
7. KİŞİSEL VERİ ÇALIŞMA KOMİTESİ 16
8. POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU 17

ŞİRKETİMİZ

ASM Dekorasyon Mobilya Granit Mermer İnşaat Sanayi Ticaret Limited Şirketi inşaat sektöründe başlıca inşaat proje ve yapımı alanında faaliyet göstermektedir. Şirket merkezimiz, Ahi Mesut Mahallesi Elvan Cadde No: 42B/1 ETİMESGUT/ANKARA adresinde bulunmaktadır.

1. GENEL OLARAK KİŞİSEL VERİLERİ İŞLEME VE SAKLAMA POLİTİKA METNİ

Şirketimizin Kişisel Verileri İşleme Ve Korunma Politika Metni ("Politika Metni") ile:

  1. Kişisel Verilerin Korunması Hakkında Kanun ("KVKK") ve ilgili mevzuattan kaynaklanan hukuki yükümlülüklerin yerine getirilmesi,
  2. Kişisel verilerin işlenmesine ilişkin olarak öngörülen uygulamaların hayata geçirilmesi,
  3. Kişisel verilerin işlenmesi konusunda kurum içi farkındalık oluşturulması ve bunun sürekliliğinin sağlanması

amaçlanmakta ve nihayet, bunun Şirketimizin toplam kalite hedefleyen bütüncül perspektifli yönetim anlayışımızın önemli bir bileşeni haline getirilmesi öngörülmektedir.

1.1. Politika Metninin Hedefleri

Politika Metni, Şirketimizde hakim olan yönetim anlayışının, kişisel verilerin korunması hukuku çerçevesinde geliştirilmesi; bu bağlamda, kişisel veriler konusunda Şirketimiz, personel, müşteri, tedarikçi, çalışan ve diğer ilgili kişilerin hak ve yükümlülüklerini, bu konuda Şirketimizce yapılacak iş ve işlemleri, ilgili kişilerin haklarını kullanma esaslarını toplu ve tutarlı ve sistematik bir şekilde ortaya koymaktadır.

Politika Metni, şu hedefleri gerçekleştirmek üzere hazırlanmıştır:

  1. KVKK ve ilgili mevzuatta yer alan yükümlülüğün yerine getirilmesi,
  2. Şirketimizin kişisel verilerin işlenmesi ve korunması konusundaki durumumun topluca ortaya konulması,
  3. Şirketimizin faaliyetlerini sürdürmesi sırasında karşılaşacağı kişisel verilerin işlenmesi hususlarına ilişkin bir rehber oluşturulması,
  4. Kişisel verilerin işlenmesi ve korunması anlayışının Şirket yönetiminin bir parçası haline getirilmesi,
  5. Şirket yönetiminin bir parçası haline gelen bu esasların, değişiklik ve yeniliklere uyum sağlayabilmesi için güncellenmesine ilişkin bir düzen getirilmesi.

1.2. Teknik İfadeler

Bu Politika Metninde yer alan hukuki ifadeler KVKK ve ilgili mevzuatta kullanıldıkları kapsam ve içerikte kullanılmıştır.

1.3. İlkeler

Bu Politika Metni, KVKK md.4 4/2'de yer alan şu 5 ilke üzerine hazırlanmıştır:

  1. Hukuka ve dürüstlük kuralına uygunluk,
  2. Doğruluk ve güncellik,
  3. Belirli, açık ve meşru amaçlarla işleme,
  4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme,
  5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme.

Şirketimiz, kişisel verilerin işlenmesi konusundaki uygulamalarını, mevzuata ve bu 5 ilkeye dayandırmaktadır. Özellikle mevzuatta açıklık bulunmayan hallerde veya uygulamada tereddüt yaşandığı durumlarda, Şirketimiz, şartların mümkün kıldığı özen çerçevesinde gerekli incelemeleri ve araştırmaları yaptıktan sonra, uygulamasına bu ilkeler çerçevesinde yön verecektir.

Şirketimizin yönetim belgeleri içerisinde yer alan Kişisel Veri Saklama ve İmha Politikası Metni Şirketimizin, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak alınan politikayı ortaya koyan bir metin olup, bu Politika Metninin bir tamamlayıcısıdır. Kısaca imha politikası metni olarak adlandıracağımız bu metne ilişkin ilkeler ise şunlardır:

  • İşlenme şartları tamamen ortadan kalkan kişisel veriler re'sen veya ilgili kişinin talebi üzerine imha edilir.
  • Kişisel verilerin imhası konusunda KVKK md.5'te yer alan ilkelere, ilgili diğer mevzuat hükümlerine ve imha politikası metninde yer alan esaslara uyulur.
  • Kişisel verilerin imhasına ilişkin olarak yapılan bütün işlemler kayıt altına alınır ve bu kayıtlar en az üç yıl süreyle saklanır.
  • Kişisel verilerin imha yöntemine ilişkin olarak aksi öngörülmedikçe, Şirketimiz ilgili kişinin varsa talebini de dikkate alarak en uygun yöntemi seçer, gerekçelerini açıklar.

2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

2.1. Genel Olarak

Şirketimiz bulundurduğu kişisel verileri, KVKK md.5'te yer alan aşağıdaki şartlar dahilinde işleyecektir:

i. Şirketimizce toplanan kişisel veriler, kural olarak ilgili kişinin açık rızası var ise işlenir.

ii. Şirketimizin bulundurduğu kişisel veriler ilgili kişinin açık rızası olmasa dahi, KVKK md. 5/2 sayılan şu hallerde işlenebilir:

  1. Kanunlarda açıkça öngörülmesi.
  2. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  6. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.
  7. KVKK md.5 5/2’ fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda açık rıza olmasa dahi kişisel verilerin işlenebileceği ifade edilmiştir. Bu şart, diğer şartlara göre, daha genel nitelikli ve daha geniş kapsamlı olup, Şirketimizin faaliyet konuları, topladığı kişisel veriler ve bunları işleyiş şekilleri göz önüne alındığında, Şirketimiz özelinde uygulanabilir görünmemektedir. Bununla birlikte, çok istisnai de olsa bu halin açık rıza olmasa dahi kişisel verilerin Şirketimizce işlenmesi şartları içerisinde yer alabileceği belirtilmelidir.

2.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin işlenmesi için ilgili kişinin açık rızasının alınması şarttır. Ancak şu hallerde özel nitelikli kişisel veriler açık rıza aranmaksızın Şirketimizce işlenebilir:

i. Sağlık ve cinsel hayat dışındaki kişisel veriler söz konusu olduğunda kanunlarda öngörülen hâllerde,

ii. Sağlık ve cinsel hayata ilişkin kişisel veriler söz konusu olduğunda ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunduğumuz hallerde.

KVKK md.6 6/1 1'de özel nitelikli kişisel veri; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kapsayacak şekilde sınırlı olarak sayılmıştır. Şirketimiz ana faaliyet konularına ilişkin normal işleyişinde özel nitelikli kişisel verilerin işlenmesi nadir karşılaşılan bir durumdur. Bununla birlikte, bu tür kişisel verilerin işlenmesinin gerektiği durumlarda veri sahibinden açık rıza alınmaktadır. Özel nitelikli kişisel verilerin işlenmesinde, Kişisel Veri Koruma Kurumu ("KVK Kurumu") tarafından belirlenen önlemlerin de alınacağı tabiidir.

3. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERE İLİŞKİN TEMEL BİLGİLER

Bu bölümdeki bilgiler, Şirketimizce işlenen kişisel verilere KVK Kurumu bünyesindeki Veri Sorumluları Sicil Bilgi Sistemine kaydı yapılmış bulunan Şirketimiz Veri Envanterine dayanmaktadır.

3.1. Toplanan Kişisel Veri Kategorileri

Şirketimizde aşağıdaki 14 kategori altında kişisel veri toplanmaktadır:

3.1.1. Kimlik Bilgisi: Her ticari işletmede olduğu gibi yoğun olarak toplanmakta ve işlenmektedir. Çalışan adayı, referans, çalışanlar, çalışan eşi ve çocukları, eğitmenler, ziyaretçiler, tedarikçi/taşeron veya müşteri yetkilisi, arsa sahipleri, potansiyel müşteriler vb. kişilere aittir. İş akdi, finans, hukuk, İSG, pazarlama ve yönetim süreçleri amacıyla işlenir.

3.1.2. İletişim Bilgisi: Faaliyetlerin sürdürülmesi için büyük önemi haizdir. Çalışan adayı, çalışan, tedarikçi/taşeron çalışanları, müşteriler, proje müellifleri, yapı denetim çalışanlarına ait telefon, e-posta vb. verilerdir.

3.1.3. Özlük Bilgileri: Çalışan adayları, çalışanlar, şirket yetkilileri ve taşeron çalışanlarının özlük bilgileri mevzuattan kaynaklı yükümlülükler ve iş akdi süreçleri doğrultusunda toplanır ve işlenmektedir.

3.1.4. Hukuki İşlem Bilgisi: Çalışanların hukuki işlem bilgileri; hukuk işlerinin takibi, iş akdi ve denetim faaliyetleri amacıyla toplanmaktadır.

3.1.5. Müşteri İşlem Bilgileri: Tahsil/tediye, ruhsat ve teminat işlemlerinin gerçekleştirilmesi kapsamında finans, muhasebe ve satış süreçleri amacıyla toplanır.

3.1.6. Fiziksel Mekân Güvenliği Bilgisi: Güvenliğin temini ve ziyaretçi kaydı amacıyla, mevcut kamera sistemleri ve danışmadaki Excel kayıtları üzerinden binaya giriş çıkış yapanlardan toplanır.

3.1.7. İşlem Güvenliği Bilgisi: Kablolu/kablosuz internet erişimi kullanan çalışanların IP adresleri, kullanıcı adları ve parolaları loglanarak bilgi güvenliği amacıyla işlenir.

3.1.8. Finans Bilgisi: Ticari faaliyet ve ödemelerin kesintisiz sürmesi amacıyla çalışan, müşteri, potansiyel müşteri, taşeron/tedarikçi finansal bilgileri işlenmektedir.

3.1.9. Mesleki Deneyim Bilgisi: Çalışanlar, adaylar, taşeronlar ve yapı denetim firması çalışanlarının kariyer gelişimi ve görevlendirme süreçleri için mesleki deneyim bilgileri toplanır.

3.1.10. Görsel ve İşitsel Kayıtlar: Fiziksel mekan güvenliği amacıyla kamera güvenlik sistemi üzerinden toplanan görsel kayıtlardır.

3.1.11. Sağlık Bilgileri (Özel Nitelikli): Çalışan ve müşterilerden; İSG faaliyetleri, yan haklar ve iş sürekliliği süreçlerinin yürütülmesi amacıyla toplanır.

3.1.12. Ceza Mahkûmiyeti ve Güvenlik Tedbiri Bilgisi (Özel Nitelikli): Çalışan ve taşeron çalışanlarının adli sicil bilgileri fiziki olarak toplanır ve açık rıza ile işlenir. Taşeron çalışanlarının verileri taşeron şirketten alındığı için açık rıza sorumluluğu taşeron şirkete aittir.

3.1.13. Biyometrik Bilgi (Özel Nitelikli): Çalışanların parmak izleri, elektronik takip sistemi üzerinden iş akdi takibi ve performans değerlendirme amacıyla açık rıza alınarak toplanmaktadır.

3.1.14. Diğer Veriler: Banka kredisi başvurularında ortakların malvarlığı bilgileri, tapu, gayrimenkul ve muvafakatname bilgileri sicile kayıt esnasında "diğer" başlığı altında işlenmektedir.

3.2. Kişisel Verilerin Toplanma Yöntemleri

Şirketimizde 3'ü ana olmak üzere toplam 7 yöntem ile kişisel veri toplanmaktadır:

  • 3.2.1. Fiziki: a. İş başvuru formu, b. Form oluşturulması, c. İmzalanan Sözleşmeler
  • 3.2.2. Bilgi Sistemleri (Elektronik): d. Bilgisayar girişi, e. E-mail aracılığıyla, f. Hot-Spot İnternet Sağlayıcılığı
  • 3.2.3. CCTV

3.3. Toplanan Kişisel Verilerin Sahipleri

  • 1) Çalışan
  • 2) Çalışan Adayı
  • 3) Çalışan Adayı Referansı
  • 4) Çalışan Eş ve Çocukları
  • 5) Tedarikçi (Yetkilisi/Çalışanı)
  • 6) Taşeron (Yetkilisi/Çalışanı)
  • 7) Müşteri
  • 8) Potansiyel Müşteri
  • 9) Şirket Ortakları
  • 10) Şirket Yetkilisi / Sorumlusu
  • 11) Eğitmen
  • 12) Proje Müellifi
  • 13) Yapı Denetim Firması Çalışanı
  • 14) Arsa Sahibi
  • 15) Ziyaretçi

3.4. Toplanan Kişisel Verilerin İşlenmesinin Hukuki Nedeni

  1. Kişisel veri sahibinin açık rızası.
  2. Kanunlarda açıkça öngörülmesi.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, söz konusu kişisel verilerin işlenmesinin gerekli olması.
  4. Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması.
  7. Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Şirketimiz tarafından işlenen özel nitelikli kişisel veriler ise KVKK md.6’ya uygun şekilde veri sahibinin açık rızası ve kanunlarda yer alan hallere münhasır olarak işlenmektedir.

3.5. Toplanan Kişisel Verilerin Hangi Amaçlarla İşlendiği

Şirketimizin kişisel veri işleme amaçları genel olarak şunlardır:

  • 1. Çalışan adaylarının başvuru süreçleri
  • 2. İş akdi ve mevzuattan kaynaklı yükümlülükler
  • 3. Çalışan memnuniyeti ve bağlılığı
  • 4. Yan haklar ve menfaat süreçleri
  • 5. Denetim / etik faaliyetleri
  • 6. Faaliyetlerin mevzuata uygun yürütülmesi
  • 7. Finans ve muhasebe işleri
  • 8. Fiziksel mekân güvenliğinin temini
  • 9. Bilgi güvenliği süreçleri
  • 10. Erişim yetkilerinin yürütülmesi
  • 11. Görevlendirme süreçleri
  • 12. Hukuk işlerinin takibi
  • 13. İş faaliyetlerinin denetimi
  • 14. İş sağlığı / güvenliği (İSG)
  • 15. Süreç iyileştirme ve öneriler
  • 16. İş sürekliliğinin sağlanması
  • 17. Mal / hizmet satın alım ve satış süreçleri
  • 18. Pazarlama analiz ve reklam/kampanya
  • 19. Risk yönetimi ve sözleşme süreçleri
  • 20. Yetkili kurum ve kuruluşlara bilgi verilmesi
  • 21. Ziyaretçi kayıtlarının takibi

4. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERE İLİŞKİN AKTARILMASI VE HUKUKİ DAYANAĞI

Şirketimizce işlenen kişisel verilerin aktarılma durumları şu şekildedir:

a) Şirketimizce işlenen hiçbir kişisel veri yurt dışına aktarılmamaktadır.

b) Özel nitelikli kişisel veri haricindeki kişisel veriler ile çalışan/adaylara ait adli sicil raporu, sağlık raporu, engellilik durumu, parmak izi vb. veriler yalnızca hissedarlarımıza, kanunen yetkili kamu ve özel kurumlara ve danışman/denetçilere aktarılmaktadır. Bu aktarımlar için gerekli açık rızalar alınmıştır.

Aktarım dayanakları KVKK md.8 atfıyla md.5/2'de yer alan; Kanunlarda açıkça öngörülmesi, Sözleşme ifası, Hukuki yükümlülük, Bir hakkın tesisi ve Veri Sorumlusunun Meşru Menfaati şartlarına dayanır.

5. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE İMHA EDİLMESİ

5.1. Kişisel Verilerin Saklanması

Şirketimiz, "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" uyarınca bir Kişisel Veri Saklama ve İmha Politikası hazırlayarak kabul etmiştir. Veriler; ticari faaliyetlerin sürdürülmesi, hukuki yükümlülükler, özlük dosyası oluşturulması ve muhasebe amaçlarıyla yasal sınırlar dahilinde saklanır.

KVKK md.12 uyarınca, verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirler alınmıştır:

5.1.1. İdari Tedbirler

  1. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  2. Veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  3. Gizlilik taahhütnameleri yapılmaktadır.
  4. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  5. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  6. Fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  7. Fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  8. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  9. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  10. Kişisel veri güvenliğinin takibi yapılmaktadır.

5.1.2. Teknik Tedbirler

  1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  3. Anahtar yönetimi uygulanmaktadır.
  4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  5. Erişim logları düzenli olarak tutulmaktadır.
  6. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  7. Güncel anti-virüs sistemleri kullanılmaktadır.
  8. Güvenlik duvarları kullanılmaktadır.
  9. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  10. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  11. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  12. Mevcut risk ve tehditler belirlenmiştir.
  13. Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  14. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  15. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  16. Şifreleme yapılmaktadır.
  17. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmıştır.

Saklama Süreleri: Çalışan adayları/referans verileri ve kamera kayıtları en fazla 1 yıl, kullanıcı adı ve parola bilgileri 2 yıl, log kayıtları ise 6 ay saklanır. Diğer veriler mevzuat veya meşru menfaat süresince tutulur.

Fiziki Güvenlik: Fiziki veriler birim yöneticilerinin kilitli arşivlerinde, 2 yılı geçen aktif veriler Genel Arşivde, eski ve aktif olmayan veriler ise sadece arşiv amaçlı kiralanan güvenlikli bir sitedeki dairede saklanır. Dijital veriler ise güvenli sunucularda korunmaktadır.

5.2. Kişisel Verilerin İmhası

TCK md.138 ve KVKK md.7 çerçevesinde işleme sebepleri ortadan kalktığında veriler re'sen veya talep üzerine silinir, yok edilir veya anonim hale getirilir. Prosedürlerin detayları İmha Politikasında yer almaktadır.

6. VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

KVKK md.11 uyarınca herkes şirketimize başvurarak kendisiyle ilgili;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
  • Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme,
  • Düzeltme, silme ve yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kanuna aykırı işleme sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.

Başvurular şirketimizin web sitesi (www.asm-group.com.tr) üzerinden veya sağlanan imkanlarla yapılabilir. Başvurular değerlendirilerek 30 gün içerisinde ücretsiz olarak olumlu/olumsuz şekilde yanıtlanacaktır.

7. KİŞİSEL VERİ ÇALIŞMA KOMİTESİ

Şirketimizde mevzuat değişikliklerinin izlenmesi, yönetime raporlama sunulması, farkındalık artırılması ve yönetim belgelerinin güncellenmesi amacıyla Genel Müdür tarafından belirlenen 2 personelden (İnsan Kaynakları ve Mali İşler) oluşan Kişisel Veri Çalışma Komitesi ihdas edilmiştir. Gerekli hallerde şirket dışından teknik destek alınacaktır.

8. POLİTİKA METNİNİN YÜRÜRLÜĞÜ VE REVİZYONU

Bu Politika Metni Şirketimiz genel kurulunca 31/08/2020 tarihinde kabul edilerek 01/09/2020 tarihi itibariyle yürürlüğe konulmuştur. Revizyon teklifleri komite tarafından genel müdüre sunulur.

Revizyon Tarihi Revizyon Maddesi ve Konu
1.  
2.