KVKK Politikası
Kişisel Verilerin İşlenmesi ve
Korunması Politikası
……………………………………………….. (bu kısma şirketin tam ünvanı
yazılacak) Şirketi
Kişisel Verilerin Korunması ve İşlenmesi
Politikası
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
1.VERİ GİZLİLİĞİ TAAHHÜDÜ
İşbu Veri Gizliliği ve Güvenliği Politikası (“Politika”), ………………………………………………..
(bu kısma şirketin tam ünvanı yazılacak), 6698
Sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuat ile hayata
geçirilen veri koruma yükümlülüklerini yerine getirirken ve ek olarak kişisel
verileri işlerken İnci Tanem Kuyumculuk içerisinde ve/veya İnci Tanem
Kuyumculuk tarafından uyulması gereken esasları belirlemektedir.
………………………………………………..
(bu kısma şirketin tam ünvanı yazılacak) Şirketi
kendi bünyesinde bulunan kişisel veriler için yeterli ve makul güvenlik
düzeyini uygulamayı, kişisel verilerin gizliliğine saygı duymayı ve işbu
Politika’ ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk
sağlayacağını taahhüt eder.
2.POLİTİKANIN AMACI
Bu Politikanın temel amacı, İnci Tanem Kuyumculuk tarafından hukuka uygun
bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin
korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri
şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek
şeffaflığı sağlamaktır.
3.POLİTİKANIN KAPSAMI
İşbu Politika; İnci Tanem Kuyumculuk‘ un tüm departmanlarını ve
çalışanlarını kapsamaktadır.
İşbu Politika; İnci Tanem Kuyumculuk kişisel verileri işlemekte olduğu tüm
faaliyetleri kapsayacak olup, her türlü olay ve eylemde uygulanacaktır.
İşbu Politika anonim hale getirilmiş ya da kişisel veri olmayan veriler
hakkında uygulanmayacaktır.
Yeni mevzuatlar ile belirlenmesi durumunda, İnci Tanem Kuyumculuk‘ un kişisel
veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde daha yüksek bir
güvenlik seviyesi sağlayacak ve mevzuat gerekliliklerine uyacaktır.
İşbu Politika’ nın İnci Tanem Kuyumculuk ‘ un tarafından uygulanmasında
hukuki bir engel olduğuna kanaat getirildiği durumlarda, İnci Tanem Kuyumculuk‘
un uygulayacağı adımları, gerek görülmesi durumunda Kurul’a da danışarak,
yeniden belirleyecektir.
4.TANIMLAR
İşbu Politika' da kullanılan tanımlar aşağıda yer almaktadır:
Açık rıza |
Belirli bir konuya
ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim hale getirme |
Kişisel verilerin,
başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Kişisel veri |
Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel verilerin
işlenmesi |
Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem |
KVK Kanunu |
6698 sayılı Kişisel
Verilerin Korunması Kanunu |
KVK Kurulu |
Kişisel Verileri
Koruma Kurulu |
KVK Kurumu |
Kişisel Verileri
Koruma Kurumu |
Özel nitelikli
kişisel veri |
Kişilerin ırkı,
etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biometrik ve genetik verileri |
Veri işleyen |
Veri sorumlusunun
verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya
tüzel kişi |
Kişisel veri sahibi |
KVK Kanunu'nda
"ilgili kişi" olarak addedilen, kişisel verisi işlenen gerçek kişi |
Veri sorumlusu |
Kişisel verilerin
işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri Sorumluları
Sicili |
Kişisel Verileri
Koruma Kurulu gözetiminde Başkanlık tarafından tutulan veri sorumluları
sicili (VERBİS) |
Veri Envanteri |
İnci
Tanem Kuyumculuk’ un iş süreçlerine bağlı olarak gerçekleştirmekte
olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları,
kişisel verilerin aktarıldığı alıcı grubu ve ilgili kişisel veri sahibi
grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanter. |
5.KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI
İnci Tanem Kuyumculuk ‘ un nezdinde; İnci Tanem Kuyumculuk ‘ un meşru ve
hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5.
maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına
dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin
4. maddede belirtilen ilkeler olmak üzere, KVK Kanunu’nda belirtilen genel
ilkelere ve KVK Kanunu’nda düzenlenen tüm yükümlülüklere uyularak ve işbu
Politika kapsamındaki kişisel veri sahipleri (Müşteriler, Potansiyel
Müşteriler, Çalışanlar, Çalışan Adayları, Stajyer, İşbirliği İçinde Olduğumuz
Tedarikçi Çalışanları, Tedarikçi Yetkilileri, Referans, Hissedar/Ortak, Çalışan
Yakını, Referans vb.) ile sınırlı olarak ;
- Şirketimiz
tarafından yürütülen ticari faaliyet gereklerinin yerine getirilmesi ve
hizmetin ifası ile şirketimiz tarafından sunulan ürün ve hizmetlerden
ilgili kişileri faydalanmasını sağlamak,
- Satış sonrası
destek hizmetleri aktivitelerinin planlanması ve/veya icra edilmesi,
- Şirketimizin
ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna
bağlı iş süreçlerinin yürütülmesi ve raporların yapılması,
- Üretim/ Satış ve
tamir hizmetleri için alınan kişisel veriler,
- Şirketimizin
ticari, operasyonel ve iş stratejilerinin belirlenmesi ve uygulanması,
- Şirketimiz
ve/veya tedarikçilerimiz tarafından sunulan ürün ve hizmetler ile
şirketimizle iş ilişkisi içerisinde olan üçüncü kişilerin hukuki ve ticari
güvenliğinin temini, hukuksal süreçlerin takibi ve mevzuattan doğan
hakların tesisi, kullanılması ve korunması,
- Şirket
faaliyetlerimizin, şirket prosedürleri veya ilgili mevzuata uygun olarak
yürütülmesinin temini,
- Kurumsal
sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği
süreçlerinin planlanması, denetimi ve icrası; iş sürekliliğin sağlanması,
- İhtiyaca göre
farklılıklar arz eden sektörlerdeki iş ortaklarımız ile yürütülen işlerin
icrası ve ilişkilerin yönetimi,
- Kamu Kurum ve
bütün otoritelerce öngörülen bilgi paylaşımı, raporlama, bilgilendirme
yükümlülüklerinin yerine getirilmesi,
- Yasal mevzuattan
kaynaklanan bilgi ve belge saklama yükümlülüklerinin yerine getirilmesi,
- Şirketimizce
ihtiyaç duyulan planlama ve istatistik faaliyetlerinin yürütülmesi,
- Şirketimizin
ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
- Finans, iletişim,
pazar araştırması ve satın alma operasyonlarımızın yürütülmesi,
- Şirket içi sistem
ve uygulama yönetimi operasyonlarının sürdürülmesi,
- Ürün ve/veya
hizmetlerin pazarlama süreçlerinin planlanması ve icra edilmesi,
- Şirketin sunduğu
ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması
süreçlerinin planlanması ve/veya icra edilmesi,
- Hukuki
süreçlerimizin yönetilmesi, tarafınıza kesintisiz olarak daha iyi ve güvenilir
hizmet verilebilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6.
maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde
işlenecektir.
İnci Tanem Kuyumculuk‘ un Kişisel Verileri Koruma Kurumu tarafından
çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri
oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri
işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve
saklama süreleri yer almaktadır.
Bu kapsamda İnci Tanem Kuyumculuk içerisinde aşağıdaki türlerde veri
kategorileri bu türlerle sınırlı olmamakla beraber bulunmaktadır ;
Kimlik bilgisi, iletişim bilgisi, özlük bilgisi, hukuki işlem
bilgisi, müşteri işlem bilgisi, fiziksel mekân güvenliği bilgisi, finans
bilgisi, mesleki deneyim bilgisi, pazarlama satış bilgisi, görsel ve işitsel
kayıt bilgisi, ırk ve etnik köken bilgisi, din bilgisi (eski kimlikte), dernek
üyeliği (cv’ de), vakıf üyeliği (cv’ de), sağlık bilgisi ile ceza mahkumiyeti
ve güvenlik tedbirleri bilgisi ve diğer bilgiler (oda sicil no, imza, çalışan
yakını eğitim durumu) veri kategorisi.
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
6.1.Hukuka Uygunluk
Şirketimiz, Anayasa başta olmak üzere,
KVK Kanunu ve ilgili mevzuata uygun olarak, kişisel verileri işleme
faaliyetlerini hukuka ve dürüstlük kurallarına uygun olarak yürütür.
6.2.Verilerin Doğru ve Gerektiğinde Güncel Olması
Şirketimiz; kişisel veri sahiplerinin temel haklarını
ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel
verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri
almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel
tutulmaya çalışılmakta, doğruluğu ve güncelliğini sağlamaya yönelik her türlü
idari ve teknik tedbirler alınmaktadır. (Her birim ve veri işleyen personel
işledikleri verilerin güncelliğinin sağlanması konusunda sorumluluk
taşımaktadır.)
6.3.Belirli, Meşru ve Açık Amaç
Şirketimiz; yalnızca açık ve kesin olarak belirlenen
meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme
faaliyetinde bulunmamaktadır. Şirketimiz tarafından kişisel verilerin
işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel
Veri Envanteri” ne de işlenmektedir.
6.4.Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve
Ölçülü Olması
Şirketimiz tarafından kişisel veriler, belirlenen
amaçların gerçekleştirilebilmesi için gerektiği ölçüde işlenmektedir. Sonradan
kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir. Bu
kapsamda süreçler sürekli gözden geçirilmekte, kişisel
verilerin azaltılması ilkesi hayata geçirilmeye çalışılmaktadır.
6.5.Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve
Sonrasında Silinmesi
Şirketimiz, kişisel verileri ancak ilgili mevzuatta
belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza
etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel
verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte,
bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza
zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç
için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini
gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin “Veri
İmha Politikası”na göre silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
7.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler yalnızca aşağıda belirtilen yasal dayanaklar kapsamında
toplanabilir, işlenebilir veya kullanılabilir.
7.1Açık Rıza
Kişisel verilerin korunması Anayasal bir hak olup, temel hak ve
hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde
belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın
20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimizce,
kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin
açık rızası aranmaksızın kişisel verileri işlenmektedir;
- Açık rıza özgür
irade ile verilmelidir, aksi durumda hükümsüzdür.
- İlgili kişiden
yazılı olarak veya elektronik ortamda açık rıza alınacaktır. Bu durumlara
ek olarak kayıt alınması durumlarda sözlü rıza da kabul edilebilir. Bu
şekilde açık rızalar ispatlanabilir şekilde kaydedilecektir. Açık rıza
alınmadan önce kişilere ilgili hakları bildirilecektir.
- Özel
nitelikli kişisel verilerin işlenmesi gerekli durumlarda açık rızalar
kanıtlanabilir şekilde alınacaktır.
- Kişisel
veri işleyen departmanlar, işledikleri kişisel veriler toplanırken ilgili
veri sahibinin açık rızasının varlığının ve geçerliliğinin kontrolünü
sağlamakla yükümlüdür. Açık rıza olmadığının tespit edilmesi durumunda
veri işleme faaliyeti durdurulacaktır.
7.2.Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
7.2.1Kanunlarda açıkça öngörülmesi,
7.2.2Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
7.2.3Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması.
7.2.4Veri sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
7.2.5Veri sahibinin kendisi tarafından
alenileştirilmiş olması,
7.2.6Bir hakkın tesisi, kullanılması veya korunması
için veri işlemenin zorunlu olması,
7.2.7Veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması.
7.3.Özel Nitelikli Kişisel Verilerin İşlenmesi
- Özel nitelikli
kişisel veriler yalnızca veri sahibinin ispatlanabilir açık rızasının
bulunması ya da kanunlarda açıkça öngörüldüğü hallerde işlenebilir.
- Sağlık ve cinsel
hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza
almaksızın işlenebilir. Bu tarz bir işleme durumunda, veri işleyen sır
saklama yükümlülüğü altındadır.
- Özel nitelikli
kişisel veriler işlenirken, Kurul tarafından belirlenen yeterli önlemler
alınacaktır.
- Özel nitelikli
kişisel verilerin işlenmesi gereken her durumda KVKK Komitesi
bilgilendirilecektir.
7.4.Çalışanların Verilerinin İşlenmesi
- Yukarıda
belirlenen tüm kişisel veri işleme ilkeleri, çalışanların kişisel verileri
üzerinde de uygulanacaktır.
- CV toplama
kanallarını kullanmadan iş başvurusunda bulunan kişilerin kişisel verileri
iş ilişkisini başlatmak amacı ile açık rızaları Çalışan adayı aydınlatma
metninin ekinde yer alan açık rıza beyan formu okunup imzalatıldıktan sonra
işlenebilir. Çalışan adayının açık rızası halinde formda belirtilen süre
kadar( 1 yıl ) saklanabilecektir.
- İş ilişkisi
ile bağlantılı ve sözleşmenin ifası ile ilgili olan çalışan; kişisel
verileri çalışanların açık rızası olmadan işlenebilir. Aksi durumlarda,
çalışanın onayı, hukuki hükümlülük, meşru menfaat ve benzeri bir gerekçe
olmalıdır.
8. KİŞİSEL VERİLERİN AKTARILMASI
8.1.Türkiye’de Bulunan Üçüncü Kişilere Aktarım
8.1.1. Kişisel veriler yalnızca ilgili kişinin açık
rızası bulunduğu durumlarda Türkiye’de bulunan üçüncü kişilere
aktarılabilir.
8.1.2. Kişisel veriler kanunun 5. Maddesinin 2.
fıkrasında belirtilen koşullardan en az birinin geçerli olması halinde, kişinin
açık rızası olmadan Türkiye’de bulunan üçüncü kişilere aktarılabilir.
8.1.3.Kişisel verilerin Türkiye içerisindeki aktarımı
sırasında uyulacak yükümlülüklere uygunluğun sağlanmasından aktarımı yapan
ilgili departman sorumludur.
8.2.Yurt
Dışında Bulunan Üçüncü Kişilere Aktarım
8.2.1.Kişisel verilerin yurtdışına aktarılmasına
ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda veri sahibinin açık rızası
aranmaktadır.
8.2.2.Ancak, özel nitelikli kişisel veriler dahil,
kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen
şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli
korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da
Atlantis Life tarafından kişisel veriler yurtdışına aktarılabilecektir.
8.2.3.Eğer aktarım yapılacak ülke Kurul tarafından
yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, İnci Tanem
Kuyumculuk ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı
yazılı olarak taahhüt edecek ve Kurul’dan izin alınacaktır.
9.Kişisel Sağlık Verilerinin Aktarımı
9.1.1.Kişisel sağlık verileri anonim hale
getirilmeden, mevzuata uygun olmadan, gerekli izin ve onaylar alınmadan üçüncü
kişilere aktarılamaz.
9.1.2.Kişisel sağlık verileri kamu sağlığının
korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amaçları çerçevesinde ve kanunlarda açıkça öngörülmüş olması durumunda kamu
kurum ve kuruluşlarına aktarılabilir.
9.1.3.Sağlık verilerinin aktarımı sırasında uyulacak
yükümlülüklere uygunluğun sağlanmasından aktarımı yapan ilgili departman
sorumludur.
10.GİZLİLİK
İnci Tanem Kuyumculuk içerisinde kanun kapsamında
işlenen kişisel verilerin tamamı gizlidir. Çalışanlar, kişisel veriler üzerinde
yalnızca kendilerine tanımlanan yetki dahilinde toplama, işleme, aktarım,
kullanım, silme, yok etme, anonimleştirme faaliyetlerini yürütebilir. Aksi
durumda çalışanların bu faaliyetleri yürütmesi yasaktır. Ek olarak, çalışanlar
kişisel verileri bireysel veya ticari amaçlarla kullanamaz. Personelle
imzalanan gizlilik sözleşmesinde ayrıca belirtilmiştir.
11.GÜVENLİK
Kişisel verilerin güvenliği sırasıyla çalışan,
departman ve Atlantis Life sorumluluğundadır. Kişisel verilerin kaybolmasına,
hukuka aykırı olarak işlenmesine, kötüye kullanılmasına, yetkisiz kişilerce her
türlü işleme alınmasına karşı korunması gerekmektedir. Bu güvenlik önlemleri
elektronik ve fiziki olarak saklanan kişisel verilerin tamamını kapsamaktadır.
İnci Tanem Kuyumculuk, kişisel verilerin hukuka uygun
işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre
teknik ve idari tedbirler almaktadır.
11.1. Kişisel Verilerin Hukuka Uygun İşlenmesini
Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan
Teknik Tedbirler
İnci Tanem Kuyumculuk, kişisel verilerinizi korumak
amacıyla her türlü teknik, teknolojik güvenlik önlemlerini almış ve olası risklere
karşı kişisel verilerinizi korumaktadır. Güvenlik tedbirlerinden bazıları;
- Ağ güvenliği ve
uygulama güvenliği sağlanmaktadır.
- Bilgi
teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki
güvenlik önlemleri alınmaktadır.
- Güncel anti-virüs
sistemleri kullanılmaktadır.
- Güvenlik
duvarları kullanılmaktadır.
- Saldırı tespit ve
önleme sistemleri kullanılmaktadır.
- Şifreleme
yapılmaktadır. Kişisel veri içeren sistemlere kullanıcı adı ve şifre
kullanılmak suretiyle erişim sağlanmaktadır
- Çalışanlar için
yetki matrisi oluşturulmuştur
- Erişim, bilgi
güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
hazırlanmış ve uygulamaya başlanmıştır.
- Şifreleme
yapılmaktadır. Kişisel veri içeren sistemlere kullanıcı adı ve şifre
kullanılmak suretiyle erişim sağlanmaktadır.
- Çalışanlar için
veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık
çalışmaları yapılmaktadır.
- Çalışanlar için
veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Kişisel veri
içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik
önlemleri alınmaktadır.
- Kişisel veri
içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
- Kişisel veri
içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler
mümkün olduğunca azaltılmaktadır.
11.2.Kişisel Verilerin Hukuka Uygun İşlenmesini
Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi
Engellemek İçin Alınan İdari Tedbirler
11.1.Kuruluş içerisinde bilgi güvenliği operasyonu ve
uygulamasının başlatılması ve kontrol edilmesi amacıyla bir yönetim çerçevesi
kurulmuştur.
- KVKK Komitesi ve
İrtibat kişisi atanmış ve görev tanımları belirlenmiştir.
- KVKK Başvuru
kanalları belirlenmiştir.
- İhlal, talep/şikâyet
yönetim iş akışları belirlenmiştir.
11.2.Kişisel verilerin işlenmesi ve korunmasına
ilişkin Ana esaslar, politika ve prosedürler belirlenmiştir.
- Veri İşleme ve
Saklama Politikası Oluşturulmuştur.
- Kişisel Verilerin
İşlenmesi ve Korunması Politikası Oluşturulmuştur.
- Bilgi Güvenliği
Yönetim Politikası Oluşturulmuştur.
- Özel Nitelikli
Kişisel Veri Güvenliğine Yönelik Politika Oluşturulmuştur.
11.3..İşlenen
kişisel veriler kapsamında mevcut risk ve tehditler belirlenmiştir.
11.4.Çalışanlar için kişisel veri güvenliği konusunda
eğitim ve farkındalık çalışmaları yapılmaktadır.
11.5.Çalışanların ve yüklenicilerin bilgi güvenliği
sorumluluklarının farkında olmaları ve yerine getirmelerini temin etmek üzere
veri güvenliğine ilişkin rol ve sorumluluklar ile görev tanımları
belirlenmiştir.
11.6..Çalışanlar için güvenlik politika,
ana esaslar ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci
mevcuttur.
11.7.Gizlilik
taahhütnameleri yapılmaktadır.
11.8.Çalışan,
müşteri, tedarikçi vs. için aydınlatma metni yayımlanmıştır.
11.9.Açık rıza
alınması gereken süreçler belirlenmiş ve uygulanmaktadır.
11.10.Kurum içi periyodik ve/veya rastgele denetimler
yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve
güvenlik zafiyetlerini gidermektedir.
11.11.İşleme amacı bakımından anılan kişisel verilere
ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca
azaltılmaktadır.
11.12.Verilerin hukuka aykırı yollarla başkaları
tarafından elde edilmesi halinde, durumu 72 saatte ilgili kişiye ve
Kurul’a bildirmek üzere çalışanlar tarafında gerekli önlemler
alınmaktadır.
11.3.Kişisel Verilerin Kanuni Olmayan Yollarla İfşası
Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa
sürede (Maksimum 72 saatte) ilgili veri sahibine ve Kurul'a
bildirecektir.
12.BİNA GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL
VERİ İŞLEME FAALİYETLERİ
12.1. İnci Tanem Kuyumculuk tarafından güvenliğin
sağlanması amacıyla, İnci Tanem Kuyumculuk ‘un binalarında güvenlik kamerasıyla
izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri
işleme faaliyetinde bulunulmaktadır.
12.2.Güvenlik kameraları kullanılması suretiyle İnci
Tanem Kuyumculuk tarafından kişisel veri işleme faaliyeti yapılmaktadır. Kamera
kayıtları 1 ay süreyle saklanmaktadır.
12.3. İnci Tanem Kuyumculuk güvenlik kamerası ile
izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya
ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
12.4.Bu izleme faaliyeti, KVKK ve Özel Güvenlik
Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
12.5.Bu kapsamda kamera ile izleme yapıldığı bilgisi,
tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır.
Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır.
12.6. İnci Tanem Kuyumculuk tarafından KVK Kanunu’nun
12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen
kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari
tedbirler alınmaktadır.
13.KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ
VE ANONİMLEŞTİRİLMESİ) ŞARTLARI
Türk Ceza Kanunu’nun 138. Maddesinde, KVK Kanunu’nun
7. Maddesinde ve Kurum tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok
Edilmesi ve Anonimleştirilmesi hakkında yönetmelik” uyarınca; ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde İnci Tanem Kuyumculuk’ un kendi kararına
istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir,
yok edilir veya anonim hâle getirilir. İnci Tanem Kuyumculuk bu konuda
yönetmelik hükümlerine göre bir Politika oluşturmuş ve bu Politika uyarınca verinin
niteliğine göre imha yapılmaktadır. Bu yönetmelik uyarınca İnci Tanem
Kuyumculuk tarafından periyodik imha tarihleri belirlenmiş olup, (6 ayda bir)
yükümlülüğün başlaması ile çeşitli aralıklarla periyodik imhanın yapılacağına
göre takvim oluşturulmuştur.( veri imha takip çizelgesi ile takip
edilmektedir.)
- İHLAL OLAYLARI
İnci Tanem Kuyumculuk ‘da çalışan her bir çalışan,
6698 sayılı Kişisel Verilerin Korunması Kanunu ve işbu Politika kapsamında
belirtilen kısıtlamalara aykırı olduğunu düşündüğü bir eylem veya olayı
departman yöneticilerine durumu fark ettiği en kısa sürede yazılı olarak
aktarmak ile yükümlüdür. Aktarmaması halinde doğabilecek zarar ve cezai
yükümlülük çalışana rücu edilebilecektir.
Yapılan bilgilendirmeler sonucunda İnci Tanem Kuyumculuk’
un KVKK komitesi mevzuatı dikkate alarak ihlal eylem veya olaylarına ilişkin
olarak ilgili kişi veya yetkili kuruma (KVKK) bildirim yapmakla yükümlü
tutulmuştur.
- SORUMLULUKLAR
İnci Tanem Kuyumculuk içerisinde sorumluluklar
sırasıyla çalışan, departman şeklindedir. Bu kapsamda;
17.1.Çalışanlar kendi çalışma alanları içerisinde
bulunan basılı veya bilgisayar ortamındaki tüm kişisel verilerden sorumludur ve
bu veriler üzerindeki her türlü işlemede kanunda ve işbu Politika’ da
belirtilen şartlara uyacaktır.
17.2.Departman yöneticileri, departmanları
içerisindeki çalışanların işlediği basılı veya bilgisayar ortamındaki tüm
kişisel verilerden sorumludur ve bu veriler üzerindeki her türlü işleme için
kanunda ve işbu Politika’ da belirtilen şartlara departmanının uygun
çalıştığını garanti etmektedir.
17.3.Departmanın yöneticileri, kontroller ve
denetimler yaparak kendi departmanlarında işbu Politika’ nın uygulanmasına
katkı verecektir.
17.4.Yönetici konumundaki çalışanlar kendi alanlarına
giren kişisel veri işleme faaliyetlerinden sorumludur ve kişisel verilerin
kanuna ve işbu Politika’ ya uygun işlenmesini sağlayacaktır.
17.5.Departmanlar kişisel veriler ile ilgili yeni veri
işleme, veri silme, belirsizlik ve benzeri her türlü durumda İnci Tanem
Kuyumculuk’ un KVKK Komitesini bilgilendirmek ile yükümlüdür. Bilgilendirmemesi
halinde doğabilecek zarar ve cezai yükümlülük çalışana rücu edilebilecektir.
- YÜRÜTME
İşbu Politika’ nın yürütülmesinden İnci Tanem
Kuyumculuk tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve
Kişisel Verilerin Korunması ve İşlenmesi Standardı' nın yürürlüğünü sağlamak
için yönetim yapısı kurulmuştur.
İnci Tanem Kuyumculuk bünyesinde işbu Politika ve bu
Politikaya bağlı ve ilişkili diğer Politikaları yönetmek üzere Şirket üst
yönetiminin kararı gereğince Kişisel Verilerin Korunması Komitesi (“Komite”)
kurulmuştur.
- POLİTİKA’NIN
YÜRÜRLÜK TARİHİ
İşbu Politika 20.05.2020
tarihinde yürürlüğe girmiştir.