Kişisel Verilerin Korunması ve İşlenmesi Politikası
I. VERİ GİZLİLİĞİ TAAHHÜDÜ
1.1. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Asnak Lojistik Teknolojileri Anonim Şirketi ‘nin (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuat hükümleri uyarınca kişisel verileri korumaya yönelik yükümlülüklerini yerine getirirken ve kişisel verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.
1.2. Şirket, kendi bünyesinde bulunan kişisel veriler bakımından işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
II. POLİTİKANIN AMACI
İşbu Politika’nın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik benimsenen sistemlere ilişkin açıklamalarda bulunmak ve Şirket nezdinde kişisel verileri işlenen kimliği belirli ve/veya belirlenebilir gerçek kişileri bilgilendirerek anayasal bir hak olan kişisel verilerin korunması hususunda şeffaflığı sağlamaktır.
III. POLİTİKANIN KAPSAMI
3.1. İşbu Politika, Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.
3.2. İşbu Politika; çalışan adaylarımızın, çalışanlarımızın, ortaklarımızın, yetkililerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum ve kuruluşların yetkilileri ve/veya çalışanlarının başta olmak üzere Şirket nezdinde otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen üçüncü kişilere ait tüm kişisel verilere ilişkindir.
3.3. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.
3.4. İşbu Politika, kişisel verilerin korunması mevzuatı düzenlemelerinin gerektirmesi halinde yahut Şirket’in Veri Sorumlusu Yetkilisi yahut Komite’nin gerekli gördüğü hallerde zaman zaman Şirket yönetim kurulu onayı ile değiştirilebilir.
IV. TANIMLAR
İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Veri sahibinin/ilgili kişinin kişisel verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rızayı ifade eder.
“Anayasa” 9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası
“Çalışan Adayı” Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmişi ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişileri ifade eder.
“İş birliği İçinde Olunan Kurumların Çalışan ve Yetkilileri” Şirket’in her türlü ilişki içerisinde bulunduğu kurum ve kuruluşların çalışanları ile bu kurum ve kuruluşların yetkilerini ifade eder.
“İmha” Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
“Kayıt Ortamı” Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü kayıt ortamını ifade eder.
“Kişisel Veri(ler)” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır).
“Kişisel Veri Envanteri” Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin aldığı tedbirleri detaylandırarak açıkladığı envanteri ifade eder.
“Kişisel Veri İşlenmesi” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
“Kişisel Verilerin Anonim Hale Getirilmesi” Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Kişisel Verilerin Silinmesi” Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
“Kişisel Verilerin Yok Edilmesi” Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
“Komite” İşbu Politika’nın ve Politika’ya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulu’nu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumu’nu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Şirket yönetim kurulu tarafından onaylanarak yürürlüğe giren ve Şirket’in, çalışanların, komitenin ve veri sorumlusu yetkilisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Periyodik İmha” Kişisel veri işleme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
“Veri İşleyen” Veri sorumlusu organizasyonu içinde veya veri sorumlusundan aldığı yetkiye ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Sahibi/İlgili Kişi” Kişisel verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder. “Veri Sorumlusu” Kişisel verileri işleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu Yetkilisi” Komite içerisinden seçilen ve Şirket’in Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade eder.
“Ziyaretçi” Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş ve/veya ziyaret etmiş gerçek kişileri ifade eder.
V. KİŞİSEL VERİLERİN KORUNMASI
Anayasa’nın 20. maddesi gereğince herkes kendisiyle ilgili Kişisel Veriler’in korunmasını isteme hakkına sahiptir. İşbu Politika ile Şirket; KVKK 12. maddesi uyarınca kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirleri almakta ve bu kapsamda gerekli denetimleri yapmakta ve yaptırmaktadır. Şirket tarafından, KVKK 12. maddesince “veri güvenliği”ne ilişkin alınan başlıca tedbirler aşağıda sıralanmıştır.
Şirket tarafından işlenen kişisel verilerin neler olduğunun analiz edilmesi ile bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunun tespiti yapılmaktadır.
Şirket tarafından yürütülen tüm faaliyetler detaylı olarak tüm iş birim ve departmanları nezdinde analiz edilerek bu analiz neticesinde kişisel veri envanteri oluşturulmuş olup bu envanterdeki riskli alanlar tespit edilerek gerekli hukuki ve teknik tedbirler alınmaktadır.
Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemler ve hukuki yöntemlerle denetlenmektedir.
Şirket çalışanları, öğrendikleri kişisel verilerin KVKK ve ilgili mevzuat hükümlerine aykırı olarak başkalarına açıklanmayacağı ve işleme amacı dışında kullanılmayacağı ve bu yükümlülüğün görevlerinden ayrılmalarından sonra da devam edeceği hususunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Şirket, çalışanlarının işe alım süreçlerinde imzalanacak iş sözleşmelerinde gizlilik ve veri güvenliğine ilişkin hükümler eklemiş olup bu kapsamda çalışanlar kişisel verilerin korunması hukuku ve ilgili mevzuat kapsamında alınması gereken önlemlere ilişkin sürekli olarak bilgilendirilmekte ve farkındalıkları artırılmaktadır. Bunun yanında, çalışanların KVKK’ya aykırı hareket etmesi Şirket disiplin prosedürlerine ayrı bir madde olarak eklenmiştir.
Şirket’in ilişki içerisinde olduğu tedarikçiler, hizmet sağlayıcıları, alt yükleniciler ve bunlarla sınırlı olmaksızın diğer üçüncü kişi iş ortakları kişisel verilerin korunması hukuku ve bu hukuka uygun gerekli önlemlerin alınması hususunda bilgilendirilmekte ve bu hususlar sözleşmesel olarak yükletilmektedir.
Şirket’in akdetmiş olduğu sözleşmeler KVKK açısından incelenmiş ve gerekli revize ve eklemeler yapılmıştır.
Şirket tarafından kişisel verilerin korunması ve bu hukuka uygun gerekli olan önlemlerin alınmasında süreklilik amacıyla gerekli denetimler yapılmakta/ yaptırılmakta ve bu denetim sonucu Veri Komitesi ve/veya Veri Sorumlusu Yetkilisi’ne raporlanmaktadır. Rapor sonucuna göre Veri Komitesi ve/veya Veri Sorumlusu Yetkilisi tarafından eksik görülen hususlar değiştirilmekte ve/veya iyileştirilmektedir.
Şirket tarafından kişisel verilerin korunmasını sağlamak için gerekli teknik önlemler alınmakta ve düzenli olarak ilgilisine raporlanmaktadır. İlgililer raporu gözden geçirdikten sonra gerekli teknolojik çözümlerin üretilmesi için çalışmaktadır.
Şirket, virüs koruma sistemleri ve güvenlik duvarı içeren yazılımlar kullanmakta ve kişisel verilerin güvenli bir şekilde muhafazası için yedekleme programları kurmaktadır.
Elektronik Kayıt Ortamı’nda saklanan kişisel veriler, ilgili kullanıcıların erişimlerine sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Fiziksel Kayıt Ortamı’nda saklanan dosyalar Şirket bünyesinde kilitli arşiv dolaplarında saklanmakta ve sonrasında belirlenen prosedürlere göre imha edilmektedir.
Şirket tarafından hukuka uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ve veri güvenliğinin ihlal edilmesi durumunda, bu durumu en kısa sürede Veri Sahibi’ne ve Kurul’a bildirilmesini öngören veri ihlali müdahale planı hazırlamıştır.
5.1. Özel Nitelikli Kişisel Verilerin Korunması
Özel Nitelik Kişisel Veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığa sebep olma riski nedeniyle KVKK gereğince özel önem atfedilmiş ve Şirket tarafından hassasiyetle ve özenle korunmaktadır. Şirket, Özel Nitelikli Kişisel Veriler’in güvenliğinin sağlanması için gerekli faaliyetlerde bulunmakta olup bu verilerin KVKK Düzenlemeleri’ne uygun işlenmesini temin etmek amacıyla yasal gerekliliklere ve Kurul tarafından belirtilen yeterli önlemlere uyum sağlamak amacıyla gerekli teknik ve idari tedbirleri almaktadır.
VI. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
Şirket, KVKK 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir:
6.1. Kişisel Veriler’in Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işlenir. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate alarak kişisel verileri işlendiği amaç dışında kullanmamaktadır.
6.2. Kişisel Veriler’in Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması
Şirket, Kişisel Veriler’in eksiksiz, doğru ve güncel olması için kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak gerekli önlemleri alır ve Veri Sahibi’nin Kişisel Veriler’e yönelik değişiklik talep etmesi durumunda ilgili Kişisel Veriler’i günceller.
6.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi
Kişisel Veriler’in işlenmesinden önce Şirket tarafından Kişisel Veriler’in hangi amaçla işleneceği belirlenir. Şirket, Kişisel Veriler’i sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Bu kapsamda, Veri Sahibi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rıza alınır.
6.4. Kişisel Veriler’in İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket, Kişisel Veriler’i yalnızca KVK Düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Sahibi’nden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler. Şirket amacın gerçekleştirilmesiyle ilgili olmayan ve ihtiyaç duyulmayan Kişisel Veriler’in işlenmesinden kaçınmaktadır.
6.5. Kişisel Veriler’in Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi
6.5.1. Şirket, Kişisel Veriler’i ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Şirket’in, ilgili mevzuatta öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Veriler’i muhafaza etmek istemesi halinde, Şirket KVK Düzenlemeleri’nde belirtilen yükümlülüklere uygun davranır.
6.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler silinir, yok edilir veya anonim hale getirilir. İşbu halde, Şirket’in Kişisel Veriler’i aktardığı üçüncü kişilerin de Kişisel Veriler’i silmesi, yok etmesi yahut anonim hale getirmesi sağlanır.
6.5.3. Kişisel Veriler’in Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi süreçlerinin işletilmesinden Veri Sorumlusu Yetkilisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.
VII. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Veriler Şirket tarafından ancak KVKK 5. ve 6. maddesi gereğince aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
7.1. Açık Rıza
7.1.1. Kişisel Veriler, Veri Sahibi’ne Aydınlatma Yükümlülüğü’nün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahibi’nin Açık Rıza vermesi halinde işlenir.
7.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Sahibi’ne hakları bildirilir.
7.1.3. Veri Sahibi’nin Açık Rıza’sı, KVK Düzenlemeleri’ne uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.
7.1.4. Veri Sorumlusu Yetkilisi ve Komite, tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rıza’nın alınmasını ve muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları Veri Sorumlusu Temsilcisi ve Komitenin talimatlarına, işbu Politika’ya ve bu Politika’nın eki olan KVK Prosedürlerine uymakla yükümlüdür.
7.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
7.2.1. KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK madde 5.2 ve madde 7.3), Şirket Veri Sahibi’nin Açık Rızası’na başvurmaksızın Kişisel Veriler’i işleyebilir. Kişisel Veriler’in bu şekilde işlenmesi durumunda Şirket KVK Düzenlemeleri’nin çizdiği sınırlar çerçevesinde Kişisel Veriler’i işler.
Bu kapsamda:
7.2.1.1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Sahibi’nin ve/veya Veri Sahibi dışındaki bir kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
7.2.1.2. Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri Sahibi’nin Açık Rızaları olmadan Şirket tarafından işlenebilir.
7.2.1.3. Kişisel Verilerin İşlenmesi Şirket’in hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Sahibi’nin Açık Rıza’sı olmadan Şirket tarafından işlenebilir.
7.2.1.4. Veri Sahibi tarafından alenileştirilmiş olan Kişisel Veriler alenileştirme amacı ile sınır olarak Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
7.2.1.5. Kişisel Veriler’in Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri Sorumlusu Yetkilisi’nin bilgisi dâhilinde Şirket tarafından işlenebilir.
7.2.1.6. Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
VIII. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
8.1. Özel Nitelikli Kişisel Veriler yalnızca Veri Sahibi’nin Açık Rızası’nın bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
8.2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla Açık Rıza almaksızın işlenebilir. Dolayısıyla KVK Düzenlemelerinde aksi öngörülene dek kişisel sağlık verileri ve cinsel hayat verileri yalnızca Açık Rıza kapsamında yahut sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilir.
8.3. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen yeterli önlemler alınır.
8.4. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri Sorumlusu Yetkilisi bilgilendirilir.
8.5. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu Yetkilisi’nden görüş alınır.
IX. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
9.1. 5237 sayılı Türk Ceza Kanunu’nun 138. maddesi ve KVKK’nun 7. maddesi düzenlemesi doğrultusunda kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket tarafından re’sen ve/veya Veri Sahibi’nin bu yönde bir talebi olması durumunda ilgili Kişisel Veriler silinir, yok edilir yahut anonim hale getirilir. Kişisel Veriler’in silinmesi, yok edilmesi yahut anonim hale getirilmesi gereken durumlar, Veri Sorumlusu Yetkilisi ve Komite tarafından takip edilir.
9.2. Şirket’in ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda Veri Sahibi’nin talebini yerine getirmeme hakkı saklıdır.
9.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Yetkilisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.
9.4. Şirket Kişisel Veriler’i gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
X. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
Şirket, üçüncü bir gerçek ya da tüzel kişiye (“Hizmet Sağlayıcı”) KVK Düzenlemeleri’ne uygun şekilde Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu Yetkilisi’nden temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Yetkilisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Yetkilisi’ne bildirir.
10.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarım
10.1.1. Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Sahibi’nin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
10.1.2. Kişisel Veriler’in Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemeleri’ne uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Yetkilisi müteselsilen sorumludur.
10.2. Yurt Dışında Bulunan Üçüncü Kişilere Aktarım
10.2.1. Kişisel Veriler, KVKK Madde 5.2 ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesi’nin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) yurt dışında bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
10.2.2. Kişisel Veriler’in KVK Düzenlemeleri’ne uygun olarak Açık Rıza alınmaksızın aktarıldığı durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
➢ Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip edin),
➢ Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak Kuruldan izin alması. 9.2.3. Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Yetkilisi müteselsilen sorumludur.
XI. ŞİRKET’İN AYDINLATMA YÜKÜMLÜLÜĞÜ
11.1. Şirket, KVKK’nun 10. maddesine uygun olarak, Kişisel Verilerin İşlenmesi’nden önce Veri Sahibi’ni aydınlatır. Bu kapsamda Şirket, Kişisel Veriler’in elde edilmesi sırasında Aydınlatma Yükümlülüğü’nü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Sahibi’ne yapılacak olan bildirim sırasıyla şu unsurları içerir:
11.1.1. Veri Sorumlusu’nun ve varsa temsilcisinin kimliği,
11.1.2. Kişisel Veriler’in hangi amaçla işleneceği,
11.1.3. İşlenen Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceği,
11.1.4. Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
11.1.5. Veri Özneleri’nin hakları.
11.2. Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nun 11. maddesine uygun olarak Veri Sahibi’nin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
11.3. Veri Sahibi tarafından talep edilmesi halinde Şirket Veri Sahibi’nin işlediği Kişisel Verileri’ni Veri Sahibi’ne bildirir.
11.4. Kişisel Veriler’in İşlenmesinden önce gerekli Aydınlatma Yükümlülüğü’nün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Yetkilisi müteselsilen sorumludur. Bu kapsamda her bir yeni işleme sürecinin Veri Sorumlusu Yetkilisi’ne raporlanması amacı ile gerekli KVK Prosedürü Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.
11.5. Veri İşleyen’in Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşleme’ye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu Yetkilisi’nden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Yetkilisi tarafından iletilen maddede Kişisel Veriler’i aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Yetkilisi’ne bildirir.
XII. VERİ SAHİBİNİN HAKLARI
12.1. Şirket Kişisel Verisi’ni elinde bulundurduğu Veri Sahibi’nin aşağıda belirtilen kendileriyle ilgili taleplerine KVK Düzenlemeleri’ne uygun şekilde cevap verir:
12.1.1. Şirket tarafından Kişisel Veri işlenip işlenmediği öğrenme,
12.1.2. Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,
12.1.3. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
12.1.4. Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
12.1.5. Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
12.1.6. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel Verilerin Silmesini, Yok Edilmesini veya Anonim Hale Getirilmesini isteme,
12.1.7. 12.1.5 ve 12.1.6. maddeler kapsamında yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
12.1.8. İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
12.1.9. Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Sahibi’nin zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Sahibi haklarını kullanmak istediği ve/veya Kişisel Veriler’i işlerken Şirket’in işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Veri Sorumlusu ile ilgili aşağıda verilen ve zaman zaman değişebilecek olan e-posta adresine güvenli elektronik imzalı olarak yahut yine aşağıda yer alan ve zaman zaman değişebilecek olan posta adresine kimliklerini tespit edici belgeler ile ıslak imzalı bir dilekçe ile elden teslim edebilir ya da noter aracılığıyla gönderebilir.
Veri Sorumlusu : Asnak Lojistik Teknolojileri Anonim Şirketi
E-posta : info@asnak.com
Posta Adresi : Nidakule Ataşehir Kuzey Barbaros Mahallesi Begonya Sokak No:3 Kat:20 34746 Ataşehir / İSTANBUL
12.2. Veri Sahibi’nin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir. Veri Sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde Veri Sorumlusu’nca gereği yerine getirilir. Başvurunun Veri Sorumlusu’nun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.
XIII. VERİ YÖNETİMİ VE GÜVENLİĞİ
13.1. Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politika’nın uygulanması için gerekli KVK Prosedürleri’nin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu Yetkilisi atar ve Komite oluşturur.
13.2. Kişisel Veriler’in işbu Politika ve KVK Prosedürleri’ne uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.
13.3. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.
13.4. Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.
13.5. Şirket çalışanları, Kişisel Veriler’in korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.
13.6. Şirkette Kişisel Veriler’e erişmesi gereken çalışanların söz konusu Kişisel Veriler’e erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Yetkilisi ve Komite müteselsilen sorumludur.
13.7. Şirket çalışanları, Kişisel Veriler’e üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürü’ne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
13.8. Şirket çalışanın Kişisel Veriler’in güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Yetkilisi’ne bildirir.
13.9. Kişisel Veriler’in güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.
13.10. Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.
13.11. Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.
13.12. KVK Düzenlemeleri kapsamında Kişisel Veriler’in güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
13.13. Şirket’te Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
13.14. Şirket’te Kişisel Veriler’in kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
13.15. Şirket’te Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Veriler’in yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu Temsilcisi’nin önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına çıkartılamaz.
13.16. Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Veriler’in korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürleri’ni hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu Yetkilisi çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.
13.17. Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri işliyorsa, bu departman, Komite tarafından işledikleri Kişisel Veriler’in önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Veriler’e erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.
13.18. Şirket içerisinde işlenen Kişisel Veriler’in tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.
13.19. Şirket çalışanları, Kişisel Veriler’in güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
XVI. EĞİTİM
14.1. Şirket, Kişisel Veriler’in korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
14.2. Eğitimlerde Özel Nitelikli Kişisel Veriler’in tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
14.3. Şirket çalışanı Kişisel Veriler’e fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
XV. DENETİM
Şirket, işbu Politika ve KVK Düzenlemeleri’ne Şirket’in tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite ve Veri Sorumlusu Yetkilisi bu denetimlere dair KVK Prosedürü oluşturur, Yönetim Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.
XVI. İHLALLER
16.1. Şirket’in her bir çalışanı, KVK Düzenlemeleri’nde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komite’ye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürleri’ne uygun şekilde “Olay Müdahale Planı” oluşturur.
16.2. Yapılan bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Sahibi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Yetkilisi Kurum ile yapılan yazışma ve iletişimi yürütür.
XVII. SORUMLULUKLAR
Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri Sorumlusu Yetkilisi şeklindedir. Bu kapsamda; Politika’nın uygulanmasından sorumlu Komite ve Veri Sorumlusun Yetkilisi Şirket yönetim kurulu tarafından yönetim kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.
XVIII. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
18.1. Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
18.2. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Sahibi’nin erişimine sunar.
İlgili web adresi: www.asnak.com
XIX. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika’nın işbu versiyonu [.].[.].2020 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.
Asnak Lojistik Teknolojileri Anonim Şirketi
Son Güncelleme 25.10.2021