6698 SAYILI KANUN KAPSAMINDA KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN POLİTİKA

Veri Sahiplerinin Kanun’dan Doğan Hakları

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Bu Kanun, kişisel verilerin işlenmesine dair usul ve esasları düzenlemekte olup, “veri sorumlusu” sıfatıyla anılan ve verilerin işlenme amaçları ile yöntemlerini belirleyen, ayrıca veri kayıt sistemini kurup yöneten gerçek veya tüzel kişileri kapsamaktadır.

Kanun’da, kişisel veriler; “kimliği belirli ya da belirlenebilir gerçek kişiye ait her türlü bilgi” olarak tanımlanmıştır. “Veri işleme” ise, kişisel verilerin tamamen veya kısmen otomatik yollarla yahut bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, erişilebilir hâle getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak ifade edilmektedir.

Kanun, diğer hükümlerinin yanında, veri sorumlularına kişisel verilerin elde edilmesi esnasında, verileri işlenecek kişileri bilgilendirme ve aydınlatma yükümlülüğü yüklemiştir. Kanun’un 10. maddesi uyarınca veri sorumluları, veri sahiplerine aşağıdaki hususlarda bilgi vermekle yükümlüdür:

Veri sorumlusunun ve varsa temsilcisinin kim olduğuna ilişkin bilgiler,

Kişisel verilerin hangi amaçlarla işleneceği,

İşlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği,

Kişisel verilerin hangi yöntemle ve hangi hukuki dayanağa göre toplandığı,

Kanun’un 11. maddesinde belirtilen diğer haklara dair bilgilendirme.

Bu doküman (“Politika”), Şirketimiz’in veri sorumlusu sıfatıyla kişisel verilerini işlediği gerçek kişileri, yukarıda belirtilen madde kapsamında bilgilendirmek amacıyla hazırlanmıştır. Politika kapsamında Şirketimiz’in müşterileri, kurumsal müşterilerimizin hissedarları, yetkilileri ve çalışanları, potansiyel müşteriler, iş ortaklarımızın ve tedarikçilerimizin hissedarları, yetkilileri ve çalışanları, çalışan adayları, geçmiş dönem çalışanlarımız ve stajyerlerimiz, emekli olan kişiler, ziyaretçilerimiz, şirket yetkilileri ve hissedarlarımız, iş ortağı ve tedarikçi adayları ile diğer üçüncü kişiler yer almaktadır. Çalışanlara ilişkin kişisel verilerin işlenmesi ise Kanun’a uygun olarak, çalışanlara sunulan ayrı bir politika metni ile düzenlenmektedir.

Kanun’un Kapsamı ve Şirketimizin Hak ve Yükümlülükleri

Kanun’un 4. maddesi gereğince, kişisel veriler yalnızca Kanun ve ilgili mevzuatta belirtilen usul ve esaslara uygun olarak işlenebilir. Bu çerçevede, veri sorumluları, Bölüm 1’de yer alan aydınlatma yükümlülüğünü yerine getirmenin yanı sıra, kişisel verilerin işlenmesinde aşağıdaki temel ilkelere uymakla yükümlüdür:

Hukuka ve dürüstlük kurallarına uygun olma,

Doğru, eksiksiz ve gerektiğinde güncel olma,

Belirli, açık ve meşru amaçlar doğrultusunda işlenme,

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

İlgili mevzuat veya işleme amacı için gerekli olan süre kadar saklanma.

Kanun gereğince, kişisel veriler genel olarak veri sahibinin açık rızası olmadan işlenemez. Ancak, Kanun’un 5 ve 6. maddeleri uyarınca, kişisel veriler ve özel nitelikli kişisel veriler belirli durumlarda açık rıza olmadan da işlenebilir:

Veri işlemenin kanunlarda açıkça öngörülmüş olması,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak veya hukuken geçerli rızası olmayan bir kişinin kendi ya da başkasının hayatı veya beden bütünlüğünü korumak amacıyla verilerin işlenmesinin zorunlu olması,

Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması,

Bir hakkın tesis, kullanımı veya korunması için veri işlemenin gerekli olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu hallerde, veri sahibinin önceden açık rızası bulunmasa dahi, gerekli aydınlatmanın yapılmış olması koşuluyla veri işleme gerçekleştirilebilir.

Hassas Kişisel Veriler ve İşlenme Koşulları

Kanun, bazı kişisel verileri “özel nitelikli” olarak sınıflandırmıştır. Bunlar arasında; ırk, etnik köken, siyasi veya felsefi düşünce, dini veya mezhebi inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti, güvenlik tedbirleri ile biyometrik ve genetik veriler yer almaktadır. Bu tür verilerin işlenmesi, daha sıkı koşullara tabidir.

Özel nitelikli kişisel veriler, veri sahibinin açık rızası olmaksızın yalnızca aşağıdaki durumlarda işlenebilir:

Kanunda öngörülen şartlar çerçevesinde ilgili verilerin işlenmesi.

Sağlık ve cinsel hayata dair veriler, yalnızca kamu sağlığı, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve yönetimi amacıyla, yetkili kişiler veya kurumlarca işlenebilir.

Kişisel verilerin üçüncü taraflarla paylaşımı (aktarımı), veri sahibinin açık rızasına bağlıdır. Ancak Kanun’un 8. maddesi kapsamında, belirlenen şartlar sağlandığında ve gerekli aydınlatmalar yapıldığında, veri sahibinin rızası olmasa bile veri aktarımı yapılabilir.

Yurtdışına aktarım özel kurallara tabidir. Kişisel veriler ancak aşağıdaki durumlarda yurt dışına gönderilebilir:

Veri sahibinin açık rızası bulunması, veya

Rıza olmamakla birlikte Kanun’da belirtilen diğer şartların sağlanması,

Aktarım yapılan ülkede yeterli koruma sağlanması,

Yeterli koruma yoksa, veri sorumlusunun ilgili yabancı veri sorumlusu ile yazılı olarak yeterli korumayı garanti etmesi,

Kişisel Verileri Koruma Kurulu’nun izninin alınması.

Kanun Kapsamı Dışındaki Durumlar

Kanun’un 28. maddesi gereğince, bazı durumlarda Kanun uygulanmaz:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliği sağlanmak koşuluyla, bireylerin kendi faaliyetleri veya aynı konutta yaşayan aile üyeleriyle ilgili işlenmesi.

Verilerin anonimleştirilerek araştırma, planlama veya istatistik amaçlı işlenmesi.

Millî savunma, güvenlik, kamu düzeni veya ekonomik güvenliği ihlal etmeden, sanat, tarih, edebiyat, bilim veya ifade özgürlüğü kapsamında işlenmesi.

Kamu kurumları tarafından, önleyici, koruyucu veya istihbari faaliyetler kapsamında işlenmesi.

Soruşturma, kovuşturma, yargılama veya infaz süreçlerinde yargı veya infaz mercileri tarafından işlenmesi.

Kişisel Verilerin Şirketimiz Tarafından İşlenmesi

I. Kimlik Verileri
Ehliyet, nüfus cüzdanı, ikametgâh belgesi, pasaport, avukat kimliği, evlilik cüzdanı gibi resmi belgelerde yer alan bilgiler. (Örn. T.C. kimlik numarası, pasaport numarası, nüfus cüzdanı seri no, ad-soyad, fotoğraf, doğum tarihi ve yeri, yaş, nüfus kayıt bilgileri, vukuatlı nüfus kayıt örneği vb.)

II. İletişim Verileri
Kişiyle bağlantı kurmak amacıyla kullanılan bilgiler. (Örn. e-posta adresi, telefon ve cep telefonu numarası, ikamet adresi vb.)

III. Konum Bilgileri
Veri sahibinin bulunduğu yerin tespit edilmesine yarayan veriler. (Örn. araç kullanımı sırasında kaydedilen lokasyon bilgileri)

IV. Müşteri Verileri
Ürün ve hizmetlerimizden yararlanan kişilere veya kurumlara ait bilgiler. (Örn. müşteri no, distribütör no, bayi no, meslek bilgileri vb.)

V. Müşteri İşlem Verileri
Müşterilerimiz tarafından yapılan her türlü işleme dair kayıtlar. (Örn. sipariş ve sepet bilgileri, talepler, talimatlar vb.)

VI. Fiziksel Mekân Güvenlik Verileri
Fiziksel ortamlarda giriş-çıkışların ve bulunulan sürenin kaydına ilişkin veriler. (Örn. ziyaretçi bilgileri, kamera kayıtları, giriş çıkış logları vb.)

VII. İşlem Güvenliği Verileri
Şirketimizin veya ilgili kişilerin teknik, idari ve hukuki güvenliğini sağlamak için işlenen veriler. (Örn. kullanıcı adı, şifre, parola bilgileri)

VIII. Risk Yönetimi Verileri
Şirketimizin ticari, teknik ve idari risklerinin yönetimi amacıyla toplanan veriler. (Örn. IP adresi, MAC ID vb.)

IX. Finansal Veriler
Kişisel veri sahibinin işlemlerinden doğan mali sonuçları gösteren bilgiler. (Örn. kredi bilgileri, kart numaraları, borç/alacak bakiyeleri, faiz oranı vb.)

X. Özlük Verileri
Tedarikçi çalışanlarının özlük dosyasında yer alması gereken yasal kayıt ve belgeler.

XI. Çalışan Adayı Verileri
Şirketimize iş başvurusu yapan adayların işe alım süreçlerinde kullanılan bilgiler. (Örn. özgeçmiş, mülakat notları, kişilik envanteri sonuçları vb.)

XII. Çalışan İşlem Verileri
Tedarikçi çalışanlarının iş süreçleri kapsamında oluşan bilgiler. (Örn. işe giriş-çıkış kayıtları, seyahat bilgileri, toplantı katılımları, şirket kartı harcamaları, mail trafiği vb.)

XIII. Çalışan Performans ve Kariyer Verileri
Çalışanların performans değerlendirmeleri ve kariyer gelişimlerine dair bilgiler. (Örn. performans raporları, mülakat sonuçları, eğitim bilgileri vb.)

XIV. Yan Haklar ve Menfaatler Verileri
Çalışanlara sağlanan yan hak ve sosyal menfaatlere ilişkin veriler. (Örn. özel sağlık sigortası, araç tahsisi vb.)

XV. Pazarlama Verileri
Pazarlama faaliyetleri için işlenen kişisel veriler. (Örn. alışkanlık ve beğenilere dair raporlar, hedefleme bilgileri, cookie kayıtları vb.)

XVI. Hukuki İşlem ve Uyum Verileri
Kanuni yükümlülüklerin yerine getirilmesi ve hukuki süreçlerin yürütülmesi amacıyla işlenen veriler. (Örn. mahkeme ve resmi kurum kararlarında yer alan bilgiler)

XVII. Denetim ve Teftiş Verileri
Şirketimizin yükümlülüklerine ve politikalarına uyum kapsamında toplanan veriler. (Örn. denetim raporları, görüşme kayıtları vb.)

XVIII. Özel Nitelikli Kişisel Veriler
Kişinin özel niteliğe sahip verileri. (Örn. sağlık bilgileri, biyometrik ve genetik veriler, siyasi düşünce, dini inanç, sendika üyeliği, ceza mahkûmiyeti, etnik köken vb.)

XIX. Talep ve Şikâyet Verileri
Şirketimize iletilen her türlü talep veya şikâyete ilişkin veriler. (Örn. talep/şikâyet kayıtları, değerlendirme raporları vb.)

XX. Görsel ve İşitsel Veriler
Kişiye ait görsel ve ses kayıtları. (Örn. fotoğraf, kamera kayıtları, ses kayıtları vb.)

Kişisel Verilerin İşlenme Amaçları

Bilgi güvenliği süreçlerinin planlanması, denetimi ve uygulanması

Bilgi teknolojileri altyapısının oluşturulması ve yönetimi

Çalışan yan hakları ve menfaatlerinin düzenlenmesi ve uygulanması

Çalışanlara yönelik kurumsal iletişim, sosyal sorumluluk ve sivil toplum projelerinin planlanması ve yürütülmesi

Çalışanların bilgiye erişim yetkilerinin belirlenmesi ve uygulanması

Çalışanların iş süreçlerinin takibi ve denetimi

Finans ve muhasebe faaliyetlerinin yürütülmesi

Hukuk işlerinin takibi

İnsan kaynakları süreçlerinin yönetimi

İş faaliyetlerinin verimlilik ve etkinlik analizlerinin yapılması

İş ortakları ve tedarikçilerle ilişkilerin yönetimi

İş sağlığı ve güvenliği süreçlerinin yürütülmesi

Kurumsal yönetim ve iletişim faaliyetlerinin uygulanması

Lojistik ve tedarik zinciri süreçlerinin yönetimi

Müşteri ilişkileri yönetimi ve memnuniyet aktivitelerinin uygulanması

Personel temin ve işe alım süreçlerinin yürütülmesi

Şirket çalışanlarının iş akdi ve mevzuata uygun yükümlülüklerinin yerine getirilmesi

Şirket içi ve dışı eğitim faaliyetlerinin planlanması ve uygulanması

Şirket operasyonlarının güvenliğinin sağlanması

Şirketin sunduğu ürün/hizmetlere bağlılığın artırılması

Üretim ve operasyonel risk süreçlerinin yönetimi

Sözleşme ve hukuki süreçlerin takibi

Stratejik planlama faaliyetlerinin yürütülmesi

Pazar araştırması ve ürün/hizmet pazarlama süreçlerinin yönetimi

Verilerin doğruluğu ve güncelliğinin sağlanması

Yetkili kurumlara mevzuattan kaynaklı bilgi sunulması

Ziyaretçi kayıtlarının tutulması ve takip edilmesi

Veri Aktarımı ve Aktarım Yapılan Taraflar

Şirketimiz, kişisel verileri yukarıda belirtilen amaçlarla; Nar Bulut Bilgi Teknolojileri San. ve Tic. A.Ş., şirket yetkilileri, iştiraklerimiz, iş ortaklarımız, tedarikçilerimiz, hissedarlarımız ve ilgili mevzuat kapsamında yetkili kamu ve özel kurumlara aktarabilir.

Verilerin İşlenme Usulü

Veri sorumlusu olarak Şirketimiz, kişisel verileri temin etmeden önce Kanun’un 10. maddesi çerçevesinde veri sahiplerini bilgilendirmektedir. Veri işleme süreci Kanun’da belirlenen şartları karşılamadığı durumlarda ise açık rıza alınmaktadır.

Açık rıza, belirli bir konuya ilişkin ve özgür iradeyle verilen onay olarak tanımlanmıştır; Şirketimiz bu doğrultuda veri sahiplerinin rızasını alır.

Kişisel veriler, genel ilkelere uygun olarak, gerekli olduğu sürece ve mevzuatta öngörülen süreler boyunca saklanır.

İşleme amacı sona eren veriler, Kanun’a uygun şekilde anonimleştirilir, silinir veya yok edilir. Anonimleştirme, verilerin hiçbir şekilde kimliği belirlenebilir hâle gelmeyecek şekilde işlenmesi anlamına gelir.

Veri Güvenliği

Şirketimiz, kişisel verilerin güvenliğini sağlamak için teknik ve idari önlemler almaktadır:

Yazılım ve donanım güvenlik önlemleri

Kanun kapsamındaki denetimlerin uygulanması

Şirket içi politika ve prosedürlerle uyum sağlanması

Erişim yetkilerinin sınırlandırılması

Veri işleme faaliyetlerinin süreç bazında takibi

Tedarikçilerle veri güvenliği sözleşmelerinin yapılması

Veri Sahiplerinin Hakları

Kanun’un 11. maddesi uyarınca veri sahipleri;

Kişisel verilerinin işlenip işlenmediğini öğrenme

İşlenmişse buna ilişkin bilgi talep etme

Verilerin işlenme amacını ve uygun kullanılıp kullanılmadığını öğrenme

Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme

Eksik veya yanlış işlenen verilerin düzeltilmesini isteme

İşlenme sebepleri ortadan kalktığında verilerin silinmesini veya yok edilmesini isteme

Düzeltme veya silme işlemlerinin üçüncü taraflara bildirilmesini talep etme

Otomatik sistemlerle analiz edilen veriler nedeniyle aleyhine bir sonuç oluşmasına itiraz etme

Kanuna aykırı veri işlenmesi sebebiyle oluşan zararın giderilmesini talep etme

Kanun’un 28. maddesi bazı durumlarda bu hakların kullanılamayacağını öngörür. Örneğin; suç soruşturması, alenileştirilmiş veriler, resmi denetim veya ekonomik/vergisel gerekçelerle veri işleme durumlarında haklar sınırlıdır.

Hakların Kullanımı

Veri sahipleri, haklarını kullanmak için Başvuru Formu’nu doldurarak; elden, noter aracılığıyla, güvenli elektronik imza ile veya kayıtlı e-posta adreslerinden iletebilirler. Başvurular, Şirketimiz tarafından 30 gün içinde değerlendirilir ve yanıtlanır. Gerekli durumlarda ek bilgi talep edilebilir. Başvurular kural olarak ücretsizdir; ancak Kurul tarafından belirlenen bir ücret varsa Şirketimiz bu ücreti talep edebilir.