TURKUAZ ELEKTROTEKNİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. BÖLÜM
1.1. GİRİŞ
Kişisel verilerin korunması, TURKUAZ ELEKTROTEKNİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ bakımından en önemli öncelikler arasında yer almakta olup, Şirket bu hususta yürürlükte bulunan mevzuata uygun davranmak için azami dikkat, özen ve hassasiyet göstermektedir.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası çerçevesinde; Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen temel ilke ve esaslar ile Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu, ilgili yönetmelikler, tebliğler, ilke kararları, rehberler ve sair ikincil düzenlemeler karşısındaki konumuna ilişkin kurallar açıklanmaktadır. Bu suretle Şirketimiz, kişisel veri sahiplerini bilgilendirmeyi, şeffaflığı temin etmeyi, veri işleme faaliyetlerini sistematik bir kurumsal çerçeveye oturtmayı ve mevzuata uyumun sürdürülebilirliğini sağlamayı amaçlamaktadır.
Bu kapsamdaki sorumluluğumuzun tam bilinci ile; çalışanlar, çalışan adayları, stajyerler, stajyer adayları, ziyaretçiler, müşteri yetkilileri, müşteri çalışanları, potansiyel müşteri yetkilileri, tedarikçiler, tedarikçi yetkilileri, tedarikçi çalışanları, bayi ve distribütör yetkilileri, iş ortakları, hizmet sağlayıcıları, taşeron firma çalışanları, lojistik ve sevkiyat süreçlerinde temas edilen kişiler, internet sitesi ziyaretçileri, iletişim formu aracılığıyla başvuran kişiler ve Şirket ile ilişki içerisinde bulunan diğer gerçek kişilere ait kişisel veriler, işbu Politika kapsamında ve ilgili mevzuata uygun şekilde işlenmektedir.
Şirketimiz; elektrik tesisat ve kablo yönetim sistemleri, plastik ve metal kablo rakorları, Ex-proof çözümler, spiral ve düz borular, bağlantı elemanları ve benzeri elektroteknik ürünlerin üretimi, satışı, pazarlaması, sevkiyatı, ihracatı, bayi-distribütör ilişkileri, tekliflendirme, sipariş ve satış sonrası operasyonları ile kurumsal yönetim süreçlerini yürüten bir sanayi ve ticaret şirketi olarak, kişisel verilerin korunması ve işlenmesi süreçlerinde; hukuka uygunluk, dürüstlük, şeffaflık, hesap verebilirlik, veri minimizasyonu, amaçla sınırlılık, ölçülülük, doğruluk, güncellik, gizlilik, bütünlük, erişilebilirlik ve veri güvenliği ilkelerini esas almakta; bu doğrultuda teknik ve idari organizasyonunu sürekli geliştirmektedir.
Şirket, kişisel verilerin korunmasını yalnızca mevzuatsal bir yükümlülük olarak değil; aynı zamanda kurumsal yönetişim, ticari güvenilirlik, ihracat ve tedarik zinciri disiplininin korunması, bilgi güvenliği, sözleşmesel sadakat ve ilgili kişilerin temel hak ve özgürlüklerine saygının doğal bir sonucu olarak değerlendirmektedir. Bu nedenle kişisel verilerin işlendiği tüm süreçlerde, verinin elde edilmesinden sınıflandırılmasına, kullanılmasından aktarılmasına, saklanmasından imhasına kadar her aşamada kontrollü, kayıtlı ve denetlenebilir bir sistem kurulması amaçlanmaktadır.
1.2. AMAÇ
TURKUAZ ELEKTROTEKNİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ, işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası doğrultusunda; kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu, ilgili yönetmelikler, tebliğler, Kişisel Verileri Koruma Kurulu kararları, Kişisel Verileri Koruma Kurumu duyuruları, rehberler, sair ikincil düzenlemeler ve uygulanabilir diğer mevzuat tarafından getirilen ilke ve kurallara uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir. Bu amaçla Şirket, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma sistemi ve kurumsal veri yönetişim yapısı benimsemiştir. Özellikle özel nitelikli kişisel verilerin işlenmesi ile yurt dışına veri aktarımı süreçlerinde, 2024 yılında yürürlüğe giren güncel kanuni düzenlemeler ve bu düzenlemelere bağlı ikincil mevzuat esas alınmaktadır.
Şirket; üretim, kalite kontrol, depo ve stok yönetimi, satın alma, satış ve pazarlama, tekliflendirme, sipariş yönetimi, sevkiyat, ihracat, müşteri ilişkileri, satış sonrası hizmetler, finans ve muhasebe, insan kaynakları, idari işler, ziyaretçi yönetimi, iş sağlığı ve güvenliği, bilgi teknolojileri, hukuk ve sözleşme yönetimi ile ticari faaliyetlerine bağlı diğer operasyonel süreçler kapsamında kişisel verilerin korunması ve işlenmesi konusunda benimsenecek ve uygulamada dikkate alınacak ilkeleri işbu Politika ile ortaya koymaktadır.
Politika, Şirket nezdinde kişisel verilerin korunması ve işlenmesi konusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyum sağlamak amacıyla yürütülecek uyum faaliyetlerinin çerçevesini belirlemeyi, şirket içi koordinasyonu sağlamayı, rol ve sorumlulukları netleştirmeyi, iş birimleri bakımından uygulama birliğini temin etmeyi ve veri yönetişim yapısını kurumsal bir standarda bağlamayı hedeflemektedir.
Bu kapsamda işbu Politika’nın amacı;
• faaliyetlerin hukuka uygunluk, dürüstlük ve şeffaflık ilkelerine uygun olarak yürütülmesinin sürdürülmesini sağlamak,
• Şirketin kişisel verilerin yönetiminde kendi kurumsal standartlarını oluşturmasını ve uygulamasını temin etmek,
• organizasyonel hedef ve yükümlülükleri belirlemek,
• kabul edilebilir risk seviyesiyle uyumlu kontrol mekanizmalarını tesis etmek,
• kişisel verilerin korunması alanındaki ulusal yükümlülükleri ve uygulanabilir olduğu ölçüde uluslararası ticari ilişkilere temas eden veri güvenliği gerekliliklerini yerine getirmek,
• ilgili kişilerin temel hak ve özgürlüklerini, özel hayatın gizliliğini ve kişisel verilerinin korunmasına ilişkin menfaatlerini en üst düzeyde gözetmek,
• veri sorumluları siciline ilişkin kayıtlar, fiili veri işleme süreçleri ve iç politika ile prosedür dokümantasyonu arasında uyum sağlamak,
• kişisel veri işleme faaliyetlerinin denetlenebilir, izlenebilir ve sürdürülebilir hale getirilmesini sağlamaktır.
1.3. KAPSAM
İşbu Politika, Şirket bünyesinde yürütülen tüm faaliyetleri ve bu faaliyetlere ilişkin kişisel veri işleme süreçlerini kapsamaktadır. Politika hükümleri; Şirketin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini, alt sistemleri, üretim ve operasyon alanlarını, sözleşmeleri, fiziki ve elektronik arşivleri, çevresel ve fiziksel alanları, altyapıları, yazılımları, cihazları, uygulamaları ve bunlara ilişkin tüm kurumsal düzenlemeleri kapsamaktadır.
Bu Politika;
• Şirketin tüm departman ve birimlerini,
• yöneticileri,
• çalışanları,
• çalışan adaylarını,
• stajyerleri,
• stajyer adaylarını,
• sözleşmeli personeli,
• müşteri yetkililerini,
• müşteri çalışanlarını,
• potansiyel müşteri yetkililerini,
• ziyaretçileri,
• tedarikçileri,
• tedarikçi yetkilileri ile çalışanlarını,
• lojistik, depolama, kargo ve sevkiyat süreçlerinde temas edilen gerçek kişileri,
• iş ortaklarını,
• hizmet sağlayıcıları,
• bayi ve distribütör yetkililerini,
• danışmanları,
• Şirket ile hukuki, ticari, operasyonel, teknik veya idari ilişki kuran diğer gerçek kişileri
kapsamaktadır.
Kişisel Verilerin Korunması Kanunu’na veya işbu Politika’ya aykırılık teşkil eden her türlü işlem, eylem veya ihmal; ilgili mevzuat, şirket iç düzenlemeleri, sözleşmesel yükümlülükler, disiplin hükümleri ve gerektiğinde hukuki süreçler çerçevesinde değerlendirilir ve gerekli yaptırımlar uygulanır.
Şirketin kişisel verilere erişimi bulunan veya erişme ihtimali bulunan iş ortakları, veri işleyenler, dış hizmet sağlayıcıları, teknik servis sağlayıcıları, yazılım ve donanım tedarikçileri, bulut hizmeti veya barındırma hizmeti sunan firmalar, danışmanlar, mali müşavirler, hukuk danışmanları, denetim hizmeti sunan taraflar, kargo ve lojistik firmaları ile Şirket ile çalışan diğer üçüncü taraflar, işbu Politika’yı okumaya ve buna uygun hareket etmeye davet edilmektedir. Bu kapsamda üçüncü tarafların; kişisel verilerin korunması bakımından en az Şirket kadar güçlü, yeterli ve sürdürülebilir bir güvenlik ve uyum sistemi kurmuş olmaları beklenmektedir.
İşbu Politika’nın hazırlanması, güncellenmesi, uygulanmasının gözetilmesi ve koordinasyonundan Şirket yönetimi ile yetkilendirilmiş kişisel veri koruma yapılanması sorumludur. Politikanın günlük uygulamasından ise Şirket içindeki tüm departmanlar ve veri işleme süreçlerinde görev alan tüm çalışanlar, yöneticiler ve ilgili sorumlular kendi görev alanları ölçüsünde sorumludur.
1.4. HEDEF
Şirketin bu Politikası ile Şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda kurumsal farkındalığın oluşturulması; gerekli sistemlerin kurulması; politika, prosedür, görev tanımı ve kontrol mekanizmalarının işletilmesi; veri güvenliği kültürünün yaygınlaştırılması ve mevzuata uyumun sürdürülebilir şekilde sağlanması hedeflenmektedir.
Bu kapsamda Şirket Politikası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme amacı taşımakta; veri işleme faaliyetlerinin şirket ölçeğinde standardize edilmesine, kişisel veri işleme envanteri ile fiili işleyiş arasındaki uyumun tesisine ve risk temelli kontrol anlayışının benimsenmesine katkı sunmaktadır.
Şirket, bu Politika aracılığıyla yalnızca mevcut uyum gerekliliklerini karşılamayı değil; aynı zamanda kişisel veri koruma kültürünü şirket geneline yaymayı, çalışan ve yönetici farkındalığını artırmayı, veri güvenliği ihlallerini önleyici sistemler kurmayı, tedarik zinciri ve dış hizmet sağlayıcı yönetiminde veri güvenliği yaklaşımını güçlendirmeyi ve mevzuat değişikliklerine uyum sağlayabilecek dinamik bir kurumsal yapı oluşturmayı da amaçlamaktadır.
2. BÖLÜM
2.1. TANIMLAR
|
TANIM |
AÇIKLAMA |
|
Şirket |
TURKUAZ ELEKTROTEKNİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ |
|
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
Anonim hale getirme |
Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. Örneğin; maskeleme, toplulaştırma, veri bozma ve benzeri tekniklerle kişisel verinin belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
İlgili kişi |
Kişisel verisi işlenen gerçek kişi. Örneğin; çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, müşteri yetkilileri, müşteri çalışanları, tedarikçi yetkilileri, bayi temsilcileri ve diğer gerçek kişiler. |
|
Kişisel veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Tüzel kişilere ilişkin ve doğrudan gerçek kişiyi belirlenebilir kılmayan veriler, bu kapsamda değerlendirilmez. Örneğin; ad soyad, Türkiye Cumhuriyeti kimlik numarası, e-posta adresi, adres bilgisi, doğum tarihi, telefon numarası, banka hesap bilgisi ve benzeri veriler. |
|
Özel nitelikli kişisel veri |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. 1 Haziran 2024 tarihinde yürürlüğe giren değişiklikler sonrasında bu veri kategorisinin işlenme şartları Kanun’un güncel 6 ncı maddesi çerçevesinde değerlendirilmektedir. |
|
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
Veri sorumlusu |
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. |
|
İlgili kişi başvuru formu |
İlgili kişinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11 inci maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacağı başvuru formudur. |
|
Türkiye Cumhuriyeti Anayasası |
7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası. |
|
Kişisel Verilerin Korunması Kanunu |
24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
|
Politika |
TURKUAZ ELEKTROTEKNİK SANAYİ VE TİCARET LİMİTED ŞİRKETİ Kişisel Verilerin Korunması ve İşlenmesi Politikası. |
|
Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar hakkında tebliğ |
10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Tebliğ. |
|
Kişisel veri saklama ve imha politikası |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami sürelerin belirlenmesi ile silme, yok etme ve anonim hale getirme işlemlerinin düzenlendiği politika. |
|
Periyodik imha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
|
Kayıtlı elektronik posta |
Her türlü ticari ve hukuki yazışma ile belge paylaşımını gönderildiği biçimde koruyan, alıcının kimliğini kesin olarak tespit eden, içeriğin değişmezliğini sağlayan ve hukuken geçerli delil niteliği taşıyan sistemdir. |
|
Veri sorumluları sicil bilgi sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin diğer işlemlerde kullandıkları, internet üzerinden erişilebilen ve Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemidir. |
|
Standart sözleşme |
Kişisel verilerin yurt dışına aktarılmasında, yeterlilik kararı bulunmayan durumlarda uygun güvence yöntemlerinden biri olarak Kişisel Verileri Koruma Kurumu tarafından yayımlanan standart sözleşme metinleridir. |
2.2. İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI
Kişisel Veriler
Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilerin korunması yalnızca gerçek kişiler ile ilgili olup, tüzel kişilere ait ve içerisinde gerçek kişiye ilişkin bilgi içermeyen veriler bu kapsamda değerlendirilmez. Bu nedenle işbu Politika, tüzel kişilere ait salt kurumsal verilere uygulanmaz.
Şirket tarafından işlenen kişisel veri kategorileri aşağıdaki gibidir:
|
Kişisel Veri Kategorileri |
Alt Başlıklar ve Açıklamalar |
|
Kimlik |
Ad soyad, Türkiye Cumhuriyeti kimlik numarası, uyruk bilgisi, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyet, kimlik kartı, nüfus cüzdanı, pasaport, sürücü belgesi bilgileri, imza bilgisi, vergi numarası ve benzeri veriler |
|
İletişim |
Telefon numarası, cep telefonu numarası, adres bilgisi, elektronik posta adresi, kayıtlı elektronik posta adresi, tebligat adresi, şirket içi iletişim bilgileri, acil durumda ulaşılacak kişi bilgileri ve diğer iletişim verileri |
|
Özlük |
Bordro bilgileri, puantaj kayıtları, izin bilgileri, özgeçmiş bilgileri, işe giriş-çıkış kayıtları, görev ve unvan bilgileri, performans değerlendirme kayıtları, eğitim kayıtları, özlük dosyası kapsamındaki veriler |
|
Hukuki işlem |
Dava ve icra dosyalarındaki bilgiler, resmi kurum yazışmaları, ihtarnameler, savunmalar, tutanaklar, hukuki talep ve başvuru bilgileri |
|
Müşteri işlem |
Talep bilgileri, teklif bilgileri, sipariş kayıtları, sözleşme bilgileri, irsaliye ve teslim bilgileri, sevkiyat ve lojistik kayıtları, şikâyet ve memnuniyet bilgileri, satış sonrası destek kayıtları |
|
Fiziksel mekân güvenliği |
Çalışanların, ziyaretçilerin ve diğer ilgili kişilerin giriş-çıkış kayıtları, ziyaretçi kayıtları, güvenlik kamerası kayıtları |
|
İşlem güvenliği |
İnternet sitesi giriş-çıkış bilgileri, elektronik posta kullanım kayıtları, sistem kullanıcı bilgileri, parola yönetimine ilişkin kayıtlar, internet trafiği bilgileri, log kayıtları, sistem erişim ve işlem kayıtları |
|
Finans |
Banka hesap bilgileri, ödeme ve tahsilat bilgileri, ücret bilgileri, cari hesap kayıtları, vergi bilgileri, fatura bilgileri, muhasebe kayıtları |