KİŞİSEL VERİLERİN KORUNMASI VE SAKLANMASI POLİTİKASI

1.    GİRİŞ

1.1. Giriş

Veri sorumlusu olarak Demirsan Profil Metal Anonim Şirketi için (“Şirket”) vatandaşların, çalışanların ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması en önemli öncelikler arasındadır. Bu konunun en önemli ayağını ise işbu Kişisel Verilerin Korunması ve Saklanması Politikası (“Politika”) ile yönetilen; çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, ziyaretçilerimizin, ürün veya hizmet alan kişilerin, Şirket yetkililerimizin, tedarikçi yetkililerinin ve çalışanlarının, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi oluşturmaktadır. Herkes, Türkiye Cumhuriyeti Anayasası’na göre kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir anayasal hak olan kişisel verilerin korunması konusunda, Şirket’imiz, işbu Politika ile çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, ziyaretçilerimizin, ürün veya hizmet alan kişilerin, Şirket yetkililerimizin, tedarikçi yetkililerinin ve çalışanlarının, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir. Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için Şirket’imiz tarafından gereken tüm özen gösterilmekte, idari ve teknik tedbirler alınmaktadır.

1.2.   Kapsam

Bu Politika; çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, ziyaretçilerimizin, ürün veya hizmet alan kişilerin, Şirket yetkililerimizin, tedarikçi yetkililerinin ve çalışanlarının, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

1.3.   Politikanın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacak olup yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuatın uygulanacağı Şirket’imiz tarafından kabul edilmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırarak düzenlemektedir.

2.    KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Şirket’imiz, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 12. maddesine uygun olarak; işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

Şirket’imiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir. Şirket’imiz, KVKK’nın 10. maddesine uygun olarak kişisel verisi işlenen ilgili kişileri aydınlatmakta ve rıza alınması gereken durumlarda ilgili kişilerinden rızalarını talep etmekte ve rızaları doğrultusunda bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.

2.1. Kişisel Verilerin Güvenliğinin Sağlanması

Şirket’imiz, aşağıda belirtilen hususlara ilişkin veri güvenliği konusunda gerekli hukuki, teknik ve idari tedbirleri almakta, bu konuda gereken dikkat ve özeni göstermektedir. Şirket’imiz tarafından KVKK’nın 12. maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir:

  • Şirket’imiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
  • Şirket’imiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, aktar��lmasını veya kişisel verilere başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
  • Şirket’imiz, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin engellenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde farkındalıkları artırmaktadır.
  • Şirket’imiz veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu Şirket’imiz tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara, veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde sözleşmesel olarak yükletilmektedir.
  • Şirket’imiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
  • Şirket’imiz, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’imizin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
  • Şirket’imiz, KVKK’nın 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumun en kısa sürede ilgili kişisel veri sahibine ve Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirilmesini sağlayan sistemi yürütmektedir.

2.2. Özel Nitelikli Kişisel Verilerin Korunması

Bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVKK’da özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Şirket’imiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket’imiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve bu kapsamda gerekli denetimler sağlanmaktadır.

2.3. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

Şirket’imiz, kişisel verilerin elde edilmesi sırasında KVKK’nın 10. maddesine uygun olarak kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket’imiz tarafından kişisel veri sahiplerine, kişisel verilerinin elde edilmesi sırasında kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVKK’nın 11. maddesi kapsamında sahip olduğu hakları ile ilgili aydınlatma yapılmaktadır.

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu hüküm altına alınmıştır. Bu doğrultuda KVKK’nın 11. maddesinde de kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkı sayılmıştır. Şirket’imiz bu kapsamda, Anayasa’nın 20. maddesi ile KVKK’nın 11. maddesine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.

Ayrıca Şirket’imiz ilgili kişileri, kişilerin açık rızasına başvurduğu zamanlar başta olmak üzere kendi faaliyetleri hakkında, hukuka ve dürüstlük kuralına uygun kişisel veri işleme faaliyetinde bulunması hakkında ve KVKK’daki ilgili diğer hususlarda işbu Politika belgesi başta olmak üzere kamuya açık çeşitli dokümanlarla bilgilendirmektedir. Böylece kişisel veri işleme faaliyetleri kapsamında ilgililerin bilgilendirilmesi ve bu çerçevede hesap verilebilirlik ile şeffaflık sağlanmaktadır.

2.4.   Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi ve Kurum Personellerinin Eğitimi

Şirket’imiz bünyesinde Kişisel Veri Koruma Komitesi mevcuttur. Komite, veri sorumlusu olan Şirket’imiz adına, KVKK’nın 12. maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda mevzuatın uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar komite içerisinde yer alan sorumlulara bildirilmekte ve bu hususlar nezdinde gereken tedbirleri aldırmaktadır. Şirket’imiz tarafından dışarıdan bir hizmet alınan gerçek veya tüzel kişilere kişisel verilerin aktarılması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır. Bunlarla birlikte, Şirket’imiz 4857 Sayılı İş Kanunu’na ve 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na tabi olan personelleri ile kişisel verilerin korunması tedbirlerine uyulmasına yönelik sözleşmeler yapmaktadır. Şirket’imiz, 6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu’na tabi çalışan personeller var ise ayrıca Kişisel Verileri Koruma Kurulu’nun 26.12.2019 tarihli ve 2019/393 sayılı kararı doğrultusunda hareket etmektedir. Bu kapsamda çalışanlara kişisel verilerin korunması hakkı kapsamında uymaları gereken usul ve esaslara dair ve yükümlülüklerini hatırlatan bilgilendirici mahiyette bir metin tebliğ edilmektedir.

Şirket’imiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına, gerekli eğitimlerin düzenlenmesini sağlamaktadır.

3.    KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Şirket’imiz, Anayasa’nın 20. maddesine ve KVKK’nın 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirket’imiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.

Şirket’imiz, KVKK’nın 6. maddesine uygun olarak, özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.

Şirket’imiz, KVKK’nın 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve Kurul tarafından ortaya konulan düzenlemelere uygun davranmaktadır.

3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Şirket’imiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler, Şirket’imizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirket’imiz, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.

3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Şirket’imiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında ilgili kişisel verileri işlemektedir.

3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirket’imiz, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket’imiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket’imiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler, belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

3.2.   Kişisel Verilerin İşlenme Şartları

Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 3.3. başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

                KVKK’nın 5. maddesinin 2. fıkrası uyarınca aşağıda yer alan kişisel veri işleme şartlarının varlığı halinde veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.

Kanunlarda Açıkça Öngörülmesi

İlgili kanunlarda veri sahibinin kişisel verilerinin işlenmesine ilişkin açık bir hüküm olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

       Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

       Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecek ve veri sahibinin kişisel verileri işlenebilecektir.

Şirket’imizinHukuki Yükümlülüğünü Yerine Getirmesi

       Şirket’imizin hukuki yükümlülüklerini yerine getirebilmesi için kişisel veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin kendisi tarafından kişisel verisinin alenileştirilmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Şirket’imizinMeşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’imizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

3.3.   Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel veriler, Şirket’imiz tarafından işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu ise özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu ise özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.


3.4. Bina, Tesis Girişleri ile Bina, Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri

Şirket’imiz tarafından güvenliğin sağlanması amacıyla, Şirket’imiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile üçüncü kişi giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve üçüncü kişi giriş çıkışlarının kayıt altına alınması yoluyla Şirket’imiz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Bu kapsamda Şirket’imiz Anayasa, KVKK ve ilgili diğer mevzuata uygun olarak hareket etmektedir.

Şirket’imiz bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla üçüncü kişilerin görüntü kayıtları alınmaktadır. Şirket’imiz, güvenlik kamerası ile izleme faaliyeti kapsamında sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, Şirket’imizin ve üçüncü kişilerin güvenliğini sağlamak ve üçüncü kişilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

Şirket’imiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVKK’da yer alan düzenlemelere uygun hareket edilmektedir. Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi, gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir. Şirket’imiz tarafından KVKK’nın 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Yukarıda belirtilen kamerayla kayıt dışında Şirket’imiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket’imiz binalarında ve tesislerinde üçüncü kişi giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Kamera izleme faaliyetine ilişkin ayrıntılı açıklamalara internet sitemiz üzerinden veya ilgili personele talebinizi ileterek Kamera İzleme ve Depolama Politikası’ndan ulaşabilirsiniz.

4.    KİŞİSEL VERİLERİN AKTARILMASI

Şirket’imiz, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu kapsamda;

  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Şirket’imizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’imizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise,
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kanunlarda öngörülen hâllerin varlığı halinde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi kapsamında yetkili kişi kurum kuruluşlarla paylaşılması gerekliliği var ise

aktarılmaktadır.

5. ŞİRKET KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Şirket’imiz nezdinde, Şirket’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nın 5. maddesinde ve 6. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, KVKK’da belirtilen genel ilkelere ve KVKK’da düzenlenen tüm yükümlülüklere uyularak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler aydınlatılmak suretiyle işlenmektedir.

Şirket’imizde, Kişisel Verileri Koruma Kurumu tarafından yürürlüğe sokulan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır. Bu kapsamda Şirket’imiz kişisel veri envanteri içerisinde aşağıdaki veri kategorilerinde yer alan kişisel veriler bulunmaktadır.

KİŞİSEL VERİ KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA

Kimlik Verisi

Kişi kimliğine dair bilgilerin bulunduğu veri grubudur.

İletişim Verisi

Kişiye ulaşmak için kullanılabilecek veri grubudur.

Görsel ve İşitsel Veri

Kişiye ait görsel ve işitsel verilerin bulunduğu veri grubudur.

Lokasyon Verisi

Bu veri kategorisi bulunduğu yerin konum bilgileri gibi veri türlerini ifade etmektedir.

Özlük Verisi

Bu veri kategorisi kişilere ait bordro bilgileri, mal bildirimi bilgileri, özgeçmiş bilgileri gibi veri türlerini ifade etmektedir.

Finansal Veri

Kişinin finansal bilgilerinin bulunduğu veri grubudur.

Mesleki Deneyim

Kişinin mesleğine, mesleki tecrübelerine ve eğitim bilgilerine ait bilgilerin bulunduğu veri grubudur.

Müşteri İşlem Verisi

Bu veri kategorisi çağrı merkezi kayıtları, fiş, alındı belgesi, kıymetli evrak bilgileri ve fatura bilgileri gibi veri türlerini ifade etmektedir.

Hukuki İşlem Verisi

Bu veri kategorisi adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi veri türlerini ifade etmektedir.

İşlem Güvenliği Verisi

Kişiye ait IP bilgisi, log kaydı ve çerezler gibi işlem güvenliği verilerinin bulunduğu veri grubudur.

Fiziksel Mekân Güvenliği Verisi

Kişiye ait kamera kayıtları, giriş çıkış kayıtları gibi fiziksel mekân güvenliği verilerinin bulunduğu veri grubudur.

Risk Yönetimi

Bu veri kategorisi teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi veri türlerini ifade etmektedir.

Ceza Mahkûmiyeti Verisi

Kişinin geçmişinde aldığı kamusal ve cezai yaptırımlara ilişkin veri grubudur.

Sağlık Verisi

Kişinin sağlık verilerine ilişkin veri grubudur.

Diğer

Veri Sorumluları Sicili’nde kategorize edilmeyen Askerlik Durum Bilgisi, Araç Plaka Bilgisi gibi verileri ifade etmektedir.


 6. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Şirket’imiz, ilgili kanunlarda ve mevzuatlarda öngörülen durumlarda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse kişisel veriler, Şirket’imiz o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak, Şirket’imiz uygulamaları ve kamu teamülleri uyarınca saklanmasını gerektiren süre kadar saklamaktadır.

Türk Ceza Kanunu’nun 138. maddesinde, KVKK’nın 7. maddesinde ve Kişisel Verileri Koruma Kurumu tarafından yürürlüğe konulan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenen kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’imizin politikalarına istinaden veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir. Şirket’imiz bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup bu politika uyarınca hareket etmektedir.

7. İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI

Şirket’imiz, KVKK’nın 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda kişisel verisi işlenen ilgili kişiye yol göstermektedir. Şirket’imiz, ilgili kişilerin haklarının değerlendirilmesi ve ilgili kişilere gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

KEP Adresi                :  demirsanprofil@hs01.kep.tr Adres                          :  Kazım Karabekir Mahallesi Bekir Saydam Caddesi Pancar Organize Sanayi Bölgesi 5. Cadde No:7 Pancar - Torbalı / İzmir    


İşbu Politika,www.demirsanmetal.com adresinde ilan edilmiştir. Bu kapsamda mevzuat değişiklikleri ve Şirket’imiz politikaları uyarınca Politika’da değişiklik yapma hakkı saklı tutulmuştur. Yapılan değişikliklerle birlikte Politika’nın güncel hali www.demirsanmetal.com adresinde ilan edilir.

EK-1 TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Başvuru Formu: Kişisel verisi işlenen ilgili kişilerin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.

Çalışan Adayı: Demirsan Profil Metal Anonim Şirketi herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini açmış olan gerçek kişiler.

İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirket’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek ve tüzel kişiler.

İş Ortağı: Şirket’in faaliyetlerini yürütürken bizzat veya ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi. Örneğin; ziyaretçi, personel, vatandaş vb.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.). Tüzel kişilere ilişkin bilgilerin işlenmesi KVKK kapsamında değildir.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Tedarikçi: Şirket’in faaliyetlerini yürütürken Şirket’in emir ve talimatlarına uygun, sözleşme temelli olarak Şirket’e hizmet sunan taraflar.

Üçüncü Kişi: Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişiler. Örneğin; aile bireyleri, eski çalışanlar.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin; Şirket’in hizmet aldığı firmalar vb.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi. Bu politika kapsamında Demirsan Profil Metal Anonim Şirketi veri sorumlusudur.

Verilerin Silinmesi: Şirket içindeki tüm ilgili kullanıcıların, kişisel veriye erişimin engellenecek şekilde şifrelenmesi ve sadece veri koruma sorumlusunun bu şifreye sahip olması durumunu ifade etmektedir.

Verilerin Yok Edilmesi: Kişisel verinin bir daha geri döndürülemeyecek bir biçimde fiziksel olarak veya teknolojik yöntemlerle tamamen ortadan kaldırılması durumunu ifade etmektedir.

Ziyaretçi: Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan ziyaret eden gerçek kişiler.

EK-2 ŞİRKET’İMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER VE AMAÇLARI


İlgili Kişi

İşlenen Kişisel Veri Kategorisi

Kişisel Verilerin İşlenme Amaçları

Çalışan

Kimlik Verisi İletişim Verisi Mesleki Deneyim Verisi Hukuki İşlem Verisi Finans Verisi Özlük Verisi Görsel ve İşitsel Kayıtlar Askerlik Verisi

4857 Sayılı İş Kanunu başta olmak üzere bu kanunlara bağlı yönetmelikler uyarınca,

 

  • Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi,
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi,
  • Finans ve Muhasebe İşlerinin Yürütülmesi,
  • Görevlendirme Süreçlerinin Yürütülmesi,
  • Hukuk İşlerinin Takibi ve Yürütülmesi,
  • İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
  • İletişim Faaliyetlerinin Yürütülmesi,
  • İş Faaliyetlerinin Yürütülmesi / Denetimi,
  • Sözleşme Süreçlerinin Yürütülmesi,
  • İnsan Kaynakları Süreçlerinin Planlanması,
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
  • Eğitim Faaliyetlerinin Yürütülmesi

 

amaçları ile çalışanlara ait kişisel veriler işlenmektedir.

Çalışan

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Verisi

4857 Sayılı İş Kanunu’nun genel hükümleri gereğince, işveren işçisine karşı gözetme borcu altındadır. İşyeri güvenliğinin sağlandığının tespiti amacı ile adli sicil kayıtları işlenmektedir.

Çalışan

Sağlık Verisi

6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmeliğin 9. Maddesi gereğince iş yeri hekimi; çalışanların yapacakları işe uygun olduklarını belirten işe giriş ve periyodik sağlık muayenelerini yapmak durumundadır. İlgili mevzuat gereğince; İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, Şirket’imiz çalışanların göreve uygunluklarının takip edilebilmesi amacıyla çalışanların sağlık bilgileri işlenmektedir.

Ziyaretçi

Fiziksel Mekân Güvenliği Verisi

 

Ziyaretçilerin Şirket’imize giriş çıkışlarının takibi ile Şirket binasının güvenliğini sağlamak amacıyla, Şirket’imizin meşru menfaatleri doğrultusunda, Şirket’imiz bünyesinde yer alan kamera kayıtları ile ziyaretçilerin görüntüleri kayıt altında tutulmaktadır.

 

Ziyaretçi

Kimlik Verisi

İşlem Güvenliği Verisi

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereğince sunulan internet hizmetinin kimler tarafından ve ne amaçla kullanıldığının kayıt altına alınması, kurumsal web sitemizin faaliyetlerinin yürütülmesi ve kullanıcı bilgilerinin teyit edilmesi amacıyla internet site ziyaretçilerimizin kimlik bilgileri, IP adresi bilgileri, internet sitesi giriş çıkış bilgileri işlenmektedir.

Çalışan Adayı

Kimlik Verisi İletişim Verisi Mesleki Deneyim Verisi Finans Verisi Görsel ve İşitsel Kayıtlar

Şirket’imiz çalışan adaylarının işe alım süreçlerinde uygun pozisyon için değerlendirilebilmesine esas almak üzere; istihdam ile ilgili hazırlık işlemlerinin yapılabilmesi amacıyla çalışan adaylarının kimlik bilgisi, iletişim bilgisi, mesleki deneyim bilgisi, finans bilgilerini işlemektedir.

Ürün veya Hizmet Alan Kişi

Kimlik Verisi İletişim Verisi

Finans Verisi

Müşteri İşlem Verisi Mesleki Deneyim Verisi

Hukuki İşlem Verisi

Şirket’imizin ticari faaliyetlerini yerine getirebilmesi, mal / hizmet satış süreçlerinin yürütülmesi ve mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi amaçlarıyla ilgili mevzuatta belirtilen veri grupları ve süreyle sınırlı olmak üzere ürün veya hizmet alan kişilerin kimlik, iletişim, finans, müşteri işlem, mesleki deneyim ve hukuki işlem verileri işlenmektedir.

Ürün veya Hizmet Alan Kişi

 

Kimlik Verisi İletişim Verisi

 

Şirket’imiz, hizmetlerin plânlı, programlı, etkin, verimli ve uyum içinde yürütülmesini sağlamak amacıyla ürün veya hizmet alan kişilerin talep ve şikâyetlerini değerlendirmek durumundadır. Bu kapsamda Çağrı Merkezi üzerinden Şirket’imiz ile iletişime geçen ürün veya hizmet alan kişilerin kimlik ve iletişim bilgileri işlenmektedir.

 

 

 

Tedarikçi Yetkilisi/Çalışanı

 

Kimlik Verisi İletişim Verisi Finans Verisi Mesleki Deneyim Verisi

 

Hizmetlerimizin sürekliliği için tedarikçilerimizle yapmış olduğumuz sözleşmeler uyarınca birimlerdeki taleplerin niteliği esas alınarak birimin ihtiyacı olan tüm ürünlerin satın alma işlemlerinin gerçekleştirilmesini ve ilgili tedarikçiye ödenmesini sağlamak,

 

Satın alma faaliyetleri kapsamında ürün ve hizmet alımlarında belirlenen yönteme göre ilgili evrakların hazırlanarak satın alma dosyasının düzenlenmesini organize etmek,

 

Nihai üründe direkt olarak kullanılan ürün/hizmetlerin satın alındığı Tedarikçiler listesinin oluşturulmasını ve bu listenin güncelliğinin takip edilmesini koordine etmek,

 

Tedarikçilerin performans değerlendirmelerinin yapılmasını ve ilgili kalite kayıtlarının saklanmasını koordine etmek,

 

Departmanların onaylanan ürün ve hizmet ihtiyaçları için keşif hesabını yapmak, ilgili departman tarafından yapılmasını sağlamak.


 EK-3 ŞİRKET’İMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI


Veri Aktarımı Yapılabilecek Kişiler

İlgili Kişiler

Veri Aktarım Amacı

İş Ortağı

Ürün veya Hizmet Alan Kişi

Tedarikçi Çalışanı/Yetkilisi

İş stratejilerin hazırlanması, uygulanması ve iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak aktarım yapılmaktadır.

Tedarikçiler

Ürün veya Hizmet Alan Kişi

Şirket’imiz tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’imiz faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’imize sunulmasını sağlamak amacıyla sınırlı olarak aktarım yapılmaktadır.

Yetkili Kamu Kurum ve Kuruluşları

Ürün veya Hizmet Alan Kişi

Tedarikçi Çalışanı/Yetkilisi

Çalışan

Kamu kurum ve kuruluşlarının talep ettiği ve hukuki dayanak sundukları durumlarda amaçla sınırlı olarak aktarım yapılmaktadır.

Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri

Ürün veya Hizmet Alan Kişi

Tedarikçi Çalışanı/Yetkilisi

Çalışan

Avukatlar, bankalar, özel sigorta ve yazılım şirketleri gibi kişiler ve kurumlarla yürütülen işler kapsamında sınırlı olarak aktarılmaktadır.

Hissedarlar ve Şirket Yetkilileri

Ürün veya Hizmet Alan Kişi

Tedarikçi Çalışanı/Yetkilisi

Çalışan

Şirket’imiz kurulma amaçları, idari ve ticari faaliyetlerinin yerine getirilmesini temin etmek amacıyla sınırlı olarak aktarılmaktadır.