ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE SAKLANMASI POLİTİKASI

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, özel nitelikli kişisel verileriniz, veri sorumlusu olarak Demirsan Profil Metal Anonim Şirketi (“Şirket”) tarafından aşağıda açıklanan kapsamda işlenebilecektir.

1. GİRİŞ

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle, KVKK’da özel nitelikli kişisel verilere, diğer kişisel verilere göre özel önem atfedilmiş ve özel nitelikli kişisel verilerin çok daha sıkı şekilde korunmaları gerektiği belirtilmiştir. İşbu Politika, özel nitelikli kişisel verilerin korunması ile ilgili olarak veri sorumlusu bünyesinde yer alan prosedür ve bilgilendirmelere yönelik hazırlanmıştır.

Politika kapsamında Şirket’imiz çalışanı (“Çalışan”), kişisel verisi işlenen gerçek kişi (“Veri Sahibi”), Özel Nitelikli Kişisel Verilerin Korunması ve Saklanması Politikası (“Politika”), Kişisel Verileri Koruma Kurulu (“Kurul”) olarak anılacaktır.

2. KAPSAM VE TANIMLAR

KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler  “özel nitelikli kişisel veri” olarak belirlenmiştir. Özel nitelikli kişisel verilerin kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek/vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. İşbu Politika kapsamında veri sorumlusu Demirsan Profil Metal Anonim Şirketi olarak kabul edilmiştir.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. KVKK’nın 6. maddesinde düzenlenmiştir ve bu verileri, özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

İlgili Kişi: Kişisel verisi işlenen gerçek kişidir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE İŞLENME AMAÇLARI

Özel nitelikli kişisel veriler, KVKK’nın 6. maddesi uyarınca ilgili kişinin açık rızası ile işlenebilecektir. Ancak KVKK’da sayılan hallerde, özel nitelikli kişisel verilerin işlenmesi ilgili kişinin açık rızası olmadan da mümkündür. Bu kapsamda;

Sağlık ve cinsel hayat dışında yer alan özel nitelikli kişisel veriler “İşlenen Kişisel Verileriniz ve İşlenme Amaçları” başlığında yer alan amaçlar doğrultusunda ve KVKK’nın 6. maddesi 2. fıkrası kapsamında açık rıza şartının sağlanması veya 6. maddenin 3. fıkrası uyarınca kanunlarda öngörülen hallerde işlenecektir. 

Sağlık bilgilerinize ilişkin özel nitelikli kişisel verileriniz “İşlenen Kişisel Verileriniz ve İşlenme Amaçları” başlığında yer alan amaçlar doğrultusunda KVKK’nın 6. maddesi 2. fıkrası kapsamında açık rıza şartının sağlanması veya 6. maddenin 3. fıkrası uyarınca sadece sır saklama yükümlülüğü altında bulunan yetkili kişiler veya yetkili kurum ve kuruluşlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şartı ile işlenecektir.

4. İŞLENEN KİŞİSEL VERİLERİNİZ VE İŞLENME AMAÇLARI

Şirket’imiz bünyesinde toplanan özel nitelikli kişisel verileriniz aşağıda yer alan amaçlar doğrultusunda işlenebilecektir:.


  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi.
  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
  • Denetim faaliyetlerinin yürütülmesi.
  • Faaliyetlerin mevzuata uygun yürütülmesi.
  • Hukuk işlerinin takibi ve yürütülmesi.
  • İş faaliyetlerinin yürütülmesi ve denetimi.
  • Yasal yükümlülüklerin yerine getirilmesi.
  • Saklama ve arşiv faaliyetlerinin yürütülmesi.
  • Sözleşme süreçlerinin yürütülmesi.
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi.
  • Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini.
  • İlgili mevzuat gereği saklanması gereken verilere ilişkin bilgilerin muhafaza edilmesi.
  • Çalışanlar bakımından özlük dosyasının oluşturulması, işin gereklerini sürekli olarak yerine getirmeye ehil olup olmadığının tespiti, sağlık dosyası oluşturulması, iş güvenliği önlemlerinin alınması.
  • İş Sağlığı ve Güvenliği Kanunu, İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik veiİlgili mevzuat gereğince iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi, Çalışanlar’ın göreve uygunluklarının takip edilebilmesi.


 Yukarıda belirtilen amaçlar doğrultusunda özel nitelikli kişisel veriler işlenmektedir. Bu kişisel veriler, sadece o kişisel verinin toplanma amacı ve gerekliliği ile uyumlu ilgili kişilerden toplanmaktadır. Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında ilgili kişilerin kimler olduğu Şirket’imizin Kişisel Veri İşleme Envanterinde, veri kategorileri bazında ilgili kişiler Veri Sorumluları Sicili’ne kayıtta belirtilmiştir. Bu kapsamda, aşağıda belirtilen kişisel veriler işlenmektedir:

Sağlık Verisi: Kişinin sağlık durumuna ilişkin veri grubudur. (Sağlık raporu, kan grubu, engellilik bilgisi)

Ceza Mahkumiyeti Verisi: Kişinin geçmişinde aldığı yaptırımlara ilişkin veri grubudur. (Ceza kovuşturmaları, adli sicil kaydı, disiplin kaydı)

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI

Şirket’imiz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse kişisel veriler, Şirket’imiz o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak, Şirket’imiz uygulamaları uyarınca saklanmasını gerektiren süre kadar saklanmakta, daha sonra ilgili kişiye ait kişisel veri Şirket’imiz tarafından oluşturulmuş “Kişisel Veri Saklama ve İmha Politikası” uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.


SÜREÇ

SAKLAMA SÜRESİ

Çalışan kişisel sağlık dosyalarının  oluşturulması

İş akdinin sona ermesinden itibaren 15 yıl süreyle saklanmaktadır.

Çalışan kişisel sağlık dosyalarının oluşturulması (İş kazası raporları)

İş kazalarıyla ilgili yazışmalar gereğince iş akdinin sona ermesinden itibaren 45 yıl saklanmaktadır. 

Çalışanlar’ın adli sicil kayıtlarının alınması

İş akdi süresince saklanmaktadır.


 6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE ERİŞİM 

Şirket’imiz  bünyesinde sağlık bilgileri haricindeki özel nitelikli kişisel veriler, KVKK’nın 6. maddesi uyarınca  “kanunlarda öngörülen hâllerde” veya ilgili kişinin açık rızasının alınması durumlarında işlenmektedir. Bu kapsamda, sağlık verileri dışındaki kişisel verilere erişim Çalışanlar’a yetki matrisi kapsamında sadece ilgili departmanlarca sınırlı tutulmuştur. Çalışan’a ait özel nitelikli kişisel verilerden olan “adli sicil kaydı” verisi İnsan Kaynakları bünyesinde yer alan sorumlu kişiler tarafından işlenmekte ve muhafaza edilmektedir.

Sağlık bilgileri içeren kişisel veriler, Şirket’imiz bünyesinde ilgili kişinin açık rıza vermesi haricinde sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan, İş Sağlığı ve Güvenliği Birimi bünyesinde bulunan kurum hekimi tarafından toplanmaktadır. Sağlık verileri sadece belirtilen yetkili kişilerce erişimin sınırlı olduğu ortamlarda tutulmaktadır.

Şirket’imiz tarafından işbu Politika ile özel nitelikli kişisel verilere erişim belirlenmiş olup Şirket’imiz içerisinde Çalışanlar’a gerekli bilgilendirme ve tebliğler yapılmıştır. KVKK farkındalığının sağlanması amacıyla düzenlenen periyodik eğitimler sayesinde Şirket’imiz Çalışanlar’ı bu şartlara uygun hareket etmektedir.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER

Şirket’imiz,  KVKK’nın 6. maddesinde yer alan özel nitelikli kişisel verilerin işlenmesinde, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı kararı uyarınca, veri sorumlusu sıfatıyla aşağıda belirtilen önlemleri almaktadır. Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.

7.1.Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlar’a Yönelik

  • KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
  • Gizlilik sözleşmeleri yapılmaktadır.
  • Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve yetki süreleri net olarak tanımlanmaktadır.
  • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  • Görev değişikliği olan ya da işten ayrılan Çalışanlar’ın bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından kendilerine tahsis edilen envanter iade alınmaktadır.

7.2.Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Ve/Veya Erişildiği Ortamlar Elektronik               Ortam İse;

  • Kişisel veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir.
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  • Kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
  • Kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
  • Kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

7.3.  Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Ve/Veya Erişildiği Ortamlar Fiziksel               Ortam İse;

  • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
  • Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

7.4.Özel Nitelikli Kişisel Veriler Aktarılacak İse;

  • Kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) ile aktarılmaktadır.
  • Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
  • Kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “Gizli” formatta gönderilmektedir.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Şirket’imiz, hukuka uygun olarak elde etmiş olduğu özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak üçüncü kişilere aktarabilmektedir. Bu doğrultuda, Şirket’imiz, özel nitelikli kişisel verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir:

  • Veri Sahibi’nin açık rızası var ise,
  • Kanunlarda özel nitelikli kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • Veri Sahibi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise,
  • Veri Sahibi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyor ise,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Şirket’imizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Özel nitelikli kişisel veriler, Veri Sahibi tarafından alenileştirilmiş ise,
  • Özel nitelikli kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’imizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılabilir.

9. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Şirket’imiz, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Veri Sahibi’nin özel nitelikli kişisel verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir:

  • Veri Sahibi’nin açık rızası var ise veya
  • Veri Sahibi’nin açık rızası yok ise;

Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde,

Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında aktarılabilir.

KEP Adresi                :  demirsanprofil@hs01.kep.tr Adres                          :  Kazım Karabekir Mahallesi Bekir Saydam Caddesi Pancar Organize Sanayi Bölgesi 5. Cadde No:7 Pancar - Torbalı / İzmir    

İşbu Politika,www.demirsanmetal.com adresinde ilan edilmiştir. Bu kapsamda mevzuat değişiklikleri ve Şirket’imiz politikaları uyarınca Politika’da değişiklik yapma hakkı saklı tutulmuştur. Yapılan değişikliklerle birlikte Politika’nın güncel hali www.demirsanmetal.com adresinde ilan edilir.