OLGUN OTO YEDEK PARÇA SAN. TİC. AŞ.
KİŞİSEL VERİLERİN KORUNMASI PROSEDÜRÜ
1- VERİ SORUMLUSU – TEMSİL – İRTİBAT GÖREVLİSİ:
KVKK gereği şirketimiz veri sorumlusu olarak Kanunen muhatap ve veri sorumlusu kurumdur.
Veri sorumlusu olan şirketimizi Kişisel Verileri Koruma Kurulu’na karşı temsil yetkilisi OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ.dir. (Veri sorumlusu sicili hakkında yönetmelik Md.11/1- Ekli Eki temsil ve ilzam belgesi)Şirketimizin aynı yönetmelik 11.md 4. Bendi gereği irtibat kişisi FEYYAZ DURUKAN'dır.
2- KİŞİSEL VERİ TANIMI:
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Bu tanım gereği bir gerçek kişinin belirli olmasını veya belirlenebilmesini sağlayan ve belirli veya belirlenebilir olan bir gerçek kişiye ait her türlü bilgidir. (KVKK md.3/d)
3-TEMSİLCİ-İRTİBAT GÖREVLİSİ EĞİTİMİ, BİLGİLENDİRİLMESİ:
KVKK gereği veri sorumlusu olan şirketimizin kanunen belirlenen temsile yetkili ile temsilci tarafından belirlenen irtibat görevlisi aşağıdaki konularda bilgilendirilmiştir.
3/1-Kişisel verilerin neler olduğu ve grupları,
3/2-Kişisel verilerin nasıl toplanacağı,
3/3-Kişisel verilerin nasıl sınıflandırılacağı,
3/4-Kişisel verilerin nasıl işleneceği (Md.4,5,6)
3/5-Kişisel verilerin aktarılmasında esaslar (Md.8,9)
3/6-Aydınlatma yükümlülüğü (Md.10)
3/7-İlgili kişinin hakları (Md.11)
3/8-Veri güvenliğine ilişkin hükümler(Md.12)
3/9-Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi(Md.7)
3/10-İlgili kişinin başvurusu, inceleme ve sonuçlandırılması (Md.15)
3/11-Kişisel verilerin korunmasında sorun ve ilgilisine ve kuruma bilgi verme,
3/12-Aydınlatma yükümlülüğü ve kapsamı ,
3/13-Kanundan kaynaklanan hukuki ve cezai sorumluluklar hakkında bilgi,
(Ekli eğitim dokümanı )
4-AYDINLATMA YÜKÜMLÜLÜĞÜ:
Veri ilgilisine Md.10 ve 11 kapsamı dahilinde aydınlatma yükümlülüğü yerine getirilmiştir. (Ekli aydınlatma yükümlülüğüne ilişkin belge)
5- KİŞİSEL VERİLERİN TOPLANMASI:
5/1-Şirketimizde çalışanların iş başvuruları ve yapılan hizmet sözleşmesi gereği gerekli olan ve özel nitelikli kişisel bilgi olmayan (Md.6) bilgiler olarak toplanır. Bu bilgiler İş Kanunu, SGK ve Genel Sağlık Kanunu, Vergi Kanunu ve İş Sağlığı ve Güvenliği Kanunu ile mevzuatı gereğince toplanması gereken ve sahip olunması gereken bilgilerdir.
5/2-Şirket çalışanlarının işe başlamaları için gereken sağlık raporları ve sağlık sorunları ile sağlık kuruluşlarına müracaat ve tedavileri sonucu işyerine ibraz edilen sağlık kuruluşu raporları nedeniyle toplanan sağlık bilgileri,
5/3-Şirketimizin tedarik anlaşmaları gereğince iş yaptığı gerçek kişiler ile tüzel kişilere ait şirket temsilcilerine ait sözleşme gereği alınan, toplanan kişisel veriler.
5/4-Şirketimizin satış ve pazarlama faaliyetleri sebebi ile hukuki işlem tesis edilen gerçek kişilere ait kişisel veriler ile tüzel kişi temsilcisine ait kişisel veri bilgileri, işin niteliğine ve gereğine uygun veriler şeklinde toplanmaktadır.
6-KİŞİSEL VERİLERİN SINIFLANDIRILMASI:
6/1-Kişisel veriler Md.6 da sıralanan özel nitelikli kişisel veriler ile bu veriler dışında kalan kişisel veriler olarak ilk sınıflandırma kanunla yapılmıştır.
6/2- Kanun 4. Md. Kapsamında toplanan kişisel veriler:
6/2-1-Çalışanların verileri,
6/2-2-Bağlam kuruluşlara ait kişisel veriler,
6/2-2.1-Satış,Pazarlama departman kişisel verileri,
6/2-2.2-Tedarik sözleşmeleri departman kişisel verileri,
6/2-2.3-Kanunen şirketimizle bağlantılı kamu kuruluşları temsilcilerinin varsa kişisel bilgileri şeklinde ikinci sınıflandırma yapılmıştır.
İkinci sınıflandırmada Md 5 ve 6 göz önünde bulundurularak 4. Madde çalışması yapılacaktır.
7- KİŞİSEL VERİLERİN İŞLENMESİ:
Kişisel veriler ancak kanunun 4. Maddesin ışığında 5 ve 6. Maddelerde belirtilen şekillerde işlenebilir.
Şöyle ki: Kişisel veriler ancak bu kanun ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenir.
a-Hukuka ve dürüstlük kurallarına uygun olma,
b-Doğru ve gerektiğinde güncel olma,
c-Belirli, açık ve meşru amaçlar için işlenen,
d-İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
e-İlgili mevzuatta öngörülen ve işlendikleri amaç için belirlenen süre kadar muhafaza edilmeli,
Özel olarak aşağıdaki hallerde ilgili kişinin açık rızası olmaksızın;
1-Kanunlarda açıkça öngörülmesi,
2-Kanunun 5.Maddenin 2. Bendinde sayılan hallerin bulunması,
3-Kanunun 6. Maddesinin ve 3. Bendinde sayılan hallerde, 4. Bentteki şartlar yerine getirilerek işlenebilir.
8-KİŞİSEL VERİLERİN AKTARILMASI:
Kişisel veriler aşağıdaki haller dışında ilgilisinin açık rızası olamadan aktarılamaz.
-Kanunda açıkça öngörülmesi,
- Kanunun 5. Maddesinin 2. Bendinde sayılan hallerin bulunması,
-Kanunun 6. Maddesinin 3. Fıkrasında belirtilen şartlardan birisinin bulunması halinde, yeterli önlemler alınmak kaydıyla,
-Kişisel verilerin aktarılmasıyla ilgili diğer kanunlarda sayılan hükümler sebebiyle,
9-KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI:
Kişisel veriler, ilgili kişilerin açık rızası olmaksızın yurt dışına aktarılamaz.
Kişisel veriler 5. Maddenin 2. Fıkrası, 6. Maddenin 3. Fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verilerin aktarılacağı yabancı ülkenin 9. Maddenin 2. Fıkrasının a ve b bentlerindeki şartların bulunması kaydıyla ilgili kişinin açık rızası olmaksızın kişisel verileri yurt dışına aktarılabilir.
10 -VERİ GÜVENLİĞİNE İLİŞKİN HÜKÜMKLER:
Veri sorumlusu olarak;
-
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
-
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak gerekli her türlü teknik ve idari önlemleri alacaktır.
Bu anlamda:
1-Çalışanlara ilişkin kişisel veriler, ilgilinin kişisel verileri şahsi dosyasında bulundurulacak ve bu dosyalar irtibat sorumlusunun ulaşabileceği kilitli dolaplarda veya kişiye ait mesai saatleri dışında kapısı kilitli olarak bulundurulacak odalarda, ofislerde dolaplar içerisinde muhafaza edilecektir. Aynı zamanda veriler bilgisayar sisteminde bulunacağından verilere ulaşım sadece irtibat sorumlusunun veya paylaşımına izin verilmiş muhasebe ve bilgi işlem biriminin erişimine açık bulundurulacaktır.
2-Alınan güvenlik önlemlerini kontrol etmek amacıyla, gerek fiziki olarak gerekse bilgisayar ortamında gerektiğinde ve yılda bir olmak üzere güvenlik testleri yapılacaktır.
3-Çalışanların kişisel verilerini bulunduran bordrolar, ücret pusulaları gibi belgelere yazılım desteği ve bordro yazılımları ile destek alınan şirketler ile Devam takip sistemleri ve yalın takip sistemleri yazılımları konusunda destek alınan şirketlerin kişisel verilere ulaşımı mümkün olduğundan, bu kanun çerçevesinde ve yönergemiz doğrultusunda alınması gerekli ve toplanan verilerle sınırlı olmak üzere erişimlerine taahhütname alınarak verilerin güvenliği çerçevesinde izin verilecektir.
11-TALİMATLANDIRMA VE TAAHHÜTNAME:
Şirketimiz kişisel verilerin işlenmesi, erişilmesi, muhafazasının sağlanması, silinmesi, yok edilmesi veya anonim hale getirilmesi konusunda hazırlanan talimatname irtibat görevlisine verilecek ekli taahhütname alınacaktır.(Ekli talimat ve taahhütname)
12-KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ:
Bu kanun ve diğer kanun hükümlerine uygun olarak işlenmiş olunmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine şirketimizce silinecek, yok edilecek veya anonim hale getirilecektir. Kanuni saklama süreleri bu maddenin istisnasıdır.
13-İLGİLİ KİŞİNİN KİŞİSEL VERİLERİYLE İLGİLİ BU KANUNUN UYGULANMASI İLE İLGİLİ BAŞVURUSU:
Yazılı olarak veya kurumun belirleyeceği yöntemler ile şirketimize yapılan başvuru sonucu bu kanunun 10. Maddesinde belirtilen süre ve kapsamda değerlendirilerek cevaplandırılacaktır.(Ekli başvuru formu)
14-OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ. olarak, müşterilerimiz, çalışanlarımız, ziyaretçilerimiz ve iş ortaklarımız da dahil olmak üzere, faaliyetlerimiz sırasında temasta bulunduğumuz tüm gerçek kişilerin, Anayasal bir hak olan kişisel verilerinin korunmasına ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan düzenlemelere uyum sağlanmasına azami önemi vermekteyiz. Bu doğrultuda, Veri Sorumlusu sıfatıyla, kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla, gerekli her türlü teknik ve idari önlemleri almaktayız.
TANIMLAR
OLGUN OTO YEDEK PARÇA SAN. TİC. AŞ.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR
GENEL İLKELER:
1-Anayasa’nın m. 20/III kişisel verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği belirtilerek kişisel verilerin korunması güvence altına alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda Şirketlerimiz kişisel verileri ilgili mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının bulunduğu durumlarda aşağıdaki ilkelere uygun olarak işlemektedir:
2-Hukuka ve Dürüstlük Kuralına Uygun İşleme: Kişisel Veriler’in işlenmesinde, tüm hukuki düzenlemeler ve dürüstlük kuralına uygun hareket etmektedir.
3-Kişisel Veriler’in Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Kişisel Veriler’in doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmelerde bulunularak Veri Sahipleri’ne gerekli imkânlar tanınmaktadır.
4-Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketlerimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir.
5-İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma:Kişisel Verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Veriler’in işlenmesinden kaçınmaktadır.
6-İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme:İşlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, Şirketlerimiz, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.
7-Grup Şirketleri’nin faaliyetlerinin, ilke, hedef ve stratejilerini uygun olarak yürütülmesi, şirketlerimiz hak ve menfaatleri ile itibarının korunması amacıyla işlenmekte olan Kişisel Verileri, Grup Şirketleri de işleyebilir. Aynı şekilde, Grup Şirketleri tarafından işlenmekte olan Kişisel Veriler, OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ. tarafından da işlenebilir. OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ. A.Ş. ile Grup Şirketleri arasındaki kişisel veri paylaşımının Kanun kapsamında veri sorumlusundan veri sorumlusuna kişisel veri aktarımı kapsamında gerçekleşmesi durumunda, aktarımı yapan ilgili şirket, ilgili kişinin Kişisel Veri’sini toplama aşamasında, kişiyi, kişisel verilerinin OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ. ve Grup Şirketlere gönderilebileceği konusunda aydınlatır.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ÖNLEMLER
1- KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
2-Bu kapsamda şirketimiz ve grup şirketlerimiz tarafından gerekli (A) TEKNİK ve (B)İDARİ tedbirler alınmakta, (C) Şirket bünyesinde denetim sistemi kurulmakta ve (D) Kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirler alınmaktadır. Kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
A-Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek ve Kişisel Verilerin Güvenli Ortamda Saklanması için Alınan Teknik Tedbirler
-
Kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde teknik önlemler alınmalı ve alınan önlemler periyodik olarak güncellenmeli ve yenilenmelidir.
-
Teknik konularda, uzman personel istihdam edilmelidir.
-
Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılmalıdır,
-
Güvenliği temin edecek yazılım ve donanımlar kurulmalıdır,
-
İşlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili şirket çalışanı ile sınırlandırılmalıdır.
B-Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek ve Kişisel Verilerin Güvenli Ortamda Saklanması için Alınan İdari Tedbirler
-
Kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarını bilgilendirmekte ve eğitmektedir.
-
Kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
-
Şirketlerimiz tarafından gerçekleştirilen süreçler detaylı olarak incelenmekte, süreç kapsamında yürütülen kişisel veri işleme faaliyetleri her birim özelinde tespit edilmektedir. Bu kapsamda, yürütülen veri işleme faaliyetlerinin KVK Kanunu'nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar belirlenmektedir.
-
Şirket yapılarına göre hukuksal uyum gerekliliklerinin sağlanması için yerine getirilmesi gereken uygulamaları tespit etmekte, bu uygulamaların denetimini ve sürekliliğini sağlamak için gerekli idari tedbirler, Şirket içi politikalar ve eğitimler düzenlenmektedir.
-
OLGUN OTO YEDEK PARÇA SAN.TİC.AŞ ve grup şirketleri ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, talimatlara ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
-
Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
C-Kişisel Verilerin Korunmasına İlişkin Alınan Tedbirlerin Denetim Faaliyetleri
-
KVK Kanunu’nun 12. Maddesin uygun olarak, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik ve idari tedbirlerin gerekli denetimlerini yapmakta veya yaptırmaktadır. Bu denetim sonuçları iç işleyişi kapsamında konu ile ilgili birime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
(D) Kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirler alınmaktadır.
-
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
-
Veri Sahibi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan Özel Nitelikli Kişisel Veriler’in işlenmesinde, özel hassasiyet gösterilmektedir.
-
Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
-
Özel Nitelikli Kişisel Veriler, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
-
Veri Sahibi’nin açık rızası var ise veya
-
Veri Sahibi’nin açık rızası yok ise; Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ÖNLEMLER
-
KVKK Kanun’un 6. Maddesinde yer alan, Özel Nitelikli Kişisel Veriler’in işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
A-Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika belirlenmiştir,
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan’lara yönelik,
-
Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir,
-
Gizlilik sözleşmelerinin yapılmaktadır,
-
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
-
Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
-
Görev değişikliği olan ya da işten ayrılan Çalışanlar’ın bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından kendisine tahsis edilen envanteri iade almaktadır
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,
-
Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,
-
Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
-
Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,
-
Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
-
Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
-
Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmaktadır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
-
Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır,
-
Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel Nitelikli Kişisel Veriler aktarılmamaktadır. Aktarılacaksa aşağıdaki önlemlere uyularak işlem yapılacaktır.
-
Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
-
Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
-
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir,
-
Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Gizli ” formatta gönderilmektedir.
-
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır..
GÖRÜNTÜ KAYITLARININ İŞLENMESİ
-
Şirketlerimiz, güvenliğin sağlanması amacıyla, tüm bina ve tesislerinde, satış ofislerinde, şantiyelerde, birim ve şubelerinde, güvenliğin sağlanması amacıyla, güvenlik kamerası ile giriş ve çıkışların takibi amacıyla, Kanun ve sair mevzuat hükümlerine ve Politika’da yer alan ilkelere uygun şekilde kişisel verileri saklamakta ve gerektiğinde işlemektedir.
KİŞİSEL VERİLERİN AKTARILMASI
Şirketlerimiz, hukuka uygun olarak elde etmiş olduğu Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi’nin Kişisel Verileri’ni ve/veya Özel Nitelikli Kişisel Verileri’ni işbu Politika’da belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
-
Veri Sahibi’nin açık rızası var ise,
-
Kanunlarda Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
-
Veri Sahibi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
-
Şirketlerimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
-
Kişisel Veriler, Veri Sahibi tarafından alenileştirilmiş ise,
-
Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
-
Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketlerimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
KVKK kararı veya talimatıyla hayati önem taşıması halinde gerekli güvenlik önlemleri ve taahhütnameler alınarak aktarılabilecektir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
KVKK kararı veya talimatıyla hayati önem taşıması halinde gerekli güvenlik önlemleri ve taahhütnameler alınarak aktarılabilecektir.
KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNE İLİŞKİN ESASLAR
-
Kişisel veriler, ilgili mevzuatta öngörülen süreler boyunca ve hukuki yükümlülükleri doğrultusunda saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, o veriyi işlerken yürüttüğü faaliyet ile bağlantılı olarak şirketlerimizin uygulamaları ile ticari teamüller doğrultusunda işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
-
İşlenme amacı sona ermiş kişisel veriler ile kişisel veri sahipleri tarafından silinmesi/anonimleştirilmesi talep edilmiş olan kişisel veriler, ilgili mevzuat ve şirketlerimizin belirlediği saklama sürelerinin de sonuna gelinmişse; yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.
-
Kişisel verilerin saklanma sürelerini belirlerken ilgili mevzuatta öngörülen zamanaşımı sürelerini esas almaktadır. Bu amaç doğrultusunda saklanan kişisel verilere yalnızca ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman sınırlı kişiler tarafından erişilmekte olup bu amaç dışında başka bir amaçla erişilmemektedir.
-
Bu sürenin sonunda da kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
-
Kişisel Veriler, Kanunu’nun 7. Maddesinde ve Türk Ceza Kanunu’nun 138. maddesinde ve düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, re’sen veya kişisel veri sahibinin talebi üzerine, Olgun Oto Yedek Parça ve San. Tic. A.Ş. tarafından silinir, yok edilir veya anonim hâle getirilir.
YÜKÜMLÜLÜKLER VE HAKLAR
AYDINLATMA VE BİLGİLENDİRME YÜKÜMLÜLÜĞÜ
Kanun’un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Veri Sahiplerini aydınlatmaktadır. Bu kapsamda ;
-
Veri Sorumlusu ve varsa temsilcisinin kimliği,
-
Kişisel Veriler’in hangi amaçla işleneceği,
-
İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
-
Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile
-
Veri Sahibi’nin sahip olduğu hakları konusunda Veri Sahibi’ne bilgi vermektedir.
-
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Bu kapsamda, Anayasa’nın 20. ve Kanun’un 11. maddelerine uygun olarak Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
-
İNTERNET SİTESİNDE YAYINLANMASI GEREKEN POLİTİKA METİNLERİ YAYINLANMIŞTIR.