Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca taşıyıcı firma tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (çalışan, çalışan adayları, müşteriler, potansiyel müşteriler, tedarikçiler, hissedarlar/ortaklar, şirket yetkilileri, ziyaretçiler, iş ortakları ve diğer üçüncü kişilerin) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin korunması, saklanması ve gerektiğinde imha edilmesine dair esasların belirlenmesi bu Politika’nın amacını oluşturmaktadır.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak Şirket tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Şirket tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.
İşbu Politika, yürürlükte bulunan ilgili mevzuata ve başta 6698 sayılı Kanun olmak üzere, Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır. Şirket tarafından Politika’nın yayım tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Şirketimiz tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.
Politika, Şirket’e ait taşıyıcı firma internet sitesinde ve mobil uygulamada yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.
6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
Açıklanan nedenlerle Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER kısmında yer almaktadır.
Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Veri sahibi ilgili kişinin açık rızası olmaksızın özel nitelikli kişisel veriler işlenemez.
Şirket tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm tedbirler alınmakta olup bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.
Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:
Şirket tarafından elde edilen kişisel veriler, Kanun’da öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel verileriniz aşağıda gösterilen hallerde açık rıza olmaksızın işlenebilir:
a) Kanunlarda açıkça öngörülmesi: Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir. Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.
b) Fiili imkânsızlık: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilmektedir.
c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması: Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi gündeme gelebilmektedir.
d) Şirketin hukuki yükümlülüğünü yerine getirmesi: Veri sorumlusu sıfatıyla Şirketimizin yerine getirmesi gereken hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.
e) İlgili kişi tarafından alenileştirilmiş olması: Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma konu olamaz.
f) Bir hakkın tesisi, kullanılması ve korunması için zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerinin açık rızası olmaksızın da işlenmesi mümkündür.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması: Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel veriler işlenebilir.
Özel nitelikli kişisel verilerin işlenmesi Kanun’un 6.maddesine tabi olup ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde; sağlık ve cinsel hayata ilişkin veriler ise sır saklama yükümlülüğü altındaki kişilerce işlenebilir.
Kişisel verilerin elde edilmesi sırasında Şirketimizin veri sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme yapılmaktadır. Bilgilendirme şu unsurları içerir:
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak Kanun’un 5. maddesinin ikinci fıkrası ve 6. maddesinin üçüncü fıkrasındaki şartların varlığı halinde açık rıza aranmaksızın aktarılabilir.
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Ancak yeterli korumanın bulunması veya yeterli korumanın taahhüt edilip Kurul izninin alınması kaydıyla istisnai hallerde aktarım mümkündür.
Veri sahibi ilgili kişiler tarafından Şirketimiz tarafından elde edilen veri kategorizasyonu ve kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında gösterilmiştir.
| İdari Tedbirler Özet Tablosu |
|---|
| Kişisel Veri İşleme Envanterinin Hazırlanması |
| Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
| Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında) |
| Gizlilik Taahhütnameleri |
| Kurum İçi Periyodik ve/veya Rastgele Denetimler |
| Risk Analizleri |
| İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
| Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
| Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
| Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
| Teknik Tedbirler Özet Tablosu |
|---|
| Yetki Matrisi ve Yetki Kontrolü |
| Erişim Logları ve Kullanıcı Hesap Yönetimi |
| Ağ Güvenliği ve Uygulama Güvenliği |
| Şifreleme ve Sızma Testleri |
| Saldırı Tespit ve Önleme Sistemleri (IDS/IPS) |
| Veri Maskeleme ve Veri Kaybı Önleme Yazılımları (DLP) |
| Düzenli Yedekleme ve Güvenlik Duvarları (Firewall) |
| Güncel Anti-Virüs Sistemleri |
| Silme, Yok Etme veya Anonim Hale Getirme Teknikleri |
Şirket binası ve çevresinde güvenliğin sağlanması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Ayrıca misafirlerin giriş çıkışlarının takibi amacıyla kimlik bilgileri kayıt altına alınmaktadır.
Kişisel verileriniz, veri işleme faaliyetinin gerekli olduğu süre kadar muhafaza edilir. İşleme nedenleri ortadan kalktığında veriler silinir, yok edilir veya anonim hale getirilir. Periyodik imha süresi azami 6 ay olarak belirlenmiştir.
Kanun uyarınca veri sahipleri; verilerinin işlenip işlenmediğini öğrenme, bilgi talep etme, düzeltme isteme, silinmesini talep etme ve zararın giderilmesini isteme haklarına sahiptir. Taleplerinizi Fatih Mahallesi, Prof. Fevzi Fevzioğlu Caddesi, No:19, Kocasinan/Kayseri adresine yazılı olarak iletebilirsiniz.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
| Veri Sahibi Kategorileri | Açıklama |
|---|---|
| Çalışan | Şirket bünyesinde çalışan kişileri ifade etmektedir. |
| Çalışan Adayı | İş başvurusu yapan gerçek kişileri ifade etmektedir. |
| Müşteri | Şirket’in sunduğu hizmetlerden yararlanan gerçek kişileri ifade etmektedir. |
| Ziyaretçi | İşyerini ziyaret eden 3. kişileri ifade etmektedir. |
| Aktarılan Kişi/Birim | Kapsam | Aktarılma Amacı |
|---|---|---|
| Hissedarlar | Şirket hissedarları | Bilgi akışının sağlanması. |
| İş Ortakları | Ticari faaliyet ortakları | Faaliyetlerin yerine getirilmesi. |
| Yetkili Kamu Kurumları | Resmi makamlar | Yasal yükümlülüklerin yerine getirilmesi. |
