KARİYER.NET - Kişisel Veri İşleme Saklama ve İmha Polikası

1- Amaç

Kariyer.net Elektronik Yayıncılık ve İletişim Hizmetleri A.Ş. (“Şirket”, “Şirketimiz” “Kariyer.net” ve/veya “Biz”) olarak; İstanbul’da bulunan merkezimizden, 21 yıldan bu yana Türkiye'nin en büyük istihdam platformu olma özelliğine sahip, iş arama ve işe alım süreçlerinde yeni nesil teknolojilerle, iş arayanlarla (“Aday”) işverenleri internet ortamında bir araya getiren bir platformu (“Platform”) yönetmekteyiz. Aday veritabanımızda 20 milyonu aşkın özgeçmiş bulunmakta, 110 binin üzerinde işveren firma, ihtiyaç duyduğu işgücünü Kariyer.net aracılığıyla aramaktadır. Faaliyet gösterdiğimiz sektör ve sektördeki lider konumumuz sebebiyle veritabanlarımızda milyonlarca gerçek kişiye ait kişisel veriler ve özel nitelikli kişisel veriler bulunmaktadır. Bu muazzam boyutlardaki verinin omuzlarımıza yüklediği sorumluluk duygusu ile, kişisel veri koruma alanındaki uyum çalışmalarımızı ilgili mevzuatın öngördüğü şekilde hem teknik hem de idari boyutlarıyla bütünsel olarak ve faaliyet gösterdiğimiz sektör standartlarının ötesinde bir gayretle sürdürmekteyiz.

İşbu kişisel verilerin işlenmesi ve korunması politikası, şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunmasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir. Platformumuzu iş aramak için kullanan adaylarımız, işçi aramak için kullanan işveren müşterilerimiz, web sitelerimizi veya tesislerimizi ziyaret eden ziyaretçilerimiz, gerçek kişi tedarikçilerimiz ile tedarikçilerimizin gerçek kişi çalışanları, çalışan adaylarımız, eski çalışanlarımız ve mevcut çalışanlarımız dahil olmak üzere gerçek kişilerin (Hepsi birlikte “Bireyler” olarak anılacaktır.) kişisel verilerinin, Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” veya “Kanun” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara, yayımlamış olduğu rehberlere ve uluslararası bilgi güvenliği standartları (Hepsi birlikte bu politika içerisinde “Veri Koruma Mevzuatı” olarak anılacaktır.) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ile verisi işlenen ilgili kişilerin, yani Bireylerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir.

Bu nedenle, Bireylere ait olan, kısacası faaliyetlerimiz sırasında edindiğimiz bütün kişisel verilere ilişkin, işleme, saklama ve aktarma işlemlerini, Kariyer.net Kişisel Veri İşleme Saklama ve İmha Politikasına (“Politika”) göre gerçekleştirmekteyiz.

Kişisel verilerin korunması ve kişisel verileri toplanan Bireylerin, temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, kişisel bilgilerin gizliliği, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması maksadı ile ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini, Veri Koruma Mevzuatı ve güncel teknolojiye uygun şekilde almaktayız. İşbu Politika, insan kaynakları, ticaret, tanıtım, pazarlama, iş geliştirme, güvenlik ve benzeri faaliyetlerimiz sırasında işlenen kişisel verilerin, Veri Koruma Mevzuatı’nda anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri açıklamaktadır.

2- Tanımlar

İşbu Politika’da kullanılan büyük harfle başlayan ve Politika içerisinde tanımlanmış olmayan terimler kendilerine aşağıda atfedilen anlamları haiz olacaklardır.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim hale getirme

Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren ve veri sorumlusunun aydınlatma yükümlülüğüne ilişkin kapsamlı düzenlemeleri içeren (duruma göre tadil edilecek halini de kapsar şekilde) tebliği ifade eder.

Bireyler

Platformumuzu iş aramak için kullanan adaylarımız, işçi aramak için kullanan işveren müşterilerimiz, web sitelerimizi veya tesislerimizi ziyaret eden ziyaretçilerimiz, gerçek kişi tedarikçilerimiz ile tedarikçilerimizin gerçek kişi çalışanları, çalışan adaylarımız, eski çalışanlarımız ve mevcut çalışanlarımız dahil olmak üzere kişisel verilerini herhangi bir şekilde işlemekte olduğumuz gerçek kişilerin tümünü birde ifade eder.

Veri Koruma Mevzuatı

Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlar ile yayımlamış olduğu rehberlerin ve uluslararası bilgi güvenliği standartlarının tümünü birden ifade eder.

Kimliksizleştirme VEYA Anonimleştirme

Kişisel verilerin, kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini ifade eder.

Kanun

6698 Sayılı Kişisel Verilen Korunması Kanunu’nu ifade eder.

Kişisel Sağlık Verisi

Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık ile ilgili hizmet ya da hak ile ilgili bilgileri ifade eder.

Kişisel Veri/ler

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Veri Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak ger-çekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, Veri Kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.

Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)

Kurum tarafından internet sitesinde yayınlanan rehberi (https://kvkk.gov.tr/SharedFolderServer/CMSFiles/) (duruma göre tadil edilecek halini de kapsar şekilde) ifade eder.

Kişisel Veri İhlali Bildirimi

Kanun’un 12. Maddesinin 5. Fıkrası ve Kurul tarafından, internet sitesinde yayınlanan kişisel veri ihlali bildirim usul ve esaslarına ilişkin 24.01.2019 tarih ve 2019/10 sayılı kararına ilişkin duyuru çerçevesinde yapılacak bildirimi ifade eder.

Kişisel Veri İhlal Politikası

Şirket tarafından veri ihlallerinin hızlı şekilde fark edilmesi ve giderilmesi ile gerekli bildirim ve raporların yapılmasına dair ilkeleri, kuralları ve süreçleri belirleyen politikayı ifade eder.

Kişisel Verilerin işlenmesi

Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Kurum tarafından, 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayınlanan (24.8.2019 tarihli ve 30758 sayılı Resmi Gazete ile değişikliğe uğramış ve duruma göre daha sonra tadil edilecek halini de kapsar şekilde) yönetmeliği ifade eder.

Kurul

Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum

Kişisel Verileri Koruma Kurumu’nu ifade eder.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

ÖNKV Politikası

Şirket tarafından hazırlanan, Özel Nitelikli Kişisel Verilerin Işlenmesinde Alınması Gereken Önlemlere Dair Politika’yı ifade eder.

Silme

Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Veri İşleyen

Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Kategorisi

Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını ifade eder.

Veri Koruma Komitesi

Şirket’in Kişisel Verilerin Korunması Komitesi’ni ifade eder.

Veri Sahibi (İlgili Kişi)

Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder.

Veri Sorumlusu

Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Veri Sorumluları Sicili

Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.

Veri Sorumluları Sicili Hakkında Yönetmelik

1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’i (duruma göre daha sonra tadil edilecek halini de kapsar şekilde) ifade eder.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

Veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi hâlinde alınacak ücret ile ilgili usul ve esasları belirleyen tebliği (duruma göre daha sonra tadil edilecek halini de kapsar şekilde) ifade eder.

Taahhütname

Kurum tarafından 26 Mayıs 2018 tarihinde internet sitesinde https://kvkk.gov.tr/Icerik/5255/Taahhutnameler adresinde ilan edilen ve Kanun’un 9. Maddesinin (2) (b) bendi kapsamında, yurtdışına veri aktarımında veri sorumlularınca hazırlanacak asgari unsurları içeren taahhütname/leri (duruma göre daha sonra tadil edilecek halini de kapsar şekilde) ifade eder.

Yetki Matrisi

Şirket tarafından Teknik ve İdari Tedbirler kapsamında oluşturulan erişim yetki ve kontrol matrisini ifade eder.

Yok Etme

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

3- Kapsam

3.1 Şirket, Kanun kapsamında mevcut Kişisel Veriler’in gizliliği ve güvenliği gereklerine uymayı taahhüt eder, bu nedenle Şirket Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir.3.2 Şirket aşağıdaki ana başlıklar altında;

a) İnsan kaynakları ve iş yönetimi süreçleriyle bağlantılı olarak kendi çalışanlarının veya çalışan adaylarının Kişisel Veriler’ini, (ki bu durumda Şirket Veri Sorumlusu’dur);

b) Tedarikçilerin çalışanları, platformumuzu kullanan iş arayan adaylar, işveren müşteriler ve onların yetkilileri, müşteri adayları ve ziyaretçilere dair Kişisel Veriler’i (ki, bu durumda Şirket Veri Sorumlusu’dur) ve

c) Müşterileri için veya onların nam ve hesabına yürütülen tüm faaliyetler ve hizmetlerle bağlantılı hizmetin ifası ve süreçlerin yönetimi için (ki bu durumda Veri İşleyen’dir)

Kişisel Veriler’i işlemektedir.

3.3 Bu Politika, Şirket’in, Şirket’in topladığı ve işlediği Kişisel Veriler’e erişimi olan, Şirket’e bilgi sağlayan veya Şirket’ten Kişisel Veri alan tüm tam ve yarı zamanlı çalışanlara, taşeron çalışanlarına, ortak teşebbüs çalışanlarına ve tüm tedarikçi ve satıcılara uygulanır. Bunlara ek olarak, bu Politika’nın içerdiği tüm hükümler Veri Koruma Mevzuatı’na tabidir. Bu Politika’nın içerdiği hükümler ile ilgili Kanun hükümlerinin çeliştiği veya çatıştığı hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır.

4- Esaslar

4.1 Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler

4.1.1 Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmelidir.

Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kurallarına uygunluk ise hukukumuzda, Medeni Kanunun 2. maddesinde düzenlenen dürüstlük kuralının, kişisel veriler işlenirken ihlal edilmemesidir. Bu ilke kişisel veriler işlenirken, hakkın kötüye kullanılmamasına ilişkin yasağa riayet edilmesini gerektirmektedir. Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder. Kişisel verilerin korunması açısından ise dürüstlük kuralı, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirir.

Hukuka uygunlukla ilgili vurgulanması gereken en önemli noktalardan biri, bu kavramın tüm hukuk sistemini kastettiğidir. Bir veri işlemenin kanun tarafından izin verilmiş, hatta emredilmiş olması onun hukuka uygun olduğuna karinedir.

Şirket, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Ayrıca Şirket Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenlemeleri de takip etmekte ve uygulamalarında bu hukuki düzenlemeler çerçevesinde gerekli olması halinde yeniden düzenleme ve iyileştirmeler yapmaktadır/iyileştirmeleri yapmaya gayret göstermektedir.

4.1.2 Kişisel Veriler, Doğru ve Gerektiğinde Güncel Olmalıdır.

Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyuyor ise geçerlidir. Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır.

Şirket, kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynakların belirli olmasını sağlar, kişisel verilerin toplandığı kaynağın doğruluğu test eder, kişisel verilerin doğru olmamasından kaynaklı ilgili kişi taleplerini göz önünde bulundurur ve bu kapsamda makul önlemleri alır.

4.1.3 Kişisel Veriler Belirli, Açık ve Meşru Amaçlar İçin İşlenmelidir.

Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;

  • Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
  • Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
  • Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını

sağlamaktadır.

Şirket veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Şirket Veri Sahipleri’ni Kişisel Verileri’nin işlenmesine ilişkin olarak aydınlatmaktadır. Şirket Kişisel Veri işleme amaçlarının değişmesi halinde, gerekli olduğu ölçüde, işbu Politika ve/veya aydınlatma metinleri güncellenecektir. Ayrıca veri işleme amaçlarındaki değişikliklerin mümkün olduğu ölçüde farklı kanallardan Veri Sahipleri’ne duyurulması için çaba gösterilecektir.

4.4.4 Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmadır.

İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gereklidir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacaktır. Amaç için gerekli olanın dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalı veya işlenmemelidir.

Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir. Şirket kişisel veri işleme faaliyetlerinde, işleme amaçlarının meşruluğunun yanı sıra işlemeye konu kişisel verilerin de belirlenen amaçla bağlantılı, sınırlı ve ölçülü olmasını temin eder. Bu kapsamda toplanan ve işlenen kişisel veriler Şirket’in yapmakta olduğu iş ve sunmakta olduğu hizmet ile bağlantılı ve bunlar için gerekli olanlarla sınırlıdır.

4.1.5 Kişisel Veriler, İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir.

Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür. Şirket, Kişisel Veriler’i ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir.

Ancak Şirket, farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması gerekebileceğinden, özellikle de dava zamanaşımı süreleri dikkate alınarak, Şirket’in, çalışanlarının ve müşterilerinin hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için belirlediği azami muhafaza sürelerini esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirket Kişisel Verileri kendi tespit ettiği üzere işlendikleri amaç için gerekli olan azami süre kadar saklamaktadır. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.

Mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

4.2 İşleme Şartları

4.2.1 Kişisel Veriler’in İşlenmesi

Şirket tarafından Kişisel Veriler, Kanun’da belirtilen Kişisel Veriler’in hukuka uygun işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Şirketimiz Kişisel Veriler’i Kanun’da getirilen düzenlemelere uygun olarak işlemektedir. Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Kişisel Verileri’nin işlenmesi mümkündür:

  1. Kanunlarda açıkça öngörülmesi;
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması;
  4. Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
  5. Veri Sahibi’nin kendisi tarafından alenileştirilmiş olması;
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
  7. Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıdaki şartlardan biri yoksa Veri Sahibi’nin Açık Rıza’sı alınarak Kişisel Veriler’i işlenebilir. Ancak bu durumda da işleme faaliyeti ancak 4.1 ve devamı maddelerinde detaylıca izah edilen genel ilkelere aykırılık teşkil etmiyorsa mümkündür.

4.2.2. Özel Nitelikli Kişisel Veriler’in İşlenmesi

Şirket tarafından Kişisel Veriler, Kanun’da belirtilen şartlara uygun olarak işlenmektedir. Buna ek olarak Şirket, Özel Nitelikli Kişisel Veri işlerken, Özel Nitelikli Kişisel Verilerin işlenmesi için "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda belirtilen şartlara uyar. Bu kapsamda:

  1. Özel Nitelikli Kişisel Veriler, Veri Sahibi’nin Açık Rızası ile işlenebilir.
  2. Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rıza’sı aranmaksızın işlenebilir.
  3. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın işlenebilir.
  4. Özellikle işveren-çalışan ilişki kapsamındaki süreçlerin (izin, avans, sigorta süreci, özlük dosyasının oluşturulması vb.) yürütülmesi için çalışanların doğrudan ya da dolaylı olarak Kişisel Sağlık Verileri işlenebilmektedir. Bu tip durumlarda çalışanlardan Açık Rıza alınır veya sağlığa ilişkin kişisel veriler yalnız işyeri hekimi tarafından, Şirket’te işyeri hekimi yoksa ise bu verileri işlemesi gerekli kişiler veya departmanlar tarafından işlenebilir ve bu yetkililerce erişilebilir. Veri Koruma Mevzuatı çerçevesinde rıza gerektirmeyen haller içerisinde belirlendiği takdirde açık rıza olmaksızın bu kişisel veriler işlenebilir.
  5. Çalışanlara ait ilgili mevzuatın işlenmesini öngördüğü Kişisel Sağlık Verileri doğrudan işveren Şirket tarafından istihdam edilen veya dışarıdan hizmeti alınan “işyeri hekimleri” tarafından “koruyucu hekimlik” faaliyeti kapsamında işlenmektedir.

4.3 Rıza ve Bilgilendirme

4.3.1 Geçerli olması için rızanın bilgilendirilmeye dayanması, belirli bir konuya ilişkin ve ve o konu ile sınırlı olması ve özgür iradeyle açıklanmış olması gerekmektedir.

4.3.2 Veri Sahibi’nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde aydınlatılması gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır. Aydınlatma yükümlülüğü ve Açık Rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

4.3.3 Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilen onay beyanı şeklinde anlaşılmalıdır. Açık uçlu bir rıza, Açık Rıza olarak kabul edilemez. Veri Sorumlusu’nun, gerçekleştireceği farklı işlemler için kural olarak Veri Sahibi’nin Açık Rıza’sının bir defa alınması yeterlidir. Ancak daha sonra, söz konusu verinin asıl amacından farklı amaçlarla işlenmesinin istenmesi halinde buna ilişkin ayrıca rıza alınması gerekecektir.

4.3.4 Açık Rıza, özgürce, hiçbir baskı altında kalmadan verilmelidir ve ancak Veri Sahibi’nin gerçek bir tercih ortaya koyabildiği halde geçerlidir. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.

Çalışan açısından ise açık rıza konusundaki kararının çalışanın iş ilişkisini kesinlikle etkilememesi, performans değerlendirmesine dahi konu olmaması gerekir. Aynı zamanda çalışanın rızaya ilişkin kararı işveren veya çalışandan sorumlu yetkili çalışanlar tarafından herhangi bir şekilde veya surette çalışana ilişkin bir değerlendirme kıstası olarak kullanılmamalı, olumlu veya olumsuz bir etki veya sonuç yaratmamalıdır.

4.3.5 Yukarıdaki koşullar sağlandığı sürece rızanın alınma şekli özgürce belirlenebilir. Bunlar, iş sözleşmelerine ek konulan hükümler/protokoller, başvuru ya da satın alma formlarında yer alan onay kutuları ve Kişisel Veriler’in girildiği çevrimiçi formlarda yer alan kutular şeklinde olabilir.

4.3.6 Rızanın diğer yazılı beyanlarla elde edilmesi halinde, rıza talebinin belirgin bir şekilde yapılması gerekir.

4.3.7 Rıza, Veri Sahibi tarafından her zaman geri alınabilir. Rızanın geri alınması da çalışanın iş ilişkisine konu olmamalıdır.

4.4. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma

4.4.1 Veri Sahibi’nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Veri’nin elde edildiği her durumda (rıza istensin veya istenmesin), Veri Sahibi’nin önceden en geç very toplanma anında uygun şekilde aydınlatılması esastır. Bu kapsamda Veri Sahibi’ne açıklanması gereken asgari başlıklar aşağıdaki gibidir;

  • Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
  • Veri işlemenin amacı(amaçları)
  • Veri aktarımının amacı ve kimlere veri aktarılacağı,
  • Veri toplama yöntemi ve hukuki sebebi,
  • Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü Şirket tarafından ayrıca yerine getirilmelidir. Veri Sorumluları Sicili’ne kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, Veri Sorumluları Sicili’ne açıklanan bilgilerle uyumlu olmasını sağlar.

4.4.2 Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü, Şirket;

  • kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
  • kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
  • kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

ilgili kişiyi aydınlatma yükümlülüğünü yerine getirir.

4.4.3 Yukarıdaki aydınlatma yükümlülükleri, yürürlükteki Kanun’un aydınlatma yükümlülüğüne istisna getirdiği aşağıdaki hallerde uygulanmayacaktır:

  1. Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  2. Veri Sahibi’nin kendisi tarafından alenileştirilmiş Kişisel Veriler’in işlenmesi.
  3. Kişisel Veri işlemenin Kanun’un verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  4. Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

4.4.4 Aydınlatma sözlü, elektronik olarak, sözlü veya yazılı olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Şirket veya Veri Koruma Komitesi tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanması gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.

4.4.5 Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.

4.4.6 Farklı Veri Sahibi Grupları için Aydınlatma

Şirketimizin farklı ilgili kişi gruplarına ilişkin aydınlatma metinleri, www.kariyer.net internet sitemiz üzerinde Aday Üyelik Aydınlatma Metni, Çalışan Aydınlatma Metni, İşveren Müşteri Temsilcisi Aydınlatma Metni, Tedarikçi / İş Ortağı Temsilcisi Aydınlatma Metni, Üçüncü Şahıs Aydınlatma Metni, Çerez Politikası, Ziyaretçi Aydınlatma Metni başlıkları altında bulunmaktadır. Aydınlatma metinlerinin periyodik olarak güncellenmesinden Veri Koruma Komitesi sorumludur.

4.5. Veri Koruma Komitesi

4.5.1 Şirket’in uyum programı çerçevesinde kişisel verileri işleme faaliyetlerinin Barış Karadenizli, Kübra Küçükarslan, Ahmet Fikri Ay ve Rıdvan Mete’den oluşan Veri Koruma Komitesi tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır.

Veri Koruma Komitesi’ne Barış Karadenizli başkanlık eder. Veri Koruma Komitesi’nin görevleri aşağıdaki gibidir:

  1. Kişisel Veriler’in Şirket tarafından hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olmak üzere, belirli, açık ve meşru amaçlar için, işleme amacıyla bağlantılı bir şekilde, sınırlı ve ölçülü olarak işlenmesini sağlamak,
  2. Kanun, Kurul Kararları ve sair İkincil Mevzuatı takip etmek ve bu çerçevede Şirket politika ve süreçlerinde gerekli güncellemeleri yapmak, uyarıları uygun yöntemler ile ilgililere iletmek, Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak,
  3. Şirket’i ve çalışanlarını, Şirket’in Kanun kapsamındaki görevleri konusunda bilgilendirmek ya da uzmanlar tarafından bu bilgilendirmenin yapılmasını temin etmek,
  4. Şirket’in Kişisel Veri Envanteri’ni hazırlamak ve güncelliğini sağlamak,
  5. Şirket’in Kişisel Veri İşleme faaliyetleri açısından mevcut risk ve tehditleri belirlemek, ilgili departmanlar ve yöneticiler ile birlikte farklı veri sahibi kategorileri ile ilgili yürütülen veya yürütülmesi planlanan veri işleme faaliyetlerini değerlendirmek, etki değerlendirmesi ve risk analizini yapmak, bunlara dair değerlendirme ve kararlarını belgelemek,
  6. Şirket’in uyum programının güncel olmasını sağlamak bu kapsamda Yetki Matrisi, Erişim, Bilgi Güvenliği dahil, ancak bunlarla sınırlı olmaksızın, Şirket’in uyum politikaları, prosedürleri ve süreçlerini hazırlanmak, bu konuda uzmanlarla çalışmak, bunların güncelliklerini periyodik olarak temin etmek, tadil edilmiş metinlerin ilgililer ile uygun kanallardan paylaşılmasını temin etmek, politikalara uyum sağlamak için düzenli denetim mekanizmalarını, uygulanan prosedürleri ve geçerli kuralları belirlemek,
  7. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapmak, yapılan kontrolleri belgelenmek, geliştirilmesi gereken hususları belirlenmek ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam etmek,
  8. Şirket’e ve/veya çalışanlarına karşı yürürlükteki mevzuatın ihlali yüzünden yöneltilebilecek, potansiyel kurumsal ve bireysel, idari veya cezai yükümlülükler hakkında Şirket’in üst düzey yöneticilerini, idarecilerini, müdürlerini ve çalışanlarını bilgilendirmek ve gerekli işlemleri yürütmek,
  9. Şirket’in aydınlatma yükümlülüğünün yerine getirilmesi için uygun aydınlatma metinlerinin hazırlanmasını temin etmek, gerekli olması halinde aydınlatma metinlerinin tadil edilmesini ve bunların uygun kanallar ile ilgili kişilere açıklanmasını sağlamak,
  10. Şirket’in aydınlatma yükümlülüğünü yerine getirildiğinin ispatı için gerekli düzenlemeleri yapmak, bunun için gerekli önlemleri almak ve kayıtların tutulmasını sağlamak için sistemleri kurmak ve sürdürebilirliğini sağlamak,
  11. İlgili departmanlar ile birlikte, Veri Sahibi’nin Kişisel Veri işleme ile ilgili Açık Rızasının alınması ve belgelenmesi için sistemler kurmak,
  12. Özel Nitelikli Kişisel Veriler’in, Kanun ile belirtilen şartlara ve Kurul tarafından getirilebilecek özel önlemlere uygun olarak işlenmesini sağlamak; sağlık ve cinsel hayata ilişkin olanlar dışındaki Özel Nitelikli Kişisel Veriler’in ancak kanunlarda öngörülen hallerde kişinin açık rızası aranmaksızın işlenmesini sağlamak; sağlık ve cinsel hayata ilişkin Kişisel Veriler’in ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin açık rızası aranmaksızın işlenmesini sağlamak, diğer tüm hallerde Veri Sahibi’nin Açık Rızası’nın alınmasını temin etmek,
  13. Yurtdışına veri aktarımı ile ilgili Kanun ve Kurul tarafından belirlenen ilkelere uymak için gerekli düzenlemeleri yapmak, ilgili kişilerden Açık Rıza’ların alınmasını sağlamak veya Kanun’da öngörülen haller dışında gerekli olması halinde uygun Taahhütnameler’in imzalanmasını ve Kurul’dan gerekli izinlerin alımasını sağlamak,
  14. Kişisel Veriler’in, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmamasını, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılmasını, Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için gerekli güvenlik önlemlerinin alınmasını veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişime karşı korunmasını, Kişisel Veriler’in üçüncü kişilere aktarılmasına ilişkin yazılı anlaşmalar yapılmasını sağlamak ve bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirmek,
  15. Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen seçmek, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket’in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir sözleşme yapılmasını sağlamak, Şirket’in dahili veri denetim süreçlerinin parçası olarak, üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve, özellikle veri güvenliği ve tedbirleri hakkında zaman zaman denetimler gerçekleştirmek ve bu denetimleri gerçekleştirmek için gerekli hukuki alt yapının kurulmasını sağlamak,
  16. Şirket’in diğer veri sorumluları ile olan ilişkilerini düzenlemek ve bu kişilerle ilişkiler açısından işbu Politika’ya uyumlu şekilde gerekli prosedürleri ve standart sözleşmesel hükümleri belirlemek, bunların uygulanmasını sağlamak,
  17. Şirket’ten Kişisel Veri transfer edilen üçüncü kişilerin, Şirket’in elde ettiği ve işlediği Kişisel Veriler’e erişimi olanların ve Şirket’e veri sağlayanların bu Politika’ya uyum sağlaması için gerekli prosedürleri ve standart sözleşmesel hükümleri belirlemek, bunların uygulanmasını sağlamak,
  18. Veri Sahibi’nin Kanun’dan doğan haklarını kullanırken Şirket’e yönelteceği taleplerini etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak için gerekli her türlü idari ve teknik tedbirleri almak, hızlı ve uygun cevap verilmesini sağlayacak sistemi belirlemek, sürdürmek ve yürütmek, Veri Sahibi’nin taleplerinin alındığı zamanı kaydetmek ve cevap veriliş tarihlerini tespit etmek, başvurulara dair gerekli dosyalama vs sistemleri kurmak ve yönetmek, Gerekli görülmesi halinde, Veri Sahibi tarafından veya onun adına gelen tekrarlayan veya rahatsız edici derecede külfetli talepleri izlemek ve reddetmek için prosedürler oluşturmak,
  19. Şirket’in Kurum, Kurul ve Veri Sorumluları Sicili ile olan ilişkilerini yönetmek ve yürütmek, Şirket tarafından İrtibat Kişisi’nin atanmasını sağlamak ve İrtibat Kişi ile tam uyumlu şekilde çalışmak,
  20. Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanları bilgilendirmek, Şirket çalışanlarının, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almalarını sağlamak, çalışanlara yönelik farkındalık çalışmaları yapmak ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulmak, ayrıca Şİrket çalışanlarının herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluklarının, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olmasını sağlamak,
  21. Teknik ve İdari Tedbirler’in alınmasını ve uygulanmasını sağlamak ve denetlemek, bu amaçla gerekli hizmet alımlarını yapmak ve uzmanları görevlendirmek, Şirket genelinde kişisel verilerin güvenliği konusunda düzenli eğitimlerin verilmesini temin etmek,
  22. Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemleri almak,
  23. Şirket’in Güvenlik Olaylarına Müdahale Politikası çerçevesinde Kurum’a ve Veri Sahiplerine süresi içinde Veri İhlal Bildirimlerinin yapılmasını sağlamak ve İhlal Politikası’nda öngörülen süreçleri yürütmek ve tedbirleri almak.
  24. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini sağlamak, Kişisel Veriler’in saklanması, silinmesi, yok edilmesi ve anonimleştirilmesine süreçeri temin etmek ve bu politikanın uygulanmasında Kanun ve sair ikincil mevzuatta yer alan ilkelere ve yükümlülüklere uymak, Şirket’in Kanun’da yer alan prensiplere uygun olarak işlemekte olduğu Kişisel Veriler’i mevzuatlarda öngörülen süre boyunca saklamak, mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmemişse, Kişisel Veriler işlendikleri amaç sona erene kadar muhafaza etmek ve belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmek,
  25. Doğru olmayan, güncelliğini yitirmiş ve herhangi bir amaca hizmet etmeyen verilerin işlenmesinin önüne geçebilmek için, Şirket’in işleme amaçları bakımından anılan kişisel verilere hala ihtiyaç olup olmadığını değerlendirilmek, ayrıca yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesini sağlamak, Kimliksizleştirme uygulamarını yürütmek, ve ihtiyaç duyulmayan kişisel verilerin ise uygun ve güvenli bir şekilde imha edilmesini sağlamak,

4.5.2 Şirket, Veri Koruma Komitesi’nun görevlerini tam olarak yerine getirebilmesini teminen,

  1. Hem Yönetim Kurulu hem de Şirket’in üst yönetiminde görevli kişiler Veri Koruma Komitesinu’nun görevlerini yerine getirmesi için aktif olarak destek vermesini sağlar,
  2. Şirket’in büyüklüğünü, yapısını, veri işleme faaliyetleri ve işlemenin mahiyetini dikkate alınarak, Veri Koruma Komitesi’na tüm görevlerinin yerine getirilmesi için uygun mali kaynak, ekip ve altyapı (yer, tesis, ekipman vb gibi) temin eder,
  3. Veri Koruma Komitesi’nin Şirket (duruma göre şirketler topluluğu) içinde diğer departmanlar tarafından alınan veya verilen hizmetlere erişiminin olmasını sağlar ve bu surette komistonun destek alması, gerektiğinde süreçlere müdahil olması ve/veya denetleyebilmesi için gerekli imkanları yaratır,
  4. Veri Koruma Komitesi üyelerinin bilgilerinin güncel tutulması için eğitim almaları, uluslararası veya ulusal sempozsyum, kongre vb etkinliklere katılımlarını destekler.

4.6 Kişisel Veriler’in Aktarılması

4.6.1 Kişisel Veriler’in Üçüncü Kişilere Aktarılması

4.6.1.1 Kişisel Veriler, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmamalıdır.

4.6.1.2 Kişisel Veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.

4.6.1.3 Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için en azından Özel Nitelikli Kişisel Verilerin işlenmesi için "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda yer alan güvenlik önlemleri alınmalıdır.

4.6.1.4 Kişisel Veriler’in üçüncü kişilere takip eden veri işleme faaliyetleri için aktarılması yazılı anlaşmalara tabi olacaktır. Veri Koruma Komitesi bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirecektir.

4.6.1.5 Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

  1. Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,
  2. Aktarımın kanunlarda açıkça öngörülmesi,
  3. Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  4. Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin gerekli olması,
  5. Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  6. Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,
  7. Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  8. Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.
  9. Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibi’nin Açık Rızası aranmaksızın aktarılabilir.

4.6.2 Kişisel Veriler’in Yurt Dışına Aktarılması

Kişisel verilerin yurtdışına aktarılmasında Kanun’un 9. maddesi esas alınır.

Buna göre, yurt dışına veri aktarımı;

  1. İlgili kişinin açık rızasının bulunması veya
  2. Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) kişisel veri aktarımında, Kanun’da belirtilen hallerin varlığı, (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar),
  3. Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, Kanun’da belirtilen hallerin varlığı durumunda (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesini teminin Taahütname’nin imzalanması ve Kurul’un izninin bulunması,

durumlarında gerçekleştirilebilir.

Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınması öngörülmüştür. İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurt dışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurt dışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir. Buna göre, ÖNKV’lerin aktarımı açısından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) kanunda açıkça öngörülmesi halinde yurt dışına aktarılabilecektir. Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurt dışına aktarılabilecektir.

4.7. Kanuna Uyumlu Olmayan Yeni Faaliyetlerden Kaçınma

Kural olarak, Şirket tarafından Veri Koruma Komitesi’nun onayı alınmadan yeni veya genişletilmiş Kişisel ve/veya Özel Nitelikli Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir. İlgili tüm departman ve yöneticileri ile, Veri Koruma Komitesi ve diğer departmanlarla uyum içinde çalışmaya gayret edecekler, Kanun’a uyumlu olmayan yeni faaliyetlerden kaçınacaklardır.

4.8 Veri Sahibi’nin Hakları

Kişisel Veri Sahibi kişisel verileri üzerinde;

  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
    1. Kişisel Verilere İlişkin Hakların Kullanılması

Verisi, veri sorumlusu Kariyer.net talimatları uyarınca işlenen her ilgili kişi KVKK’nın 11.maddesi kapsamındaki haklarını kullanmak amacıyla KVKK’nın 13.maddesi uyarınca veri sorumlusuna başvuruda bulunma hakkına sahiptir. Veri sorumlusu Kariyer.net, bu başvuruyu en geç 30 (otuz) gün içerisinde kabul veya gerekçesini açıklamak kaydıyla reddetmek zorundadır. Ancak bu başvurunun usulüne uygun bir başvuru olarak kabul edilebilmesi için Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği’nde düzenlenen unsurların tamamını karşılaması gerekmektedir.

Herhangi bir ilgili kişinin başvurusunun geçerli bir başvuru olarak kabul görmesi için;

  • İlgili kişinin bizzat kendisi tarafından kimlik ibraz etmek suretiyle Türkçe dilinde, yazılı olarak veya
  • Kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da
  • İlgili kişi tarafından şirketimize daha önce bildirilen ve şirketimizin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya
  • Şirketimiz tarafından, başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla iletilmesi gerekmektedir.

Yine bir başvurunun usulüne uygun bir başvuru olarak kabul edilip değerlendirilmesi için içerisinde aşağıdaki hususların hepsinin yer alması gerekmektedir.

  • İlgili kişinin adı, soyadı ve başvuru yazılı ise ıslak imzası,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • İlgili kişiye ait talebin konusu.

Bu nedenle KVKK’nın 11.maddesi uyarınca ilgili kişilere tanınan hakların kullanılabilmesi için Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği’nde düzenlenen unsurların tamamını taşıyacak şekilde bir başvurunun, işbu Politikada yer alan iletişim ve adres bilgileri kullanılarak iadeli taahhütlü posta yoluyla, şahsen gelip bizzat başvurularak, veya Kariyer.net sistemlerinde kayıtlı bir e-posta adresi üzerinden ya da güvenli elektronik imza kullanılmak suretiyle elektronik posta yoluyla Kariyer.net’e iletilmesi gerekmektedir.

Bireyler ve sair ilgili kişiler, işbu Politika veya Kariyer.net’in diğer kişisel veri koruma uygulamalarına ilişkin herhangi bir soru veya endişeleri bulunması ya da haklarına ilişkin bir talepleri bulunması halinde, Veri Koruma Komitesine adaydestek@kariyer.net adresinden ulaşabilirler.

4.9 Kişisel Veriler’in Saklanması, Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesi

4.9.1. Kişisel Verilerin Silinmesi, Yok Edilmesi

Aşağıda belirtilen durumlarda kişisel veriler için silme, yok etme ve/veya anonimleştirme işlemi uygulanır;

  • Veri Koruma Mevzuatı hükümlerinde bir değişiklik olması,
  • Kişisel verilerin işlenmesini ve saklanmasını gerektiren şartların ortadan kalkması,
  • İlgili kişinin açık rıza vermemesi veya rızasını geri alması ve bu kararın veri sorumlusu tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin dolması,
  • Kişisel Veri Koruma Kurulu’na yapılan bir başvuru sonucu verilerin imhası talebinin kurulca uygun bulunması,

4.9.2. Kişisel Verilerin Silinmesi ve Yok Edilmesinde Kullanılan Yöntemler

Kişisel verilerin silinmesi ve yok edilmesi için kullanılan yöntemler aşağıda belirtilmiştir. Kişisel verilerin saklanma şekline göre aşağıdaki yöntemlerden biri kullanılır.

4.9.3. Doküman Olarak Saklanan Kişisel Verilerin Yok Edilmesi;

Doküman olarak, fiziksel ortamda(dolap ve/veya arşivlerde) muhafaza edilen verilerin güvenli olarak yok edilmesi sorumluluğu o verileri işleyen birim yöneticilerindedir. Bu tip dokümanlar, geri dönüştürülemeyecek veya okunamayacak şekilde kesilerek, yakılarak, kırpıntı makinaları ile doğranarak veya benzeri yöntemlerle imha edilir. Bu verilerin tanımlanan şekli ile imhası için veri işleyen konumundaki uzman bir kuruluştan da destek alınabilir.

4.9.4. Elektronik Ortamda Saklanan Kişisel Verilerin Silinmesi;

Elektronik ortamda, güvenilir olarak silme ve yok edilmesi işlemi Bilgi Teknolojileri biriminin sorumluluğundadır. Dijital ortamda muhafaza edilen veriler, ilgililerin erişemeyeceği şekilde silinir veya tekrar kullanılabilir hale getirilemeyecek şekilde yok etme işlemine tabi tutulur. Fiziksel veya Elektronik, her iki ortamda saklanan ve imha edilen verilere uygulanan işlemler tutanaklara, Bilgi Teknolojileri birimi tarafından kayıt edilir.

Şirket, belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmektedir. Ayrıca, Şirket resen veya duruma göre, Veri Sahibi’nin talebi üzerine, Kişisel Veriler’i Silebilir, Yok edebilir veya Anonim Hale Getirebilir. Şirket, Veri Koruma Komitesi aracılığıyla, bu yöntemlerden hangisinin makul olduğuna karar vererek o yöntemi uygular. Veri Sahibi, Şirket’in neden bu yöntemi seçtiği konusunda kanuni haklarını kullanmak suretiyle bilgi talep edebilir.

5- Şirket’in İşleme Faaliyetleri İçin Sicil’e Kaydolunması

5.1 Şirket kayıt yükümlülüğünü, zorunlu olması halinde, Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirecektir.

Kurul, zaman zaman https://kvkk.gov.tr/Icerik/5419/Kurul-Kararlari sitesinde, Veri Sorumluları Sicili’ne kayıt yükümlülüklerine dair kararlarını yayınlamaktadır. Ayrıca, Kurul’un internet sitesinde yer alan “Sorularla Verbis” kılavuzunda kayıt yükümlülüleri ile ilgili istisnalar ve bilgiler yer almaktadır. (https://verbis.kvkk.gov.tr/)

Kurul’ca bazı veri sorumluları için Veri Sorumluları Sicili’ne kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazete’de yayımlanmıştır. Buna göre; Kurul’ca belirlenen bazı meslek grupları ve faaliyet alanları yanında, yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.

5.1.1 Yıllık çalışan sayısının hesaplanması

Kurul’un 2018/88 sayılı kararına göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları için Veri Sorumluları Sicili’ne kayıt olunması gereken en son tarihler belirlenmiş ve ilan edilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 8. maddesine göre sonradan kayıt yükümlüsü haline gelen veri sorumluları için belirlenen 30 günlük süre, Kurul kararıyla belirlenen kayıt sona erme tarihlerinden sonra başlayacaktır. Buna göre bir veri sorumlusu, yukarıda ifade edilen veri sorumlusu gruplarından hangisinin kapsamı içinde ise o grup için belirlenmiş kayıt süreleri içerisinde kayıt yükümlülüğünü yerine getirecektir.

Bu sürenin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede kayıt olmak zorundadır. Yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir. Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü başlamış olacaktır.

5.1.2 Yıllık mali bilanço toplamının hesaplanması

Kurul’un 2018/88 sayılı kararına göre yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam esas alınmalıdır. Bu rakamlar eşit olmak zorundadır.

6- Üçüncü Taraf Veri İşleyen Kullanılması

6.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, Veri Koruma Komitesi tarafından belirlenen kriterlere uygun bir Veri İşleyen seçilecektir.

6.2 Üçüncü Taraf Veri İşleyen İçin Yazılı Sözleşmeler

Şirket, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket’in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir sözleşme yapacaktır.

Sözleşmenin ekinde özellikle söz konusu Veri İşleyen tarafından Şirket’in hangi veri güvenliği politikalarına, hangi yöntemlerle uyacağının belirtilmesi ve Şirket’in Kişisel Veri İhlali Politikası’na uygun şekilde bir ihlal halinde Şİrkete söz konusu Veri İşleyen tarafından bildirimin nasıl yapılacağına dair prosedürlerin yer alması gereklidir.

6.3 Üçüncü Taraf Veri İşleyen’in Denetimi

Şirket’in dahili veri denetim süreçlerinin parçası olarak, Şirket üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve, özellikle veri güvenliği ve tedbirleri hakkında, zaman zaman denetimler gerçekleştirecektir ve bu denetimleri gerçekleştirmek için gerekli hukuki alt yapıyı kuracaktır.

7- Veri Güvenliği

7.1 Fiziksel, Teknik ve Organizasyonel Güvenlik Önlemleri

7.1.1 Şirket, Kurul’un yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) çerçevesinde, Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemler alacaktır.

7.1.2 Alınması gereken güvenlik önlemleri Şirket’in bilgi güvenliği politikalarına uygun olarak belirlenecek ve yerine getirilecektir. Bu kapsamda özellikle, Şirket’in siber güvenliğinin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, bulut sistemlerinin güvenli şekilde kullanımı, bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımının tasarlanması, kişisel verilerin yedeklenmesi ve verinin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda Şirket’in yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesinin sağlanması için uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirler alınır.

7.1.3 Şirket’in kendi ürettiği yazılımların ve kullandığı 3. Kişi yazılımlarının (özellikle Şirket için tasarlanmış yazılımların) işbu Politika’da belirtilen kişisel verilerin işlenme şartlarına aykırılık oluşturmaması ve barındırdıkları kişisel verilerin Şİrket güvenlik politikalarına uygun bir şekilde yer alabilmesine ilişkin önlemler alınır.

7.1.4 Şirket, özel nitelikli kişisel verilerin korunmasına ve işbu Politika’da belirtilen ÖNKV’lerin işlenme şartlarına uygun işlenmesine yönelik ÖNKV Politikası’nda belirtilen ek güvenlik önlemlerini alır.

7.2 Çalışan Gizlilik Sözleşmeleri

Çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenebilir. Kişisel Veriler’in işlenmesi sürecinin herhangi bir aşamasına dahil olan herkes, açıkça, iş ilişkisinin bitişinden sonra da devam etmesi gereken bir gizlilik taahüdünde bulunmak ve gizlilik sözleşmesi imzalamak zorundadır.

Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda Şirket iç yönetmelikleri uyarınca disiplin süreci işletilir.

Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişiklikler, çalışanların bilgisine sunulur ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanır.

8- Uyumluluk Denetimi

8.1 Mevcut Uyum Değerlendirmesi

Şirket, Veri Koruma Komitesi aracılığıyla bir program belirlemek suretiyle ve tüm iş birimleri için veri koruma uyum denetimi yapar. Veri Koruma Komitesi, iş birimleri ile koordinasyon içinde tespit edilen eksiklikleri belirli makul bir süre içinde düzeltmek için bir plan ve program üretir.

8.2 Yıllık Veri Koruma Denetimi

Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme en azından aşağıda sayılan hususları kapsamalıdır:

8.2.1 Departmanlar, hangi Kişisel Veriler’in departman tarafından toplandığı, toplanmasının planlandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin esas kullanımı, ilgili kişinin bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesine ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.

8.2.2 Departmanlar, bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunup bulunmadığını tespit edecektir.

8.2.3 Departmanlar kendi hakimiyeti veya kontrolü altındaki Kişisel Veri’nin aktarıldığı kişilerin kimliklerini tespit etmelidir. Departman aktarılan kişilerin bulundukları yerleri, aktarımın amaçlarını, en azından mevcut veri güvenliği seviyesini korumak için hangi fiziksel, teknik sistemlerin ve süreçlerin mevcut olduğunu belirlemelidir.

8.2.4 Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması, Şirket politika ve prosedürlerinde güncelleme yapılması ve uygun süreçlerin temini için Veri Koruma Komitesi’na bildirilmelidir.

9- Uygulama

9.1. Yayımlama

Bu Politika ilgililere Veri Koruma Komitesi tarafından sunulacaktır. Çalışanlara gerekli eğitimler belirlenen aralıklarda ve kapsamda verilecektir.

9.2. Yürürlük Tarihi

Bu Politika yayınlandığı anda yürürlüğe girer. Tüm departmanlar işbirliği içinde, bu politikanın uygulanması için bir zaman çizelgesi ve süreci geliştirecektir. Bu uygulama süreci, bu Politika ve diğer mevcut politikalar arasındaki uyuşmazlıkların çözümünü içerecektir.

9.3. Değişiklikler

Bu Politika’da her zaman değişiklikler yapılabilir. Önemli değişikliklerin bildirimi çalışanlara, Şirket’nin İnsan Kaynakları Departmanı tarafından ve diğerlerine Veri Koruma Komitesi tarafından seçilen uygun bir mekanizma aracılığıyla iletilecektir.

10- Politikanın Yürütülmesine İlişkin Sorumluluk

Veri Koruma Komitesi, bu Politika’nın (ve eklerinin) uygulamasını yürütmekle ve güncelliğini sağlamakla yükümlüdür. Her departman yöneticisi bu Politika’nın uygulanmasından sorumludur. Bu Politika’nın uygulanmasıyla ilgili olan sorular Veri Koruma Komitesi’na yönlendirilmelidir.

11- Veri Kategorilerine Göre Saklama ve İmha Süreleri

Aşağıdaki sayfada yer alan tabloda belirtilen veri kategorilerindeki verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, bu sürelerin takibinden ve muhafaza süresi dolan verilerin imha edilmesinden ve Veri Sorumluları Bilgi Sicil Sistemi’ne (VERBİS) kayıt edilmesinden Veri Koruma Komitesi sorumludur.

Bu politika içerisinde belirtilen Saklama Süreleri, ilgili Veri Kategorisi için belirlenen azami saklama süresidir. Saklama Süreleri, İlgili Kişi gruplarına göre farklılık gösterebilir ancak bu Politika içerisindeki tabloda belirtilen sürelerden daha uzun olamaz. İlgili Kişi gruplarına göre değişen saklama süreleri, departman ve süreç bazlı veri envanteri içerisinde belirtilir ve Veri Koruma Komitesi tarafından güncellenir.

Veri Kategorisi

Veri Niteliği

Saklama Süresi

Kimlik

KV

10 Yıl

İletişim

KV

10 Yıl

Lokasyon

KV

Sözleşme Süresince

Özlük

KV

10 Yıl

Hukuki İşlem

KV

10 Yıl

Müşteri İşlem

KV

10 Yıl

Fiziksel Mekan Güvenliği

KV

3 Yıl

İşlem Güvenliği

KV

10 Yıl

Risk Yönetimi

KV

10 Yıl

Finans

KV

10 Yıl

Mesleki Deneyim

KV

10 Yıl

Pazarlama

KV

3 Yıl

Görsel ve İşitsel Kayıtlar

KV

3 Yıl

Sağlık Bilgileri

ÖNKV

10 Yıl

Ceza Mahkumiyeti ve Güvenlik Tedbirleri

ÖNKV

10 Yıl

Diğer - Çalışan Araç Plaka Bilgisi

KV

İş Akdi Süresince