1- Amaç
Kariyer.net Elektronik Yayıncılık ve İletişim Hizmetleri A.Ş. (“Şirket”, “Şirketimiz” “Kariyer.net” ve/veya “Biz”) olarak; İstanbul’da bulunan merkezimizden, 21 yıldan bu yana Türkiye'nin en büyük istihdam platformu olma özelliğine sahip, iş arama ve işe alım süreçlerinde yeni nesil teknolojilerle, iş arayanlarla (“Aday”) işverenleri internet ortamında bir araya getiren bir platformu (“Platform”) yönetmekteyiz. Aday veritabanımızda 20 milyonu aşkın özgeçmiş bulunmakta, 110 binin üzerinde işveren firma, ihtiyaç duyduğu işgücünü Kariyer.net aracılığıyla aramaktadır. Faaliyet gösterdiğimiz sektör ve sektördeki lider konumumuz sebebiyle veritabanlarımızda milyonlarca gerçek kişiye ait kişisel veriler ve özel nitelikli kişisel veriler bulunmaktadır. Bu muazzam boyutlardaki verinin omuzlarımıza yüklediği sorumluluk duygusu ile, kişisel veri koruma alanındaki uyum çalışmalarımızı ilgili mevzuatın öngördüğü şekilde hem teknik hem de idari boyutlarıyla bütünsel olarak ve faaliyet gösterdiğimiz sektör standartlarının ötesinde bir gayretle sürdürmekteyiz.
İşbu kişisel verilerin işlenmesi ve korunması politikası, şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunmasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir. Platformumuzu iş aramak için kullanan adaylarımız, işçi aramak için kullanan işveren müşterilerimiz, web sitelerimizi veya tesislerimizi ziyaret eden ziyaretçilerimiz, gerçek kişi tedarikçilerimiz ile tedarikçilerimizin gerçek kişi çalışanları, çalışan adaylarımız, eski çalışanlarımız ve mevcut çalışanlarımız dahil olmak üzere gerçek kişilerin (Hepsi birlikte “Bireyler” olarak anılacaktır.) kişisel verilerinin, Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” veya “Kanun” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara, yayımlamış olduğu rehberlere ve uluslararası bilgi güvenliği standartları (Hepsi birlikte bu politika içerisinde “Veri Koruma Mevzuatı” olarak anılacaktır.) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ile verisi işlenen ilgili kişilerin, yani Bireylerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir.
Bu nedenle, Bireylere ait olan, kısacası faaliyetlerimiz sırasında edindiğimiz bütün kişisel verilere ilişkin, işleme, saklama ve aktarma işlemlerini, Kariyer.net Kişisel Veri İşleme Saklama ve İmha Politikasına (“Politika”) göre gerçekleştirmekteyiz.
Kişisel verilerin korunması ve kişisel verileri toplanan Bireylerin, temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, kişisel bilgilerin gizliliği, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması maksadı ile ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini, Veri Koruma Mevzuatı ve güncel teknolojiye uygun şekilde almaktayız. İşbu Politika, insan kaynakları, ticaret, tanıtım, pazarlama, iş geliştirme, güvenlik ve benzeri faaliyetlerimiz sırasında işlenen kişisel verilerin, Veri Koruma Mevzuatı’nda anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri açıklamaktadır.
2- Tanımlar
İşbu Politika’da kullanılan büyük harfle başlayan ve Politika içerisinde tanımlanmış olmayan terimler kendilerine aşağıda atfedilen anlamları haiz olacaklardır.
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Anonim hale getirme |
Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. |
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ |
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren ve veri sorumlusunun aydınlatma yükümlülüğüne ilişkin kapsamlı düzenlemeleri içeren (duruma göre tadil edilecek halini de kapsar şekilde) tebliği ifade eder. |
Bireyler |
Platformumuzu iş aramak için kullanan adaylarımız, işçi aramak için kullanan işveren müşterilerimiz, web sitelerimizi veya tesislerimizi ziyaret eden ziyaretçilerimiz, gerçek kişi tedarikçilerimiz ile tedarikçilerimizin gerçek kişi çalışanları, çalışan adaylarımız, eski çalışanlarımız ve mevcut çalışanlarımız dahil olmak üzere kişisel verilerini herhangi bir şekilde işlemekte olduğumuz gerçek kişilerin tümünü birde ifade eder. |
Veri Koruma Mevzuatı |
Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlar ile yayımlamış olduğu rehberlerin ve uluslararası bilgi güvenliği standartlarının tümünü birden ifade eder. |
Kimliksizleştirme VEYA Anonimleştirme |
Kişisel verilerin, kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini ifade eder. |
Kanun |
6698 Sayılı Kişisel Verilen Korunması Kanunu’nu ifade eder. |
Kişisel Sağlık Verisi |
Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık ile ilgili hizmet ya da hak ile ilgili bilgileri ifade eder. |
Kişisel Veri/ler |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. |
Kişisel Veri Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak ger-çekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, Veri Kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder. |
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) |
Kurum tarafından internet sitesinde yayınlanan rehberi (https://kvkk.gov.tr/SharedFolderServer/CMSFiles/) (duruma göre tadil edilecek halini de kapsar şekilde) ifade eder. |
Kişisel Veri İhlali Bildirimi |
Kanun’un 12. Maddesinin 5. Fıkrası ve Kurul tarafından, internet sitesinde yayınlanan kişisel veri ihlali bildirim usul ve esaslarına ilişkin 24.01.2019 tarih ve 2019/10 sayılı kararına ilişkin duyuru çerçevesinde yapılacak bildirimi ifade eder. |
Kişisel Veri İhlal Politikası |
Şirket tarafından veri ihlallerinin hızlı şekilde fark edilmesi ve giderilmesi ile gerekli bildirim ve raporların yapılmasına dair ilkeleri, kuralları ve süreçleri belirleyen politikayı ifade eder. |
Kişisel Verilerin işlenmesi |
Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
Kurum tarafından, 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayınlanan (24.8.2019 tarihli ve 30758 sayılı Resmi Gazete ile değişikliğe uğramış ve duruma göre daha sonra tadil edilecek halini de kapsar şekilde) yönetmeliği ifade eder. |
Kurul |
Kişisel Verileri Koruma Kurulu’nu ifade eder. |
Kurum |
Kişisel Verileri Koruma Kurumu’nu ifade eder. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. |
ÖNKV Politikası |
Şirket tarafından hazırlanan, Özel Nitelikli Kişisel Verilerin Işlenmesinde Alınması Gereken Önlemlere Dair Politika’yı ifade eder. |
Silme |
Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. |
Veri İşleyen |
Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder. |
Veri Kategorisi |
Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını ifade eder. |
Veri Koruma Komitesi |
Şirket’in Kişisel Verilerin Korunması Komitesi’ni ifade eder. |
Veri Sahibi (İlgili Kişi) |
Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. |
Veri Sorumlusu |
Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. |
Veri Sorumluları Sicili |
Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder. |
Veri Sorumluları Sicili Hakkında Yönetmelik |
1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’i (duruma göre daha sonra tadil edilecek halini de kapsar şekilde) ifade eder. |
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ |
Veri sorumlusuna başvuru ve işlemin ayrıca bir maliyet gerektirmesi hâlinde alınacak ücret ile ilgili usul ve esasları belirleyen tebliği (duruma göre daha sonra tadil edilecek halini de kapsar şekilde) ifade eder. |
Taahhütname |
Kurum tarafından 26 Mayıs 2018 tarihinde internet sitesinde https://kvkk.gov.tr/Icerik/5255/Taahhutnameler adresinde ilan edilen ve Kanun’un 9. Maddesinin (2) (b) bendi kapsamında, yurtdışına veri aktarımında veri sorumlularınca hazırlanacak asgari unsurları içeren taahhütname/leri (duruma göre daha sonra tadil edilecek halini de kapsar şekilde) ifade eder. |
Yetki Matrisi |
Şirket tarafından Teknik ve İdari Tedbirler kapsamında oluşturulan erişim yetki ve kontrol matrisini ifade eder. |
Yok Etme |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. |
3- Kapsam
3.1 Şirket, Kanun kapsamında mevcut Kişisel Veriler’in gizliliği ve güvenliği gereklerine uymayı taahhüt eder, bu nedenle Şirket Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir.3.2 Şirket aşağıdaki ana başlıklar altında;
a) İnsan kaynakları ve iş yönetimi süreçleriyle bağlantılı olarak kendi çalışanlarının veya çalışan adaylarının Kişisel Veriler’ini, (ki bu durumda Şirket Veri Sorumlusu’dur);
b) Tedarikçilerin çalışanları, platformumuzu kullanan iş arayan adaylar, işveren müşteriler ve onların yetkilileri, müşteri adayları ve ziyaretçilere dair Kişisel Veriler’i (ki, bu durumda Şirket Veri Sorumlusu’dur) ve
c) Müşterileri için veya onların nam ve hesabına yürütülen tüm faaliyetler ve hizmetlerle bağlantılı hizmetin ifası ve süreçlerin yönetimi için (ki bu durumda Veri İşleyen’dir)
Kişisel Veriler’i işlemektedir.
3.3 Bu Politika, Şirket’in, Şirket’in topladığı ve işlediği Kişisel Veriler’e erişimi olan, Şirket’e bilgi sağlayan veya Şirket’ten Kişisel Veri alan tüm tam ve yarı zamanlı çalışanlara, taşeron çalışanlarına, ortak teşebbüs çalışanlarına ve tüm tedarikçi ve satıcılara uygulanır. Bunlara ek olarak, bu Politika’nın içerdiği tüm hükümler Veri Koruma Mevzuatı’na tabidir. Bu Politika’nın içerdiği hükümler ile ilgili Kanun hükümlerinin çeliştiği veya çatıştığı hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır.
4- Esaslar
4.1 Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler
4.1.1 Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmelidir.
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kurallarına uygunluk ise hukukumuzda, Medeni Kanunun 2. maddesinde düzenlenen dürüstlük kuralının, kişisel veriler işlenirken ihlal edilmemesidir. Bu ilke kişisel veriler işlenirken, hakkın kötüye kullanılmamasına ilişkin yasağa riayet edilmesini gerektirmektedir. Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder. Kişisel verilerin korunması açısından ise dürüstlük kuralı, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fiillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirir.
Hukuka uygunlukla ilgili vurgulanması gereken en önemli noktalardan biri, bu kavramın tüm hukuk sistemini kastettiğidir. Bir veri işlemenin kanun tarafından izin verilmiş, hatta emredilmiş olması onun hukuka uygun olduğuna karinedir.
Şirket, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Ayrıca Şirket Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenlemeleri de takip etmekte ve uygulamalarında bu hukuki düzenlemeler çerçevesinde gerekli olması halinde yeniden düzenleme ve iyileştirmeler yapmaktadır/iyileştirmeleri yapmaya gayret göstermektedir.
4.1.2 Kişisel Veriler, Doğru ve Gerektiğinde Güncel Olmalıdır.
Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü; veri sorumlusu eğer bu verilere dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyuyor ise geçerlidir. Bunun dışında veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır.
Şirket, kişisel verilerin doğru ve güncel tutulabilmesini teminen; kişisel verilerin elde edildiği kaynakların belirli olmasını sağlar, kişisel verilerin toplandığı kaynağın doğruluğu test eder, kişisel verilerin doğru olmamasından kaynaklı ilgili kişi taleplerini göz önünde bulundurur ve bu kapsamda makul önlemleri alır.
4.1.3 Kişisel Veriler Belirli, Açık ve Meşru Amaçlar İçin İşlenmelidir.
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
sağlamaktadır.
Şirket veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Şirket Veri Sahipleri’ni Kişisel Verileri’nin işlenmesine ilişkin olarak aydınlatmaktadır. Şirket Kişisel Veri işleme amaçlarının değişmesi halinde, gerekli olduğu ölçüde, işbu Politika ve/veya aydınlatma metinleri güncellenecektir. Ayrıca veri işleme amaçlarındaki değişikliklerin mümkün olduğu ölçüde farklı kanallardan Veri Sahipleri’ne duyurulması için çaba gösterilecektir.
4.4.4 Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmadır.
İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması gereklidir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacaktır. Amaç için gerekli olanın dışında veri işlenmesi, sınırlı tutulma ilkesine aykırılık teşkil edecektir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınılmasıdır. Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamalı veya işlenmemelidir.
Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir. Şirket kişisel veri işleme faaliyetlerinde, işleme amaçlarının meşruluğunun yanı sıra işlemeye konu kişisel verilerin de belirlenen amaçla bağlantılı, sınırlı ve ölçülü olmasını temin eder. Bu kapsamda toplanan ve işlenen kişisel veriler Şirket’in yapmakta olduğu iş ve sunmakta olduğu hizmet ile bağlantılı ve bunlar için gerekli olanlarla sınırlıdır.
4.1.5 Kişisel Veriler, İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir.
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür. Şirket, Kişisel Veriler’i ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir.
Ancak Şirket, farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması gerekebileceğinden, özellikle de dava zamanaşımı süreleri dikkate alınarak, Şirket’in, çalışanlarının ve müşterilerinin hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için belirlediği azami muhafaza sürelerini esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirket Kişisel Verileri kendi tespit ettiği üzere işlendikleri amaç için gerekli olan azami süre kadar saklamaktadır. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek ya da anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.
Mevzuat kapsamında öngörülen bu sürelere uyum için yapılan saklama faaliyetleri veri sorumlusu tarafından belirlenen saklama sürelerini aşıyorsa, bu faaliyetler yalnızca ilgili mevzuatta belirtilen yükümlülükleri yerine getirmekle sınırlı bir saklama ve işleme faaliyeti olarak yürütülmelidir. Hem veri sorumlusunun hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de veri sorumlusunun belirlediği saklama sürelerinin aşılması durumunda, kişisel verilerin veri sorumlusu tarafından silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.
4.2 İşleme Şartları
4.2.1 Kişisel Veriler’in İşlenmesi
Şirket tarafından Kişisel Veriler, Kanun’da belirtilen Kişisel Veriler’in hukuka uygun işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Şirketimiz Kişisel Veriler’i Kanun’da getirilen düzenlemelere uygun olarak işlemektedir. Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Kişisel Verileri’nin işlenmesi mümkündür:
Yukarıdaki şartlardan biri yoksa Veri Sahibi’nin Açık Rıza’sı alınarak Kişisel Veriler’i işlenebilir. Ancak bu durumda da işleme faaliyeti ancak 4.1 ve devamı maddelerinde detaylıca izah edilen genel ilkelere aykırılık teşkil etmiyorsa mümkündür.
4.2.2. Özel Nitelikli Kişisel Veriler’in İşlenmesi
Şirket tarafından Kişisel Veriler, Kanun’da belirtilen şartlara uygun olarak işlenmektedir. Buna ek olarak Şirket, Özel Nitelikli Kişisel Veri işlerken, Özel Nitelikli Kişisel Verilerin işlenmesi için "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda belirtilen şartlara uyar. Bu kapsamda:
4.3 Rıza ve Bilgilendirme
4.3.1 Geçerli olması için rızanın bilgilendirilmeye dayanması, belirli bir konuya ilişkin ve ve o konu ile sınırlı olması ve özgür iradeyle açıklanmış olması gerekmektedir.
4.3.2 Veri Sahibi’nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde aydınlatılması gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır. Aydınlatma yükümlülüğü ve Açık Rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
4.3.3 Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilen onay beyanı şeklinde anlaşılmalıdır. Açık uçlu bir rıza, Açık Rıza olarak kabul edilemez. Veri Sorumlusu’nun, gerçekleştireceği farklı işlemler için kural olarak Veri Sahibi’nin Açık Rıza’sının bir defa alınması yeterlidir. Ancak daha sonra, söz konusu verinin asıl amacından farklı amaçlarla işlenmesinin istenmesi halinde buna ilişkin ayrıca rıza alınması gerekecektir.
4.3.4 Açık Rıza, özgürce, hiçbir baskı altında kalmadan verilmelidir ve ancak Veri Sahibi’nin gerçek bir tercih ortaya koyabildiği halde geçerlidir. Açık rızanın özgür irade ile açıklanması gerektiğinden, ilgili kişinin açık rızasının alınması, bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmemelidir.
Çalışan açısından ise açık rıza konusundaki kararının çalışanın iş ilişkisini kesinlikle etkilememesi, performans değerlendirmesine dahi konu olmaması gerekir. Aynı zamanda çalışanın rızaya ilişkin kararı işveren veya çalışandan sorumlu yetkili çalışanlar tarafından herhangi bir şekilde veya surette çalışana ilişkin bir değerlendirme kıstası olarak kullanılmamalı, olumlu veya olumsuz bir etki veya sonuç yaratmamalıdır.
4.3.5 Yukarıdaki koşullar sağlandığı sürece rızanın alınma şekli özgürce belirlenebilir. Bunlar, iş sözleşmelerine ek konulan hükümler/protokoller, başvuru ya da satın alma formlarında yer alan onay kutuları ve Kişisel Veriler’in girildiği çevrimiçi formlarda yer alan kutular şeklinde olabilir.
4.3.6 Rızanın diğer yazılı beyanlarla elde edilmesi halinde, rıza talebinin belirgin bir şekilde yapılması gerekir.
4.3.7 Rıza, Veri Sahibi tarafından her zaman geri alınabilir. Rızanın geri alınması da çalışanın iş ilişkisine konu olmamalıdır.
4.4. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma
4.4.1 Veri Sahibi’nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Veri’nin elde edildiği her durumda (rıza istensin veya istenmesin), Veri Sahibi’nin önceden en geç very toplanma anında uygun şekilde aydınlatılması esastır. Bu kapsamda Veri Sahibi’ne açıklanması gereken asgari başlıklar aşağıdaki gibidir;
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü Şirket tarafından ayrıca yerine getirilmelidir. Veri Sorumluları Sicili’ne kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, Veri Sorumluları Sicili’ne açıklanan bilgilerle uyumlu olmasını sağlar.
4.4.2 Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü, Şirket;
ilgili kişiyi aydınlatma yükümlülüğünü yerine getirir.
4.4.3 Yukarıdaki aydınlatma yükümlülükleri, yürürlükteki Kanun’un aydınlatma yükümlülüğüne istisna getirdiği aşağıdaki hallerde uygulanmayacaktır:
4.4.4 Aydınlatma sözlü, elektronik olarak, sözlü veya yazılı olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Şirket veya Veri Koruma Komitesi tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanması gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
4.4.5 Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.
4.4.6 Farklı Veri Sahibi Grupları için Aydınlatma
Şirketimizin farklı ilgili kişi gruplarına ilişkin aydınlatma metinleri, www.kariyer.net internet sitemiz üzerinde Aday Üyelik Aydınlatma Metni, Çalışan Aydınlatma Metni, İşveren Müşteri Temsilcisi Aydınlatma Metni, Tedarikçi / İş Ortağı Temsilcisi Aydınlatma Metni, Üçüncü Şahıs Aydınlatma Metni, Çerez Politikası, Ziyaretçi Aydınlatma Metni başlıkları altında bulunmaktadır. Aydınlatma metinlerinin periyodik olarak güncellenmesinden Veri Koruma Komitesi sorumludur.
4.5. Veri Koruma Komitesi
4.5.1 Şirket’in uyum programı çerçevesinde kişisel verileri işleme faaliyetlerinin Barış Karadenizli, Kübra Küçükarslan, Ahmet Fikri Ay ve Rıdvan Mete’den oluşan Veri Koruma Komitesi tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır.
Veri Koruma Komitesi’ne Barış Karadenizli başkanlık eder. Veri Koruma Komitesi’nin görevleri aşağıdaki gibidir:
4.5.2 Şirket, Veri Koruma Komitesi’nun görevlerini tam olarak yerine getirebilmesini teminen,
4.6 Kişisel Veriler’in Aktarılması
4.6.1 Kişisel Veriler’in Üçüncü Kişilere Aktarılması
4.6.1.1 Kişisel Veriler, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmamalıdır.
4.6.1.2 Kişisel Veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.
4.6.1.3 Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için en azından Özel Nitelikli Kişisel Verilerin işlenmesi için "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda yer alan güvenlik önlemleri alınmalıdır.
4.6.1.4 Kişisel Veriler’in üçüncü kişilere takip eden veri işleme faaliyetleri için aktarılması yazılı anlaşmalara tabi olacaktır. Veri Koruma Komitesi bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirecektir.
4.6.1.5 Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:
4.6.2 Kişisel Veriler’in Yurt Dışına Aktarılması
Kişisel verilerin yurtdışına aktarılmasında Kanun’un 9. maddesi esas alınır.
Buna göre, yurt dışına veri aktarımı;
durumlarında gerçekleştirilebilir.
Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınması öngörülmüştür. İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurt dışına aktarılması mümkündür. Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurt dışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir. Buna göre, ÖNKV’lerin aktarımı açısından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) kanunda açıkça öngörülmesi halinde yurt dışına aktarılabilecektir. Yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın yurt dışına aktarılabilecektir.
4.7. Kanuna Uyumlu Olmayan Yeni Faaliyetlerden Kaçınma
Kural olarak, Şirket tarafından Veri Koruma Komitesi’nun onayı alınmadan yeni veya genişletilmiş Kişisel ve/veya Özel Nitelikli Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir. İlgili tüm departman ve yöneticileri ile, Veri Koruma Komitesi ve diğer departmanlarla uyum içinde çalışmaya gayret edecekler, Kanun’a uyumlu olmayan yeni faaliyetlerden kaçınacaklardır.
4.8 Veri Sahibi’nin Hakları
Kişisel Veri Sahibi kişisel verileri üzerinde;
Verisi, veri sorumlusu Kariyer.net talimatları uyarınca işlenen her ilgili kişi KVKK’nın 11.maddesi kapsamındaki haklarını kullanmak amacıyla KVKK’nın 13.maddesi uyarınca veri sorumlusuna başvuruda bulunma hakkına sahiptir. Veri sorumlusu Kariyer.net, bu başvuruyu en geç 30 (otuz) gün içerisinde kabul veya gerekçesini açıklamak kaydıyla reddetmek zorundadır. Ancak bu başvurunun usulüne uygun bir başvuru olarak kabul edilebilmesi için Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği’nde düzenlenen unsurların tamamını karşılaması gerekmektedir.
Herhangi bir ilgili kişinin başvurusunun geçerli bir başvuru olarak kabul görmesi için;
Yine bir başvurunun usulüne uygun bir başvuru olarak kabul edilip değerlendirilmesi için içerisinde aşağıdaki hususların hepsinin yer alması gerekmektedir.
Bu nedenle KVKK’nın 11.maddesi uyarınca ilgili kişilere tanınan hakların kullanılabilmesi için Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği’nde düzenlenen unsurların tamamını taşıyacak şekilde bir başvurunun, işbu Politikada yer alan iletişim ve adres bilgileri kullanılarak iadeli taahhütlü posta yoluyla, şahsen gelip bizzat başvurularak, veya Kariyer.net sistemlerinde kayıtlı bir e-posta adresi üzerinden ya da güvenli elektronik imza kullanılmak suretiyle elektronik posta yoluyla Kariyer.net’e iletilmesi gerekmektedir.
Bireyler ve sair ilgili kişiler, işbu Politika veya Kariyer.net’in diğer kişisel veri koruma uygulamalarına ilişkin herhangi bir soru veya endişeleri bulunması ya da haklarına ilişkin bir talepleri bulunması halinde, Veri Koruma Komitesine adaydestek@kariyer.net adresinden ulaşabilirler.
4.9 Kişisel Veriler’in Saklanması, Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesi
4.9.1. Kişisel Verilerin Silinmesi, Yok Edilmesi
Aşağıda belirtilen durumlarda kişisel veriler için silme, yok etme ve/veya anonimleştirme işlemi uygulanır;
4.9.2. Kişisel Verilerin Silinmesi ve Yok Edilmesinde Kullanılan Yöntemler
Kişisel verilerin silinmesi ve yok edilmesi için kullanılan yöntemler aşağıda belirtilmiştir. Kişisel verilerin saklanma şekline göre aşağıdaki yöntemlerden biri kullanılır.
4.9.3. Doküman Olarak Saklanan Kişisel Verilerin Yok Edilmesi;
Doküman olarak, fiziksel ortamda(dolap ve/veya arşivlerde) muhafaza edilen verilerin güvenli olarak yok edilmesi sorumluluğu o verileri işleyen birim yöneticilerindedir. Bu tip dokümanlar, geri dönüştürülemeyecek veya okunamayacak şekilde kesilerek, yakılarak, kırpıntı makinaları ile doğranarak veya benzeri yöntemlerle imha edilir. Bu verilerin tanımlanan şekli ile imhası için veri işleyen konumundaki uzman bir kuruluştan da destek alınabilir.
4.9.4. Elektronik Ortamda Saklanan Kişisel Verilerin Silinmesi;
Elektronik ortamda, güvenilir olarak silme ve yok edilmesi işlemi Bilgi Teknolojileri biriminin sorumluluğundadır. Dijital ortamda muhafaza edilen veriler, ilgililerin erişemeyeceği şekilde silinir veya tekrar kullanılabilir hale getirilemeyecek şekilde yok etme işlemine tabi tutulur. Fiziksel veya Elektronik, her iki ortamda saklanan ve imha edilen verilere uygulanan işlemler tutanaklara, Bilgi Teknolojileri birimi tarafından kayıt edilir.
Şirket, belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmektedir. Ayrıca, Şirket resen veya duruma göre, Veri Sahibi’nin talebi üzerine, Kişisel Veriler’i Silebilir, Yok edebilir veya Anonim Hale Getirebilir. Şirket, Veri Koruma Komitesi aracılığıyla, bu yöntemlerden hangisinin makul olduğuna karar vererek o yöntemi uygular. Veri Sahibi, Şirket’in neden bu yöntemi seçtiği konusunda kanuni haklarını kullanmak suretiyle bilgi talep edebilir.
5- Şirket’in İşleme Faaliyetleri İçin Sicil’e Kaydolunması
5.1 Şirket kayıt yükümlülüğünü, zorunlu olması halinde, Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirecektir.
Kurul, zaman zaman https://kvkk.gov.tr/Icerik/5419/Kurul-Kararlari sitesinde, Veri Sorumluları Sicili’ne kayıt yükümlülüklerine dair kararlarını yayınlamaktadır. Ayrıca, Kurul’un internet sitesinde yer alan “Sorularla Verbis” kılavuzunda kayıt yükümlülüleri ile ilgili istisnalar ve bilgiler yer almaktadır. (https://verbis.kvkk.gov.tr/)
Kurul’ca bazı veri sorumluları için Veri Sorumluları Sicili’ne kayıt yükümlülüğüne istisna getirilmiştir. Bu kapsamda alınmış olan 2018/32 sayılı Kurul Kararı 15.05.2018 tarihli Resmi Gazete’de; 2018/68, 2018/75 ve 2018/87 sayılı Kurul Kararları ise 18.08.2018 tarihli Resmi Gazete’de yayımlanmıştır. Buna göre; Kurul’ca belirlenen bazı meslek grupları ve faaliyet alanları yanında, yıllık çalışan sayısı 50’den az veya yıllık mali bilanço toplamı 25 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur.
5.1.1 Yıllık çalışan sayısının hesaplanması
Kurul’un 2018/88 sayılı kararına göre yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişiler, yurtdışında yerleşik gerçek ve tüzel kişiler, yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişiler ile kamu kurum ve kuruluşları için Veri Sorumluları Sicili’ne kayıt olunması gereken en son tarihler belirlenmiş ve ilan edilmiştir. Veri Sorumluları Sicili Hakkında Yönetmeliğin 8. maddesine göre sonradan kayıt yükümlüsü haline gelen veri sorumluları için belirlenen 30 günlük süre, Kurul kararıyla belirlenen kayıt sona erme tarihlerinden sonra başlayacaktır. Buna göre bir veri sorumlusu, yukarıda ifade edilen veri sorumlusu gruplarından hangisinin kapsamı içinde ise o grup için belirlenmiş kayıt süreleri içerisinde kayıt yükümlülüğünü yerine getirecektir.
Bu sürenin tamamlanmasından sonraki bir tarihte kayıt yükümlüsü haline gelmişse, kayıt yükümlüsü olduğu tarihten itibaren 30 günlük sürede kayıt olmak zorundadır. Yıllık çalışan sayısının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisindeki 12 aydan en az 7’sinin her birinde veri sorumlusunca yetkili kamu kurum ve kuruluşlarına aylık verilmekte olan Muhtasar ve Prim Hizmet Beyannamesinde bildirilen çalışan sayısının dikkate alınması gerekmektedir. Ayrıca söz konusu 7 ayın aynı yıl içerisinde olmak kaydıyla ardışık olması zorunlu değildir. Buna göre, bir veri sorumlusu 2017 yılı içerisinde Sosyal Güvenlik Kurumuna vermiş olduğu Muhtasar ve Prim Hizmet Beyannamelerinin en az 7 sinin her birinde bildirmiş olduğu çalışan sayısının 50’den çok olması halinde kayıt yükümlülüğü başlamış olacaktır.
5.1.2 Yıllık mali bilanço toplamının hesaplanması
Kurul’un 2018/88 sayılı kararına göre yıllık mali bilanço toplamının hesaplanması için öncelikle tamamlanmış bir yıl olması ve bu tamamlanmış yıl içerisinde veri sorumlusu tarafından yetkili kamu kurumuna yıllık olarak verilmekte olan gelir veya kurumlar vergisi beyanname ekindeki mali tablolarda yer alan mali bilanço bilgisinin dikkate alınması gerekmektedir. Buna göre veri sorumlusunun beyannamesi ekindeki bilançoda yer alan “aktif” ya da “pasif” bölümündeki toplam rakam esas alınmalıdır. Bu rakamlar eşit olmak zorundadır.
6- Üçüncü Taraf Veri İşleyen Kullanılması
6.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri
Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, Veri Koruma Komitesi tarafından belirlenen kriterlere uygun bir Veri İşleyen seçilecektir.
6.2 Üçüncü Taraf Veri İşleyen İçin Yazılı Sözleşmeler
Şirket, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket’in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir sözleşme yapacaktır.
Sözleşmenin ekinde özellikle söz konusu Veri İşleyen tarafından Şirket’in hangi veri güvenliği politikalarına, hangi yöntemlerle uyacağının belirtilmesi ve Şirket’in Kişisel Veri İhlali Politikası’na uygun şekilde bir ihlal halinde Şİrkete söz konusu Veri İşleyen tarafından bildirimin nasıl yapılacağına dair prosedürlerin yer alması gereklidir.
6.3 Üçüncü Taraf Veri İşleyen’in Denetimi
Şirket’in dahili veri denetim süreçlerinin parçası olarak, Şirket üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve, özellikle veri güvenliği ve tedbirleri hakkında, zaman zaman denetimler gerçekleştirecektir ve bu denetimleri gerçekleştirmek için gerekli hukuki alt yapıyı kuracaktır.
7- Veri Güvenliği
7.1 Fiziksel, Teknik ve Organizasyonel Güvenlik Önlemleri
7.1.1 Şirket, Kurul’un yayınlamış olduğu Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) çerçevesinde, Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemler alacaktır.
7.1.2 Alınması gereken güvenlik önlemleri Şirket’in bilgi güvenliği politikalarına uygun olarak belirlenecek ve yerine getirilecektir. Bu kapsamda özellikle, Şirket’in siber güvenliğinin sağlanması, kişisel veri güvenliğinin takibi, kişisel veri içeren ortamların güvenliğinin sağlanması, bulut sistemlerinin güvenli şekilde kullanımı, bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımının tasarlanması, kişisel verilerin yedeklenmesi ve verinin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda Şirket’in yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesinin sağlanması için uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirler alınır.
7.1.3 Şirket’in kendi ürettiği yazılımların ve kullandığı 3. Kişi yazılımlarının (özellikle Şirket için tasarlanmış yazılımların) işbu Politika’da belirtilen kişisel verilerin işlenme şartlarına aykırılık oluşturmaması ve barındırdıkları kişisel verilerin Şİrket güvenlik politikalarına uygun bir şekilde yer alabilmesine ilişkin önlemler alınır.
7.1.4 Şirket, özel nitelikli kişisel verilerin korunmasına ve işbu Politika’da belirtilen ÖNKV’lerin işlenme şartlarına uygun işlenmesine yönelik ÖNKV Politikası’nda belirtilen ek güvenlik önlemlerini alır.
7.2 Çalışan Gizlilik Sözleşmeleri
Çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenebilir. Kişisel Veriler’in işlenmesi sürecinin herhangi bir aşamasına dahil olan herkes, açıkça, iş ilişkisinin bitişinden sonra da devam etmesi gereken bir gizlilik taahüdünde bulunmak ve gizlilik sözleşmesi imzalamak zorundadır.
Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda Şirket iç yönetmelikleri uyarınca disiplin süreci işletilir.
Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişiklikler, çalışanların bilgisine sunulur ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanır.
8- Uyumluluk Denetimi
8.1 Mevcut Uyum Değerlendirmesi
Şirket, Veri Koruma Komitesi aracılığıyla bir program belirlemek suretiyle ve tüm iş birimleri için veri koruma uyum denetimi yapar. Veri Koruma Komitesi, iş birimleri ile koordinasyon içinde tespit edilen eksiklikleri belirli makul bir süre içinde düzeltmek için bir plan ve program üretir.
8.2 Yıllık Veri Koruma Denetimi
Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme en azından aşağıda sayılan hususları kapsamalıdır:
8.2.1 Departmanlar, hangi Kişisel Veriler’in departman tarafından toplandığı, toplanmasının planlandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin esas kullanımı, ilgili kişinin bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesine ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.
8.2.2 Departmanlar, bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunup bulunmadığını tespit edecektir.
8.2.3 Departmanlar kendi hakimiyeti veya kontrolü altındaki Kişisel Veri’nin aktarıldığı kişilerin kimliklerini tespit etmelidir. Departman aktarılan kişilerin bulundukları yerleri, aktarımın amaçlarını, en azından mevcut veri güvenliği seviyesini korumak için hangi fiziksel, teknik sistemlerin ve süreçlerin mevcut olduğunu belirlemelidir.
8.2.4 Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması, Şirket politika ve prosedürlerinde güncelleme yapılması ve uygun süreçlerin temini için Veri Koruma Komitesi’na bildirilmelidir.
9- Uygulama
9.1. Yayımlama
Bu Politika ilgililere Veri Koruma Komitesi tarafından sunulacaktır. Çalışanlara gerekli eğitimler belirlenen aralıklarda ve kapsamda verilecektir.
9.2. Yürürlük Tarihi
Bu Politika yayınlandığı anda yürürlüğe girer. Tüm departmanlar işbirliği içinde, bu politikanın uygulanması için bir zaman çizelgesi ve süreci geliştirecektir. Bu uygulama süreci, bu Politika ve diğer mevcut politikalar arasındaki uyuşmazlıkların çözümünü içerecektir.
9.3. Değişiklikler
Bu Politika’da her zaman değişiklikler yapılabilir. Önemli değişikliklerin bildirimi çalışanlara, Şirket’nin İnsan Kaynakları Departmanı tarafından ve diğerlerine Veri Koruma Komitesi tarafından seçilen uygun bir mekanizma aracılığıyla iletilecektir.
10- Politikanın Yürütülmesine İlişkin Sorumluluk
Veri Koruma Komitesi, bu Politika’nın (ve eklerinin) uygulamasını yürütmekle ve güncelliğini sağlamakla yükümlüdür. Her departman yöneticisi bu Politika’nın uygulanmasından sorumludur. Bu Politika’nın uygulanmasıyla ilgili olan sorular Veri Koruma Komitesi’na yönlendirilmelidir.
11- Veri Kategorilerine Göre Saklama ve İmha Süreleri
Aşağıdaki sayfada yer alan tabloda belirtilen veri kategorilerindeki verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, bu sürelerin takibinden ve muhafaza süresi dolan verilerin imha edilmesinden ve Veri Sorumluları Bilgi Sicil Sistemi’ne (VERBİS) kayıt edilmesinden Veri Koruma Komitesi sorumludur.
Bu politika içerisinde belirtilen Saklama Süreleri, ilgili Veri Kategorisi için belirlenen azami saklama süresidir. Saklama Süreleri, İlgili Kişi gruplarına göre farklılık gösterebilir ancak bu Politika içerisindeki tabloda belirtilen sürelerden daha uzun olamaz. İlgili Kişi gruplarına göre değişen saklama süreleri, departman ve süreç bazlı veri envanteri içerisinde belirtilir ve Veri Koruma Komitesi tarafından güncellenir.
Veri Kategorisi |
Veri Niteliği |
Saklama Süresi |
Kimlik |
KV |
10 Yıl |
İletişim |
KV |
10 Yıl |
Lokasyon |
KV |
Sözleşme Süresince |
Özlük |
KV |
10 Yıl |
Hukuki İşlem |
KV |
10 Yıl |
Müşteri İşlem |
KV |
10 Yıl |
Fiziksel Mekan Güvenliği |
KV |
3 Yıl |
İşlem Güvenliği |
KV |
10 Yıl |
Risk Yönetimi |
KV |
10 Yıl |
Finans |
KV |
10 Yıl |
Mesleki Deneyim |
KV |
10 Yıl |
Pazarlama |
KV |
3 Yıl |
Görsel ve İşitsel Kayıtlar |
KV |
3 Yıl |
Sağlık Bilgileri |
ÖNKV |
10 Yıl |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
ÖNKV |
10 Yıl |
Diğer - Çalışan Araç Plaka Bilgisi |
KV |
İş Akdi Süresince |