KİŞİSEL VERİLERİN KORUNMASI VE
İŞLENMESİ POLİTİKASI
BÖLÜM 1.
GİRİŞ
1.1.
GİRİŞ
Kişisel Verilerin Korunması hususu Nuh Yapı Ürünleri Anonim Şirketi’nin (“Şirket”) en önemli öncelikleri arasında olup, bu hususta tüm ulusal ve uluslararası mevzuat ile özellikle 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun hareket etmek için azami özen gösterilmektedir. İşbu NUH YAPI KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI (“Politika”) çerçevesinde, şirketimizce işlenen kişisel veriler, işleme esnasında uyulacak usul ve kaideler, Kanun’a uyum amacıyla benimsenen ve uygulanacak olan prensipler açıklanmakta olup, şirketimizin veri işleme faaliyetinin tam anlamıyla şeffaflığı sağlanmaktadır. İşbu Politika ile sorumluluğumuzun bilincinde olduğumuzu belirterek, kişisel verileriniz bu Politika’daki usul ve esaslar çerçevesinde işlenecek ve korunacaktır.
1.2.
AMAÇ VE KAPSAM
Bu politikanın temel amacı, Şirket tarafından yürütülen kişisel veri işleme faaliyeti ile bu verilerin korunması için alınan önlemler hakkında açıklamalarda bulunmak ve müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, şirket hissedarları, şirket yetkilileri, ziyaretçilerimiz, tedarikçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek kişisel veri işleme faaliyetlerimizle ilgili şeffaflığı sağlamaktır.
Politika, Şirket tarafından, şirketimizin çalışanları dışında; müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, şirket hissedarları, şirket yetkilileri, ziyaretçilerimiz, tedarikçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilerin kişisel verilerinin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi esnasında uyulacak usul ve esaslar ile bu veriler için alınan idari ve teknik tedbirleri kapsamaktadır.
1.3.
POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Şirketimizde, kişisel verilerin işlenmesi ve korunması hususunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Politika ile yürürlükte bulunan mevzuat arasında uyuşmazlık bulunması durumunda Şirketimiz yürürlükteki mevzuatın uygulanacağını kabul etmektedir. İşbu Politika, ilgili mevzuat tarafından ortaya konulmuş kuralları Şirket uygulamaları kapsamında somutlaştırmaktadır.
1.4.
POLİTİKANIN YÜRÜRLÜĞÜ
İşbu Politika’nın yürürlük tarihi 07.10.2016’dır. Şirket tarafından düzenlenerek 07.10.2016r tarihinde yürürlüğe giren ve 13.03.2020 tarihinde güncellenen versiyon işbu Politika’nın yürürlük tarihi itibari ile yenilenmiştir.
İşbu Politika, Şirket’in internet sitesinde https://www.nuhyapi.com.tr/kisisel-verilerin-korunmasi/ yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
BÖLÜM 2.
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1.
TANIMLAR
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Başvuru | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. Maddesi kapsamında ilgili kişinin kişisel verileri ile ilgili olarak veri sorumlusuna sunduğu talep. |
Başvuru Formu | İlgili kişinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 13. Maddesi uyarınca gerçekleştireceği başvurularda kullanılmak üzere prosedürün eklerinde sunulan ya da bu ekler temel alınarak şirket tarafından kaleme alınan ve şirket internet sitesinde yer alan form. |
Çalışan | Kişisel Verileri Koruma Kurumu personeli. |
Çalışan Adayı | Şirketimize iş başvurusunda bulunmuş ve ilgili bilgilerini şirketimize yaptığı iş başvuru süreci için sunmuş olan gerçek kişiler. |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Grup Şirketleri | Müşterisi: Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in yürütmüş olduğu operasyonlar kapsamında Grup Şirketleri’nin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
İş Ortağı | Şirket’in ticari faaliyetlerini yürütürken bizzat veya grup şirketleri aracılığıyla bir hizmet, mal veya ürün almak gibi amaçlarla iş ortaklığı kurduğu taraflar, tarafların çalışanları, yetkilileri gibi gerçek kişiler. |
İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: | Şirketimizin mal, ürün veya hizmet satın alma gibi iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul | Kişisel Verileri Koruma Kurulu |
Müşteri | Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Kişisel Veri Aktarım Politikası |
Potansiyel Müşteri | Ürün ve hizmetlerimizi kullanma ihtimali bulunan veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler. |
Prosedür | İlgili başlık altında ayrı ayrı Kişisel Veri İhlal Yönetimi Prosedürünü ve Talep Yönetimi Prosedürünü ifade eder. |
Şirket Hissedarı | Şirketimizin hissedarı gerçek kişiler. |
Şirket Yetkilisi | Şirketimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler. |
Tedarikçi | Şirket’in ticari faaliyetlerini yürütürken, Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan taraflar. |
Üçüncü Kişi | Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Kefil, Refakatçi, Aile Bireyleri ve yakınlar). |
Veri Aktarımına İlişkin Yönetmelik | Kişisel Verilerin Aktarımı Hakkında yayınlanması beklenen ve yurt dışı aktarımda güvenli ülkeleri belirleyecek olan yönetmeliktir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
Veri Sorumluları Sicil Bilgi Sistemi | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemi |
Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Ziyaretçi | Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler. |
2.2.
KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirketimiz işlediği kişisel verilerin güvenliğinin sağlanması için Kanun’un 12. Maddesi kapsamında; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakta ve Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmaktadır.
Şirketimiz bu kapsamda kişisel verilerin güvenliğinin sağlanması için aşağıdaki tedbirleri almaktadır:
- Şirketimiz kişisel verilerin Kanun’a ve hukuka uygun olarak işlenmesini sağlamak için hem teknolojik hem de fiziksel olarak gerekli tüm teknik ve idari tedbirleri almakta ve bu hizmetlerini geliştirmektedir. Bu kapsamda şirket çalışanları, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamayacakları, işleme amacı dışında kullanamayacakları ve bu yükümlülüklerinin görevden ayrılmalarından sonra da devam edecekleri hususunda bilgilendirilmekte ve bu hususta imzalanan sözleşmelerle gerekli taahhütler alınmaktadır.
- Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla kişisel verileri aktarmış olduğu şirketler, tedarikçiler ve iş ortakları gibi diğer veri işleyen kurumlarda da gerekli teknik ve idari tedbirlerin alınması hususunda gerekli önlemleri almakta ve taahhütler imzalamaktadır.
- Şirketimiz kendi kurumu ve topluluk şirketlerinde de bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmakta ve yaptırmaktadır.
- Şirketimiz Kanunu’nun 12. maddesine uygun olarak, kişisel veri envanteri, aydınlatma ve açık rıza metinleri, farkındalık eğitimleri, VERBİS’e (Veri Sorumluları Sicili Bilgi Sistemi) bildirim, KVK politika ve prosedürleri ile idari; İSO 27001 Bilgi Güvenliği Yönetim Sistemleri ile de teknik tedbirleri almaktadır.
- Şirketimiz, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu 72 saat içerisinde ilgilisine ve Kurula bildirir. Bu ihlal çalışması sırasındaki tüm gelişmeleri de ilgilisine iletir ve gerektiğinde internet sitesi üzerinden bildirir.
2.3.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.