KVKK Politikası

Kişisel verilerin korunması, Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’nin (Şirket olarak ifade edilecektir.) önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir.

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, Kişisel Verilerin Korunması ve İşlenmesi Politikası (Politika) çerçevesinde şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununda (Kanun) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz iş bu Politika kapsamında işlenmekte ve korunmaktadır.

1. 1. Amaç

07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete’ de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliği (Yönetmelik) kapsamında, Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi tarafından uygulanacak olan usul ve esaslar, veri sorumlusunun aydınlatma yükümlülüğü, teknik ve idari tedbirleri bildirmek amacıyla, Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası (Politika) hazırlanmıştır.

1. 1. Kapsam

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerini otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri bu politika kapsamındadır.

Şirketin sahip olduğu ya da şirket olarak yönetilen kişisel verilerin işlendiği tüm kayıt ortamları, kişisel veri işlenmesine yönelik işlemler, çalışanlarının kişisel verilerinin korunması ve işlenmesine ilişkin hususlar bu politika kapsamına girer. Tüm süreçler, bu politikaya uygun olarak gerçekleştirilir.

1. 1. Kısaltmalar ve Tanımlar

Açık Sağlık Verisi: Açık veri haline getirilen sağlık verisini,

Açık Veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,

Alıcı Grubu: Veri sorumlusu tarafından Kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Bakanlık: Sağlık Bakanlığını,

Çalışan Aday: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler.

Çalışan: Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi personeli.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi,

Şirket Yetkilisi: Şirketimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.

Hizmet Sağlayıcı: Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel verileri işleyen kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler

Kanun: 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini, 

Kişisel Sağlık Verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin İşlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Verilerin İmha Edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini, 

Kişisel Veri İşleme: Veri sorumlularının iş süreçlerine bağlı olarak Envanteri gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek Şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,

Müşteri: Şirketimizle herhangi bir sözleşme ilişkisi olup olmadığına bakılmaksızın şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’ sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler.

Sağlık Hizmeti Sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili (VERBİS)

Üçüncü Kişi: Kurumumuzun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örneğin hizmet alınan firma çalışan veya yetkilileri, refakatçi vb)

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Yönetmelik: 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 21 Haziran 2019 tarihli Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik.

Ziyaretçi: Şirketimizin sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.

1. SORUMLULUK VE GÖREV DAĞILIMLARI

2.1. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi “Veri Sorumlusu” sıfatıyla, bu politikanın uygulatılmasından sorumludur.

2.2. Politikanın hazırlanması, uygulanması ve güncellenmesinden, Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin Veri Sorumlusu yetkili ve sorumlu olacaktır.

2.3. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin tüm Bölüm/Birimleri ile ilgili kişiler (çalışan, stajyer adayı, çalışan adayı, ziyaretçi, iş ortakları/tedarikçi/alt işveren yetkilileri ve çalışanları) Politika hükümlerine uygun hareket etmek, bu hükümlere uyulmasını sağlamak ve aykırı hareketin tespiti halinde durumu Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi Veri Sorumlusuna bildirmekle yükümlüdür.

2.4. Politika, https://asfamak.com/  internet sitesinde yayınlanmış olup, ayrıca tüm çalışanların erişimine açıktır.

2.5. Politikada yapılan güncellemeler “Veri Sorumlusu” tarafından kurum web adresine yüklenmek suretiyle erişime açık hale getirilecektir.

2.6. Politika ile mevcut kanun hükümleri arasında çelişki olması halinde, kanun hükümleri geçerli olacak ve Veri Sorumlusu politikanın kanun hükümlerine uygun hale getirilmesi için gerekli güncellemeyi yaparak erişime açık hale getirecektir. Politikanın yürürlükten kaldırılmasına karar verme yetkisi şirket müdürüne aittir.

2.7. Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

2.8. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.

Tablo 1: Saklama ve İmha Süreçleri Görev Dağılımı

1. KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyen, KVKK’ nın 4. Maddesi uyarınca aşağıda sayılan ilke ve esaslar çerçevesinde kişisel veri işleme faaliyetlerini gerçekleştirmektedir.

1. 1. Hukuka ve Dürüstlük Kuralına Uygunluk:

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi kişisel verilerinizi, KVKK ve yapılan iş gereği uyulması zorunlu olan diğer kanun ve düzenlemelere uygun olarak işlemektedir.

1. 1. Doğru ve Güncel Olma:

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin, veri sahibi tarafından sağlanan kişisel verilerin izinsiz ve gerçeğe aykırı olarak değiştirilmemesi ve işlenen veriler ile ilgili bir değişiklik olduğunda veri sahibi tarafından talep edilmesi halinde, kişisel verinin güncellenmesi için gerekli işlemleri yerine getirmekte, teknik ve idari tedbirleri almaktadır.

1. 1. Belirli, Açık ve Meşru Amaçlar İçin İşlenme:

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi tarafından işlenen kişisel verileriniz, size bildirilen işleme amacına uygun olarak ve bildirilen çerçevede işlenmektedir.

1. 1. İşleme Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olma:

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin faaliyetleriyle örtüşmeyen, Şirket faaliyetleri çerçevesinde gerek duyulmayan ve işleme amacını aşacak nitelikteki kişisel verileri işlememektedir.

1. 1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme:

KVKK, ilgili diğer kanunlar ve düzenlemeler çerçevesinde işlenen verileriniz, ilgili mevzuatta öngörülen veya işlenen kişisel verinin niteliği gereği saklanması gereken süreler kadar muhafaza edilmektedir.

1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

1. 1. Kişisel Verilerin İşlenmesi Şartları:

KVK Kanununda sayılan istisnalar dışında, şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

1. 1. 1. Kanunlarda açıkça öngörülmesi,

1. 1. 1. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

1. 1. 1. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait Kişisel verilerin işlenmesinin gerekli olması.

1. 1. 1. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

1. 1. 1. Veri sahibinin kendisi tarafından alenileştirilmiş olması,

1. 1. 1. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

1. 1. 1. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

1. 1. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları:

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli Kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

1. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi olarak; KVK Kanununun 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, şirketimizin meşru ve hukuka uygun Kişisel veri işleme amaçları doğrultusunda KVK Kanununun 5. maddesinde belirtilen Kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak KVK Kanununda başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanununda belirtilen genel ilkelere ve KVK Kanununda düzenlenen bütün yükümlülüklere uyarak, politika kapsamındaki sürelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler işlenmektedir.

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, KVK Kanununa uygun olarak ve Yönetmeliğin 5 inci,7 inci, 9 uncu ve 10 uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanterine dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.

Ayrıca; Kişisel Veri İşleme Envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.

• Kişisel veri işleme amaçları,
• Veri kategorisi
• Verilerin aktarıldığı alıcı grubu veya alıcı grupları
• Veri konusu kişi grupları
• Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi
• Yabancı ülkelere aktarımı öngörülen kişisel veriler
• Veri güvenliğine ilişkin alınan tedbirler
• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre

1. 1. Veri Kategorizasyonu:

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, KVK Kanununun 10. Maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine talep ettiği takdirde bildirmektedir. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nde işlenen kişisel veri kategorileri;

Tablo 3: Veri Kategorizasyonu

Tablo 4: Kişisel Veri İşleme Amaçları

1. 1. Verileri Aktarım Yaptığı Alıcı Gruplar:

Tablo 5: Alıcı Grubu

1. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi veri sahiplerinin Kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5.ve 6. maddelerinde belirtilen Kişisel veri işleme Şartları kapsamında ve politikada belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.

Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik Madde 8’e göre;

(1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen Şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.

(2) Kişisel sağlık verileri; birinci fıkrada öngörülen haller dışında ancak anonim hale getirilmek suretiyle aktarılabilir.

(3) Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır.

(4) Kişisel sağlık verilerinin uluslararası aktarımına ilişkin her türlü talep ile bu maddede sayılanlar dışındaki veri aktarımı talepleri, Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir.

1. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, Kişisel verileri Koruma Kanunun 5 inci maddenin ikinci fıkrasında, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz. Ancak kanunda görülen yeterli önlemler alınmak kaydıyla ve 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere “Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” Kişisel verileri aktarabilmektedir. Aktarım süreçleri Kişisel Verileri Koruma Kanunun 9 uncu madde de öngörülen düzenlemeler göre hareket eder.

1. 1. Kişisel Verilerin Yurtdışına Aktarılması

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla kanunu 9 uncu maddesinde öngörülen hükümlere göre hareket eder. Kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise; kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

• Yeterli korumanın bulunması,
• Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmektedir. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilmektedir. Bu bağlamda;
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin hukuki yükümlülüğünü yerine getirmesi için Kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, Kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla yurt dışına aktarımı yapılmaktadır. Bunun dışındaki hallerde yurtdışına veri aktarımı yapılmamaktadır.

1. 1. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, KVK Kanunu’nun 8. ve 9. Maddelerin hükümlerine uygun olmak suretiyle ve KVK Kurulu tarafından öngörülen yeterli önlemleri alınmasına bağlı olarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir. Kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise;

1. Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

1. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında,

1. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’nin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. Yabancı uyruklu kişilerin, Türk uyruklu olup da yurt dışında yaşayanların veya yabancı ülkede kurulu şirketler aracılığıyla Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ne gelen kişilerin kişisel verileri ilgili kamu kurumu, sigorta şirketi veya aracı kurum ve kuruluşlar ile paylaşılabilmektedir.

1. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye web sayfamızda bulunan “Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Metni” de yer verilmiştir. Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda, KVK Kanunun 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. Konusunda bilgilendirme yapılmaktadır.

1. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI

1. 1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, Kişisel veri sahiplerinin bu konularda 9.2’ de sayılan haklarını ileri süremezler:

1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

1. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

1. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

1. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde Kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 9.2’de sayılan diğer haklarını ileri süremezler:

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

1. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş Kişisel verilerin işlenmesi.

1. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

1. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

1. 1. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Verileri Koruma Kanunun Madde 11’ e göre; (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

1. Kişisel veri işlenip işlenmediğini öğrenme,

1. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

1. c.Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

1. d.Yurt içinde veya yurt dışında Kişisel verilerin aktarıldığı üçüncü kişileri bilme,

1. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

1. 7 nci maddede öngörülen şartlar çerçevesinde Kişisel verilerin silinmesini veya yok edilmesini isteme,

1. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

1. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

1. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

1. 1. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Kişisel Verileri Koruma Kanunu Madde-14’ e göre; Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

1. 1. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin Başvurulara Cevap Vermesi

Kişisel veri sahibi, ilgili taleplerini yazılı olarak veya KVK Kurulun belirleyeceği diğer yöntemlerle veri kurumumuza iletmesi durumda şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınacaktır. Şirketimiz, Kişisel veri sahibinin talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde şirketimiz gereğini en kısa sürede yerine getirir. Şirketimiz kaynaklı oluşacak hata durumlarında veri sahibinde alınan ücret ilgiliye iade edilir.

1. 1. Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin Başvurulara Cevap Verme Usulü ve Süresi

Kişisel veri sahibi, kanun ve yönetmeliklerin usule uygun olarak talebini şirketimize iletmesi durumunda, şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandırır. İlave süre gerektiği durumlarda ise başvuru yapan ilgili kişiye konu hakkında bilgi verir.

1. 1. 9.6.Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.

1. 1. 9.7.Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Kişisel Veri Sahibi tarafından yapılan başvuru, şirketimiz (Veri Sorumlusu) tarafında değerlendirilir. Yapılan talebi kabul eder veya gerekçesini açıklayarak reddedebilir.

1. KAYIT ORTAMLARI

Kişisel veriler, Kurum tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 6: Kişisel veri saklama ortamları

1. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi tarafından; çalışanlar, çalışan adayları, hastalar, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

1. 1. Saklamaya İlişkin Açıklamalar

Kanunun 3 üncü maddesinde Kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Şirketimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

1. 1. Saklamayı Gerektiren Hukuki Sebepler

Şirketimiz, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• Kişisel Verilerin Korunması Kanunu,
• Umumi Hıfzıssıhha Kanunu
• Sağlık Hizmetleri Temel Kanunu
• Türk Borçlar Kanunu,
• Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• İş Sağlığı ve Güvenliği Kanunu,
• Bilgi Edinme Kanunu,
• Dilekçe Hakkının Kullanılmasına Dair Kanun,
• İş Kanunu,
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine ilişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

1. 1. Saklamayı Gerektiren İşleme Amaçları

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• İnsan kaynakları süreçlerini yürütmek.
• Kurumsal iletişimi sağlamak.
• Kurum güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
• İmhayı Gerektiren Sebepler.
• Çağrı merkezi süreçlerini yönetmek.
• Yasal raporlamalar yapmak.
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

1. 1. İmhayı Gerektiren Sebepler

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
• Kurumun, ilgili kişi tarafından Kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve Kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASININ TEKNİK VE İDARİ TEDBİRLER

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, Kanunun 12. Maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda şirketimiz, Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

1. 1. Teknik Tedbirler

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik tedbirler almaktadır. Şirketimiz kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir. Teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır. Teknik konularda bilgili personel istihdam edilmektedir. Diğer teknik tedbirler;

Tablo 7: Veri Güvenliği Tedbiri

1. 1. İdari Tedbirler

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik tedbirler almaktadır.

1. 1. 1. Kişisel Verilerin Güvenli Ortamlarda Saklanması

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

12.2.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, KVK Kanununun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

12.2.3. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

12.2.4. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

1. Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda tüm personel ve çalışanlar bilgilendirilmekte ve eğitilmektedir.

1. Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detaylar prosedür ve talimatlarda belirlenmektedir.

1. İş birimlerimiz bazlı belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Hizmet içi eğitimler yapılmaktadır.

1. Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, şirket talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanlarına farkındalığı için farkındalık eğitimleri yapılmaktadır.

12.2.5. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

1. 1. Kişisel Verileri İmha Teknikleri

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi tarafından re’ sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun belirtilen tekniklerle imha edilir.

1. 1. 1. Kişisel Verilerin Silinmesi ve Kişisel Verilerin Yok Edilmesi

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

1. Fiziksel Olarak Yok Etme (Physical Destruction): Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
2. Yazılımdan Güvenli Olarak Silme (Secure Deletion Software): Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
3. Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion):

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

1. 1. 1. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanununun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından kanunda düzenlenen haklar bu veriler için geçerli olmayacaktır. Anonimleştirme teknikleri;

1. Maskeleme (Masking): Veri maskeleme ile Kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.

1. Toplulaştırma (Aggregation): Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Müşterilerin yaşlarının tek tek göstermeksizin A yaşında B kadar müşteri bulunduğunun ortaya konulması.

1. Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

1. Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.

1. SAKLAMA VE İMHA SÜRELER

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir.

Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Tablo 8: Saklama ve İmha Süreleri Tablosu

1. PERİYODİK İMHA SÜRESİ

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, Kişisel verileri mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Şirketimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Şirketimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden altı ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Şirketimiz, ilgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu kanun ve yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

1. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

Politika, Şirket Müdürü tarafından onaylandıktan sonra kurumun web sayfasından yayınlanır. Eşzamanlı olarak internet ortamında tüm Bölüm/Birimlerle paylaşılır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları Şirket Müdürü tarafından iptal edilerek (iptal kaşesi vurularak) imzalanır ve kurum arşivinde saklanır.

1. POLİTİKANIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

1. POLİTİKANIN YÜRÜRLÜĞÜ

İşbu Politika onaylandığı tarih itibari ile yürürlüğe girer. Yürürlüğe giren politika; başta kanun olmak üzere ve yürürlükteki mevzuat ile bu politikada yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi, yasal düzenlemelere paralel olarak Politikada değişiklik yapma hakkını saklı tutar. Politikanın güncel haline ( https://asfamak.com/ ) web sitesinden erişebilirsiniz.

1. YÜRÜTME

İşbu Politika’ nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi’ nin yönetimi KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm Bölüm/Birimler Sorumluları sorumludur.

1. POLİTİKA ONAY SAYFASI

Asfamak İthalat İhracat İnşaat Sanayi ve Ticaret Limited Şirketi 6698 Sayılı Kişisel Verilerin Korunması Kanunu gereğince hazırlanan “Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası” tarafımızca incelenerek şirketin web sayfası ortamında yayınlanması uygun görülmüştür.