NUR ELEKTRİK İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

GİRİŞ

NUR ELEKTRİK İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ (Bundan böyle şirket olarak anılacaktır)  6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘’KVKK’’ olarak ifade edilecektir) kapsamında veri sorumlusudur. Şirket kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir. Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVKK, Kanun’un ikincil düzenlemelerini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ve diğer ilgili yönetmeliklere uygun olmak suretiyle işlenmekte ve muhafaza edilmektedir.

 

 1-) POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI

Politika ile Şirket tarafından KVKK’na uyum için aşağıda açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin Şirket bünyesinde, Şirket hissedarları, yetkilileri, çalışanları, iş ortakları, Tedarikçileri tarafından etkin bir şekilde uygulanması amaçlanmaktadır.  Politika ile öngörülen temel düzenlemeler doğrultusunda Şirketin işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, Şirket hissedarları, yetkilileri, çalışanları, iş ortakları ve Tedarikçileri için   KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır. Şirket tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler, KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür. Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, Şirket içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.

 

2-) TANIMLAR VE KISALTMALAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İmha Politikası: Şirket tarafından hazırlanan “KİŞİSEL VERİLEN SAKLANMASI VE İMHA POLİTİKASI”dır.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Yönetmelik: Veri Sorumluları Sicili Hakkında Yönetmelik

KVKK kapsamında NUR ELEKTRİK SANAYİ VE TİCARET ANONİM ŞİRKETİ veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır.

 

3-) KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

Şirket KVKK 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

-Hukuka ve dürüstlük kuralına uygunluk: Şirket veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

–  Doğruluk ve güncellik: Şirket, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatı ile Şirkete bildireceği talepler ve Şirketin  bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi sağlanacaktır.

– Belirli, açık ve meşru amaçlarla işleme: Şirket tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

– Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme: Şirket tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

– Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme: Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

4-) KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Şirket tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

– Kişisel Verilerin İşlenmesi Şartları Kanun’da sayılan istisnalar dışında, Şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

– Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları: Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde Şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir.

 

5-) KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ

Şirket KVKK 4, 5 ve 6. maddeye uygun olarak ve Yönetmelik’in 5. 7. 9. ve 10. maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri’ ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.

– KİŞİSEL VERİ KONUSU KİŞİ GRUPLARI:  Şirket ortakları ve yetkilileri ,Şirket bünyesinde çalışan veya staj yapan gerçek kişiler, Herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini  göndermiş çalışan adayları, Şirketin sözleşme ilişkisi içinde yahut herhangi bir sözleşme ilişkisi olmaksızın operasyonel hizmetin sağlanabilmesi, yatırımların geliştirilmesi ve ticari faaliyetlerin yürütülebilmesi amacıyla iş ilişkisi kurduğu kurumlar (iş ortağı, mal ve hizmet tedarikçisi gibi, ancak bunlarla sınırlı olmaksızın) da dahil olmak üzere her türlü iş ilişkisi içerisinde bulunduğu; kurumların hissedarları/ yetkilileri / çalışanları dahil olmak üzere gerçek kişiler, Şirketin bulunduğu işyerine yada şantiyeye  fiziksel olarak her türlü amaçla gelen yahut internet sitelerine ve Şirketin  Wİ-Fİ sistemine giriş yapan gerçek kişiler

 

– VERİ KATEGORİZASYONU AÇIKLAMASI

Kimlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus bilgileri, doğum yeri, doğum tarihi, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi v.b. bilgiler

İletişim Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler

Aile Bireyleri ve Yakın Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket tarafından yürütülen faaliyetler çerçevesinde, kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler

Fiziksel Mekan Güvenlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, ses kayıtları ve güvenlik noktasında alınan kayıtlar v.b.

Finansal Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara ilişkin işlenen finansal kişisel veriler ile banka hesap numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi v.b. ve çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb bilgiler

Özlük Bilgisi:  Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket  ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak ve özlük dosyasında yer alması kanunen zorunlu tutulan bilgilerin(Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, İzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans (Eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta, imzalı katılım formu, aylık performansının değerlendirilmesi durumu, Çalışan Performans ve Kariyer Gelişim Verisi, Çalışma ve İzin Verileri,

Özel Nitelikli Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVKK 6. maddesinde belirtilen veriler (örn. kan grubu da dâhil sağlık verileri, sabıka kaydında yer alan ceza mahkumiyeti  ve güvenlik  tedbirleri, biyometrik veriler gibi)

 

Kişisel Verilerinin Toplanması ve İşlenme Amaçları

– Şirket ortakları ve yetkililerinin kişisel verilerini Türk Ticaret Kanunu, Vergi Usul Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri çerçevesinde işlemektedir. İşbu kişisel veriler ilgili kişi tarafından verilmekte, resmi kurumlarda Şirkete  ilişkin olarak tutulan kayıtlardan, şirket genel kurul ve yönetim kurulu toplantı tutanakları, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.

– Şirket bünyesinde çalışan personellerin ve stajyerlerin kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, Linkedin gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla elde edilmektedir.

– Şirket kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, başvuru yapan kişilerin kendi açık rızaları ile öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, Linkedin gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile elde edilmektedir.

Şirket işbirliği içerisinde olduğu iş ortaklarının  hissedarları -çalışanları ve yetkili gerçek kişilerinin verilerini; iş ortakları ile geliştirmiş olduğu çeşitli projelerin gerçekleştirilmesi kapsamında inşaat, mekanik, tadilat, altyapı, bakım, onarım gibi mühendislik hizmetleri ve diğer hizmetlerin sağlanması amacıyla iş ortakları ve 3. kişi kurum ve kuruluşlarla imzalamış olduğu sözleşmeler kapsamında iş yaptığı ana firma ve alt yüklenicilerden iş sağlığı ve güvenliği kanunu ve ilgili yönetmelikler kapsamındaki söz konusu yükümlülüklerini yerine getirebilmek amacıyla kişisel verilerini talep etmekte ve işlemektedir. İşbu kişisel veriler projelerin gerçekleştirilmesi kapsamında imzalanan sözleşmeler, proje dosyaları, ihale dosyası ve hak ediş dosyası evraklarından elde edilmektedir. Mal ve hizmet tedarikçilerinden temin edilen ve şirketin ticari faaliyetlerini ve projelerin amacını yerine getirmek için gerekli hizmetlerin şirkete sunulmasının sağlanması ve bunun denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları, mail yazışmaları, telefon ve sair yollarla kurulan iletişim yoluyla elde edilmektedir.

Şirketin faaliyet göstermiş olduğu bina ve şantiye alanlarına her ne sebeple olursa olsun gelen tüm ziyaretçilerin kişisel verileri şirketin faaliyet göstermiş olduğu alanın güvenliğinin ve düzeninin sağlanması, bina ve şantiye içinde gerekli yönlendirmelerin yapılması amacı ile talep edilmekte ve işlenmektedir. Söz konusu kişisel veriler; plaka bilgisi, ilgili kimlik bilgilerinin danışmada verilmesi ve güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.

 

6-) KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ:

Şirket veri sahiplerinin kişisel verilerini, 6698 sayılı KVKK`nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da belirtilmiş amaçlarla sınırlı olarak, KVKK`nın 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir. Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir. Bu kişiler ve aktarım amacı;

– Şirketin ortakları: Şirket ortağı tüzel ve gerçek kişiler İlgili mevzuat hükümlerine göre şirketin şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak,

-Şirket yetkilileri: Şirketin yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler İlgili mevzuat hükümlerine göre şirketin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak,

– Şirketin iş ortağı: İş ortağı ticari ve yatırım faaliyetleri çerçevesinde birlikte muhtelif projeler yürütmek, mal/ hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak,

–  Şirketin Tedarikçisi: Tedarikçi şirketin ticari ve yatırım faaliyetlerini yürütürken şirketin emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak şirkete mal/hizmet sunan tarafları tanımlamaktadır. Şirketin tedarikçiden dış kaynaklı olarak temin ettiği ve şirketin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin kendisine sunulmasını sağlamak amacıyla sınırlı olarak,

-Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları: İlgili mevzuat hükümlerine göre Şirketten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçlarla sınırlı olarak,

– Hukuken yetkili özel hukuk/kamu hukuk tüzel kişiler: İlgili mevzuat hükümlerine göre şirketten bilgi ve belge almaya yetkili özel hukuk kişileri. İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak veri aktarımı yapılabilmektedir.

 

7-) KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Şirket tarafından; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Şirket bu doğrultuda KVKK 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir;

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise veriler aktarılabilmektedir.

Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılmasında şirket  gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.

• Kişisel veri sahibinin açık rızası var ise veya
• Kişisel veri sahibinin açık rızası yok ise; – Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde paylaşılabilmektedir.

Şirketin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır.  Şirket bünyesinde saklanan, işlenen veya imha edilen kişisel verilerin yurtdışına aktarılması halinde işbu Politika ve İmha Politikası güncellenecek ve bu bilgilere Revizyon başlığı altında yer verilecek, Veri Sorumluları Sicili’ne gerekli bildirimler yapılacak ve bu güncellemeler gerekli yerlerde yayınlanacaktır.

 

8 ) KİŞİSEL VERİLERİN SAKLANMASI

Şirketin hukuka uygun olarak elde ettiği kişisel veriler, şirketin ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, şirket tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından re’sen yahut sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir. Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, İmha Politikası’ndaki prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin yok edilmesi, silinmesi ve anonim hale getirilmesine ilişkin kurallar Kişisel verileri saklama ve İmha Politikası’nda detaylı bir biçimde açıklanmaktadır.

 

9-) KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

Şirket KVKK`nın 12’nci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, şirket bu durumu mümkün olan en kısa süre içerisinde kurula ve ilgilisine haber verir.

Teknik Tedbirler: Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir. Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.  Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.  Teknik konularda bilgili personel istihdam edilmekte veya dışarıda bu hususta teknik yardım alınmaktadır. Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır. Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.

 İdari Tedbirler: Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.  İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır. Şirket personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde  sözlü olarak uyarı ve bilgilendirmeler  yapılmakta, iş akitlerine bu konuda kayıtlar eklenmekte , bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır. Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilmektedir. Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir. Şirket kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVKK hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVKK 12. maddesi uyarınca sorumludur. Bu nedenle şirket üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler almalıdır. Şirket tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirmelidir.

Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi: KVKK kapsamında Şirket veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır.  Şirket yetkilileri ve bütün birimler İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır.

10-) VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirket KVKK 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve şirket kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. KVKK 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir.

Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

1.Veri sorumlusunun ve varsa temsilcisinin kimliği,

2.Kişisel verilerin hangi amaçla işleneceği,

3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5.KVK Kanunu’nun 11. maddesinde sayılan diğer haklar.

Şirket aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma metinleri hazırlamıştır. Aydınlatma metinlerinin veri sahiplerine sunulmasının ardından, şirketin ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Öte yandan, KVKK 28. Maddesi çerçevesinde sayılan durumlarda şirketin aydınlatma yükümlülüğü bulunmamaktadır.

11-) VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

– Kişisel veri işlenip işlenmediğini öğrenme,

– Kişisel verileri işlenmişse buna ilişkin bilgi talep etme

– Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

– Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

– Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

– KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

– İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

– Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel veri sahibi KVKK`nın 11 inci maddesinde yer alan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle birlikte   şahsen, yazılı olarak veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle şirkete ücretsiz olarak iletebileceklerdir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekaletname bulunmalıdır.

Kişisel veri sahibi usulüne uygun olarak talebini şirkete iletmesi durumunda şirket talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak işlemin Şirket için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen tarifedeki ücret alınabilir.

 

12-) POLİTİKANIN GÜNCELLENME PERİYODU VE YÜRÜRLÜK

İşbu politika ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. İşbu politika VERBİS`e kayıt işleminin tamamlanması ile birlikte yürürlüğe girecektir.

NUR ELEKTRİK İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ

KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI

1-) AMAÇ

Kişisel Verileri Saklama ve İmha Politikası Nur Elektrik İnşaat Sanayi Ve Ticaret A.Ş ( bundan böyle ‘Şirket’ olarak anılacaktır.) için kişisel verilerin saklanması ve imhası politikalarını düzenlemektedir.  Şirketçe gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. Şirket; şirket çalışanları, çalışan adayları, tedarikçiler, tedarikçi çalışanı ve yetkilileri,  iş ortakları , iş ortağı çalışan ve yetkilileri, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verileri  Anayasa, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını belirlemiştir. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.

 

2-) KAPSAM

Şirket çalışanları, çalışan adayları, tedarikçiler, tedarikçi çalışan ve yetkilileri, iş ortakları, iş ortağı çalışan ve yetkilileri, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirket’in sahip olduğu ya da Şirket’çe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

 

3-) TANIMLAR

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Çalışan: Şirket personeli

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re, sen gerçekleştirilebilecek silme, yok etme ve anonim hale getirme işlemi.

Politika: Kişisel Verileri Saklama ve İmha Politikası

Tedarikçi: Şirket ile belirli bir sözleşme çerçevesinde hizmet ya da ürün sağlayan gerçek veya tüzel kişi

İş Ortağı: Şirket ile belirli bir sözleşme çerçevesin de ana iş sağlayıcı gerçek ya da tüzel kişi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

 

4- ) SORUMLULUK VE GÖREV DAĞILIMI

Şirketin tüm birimleri ve çalışanları , şirket yetkilileri ve ilgili birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen  tüm ortamlarda  veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında  sorumlu birimlere aktif olarak destek verir. Verilerin saklanması ve imhasında görev dağılımı;

ŞİRKET ORTAK VE YETKİLİLERİ: Çalışanların Politikaya uygun hareket etmesinden sorumludur.

ŞİRKET MUHASEBE VE İNSAN KAYNAKLARI BİRİMİ: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, güncellenmesi, Politikanın uygulanması ve bu konuda gerekli idari ve tedbirlerin alınması ve geliştirilmesinden, verilerim imhasından   sorumludurlar.

ŞİRKET SATIŞ BİRİMİ: Politikanın uygulanmasından sorumludurlar.

 

5-) KAYIT ORTAMLARI

Kişisel veriler, Şirket tarafından hukuka uygun olarak güvenli bir şekilde saklanır.

ELEKTRONİK ORTAMLAR

ELEKTRONİK OLMAYAN ORTAMLAR

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım vb.) Yazılımlar (ofis yazılımları, portal, VERBİS.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs v.b.) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb) Yazıcı, tarayıcı, fotokopi makinesi

Kağıt, Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) Yazılı, basılı, görsel ortamlar

 

 6-) KİŞİSEL VERİLERİN SAKLANMASI

– Şirket tarafından; çalışanlar, çalışan adayları, tedarikçiler, tedarikçi çalışanı ve yetkilileri, İş ortakları, İş ortağı çalışan ve yetkilileri, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilere ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

– Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

– Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 5434 sayılı Emekli Sağlığı Kanunu,
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik
• 4054 Sayılı Rekabetin Korunması Hakkında Kanun
• 213 Sayılı Vergi Usul Kanunu
• 6102 Sayılı Türk Ticaret Kanunu
• 5520 Sayılı Kurumlar Vergisi Kanunu
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

– Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• Kurumsal iletişimi sağlamak.
• Kurum güvenliğini sağlamak.
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
• Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

 

7-) İDARİ VE TEKNİK ÖNLEMLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanun’un 6.maddesi nin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

7-1) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik Tedbirler

• Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
• Teknik konularda bilgili personel istihdam edilmekte veya dışarda bu hususta teknik yardım alınmaktadır.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler 

• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
• Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
• Şirket’in iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
• Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yapılarak Kanun’dan doğan yükümlülükler yerine getirilmektedir.

7-2) Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Teknik konularda bilgili personel istihdam edilmekte veya bu konuda dışardan destek alınmaktadır.
• Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.

Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler 

• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
• İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

7-3) Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
• Teknik konularda uzman personel istihdam edilmekte veya bu hususta dışarda teknik destek alınmaktadır.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
• Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler

• Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
• Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
• Şirket tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır.

Şirket, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi halinde, bu durum Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

 Şirket, kişisel veri sahiplerinin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.

 

😎 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

Özel nitelikli kişisel veriler; hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa uğramasına sebep olan ve kanun koyucunun korunmasına özel önem verdiği   kişisel verilerdir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına Şirket tarafından da özel bir hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da azami özenle uygulanmakta ve bu konuda gerekli denetimler sağlanmaktadır.

 

9-) KİŞİSEL VERİLERİN İMHASI VE İMHA TEKNİKLERİ

Kişisel verilerin imhası

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
• Şirket’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir.

Kişisel Verilerin Anonim Hale Getirilmesi

Saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirme yöntemleridir.

 

10- ) SAKLAMA ve İMHA SÜRELERİ

 

VERİ SAHİBİ	VERİ KATEGORİSİ	VERİ SAKLAMA SÜRESİ
Çalışan	İşe alım evrakları ile Sosyal Güvenlik Kurumu’na gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük veriler	Hizmet akdinin devamında ve sona ermesinden itibaren de 10(on) yıl
Çalışan	İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri	Hizmet akdinin devamında ve sona ermesini takip eden takvim yılı yılbaşından itibaren de 10(on) yıl
Çalışan	İşyeri kişisel sağlık dosyası içeriğindeki veriler	Hizmet akdinin devamında ve sona ermesinden itibaren 10(on) yıl
Çalışan Adayı	Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan kişisel ve özel nitelikli kişisel veriler	En fazla 1 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır.
Şirket’in İş birliği İçinde Olduğu Kurum/Firmalar (iş ortağı, iş ortağı çalışanı ve yetkilisi, tedarikçi, tedarikçi çalışanı ve yetkilisi)	Şirket’in iş birliği içinde olduğu Kurum/Firmalar ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, ticari belgeler ve yazışmalar, Şirket’in iş birliği içinde olduğu Kurum/Firma çalışanı verileri	Şirket’in iş birliği içinde olduğu Kurum/Firmaların, Şirket ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.
Çalışan, Çalışan Adayı, Tedarikçi/Çalışanı/Yetkilisi, İş ortağı/çalışanı/yetkilisi, şirket lokasyonlarına giriş yapan diğer üçüncü kişiler	Kamera kayıtlarında elde edilen görsel veri	1 ay süre ile saklanır.

Şirket, Kanun ve ilgili mevzuat uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünü, periyodik imha süresi içerisinde, saklama süresinin bitimini takip eden ilk haziran ayı veya aralık    ayı içerisinde kişisel verileri siler, yok eder veya anonim hale getirir. Yönetmeliğin 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket’te her yıl haziran ve aralık aylarında periyodik imha işlemi gerçekleştirilir.

İlgili kişi, Kanun’un 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

– Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  Şirket’in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun olarak yapmış olması gerekir. Şirket, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.

– Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanun’un 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

-Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar 3 yıl süre ile saklanır.

 

 11-) POLİTİKANIN GÜNCELLENME PERİYODU VE YÜRÜRLÜĞÜ

İşbu politika ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. İşbu politika VERBİS`e kayıt işleminin tamamlanması ile birlikte yürürlüğe girecektir.

 

VERİ SORUMLUSU

NUR ELEKTRİK İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ