KAR OTOMOTİV VE SERVİS HİZMETLERİ SANAYİ TİCARET LİMİTED ŞİRKETİ – KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
Politika Yürürlülük Tarihi
———
İşbu belge, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited Şirketi‘nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
İçindekiler
BÖLÜM 1: GİRİŞ
1.1. GİRİŞ
1.2. POLİTİKANIN AMACI VE KAPSAMI
1.3. MEVZUATIN UYGULANMASI
BÖLÜM 2: KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
2.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Olması
2.1.2 Doğru ve Gerektiğinde Güncel Olması
2.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Kişisel Verilerin İşlenme Şartları
BÖLÜM 3: KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
3.1.1. Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
3.1.2. Hukuka Aykırı Erişimini Engellemek İçin Alınan Tedbirler
3.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması Konusunda Alınan Tedbirler
3.2. DENETİM
3.2.1. Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
3.2.2.İş Birimlerinin Kişisel Verilerinin Korunması ve İşlenmesi Konusunda Farkındalıklarının Artırılmasının Denetimi
3.3. GİZLİLİK
3.4. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
BÖLÜM 4: ŞİRKET KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK ORGANİZASYONEL TEDBİRLER
BÖLÜM 5: KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
BÖLÜM 6: KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ ve VERİ ENVANTERİ
6.1.ŞİRKETİMİZİN YÜKÜMLÜLÜĞÜ
6.2. KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ VE VERİ ENVANTERİ
6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
6.2.2. Kişisel Verilerin Silinme Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri(Office 365,Salesforce vs.)
b) Kağıt Ortamında Bulunan Kişisel Veriler
c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
ç)Taşınabilir Medyada Bulunan Kişisel Veriler
d) Veri Tabanları
6.2.3. Kişisel Verilerin Yok Edilmesi Yöntemleri
a) Fiziksel Olarak Yok Etme
b) De-manyetize Etme
c) Kağıt Ortamları
6.2.4. Kişisel Verilerin Anonim Hale Getirilmesi
6.2.4.1. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
a) Maskeleme Yöntemi(Masking)
b) Veri Karma Yöntemi(Data Shuffling,Permutation)
c) Veri Türetme Yöntemi(Data Derivation)
d) Toplulaştırma Yöntemi(Aggregation)
6.2.4.2.Şirketimizin Anonim Hale Getirme Yöntemini Seçme Usulü
6.3. SAKLAMA SÜRELERİ
6.4. KİŞİSEL VERİ ENVANTERİ
6.4.1. Kişisel Veri Envanterinin Hazırlanışı
BÖLÜM 7: VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASINA İLİŞKİN KURALLAR
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI
7.1.1. Kişisel Verilere Erişim Hakkı
7.1.2. Kişisel Verilerini Değiştirme veya Sildirme Hakkı
7.1.3. Kişisel Verilerin Güncelliğinin Sağlanması
7.2. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
7.3. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
BÖLÜM 8: ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
BÖLÜM 9: ŞİRKET TESİSLERİ İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ
ÜZERİNDEN YAPILAN VERİ İŞLEME FAALİYETLERİ
BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI VE İNTERNET SİTESİ ZİYARETÇİLERİ
ŞİRKETİN İNTERNET SİTESİ ZİYARETÇİLERİ
BÖLÜM 10: YÜRÜRLÜK VE GÜNCELLENEBİLİK
EK-1: TANIMLAR
EK-2: KISALTMALAR
BÖLÜM 1: GİRİŞ
1.1. GİRİŞ
Kişisel Verilerin Korunması Kanunu ile verileri işlenen kişilerin verilerinin korunması konusu her şirket açısından temel bir zaruret haline gelmiştir. Bu sebeple özellikle kişilerin özel hayatına ve bilgilerine erişim hususunda azami ihtimam göstermek ve bu konuda etkili ve caydırıcı önlemler almak ek olarak bütün bu işlemler esnasında müşterilerimize, potansiyel müşterilerimize, ziyaretçilerimize, şirket yetkililerimize, işbirliği içinde olduğumuz taraf ve kurumların tamamına kısaca şirketimizle doğrudan veya dolaylı olarak bağlantılı olan verilerini işlediğimiz her bir kişiye şeffaf olmak şirket veri politikamızın temel hedefini oluşturmaktadır.
Şirketimiz KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited işbu Politika ile kişisel verilerin işlenmesine yönelik kurallarımızı şeffaflık ve açıklık ilkeleri çerçevesinde belirlemekte ve hayata geçirmektedir.
1.2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın temel amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere verileri işlenmiş olan kişilerin temel hak ve özgürlüklerini korumak ve bu anlamda şirketimizin yaptığı her faaliyetin kamunun aydınlatılması yoluyla şeffaflığının sağlanmasıdır.
Bu politika hükümlerinin kapsamı doğrudan veya dolaylı olarak verilerini işlediğimiz kişilerin bütün kişisel verileridir.
1.3. MEVZUATIN UYGULANMASI
Yürürlükte bulunan mevzuat ve politikamız arasında uyumsuzluk bulunması halinde yürürlükte olan mevzuat öncelikli olarak uygulanacak olup bu temel politikanın dışında daha özel amaçlar için aynı konuda oluşturulan başka politika veya düzenleme bulunması halinde öncelikle özel hükümler içeren maddeler uygulanır. Diğer politika ve dokümanların bu politika ve ilgili mevzuat ile çelişen hükümleri uygulanmaz.
BÖLÜM 2: KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
2.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Olması
Kişilerin verileri işlenirken işlenme sürecinde veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir. Şirketimiz KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited verileri işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde azami hassasiyet ve kontrol ile verileri işlemektedir.
2.1.2 Doğru ve Gerektiğinde Güncel Olması
İşlenen verilerin doğru olması ve şahısların verileri hakkında güncellik gerektiğinde güncel olması gerekmektedir. Şirketimiz işlenen verilerin doğruluğunu her işleme seviyesinde kontrol etmekte ve gerektiğinde güncel olması için gerekli hazırlıkları yapmaktadır.
2.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Verilerin işlenmesi esnasında hangi verilerin işlendiği belli ne kadarlık bir kısmının işlendiği açık ve ne amaçla işlendiği belli, hukuka uygun yani meşru olmalıdır. Şirketimiz sadece meşru amaçlar için verileri işlemekte bu işleme sırasında elde edilecek olan verilerin belirli olmasına özen göstermektedir. Şirketimiz elde edilen bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına net, açık bir şekilde verileri işlemektedir.
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Verilerin işlenme amacına sadık, amaçla bağlantılı o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Şirketimiz veri işlerken yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde veri sahiplerinin verilerini işlemektedir.
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
İşlenen kişisel veriler ilgili mevzuattaki süreye veya ilgili amaçta belirtilen süreye uygun olarak azami koruma kastıyla hareket edilmesi gerekir. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, şirketimiz kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Böylece veri sahiplerinin güvenlikleri azami seviyede sağlanmaktadır.(Ayrıntılı bilgi için bknz. Bölüm 6.4’e).işbu politika ve ilgili bütün mevzuat hükümlerine uygun olarak veri işleyen sıfatını taşıyan çalışanlarımız kişisel verilerle ilgili sınırsız süreli sır saklama yükümlülüğü altındadır.
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Kişisel Verilerin İşlenme Şartları
Şirketimiz veri sahiplerinin verilerini kanuna ve hukuka uygun bir biçimde aşağıda yer alan ilgili mevzuatın şartlarına uygun bir biçimde işlemektedir.
Genel Kişisel Verilerin İşlenme Şartları
Genel Nitelikli Veri Kavramı: Bu bölümde belirtilen özel nitelikli veri kategorisine girmeyen şirketimiz tarafından işlenen her türlü kişisel veri kavramı genel nitelikli kişisel veri kategorisini oluşturmaktadır.
Genel Şart: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
İstisnalar: Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması. - c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları
Özel Nitelikli Veri Kavramı: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Genel Şart: Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
İstisnalar ve Özel Durumlar: Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
- Şirketimiz özel sağlık problemlerinin kayıtlarının tutulması hususunda özel nitelikli verileri işleyip, saklarken ilgili veri sahiplerinin açık rızalarını almaktadır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel Verileri Koruma Kurumu Kurulu Şartları: Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
BÖLÜM 3: KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
Şirketimiz KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited Kişisel Verilerin Korunması Kanunu’nun 12. maddesi1 gereğince, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre her türlü teknik ve idari tedbirler alınmaktadır. Veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel veriler,
1 MADDE
(1)Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında kullanılamaz.
Teknik konularla ilgili şirket personeline gerekli eğitim verilmiştir; bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir. Böylece şirket bünyesinde bilgili personel istihdamı sağlanmıştır. Şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz bu konuda koordine halinde çalışmaktadır.
3.1.1. Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
Şirketimizce kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik ve idari tedbirler:
- Şirketimiz bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri teknik sistemlerle denetlenmekte ve ilgili kişilere raporlandırılmaktadırlar.
• Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve ilgili birimin yürütmüş olduğu faaliyet özelinde belirlenmektedir.
• Hukuka uygunluğun sağlanması ve ilgili departmanlar için hazırlanan prosedüre uyulması devamlılığı ve denetimi idari tedbirler, şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
3.1.2. Hukuka Aykırı Erişimini Engellemek İçin Alınan Tedbirler
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliğine göre teknik ve idari tedbirler almaktadır.
Şirketimizce kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik ve idari tedbirler:
- Erişim ve yetkilendirme teknik çözümleri ile alınan teknik önlemler periyodik olarak raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir. Loglama, virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.• Çalışanlar, öğrendikleri kişisel verileri, Kişisel Verileri Koruma Kanunu hükümlerine ve sair ilgili tüm mevzuata aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ilişkin hükümleri eklenmekte ve/veya karşılıklı mutabakat metinleri imzalanmaktadır.
3.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması Konusunda Alınan Tedbirler
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirleri almaktadır.
Şirketimizce kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik ve idari tedbirler:
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
• Teknik konularda uzman personel istihdam edilmektedir.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
• Dijital olmayan veriler kilitli dolaplarda tutulmak suretiyle sadece yetkilendirilmiş kişiler tarafından erişilebilecektir.
3.2. DENETİM
Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası2 gereğince veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
3.2.1. Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
Şirketimiz ve anlaşmalı hukuki danışmanlık şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve/veya yaptırır.
2 (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Bu denetim sonuçları şirketimizin iç işleyişi kapsamında konu ile ilgili departman veya yönetime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler Kişisel Verileri Koruma Kanunu ve sair mevzuat ve işbu şirket politikasına uygun şekilde yürütülmektedir.
3.2.2.İş Birimlerinin Kişisel Verilerinin Korunması ve İşlenmesi Konusunda Farkındalıklarının Artırılmasının Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin korunmasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler, seminerler ve oturumlar aracılığı ile sağlamaktadır. Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir. Kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemler kurulmakta, konuya ilişkin denetimleri şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz yapmaktadır.
Kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları şirketimize raporlanmakta olup söz konusu eğitimlere katılım şirketimiz tarafından zorunlu tutulmakta ve kontrol edilmektedir.
3.3. GİZLİLİK
Şirketimiz kişisel verilerin kanun ve politika hükümlerine aykırı olacak şekilde açıklanmaları ve aktarımını, bu verilere erişimin sağlanmasını ve meydana gelebilecek diğer güvenlik eksikliklerinden kaynaklanan işlemleri önlemek adına, imkanlar dahilinde ve korunacak kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.
Şirket personeline bu konuda gerekli eğitimler verilmiş ve bu konuda bilgi sahibi personel istihdamı sağlanmıştır. Şirket tarafından kişisel veri işleme faaliyetleri ise detaylı şekilde ve periyodik olarak incelenmekte ve denetlenmektedir. Teknolojinin imkan verdiği takdirde kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır. Şirketimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık şirketimiz bu faaliyetleri yürütülmesinde ve denetlenmesinde koordine edilmiş şekilde çalışmaktadır.
3.4. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanununun 135 ila 140. madde hükümleri ve ilgili bütün mevzuat uygulanır. İlgili bütün mevzuatın hükümleri şirketimizce çalışanlara ve ilgili kişilere bildirir. Hukuka aykırı olarak kişisel verileri kaydetme, kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme,
kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme ve
Kişisel Verileri Koruma Kanunun 7. maddesi3 hükmüne aykırı olarak; kişisel verilerin saklanmasını veya işlenmesini meşru kılan sebeplerin ortadan kalkmasına rağmen kişisel verileri silmeyen veya anonim hâle getirmeyen gerçek kişiler Türk Ceza Kanununun 138. maddesine göre hapis cezası ile cezalandırılır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Türk Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka aykırı olarak bir başkasına veren, bu verileri hukuka aykırı olarak yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle bu suçu işleyen kişi cezanın nitelikli halinden cezalandırılır. Kişisel veriyi işleme yetkisi olmadan verileri görüntüleme, elde etme veya hack suçunu işleyen şirket çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve ilgili makamlara bildirilecek ve hakkında gerekli işlemler yürütülecek ve suçun nitelikli halinden cezalandırılacaktır.
Kişisel Verileri Koruma Kanunu’nda Kabahatler başlığı altında düzenlenen hüküm gereğince aydınlatma yükümlülüğünü veya veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler veya Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında da idari para cezaları uygulanır.
BÖLÜM 4: ŞİRKET KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK ORGANİZASYONEL TEDBİRLER
Şirketimiz Kişisel Verilerin Korunması ile İşlenmesi Politikası’nın yürürlüğünü sağlamak için bir yönetim yapısı oluşturmaktadır.
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere komite kurulmaktadır. Kurulacak komitenin görevleri aşağıda belirtilmektedir. Komite, bu görevlerin dışında üst yönetimin vereceği diğer görevleri de yerine getirir. Komite tüm faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir.
- Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerekli olması halinde bu politikalar üzerinde yapılacak değişiklikleri hazırlamak,
3 MADDE 7- Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve uygulama takibinin ne şekilde yerine getirileceğine karar vermek,
- Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak,
- Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve bu hususların uygulanmasını sağlamak,
- Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin işbirliği yaptığı kurumlar nezdinde farkındalık yaratmak ve bu kapsamda eğitimler düzenlemek,
- Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek,
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek ve gerekli aksiyonları almak
İrtibat kişisi, anlaşmalı hukuki danışmanlık şirketi ve kurum ile kurulacak iletişim için şirket tarafından sicile kayıt esnasında bildirilen gerçek kişilerdir. Bu bildirilecek gerçek kişi veya kişiler şirketimiz bünyesinde bu işi yapmakla görevlendirilmiş departmanımız üyelerindendir.
Şirketimiz Veri Sorumluları Sicili Yönetmeliğine göre irtibat kişisinin fonksiyonunu iletişim noktası olarak, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamak olarak sınırlandırmıştır. Bu yolla kişisel verileri işlenen veri sahiplerinin sorunlarına veya sorularına en hızlı ve açıklayıcı bir biçimde cevap verilmesi amaçlanmıştır fakat irtibat görevlisi hukuki açıdan veri sorumlusunu temsile yetkili değildir. Bu sebeple bilgi vermek haricinde, şirket ile veri sahibinin veya irtibat sorumlusu ile iletişime geçen ilgilinin sorularını hukuka uygun bir biçimde cevaplamak ve şirketimizi bu hususta bilgilendirmek haricinde bir görevi veya yetkisi bulunmamaktadır. Şirketimiz irtibat sorumlusu tarafından bilgilendirildiği anda yine şirketimiz tarafından görevlendirilmiş yetkili departman veya kurum tarafından en kısa sürede sorunla ilgili işlemler yapılacak ve gereken prosedür yürütülecektir. Bu işlemler sırasında kişisel veri sahibi veya ilgili kişi bütün bu işlemler ve prosedürler ile ilgili bilgilendirilecek ve gerekirse şirketimiz yetkili departmanı veya kurumu tarafından kişisel veri sahibi veya ilgili kişilerle görüşmeler yürütülecektir.
BÖLÜM 5: KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirketimiz KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti., KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak (bkz. Bölüm 2/Başlık 2.1.5) politika ile
yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir: Şirketin;
(i) İş ortaklarına,
(ii) Tedarikçilerine,
(iii) Topluluk şirketlerine,
(iv) Hissedarlarına,
(v) Yetkililerine,
(vi) Hukuken Yetkili kamu kurum ve kuruluşlarına
(vii) Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Tanımı Veri Aktarım Amacı
Topluluk – Grup Şirketleri Şirketimize bağlı iş ortaklıklarını Şirketlerinin
tanımlar. İş ortaklarımız ek katılımını gerektiren her türlü
kısmında açıklanmıştır. ticari ve organizasyonel
tedbirlerinin yürütülmesini
sağlamak amacıyla aktarılır.
4 MADDE 10- (1)-c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Hissedarlar Şirketin hissedarı olan İlgili mevzuat hükümlerine göre
gerçek kişiler şirketler hukuku, etkinlik
yönetimi ve kurumsal
iletişim süreçleri kapsamında
yürüttüğü faaliyetlerin
amaçlarıyla sınırlıdır.
Şirket Yetkilileri Şirket yönetim kurulu İlgili mevzuat hükümlerine göre
üyeleri ve diğer yetkili gerçek şirketin ticari faaliyetlerine
kişiler ilişkin stratejilerin tasarlanması,
en üst düzeyde yönetiminin
sağlanması ve denetim
amaçlarıyla sınırlı olarak
aktarım yapılmaktadır
Hukuken Yetkili Kamu Kurum İlgili mevzuat hükümlerine İlgili kamu kurum ve
ve Kuruluşları göre şirketten bilgi ve kuruluşlarının hukuki yetkisi
belge almaya yetkili kamu dahilinde talep ettiği amaçla
kurum ve kuruluşları sınırlı olarak aktarım yapılmaktadır
Hukuken Yetkili Özel Hukuk İlgili mevzuat hükümlerine İlgili özel hukuk kişilerinin
Kişileri göre şirketten bilgi ve hukuki yetkisi dahilinde talep
belge almaya yetkili özel ettiği amaçla sınırlı olarak
hukuk kişileri aktarım yapılmaktadır
Tedarikçi Şirketin ticari faaliyetlerini Şirketin tedarikçiden temin
yürütürken şirket emir ve ettiği ve şirketin ticari ve
talimatlarına uygun olarak organizasyonel faaliyetlerini
sözleşme temelli, şirkete hizmet yerine getirmek için gerekli
sunan tarafları hizmetlerin sunulmasını
tanımlamaktadır. sağlamak amacıyla aktarım
yapılmaktadır.
BÖLÜM 6: KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ ve VERİ ENVANTERİ
6.1.ŞİRKETİMİZİN YÜKÜMLÜLÜĞÜ
Şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 7 ve 5237 sayılı Türk Ceza Kanunu madde 138’deki açıklamalara uygun olarak işlenilmiş ve akabinde işleme ve saklama amacı ortadan kalkmış kişisel verileri Türk Ticaret Kanunu’ndan kaynaklanan haklara, ilgili bütün mevzuat hükümlerinin vermiş olduğu haklara ve işbu politikada belirlenen esaslara(bkz. bölüm 2.2.1 (e) ve (f) ) istinaden vereceği karar ile veya şirketimizin ticari hayatındaki menfaatlerini zarar getirmeyecek şekilde veri sahibinin açık talebiyle, Kişisel Verilerin Korunması Kanunu madde 7 de belirtildiği gibi siler veya yok eder veya anonimleştirilir.
6.2.KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ VE VERİ ENVANTERİ
6.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Kişisel verilerin silinmesi, yönetmeliğin 8.maddesinde ‘’kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
Kişisel verilerin yok edilmesi, yönetmeliğin 9.maddesinde ‘’kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
6.2.2. Kişisel Verilerin Silinme Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri(Office 365,Salesforce vs.)
Bulut sistemindeki veriler silme komutu verilerek silinir. Anılan işlem gerçekleşirken ilgili kullanıcı bulut sistemi üzerinde silinmiş verileri geri getirme yetkisine sahip değildir.
- b) Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma yöntemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülmeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcıların görünemez hale getirilmesi şeklinde yapılır. - c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılmasıdır.
ç)Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir
- d) Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinir. Anılan işlemi gerçekleştiren ilgili kişi veri tabanı yöneticisi değildir.
6.2.3. Kişisel Verilerin Yok Edilmesi Yöntemleri a)Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılmayacak biçimde fiziksel olarak yok edilmesi uygulanmaktadır.
b) De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin anlaşılamaz ve okunamaz bir hale getirilme işlemidir.
- c) Kağıt Ortamları
Bu ortamdaki yok etme işlemleri kağıtların imha ve kırpma makineleri ile anlaşılmaz boyutlara getirilerek yok edilmesi yöntemidir.
6.2.4. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, yönetmeliğin 10.maddesinde ‘’kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. ’’şeklinde tanımlanmıştır.
6.2.4.1. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri a)Maskeleme Yöntemi(Masking)
Verileri işlenen veri sahiplerinin belirgin sıfatlarının veya özelliklerinin çıkarılarak veya silinerek sağlanan bir anonim hale getirme yöntemidir.
- b) Veri Karma Yöntemi(Data Shuffling,Permutation)
Bu yöntemle sistem içerisinde verileri olan veri sahiplerinin bilgilerinin bir kısmının yerini değiştirerek verileri anonim hale getirmek amaçlanmaktadır - c) Veri Türetme Yöntemi(Data Derivation)
Sistemde içerisinde yer alan verilerde bulunan değişkenlerde belli ölçülerde ekleme veya çıkarma yapılarak bilgilerin tespit edilemeyecek veya tanımlanamayacak hale gelmesi sağlanır. - d) Toplulaştırma Yöntemi(Aggregation)
İlgili kişisel veriyi özel bir değerden genel bir değere çevirme yöntemidir. Bu yöntemle veriler genelleştirilmekte ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
6.2.4.2.Şirketimizin Anonim Hale Getirme Yöntemini Seçme Usulü
Yukarıda açıklanan anonimleştirme yöntemlerinden bir veya birkaçı, ilgili bütün mevzuat ve şirketimizin iş hayatındaki menfaatleri doğrultusunda, şirket tarafından işbu politikanın yürürlüğünü sağlamak için oluşturulan komite tarafından seçilecektir. Komite ile ilgili ayrıntılı bilgiler daha önceki bölümde açıklanmıştır.( bkz. bölüm 4)
Seçilecek anonim hale getirme yöntemi, komite tarafından aşağıda sayılan hususlar dikkate alınarak belirlenecektir:
- Verinin niteliği
- Verinin büyüklüğü
- Verinin fiziki ortamlarda bulunma yapısı
- Verinin çeşitliliği
- Verinin işlenme amacı
Anonim Hale Getirme işlemi işbu politikanın saklama süreleri ve kişisel veri envanteri bölümlerinde belirtilen esaslara paralel olarak gerçekleştirecektir.
6.3. SAKLAMA SÜRELERİ
Şirketimiz, ilgili bütün mevzuatta belirlenen sürelere uygun olarak, veri envanterinde kişisel verileri saklamaktadır.
Bu süreleri ilişkin ilgili mevzuatta belirlenen herhangi bir sürenin bulunmaması durumunda Şirketimiz, bulunduğu sektörden kaynaklanan teamüller ve kanun ve mevzuata uygun olmak şartıyla şirketimizin menfaatlerine uygun olarak belirlediği süreler içerisinde kişisel verileri saklamaktadır, saklama işlemine gerek kalmadığı durumlarda yukarıda açıklanan şekillerde silinir veya yok edilir veya anonimleştirilir.
Kişisel verilerin işleme ve saklama amacı ortadan kalkmış ve kişisel verilere ilişkin ilgili bütün mevzuatta ve şirketimiz tarafından işbu politikada belirlenen esaslara (bkz. bölüm 2.2.1 (e) ve (f)) istinaden belirlenen süreler geçmiş ise ileride doğabilecek her türlü hukuki uyuşmazlıklarda kullanılmak amacıyla da kişisel veriler saklanabilmektedir. Bu kısımda belirtilen kişisel veriler sadece hukuki uyuşmazlıklarda kullanılmak üzere saklanır ve başka herhangi bir amaç için kullanılamaz. Yukarıdaki açıklamalar doğrultusunda şirketimiz tarafından, öngörülebilecek bütün önlem ve tedbirler alınmaktadır.
Örneğin, İşyerinden ayrılan çalışan aleyhine, sözleşmenin haksız feshedilmesinden kaynaklı açılacak davada yetkili mahkemenin belirlenmesi amacıyla çalışanın yerleşim bölgesinin tespitinin yapılması için veri sisteminde bulunan bilgilerin kullanılması bu kapsamda değerlendirilebilir. (Yukarıdaki açıklamaların kapsamı verilen örnek ile sınırlı değildir.)
6.4. KİŞİSEL VERİ ENVANTERİ
KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’e uygun olarak şirketimiz bünyesinde bulunan her departmanda ayrı ayrı işlenen verilerin toplandığı ve yukarıda açıklandığı
şekillerde silme, yok etme, anonimleştirme işleminin mevzuata ve şirket politikasına uygun olarak gerçekleştirildiği ve gerektiğinde KVK Kurumuna ibraz edilebilen datayı(Word, excel vs.) ifade etmektedir.
Yönetmelikteki tanıma göre bir kişisel veri envanterinde bulunması gerekenler:
- Kişisel veri işleme amaçları
ii. Veri Kategorisi
iii. Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilerek oluşturulan ve kişisel verilerin işlenmesi için gerekli olan azami süreler
iv. Yabancı ülkelere aktarımı öngörülen kişisel süreler
v. Veri güvenliğine ilişkin alınan tedbirler
Yukarıda belirtilen kriterler göz önüne alınarak kişisel verilerle ilgili olarak bu verilerle
yapılacak işlemlere ilişkin bilgiler ilgili envanterde toplanacaktır. Envanter içeriği, şirketimizin kanuna ve mevzuata uygun olarak kendi menfaatleri doğrultusunda Word, Excel gibi dijital ortamlarda saklanabileceği gibi dijital ortamlarda saklanması mümkün olmayan içerik kağıt ortamlarında da saklanabilmektedir.
Bölüm 6 da açıklanan kişisel verileri silme, yok etme, anonimleştirme işlemleri şirketimiz tarafından veya şirketimizin yetki verdiği bir görevli tarafından kişisel veri envanterinde gerçekleştirilir.
6.4.1.Kişisel Veri Envanterinin Hazırlanışı
Kişisel Veri Envanterinin hazırlanılış usulüne ilişkin ilgili mevzuatta hüküm varsa kişisel veri envanteri bu hükümler doğrultusunda şirketimiz tarafından hazırlanacaktır.
Kişisel Veri Envanterinin hazırlanış usulüne ilişkin ilgili mevzuatta hüküm olmadığı durumlarda şirketimiz, kendi iç çalışma disiplini, iş çalışma süreçlerini de dikkate alarak kişisel veri envanterini hazırlama hususunda hangi usulü seçeceği konusunda serbesttir.
BÖLÜM 7: VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASINA İLİŞKİN KURALLAR
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kişisel Verileri Koruma Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak şirketimize iletmeleri durumunda şirketimiz talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından başvuru sahibinden Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, - Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel Verileri Koruma Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel Verileri Koruma Kanunu’nun 13. maddesi gereğince, kişisel veri sahiplerinin
yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verilerin Korunması Kurulu’nun belirlediği diğer yöntemlerle Şirketimize iletmeleri gerekmektedir.
7.1.1. Kişisel Verilere Erişim Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerine erişim hakkı bulunmaktadır. Şirketin menfaati ve veriyi tutmasında meşru hakkı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat kapsamında korunur; değiştirme ve silme hakkı gözetilir. Şirketimiz ilgili kişiye;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme isteğinde bulunma hakkı olduğu bilgisini vermektedir.
7.1.2. Kişisel Verilerini Değiştirme veya Sildirme Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerini değiştirme veya sildirme hakkı bulunmaktadır. Bu kapsamda ilgili kişinin;
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
5 MADDE 13- İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
• Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme ve
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme hakkı bulunmaktadır.
7.1.3. Kişisel Verilerin Güncelliğinin Sağlanması
Kişisel Verileri Koruma Kanunu uyarınca kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama yükümlülüğü bulunmaktadır, bu sebeple kişisel verilerin doğru ve güncel tutulması açısından ilgili tarafından şirketimize mevcut durum değişikliklerinin bildirilmesi gerekir. Şayet veri değişikliğinin ilgili kişi tarafından yazılı olarak şirketimize bildirilmediği taktirde verinin güncellenmemesi nedeniyle ortaya çıkan ya da çıkabilecek herhangi bir zarar ve yaptırımdan şirketimiz sorumlu değildir.
7.2. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
Kişisel Verileri Koruma Kanunu’nun 12. maddesi gereğince veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Şirketimiz, ilgili kanun maddesi gereğince kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken ve müteselsilen sorumludur. Şirketimiz kendi kurum veya kuruluşunda bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaktadır.
Şirket tarafından işbu hüküm tüm sözleşme, taahhüt – mutabakat metinlerine eklenerek işbu politikanın 5. Bölümünün 13. sayfasında veri aktarımı yapabilecek kişiler ile paylaşılmıştır; fiili imkansızlık sebebiyle ya da hayatın olağan akışına uygun olmaması nedeniyle sözleşme veya mutabakat metni oluşturulamayan hallerde ise www.kargrup.com internet sitesinden işbu politika kamuya açık hale getirildiğinden görülebilir.
7.3. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
Kişisel veri sahipleri, Kişisel Verileri Koruma Kanunu’nun 28. maddesi gereğince aşağıdaki haller ilgili kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda aşağıda sayılan haklarını ileri süremezler:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi ve
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel Verileri Koruma Kanunu’nun 28. maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç diğer haklarını ileri süremezler:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
BÖLÜM 8: ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
Çalışan adaylarının işe alım sürecinde toplanan kişisel verileri ile işin niteliğine göre toplanan özel nitelikli kişisel verileri, Şirket tarafından; belirtilen ve aşağıda sıralanan amaçlarla işlenmektedir:
• Çalışan adayının niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
- Gerektiği takdirde, Çalışan adayının ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip Çalışan Adayı hakkında araştırma yapmak,
- Başvuru ve işe alım süreci hakkında Çalışan Adayı ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için aday ile iletişime geçmek,
- İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşların taleplerini karşılamak,
- Şirketimizin uyguladığı işe alım ilkelerini geliştirmek ve iyileştirmek. Çalışan adaylarının kişisel verileri aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:
Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu;
- Çalışan adaylarının Şirkete e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler;
- İstihdam veya danışmanlık şirketleri; Çalışan adayları da veri sahibi olmalarından kaynaklanan hakları ile ilgili taleplerini açıklanan yöntemle iletebileceklerdir.
Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılan hallerde, mülakat sırasında;
- Çalışan adayı tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ile şirket tarafından yapılan araştırmalar;
- Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri
BÖLÜM 9: ŞİRKET TESİSLERİ İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDEN YAPILAN VERİ İŞLEME FAALİYETLERİ
BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirket tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Bu bölümde Şirketin kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır.
Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirket tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
KVK Kanununa Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
Kamera ile İzleme Faaliyetinin Duyurulması
Şirket tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Şirket, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; Şirket internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).
Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirket tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
Şirketin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri isimli 6.4 maddesinde yer verilmiştir.
İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
ŞİRKETİN BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
ŞİRKETİN MİSAFİRLERİNE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI VE İNTERNET SİTESİ ZİYARETÇİLERİ
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; misafirlerin tesislerimiz içerisinde kaldığı süre boyunca internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınabilmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirketimiz çalışanlarının erişimi bulunmaktadır.
Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek
ve/veya hukuki haklarımızın korunması ve Şirketimizin savunma haklarının tesisi amacıyla işlenmekte ve üçüncü kişilerle paylaşılmaktadır
ŞİRKETİN İNTERNET SİTESİ ZİYARETÇİLERİ
Şirket sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir.
Şirket yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin “Şirketin İnternet Sitesi Gizlilik Politikası” metinleri içerisinde yer almaktadır.
BÖLÜM 10: YÜRÜRLÜK VE GÜNCELLENEBİLİK
Şirket tarafından düzenlenerek 07 Kasım 2019 tarihinde yürürlüğe girmiştir. Politika’nın tamamında veya bir kısmında güncelleme yapılabilir. Politika, Şirketin internet sitesinde (www.kargrup.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
EK-1: TANIMLAR
Özel Nitelikli Kişisel Veri
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini belirtir.
Kurum
Kişisel Verileri Koruma Kurumunu ifade eder.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı belirtir.
Anonim Hale Getirme
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İş Ortağı
Şirketin ticari ve her türlü organizasyonel faaliyetlerini yürütürken bizzat veya topluluk şirketleri ile birlikte projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu ve kişisel verilerin aktarıldığı firma ve şirketleri ifade eder. KAR OTOMOTİV VE SERVİS HİZMETLERİ SANAYİ TİCARET LİMİTED ŞİRKETİ.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi belirtir.
EK-2 : KISALTMALAR
KVKK
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan ,24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
KVKK madde 7
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
TCK
12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete’de yayımlanan;26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu
TCK madde 138
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan ikinyıla kadar hapis cezası verilir.
(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Yönetmelik
28 Ekim 2017 Cumartesi Resmi Gazate’de yayımlanan 30224 sayılı Kişisel Verilerin Silinmesi ,Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
KIŞISEL VERILERIN İŞLENMESI HAKKINDA BILGILENDIRME METNI
İşbu Kişisel Verilerin İşlenmesi Hakkında Bilgilendirme Metni (“Bilgilendirme Metni”), KAR Otomotiv ve Servis Hizmetleri Sanayi Ticaret Limited Şirketi olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, veri sorumlusu sıfatıyla, KVKK’da yer alan “Veri Sorumlusu’nun Aydınlatma Yükümlülüğü” başlıklı 10. ve “İlgili Kişinin Hakları” başlıklı 11. maddesi çerçevesinde; hangi amaçla kişisel verilerinizin işleneceği, işlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği, kişisel verilerinizin toplanmasının yöntemi ve hukuki sebebi ve KVKK’nın 11. maddesinde sayılan diğer haklarınızla ilgili olarak size bilgi vermek ve aşağıdaki hususlarda onayınızı almak amacıyla sunulmaktadır.
Bize sağladığınız kişisel verilerin gizliliğini ve güvenliğini korumaya önem veriyoruz. Bu doğrultuda, kişisel verilerinizi yetkisiz erişim, zarar, kayıp veya ifşaya karşı korumak için gerekli teknik ve idari güvenlik önlemlerini almaktayız.
Verilerinizi Hangi Amaçlarla Topluyoruz?
Şirket, internet sitesi ve bu aydınlatma metninde yer verilen diğer kanallar vasıtasıyla paylaşmış olduğunuz kişisel verilerinizi, yine bu aydınlatma metninde belirtilen amaçlar ile sınırlı olarak işlemektedir. Şirketin açık adresi Defterdar Mah.Fethi Çelebi Cd. No.45 (Yeni 23/1) EYÜP İSTANBUL ve Davutpaşa Vergi Dairesi Vergi No: / 4990408900’dir. KVKK açısından Şirket “Veri Sorumlusu” sıfatıyla faaliyet göstermektedir.
Şirket internet sitesini ziyaret ettiğinizde ve/veya Şirket ile kişisel verilerinizi bu aydınlatma metninde belirtilen işleme amaçları kapsamında kullanılmak üzere paylaştığınızda, bu aydınlatma metninde ve internet sitemizde yer alan gizlilik politikasında yer alan hükümler konusunda bilgilendirilmiş kabul edilirsiniz.
ŞIRKET OLARAK, VERI SORUMLUSU SIFATIYLA, BAŞTA 6102 SAYILI TÜRK TICARET KANUNU, 6698 SAYILI KIŞISEL VERILERIN KORUNMASI KANUNU (“KVKK”), 6502 SAYILI TÜKETICININ KORUNMASI HAKKINDA KANUN, 5237 SAYILI TÜRK CEZA KANUNU, 5651 SAYILI İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESI VE BU YAYINLAR YOLUYLA İŞLENEN SUÇLARLA MÜCADELE EDILMESI HAKKINDA KANUN VE ILGILI IKINCIL MEVZUAT, 6563 SAYILI ELEKTRONIK TICARETIN DÜZENLENMESI HAKKINDA KANUN VE ILGILI IKINCIL MEVZUAT VE BUNLARLA SINIRLI OLMAKSIZIN ILGILI TÜM MEVZUATTAN KAYNAKLANAN YASAL YÜKÜMLÜLÜKLERIMIZ ÇERÇEVESINDE VE MÜŞTERILERIMIZIN, HIZMETLERIMIZDEN FAYDALANABILMESI AMACIYLA; KIŞISEL VERILERINIZIN (ISIM- SOYISIM, ADRES, MESLEK, EĞITIM, MEDENI DURUM, DOĞUM TARIHI VE YERI, ELEKTRONIK POSTA, TELEFON NUMARASI, CINSIYET, KIMLIK VE EHLIYETTE YER ALAN DIĞER VERILER, ARAÇ PLAKASI, ARAÇ MARKASI-MODELI- MODEL YILI, FAYDALANILAN KAMPANYA BILGISI, SOSYAL MEDYA PLATFORMLARINDA KULLANICININ O PLATFORMLAR ARACILIĞIYLA PAYLAŞILMASINA ONAY VERDIĞI VERILER, UYGULAMA ÜZERINDEKI GEZINME VE TIKLAMA VERILERI, UYGULAMAYI AÇTIĞI
lokasyon verileri gibi) tarafımızla paylaşması halinde açık rızanıza istinaden, Şirketimiz ve şirketimiz bünyesindeki diğer grup şirketler ve bayiler olan KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited şirketi , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti. Yedek Parça, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Aksesuar, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Rent a Car , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti 2.El, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Filo(Ticari Araç Kiralama), KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti- Toyota, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Sigorta , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti-Ford , kişisel verileri elde edebilecek, kaydedebilecek, muhafaza edebilecek, hizmetlerini devam ettirebilmek amacıyla güncelleyebilecek, yeniden düzenleyebilecek, mevzuatın izin verdiği durumlarda ve ölçüde üçüncü kişilere açıklayabilecek, devredebilecek, aktarabilecek, paylaşabilecek ve kanunların cevaz verdiği diğer şekillerde gerekli idari ve teknik önlemleri alarak işleyebilecek ve işbu bahsedilen şirketler arasında aktarabilecektir.
Bu kişisel veriler; Şirket olarak sunduğumuz hizmetlerden yararlanabilmeniz adına, açık rızanıza istinaden veya tabi olduğumuz yasal mevzuat başta olmak üzere KVKK 5. maddesinin
- fıkrasında öngörülen diğer hallerde, işbu Kişisel Verilerin Korunması Hakkında Bilgilendirme ile belirlenen amaçlar ve kapsam dışında kullanılmamak kaydı ile gerekli tüm bilgi güvenliği tedbirleri de alınarak işlenecek ve yasal saklama süresince veya işleme amacının gerekli kıldığı süre boyunca saklanacak ve işleme amacının gerekli kıldığı sürenin sonunda anonimleştirilerek Şirketimiz tarafından kullanılmaya devam edilecektir. İlgili sürenin sonunda anonimleştirilmeyen veriler ise imha edilecektir.
Hakkınızda Hangi Kişisel Verileri Hangi Yollarla Topluyoruz?
- Doğrudan sizin tarafınızdan sağlanan kişisel veriler: Tarafımıza sizin ilettiğiniz tüm bilgi ve belgeler.
- Üçüncü kişilerden sizinle ilgili olarak toplanan kişisel veriler: Şirketin işbirliği yaptığı kurum ve kuruluşlar veya anlaşmalı satıcılardan, grup şirketlerimiz ve bayilik sözleşmesi ile hizmet verdiğimiz KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited şirketi , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti. Yedek Parça, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Aksesuar, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Rent a Car , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti 2.El, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Filo(Ticari Araç Kiralama), KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti- Toyota, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Sigorta , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti-Ford, Emniyet Genel Müdürlüğü, Risk Merkezi gibi resmi kurumlardan toplanan bilgi ve belgeler.
- Çerezler ve benzeri teknolojiler vasıtasıyla topladığımız kişisel verileriniz, Kanun’a uygun olmak kaydıyla Şirketimiz Genel Müdürlüğü, bayileri, çağrı merkezi, Şirket ve/veya anlaşmalı kurum internet siteleri, Toyota.com.tr ve benzeri diğer kanallar aracılığı ile otomatik ya da otomatik olmayan yollarla, yazılı, sözlü ya da elektronik ortamda toplanabilmektedir.
Kişisel Verilerinizi Kimlerle Paylaşıyoruz?
Şirketimiz, söz konusu kişisel verilerinizi sadece; müşterilerin açık rızasına istinaden veya tabi olduğumuz mevzuat başta olmak üzere KVKK m. 5/f.2’de öngörülen diğer hallerde KVKK’da belirtilen güvenlik ve gizlilik esasları çerçevesinde yeterli önlemler alınmak kaydıyla Şirket faaliyetlerinin yürütülmesi, müşterilerimize hizmetler, fırsat ve olanaklar
sunulması ve hizmet kalitesinin artırılması amacıyla; Bayilik ilişkisi içinde bulunduğumuz ve Toyota araçlar için satış, servis yedek parça hizmeti verdiğimiz KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Limited şirketi , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti. Yedek Parça, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Aksesuar, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Rent a Car , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti 2.El, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Filo(Ticari Araç Kiralama), KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti- Toyota, KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti Sigorta , KAR Otomotiv Ve Servis Hizmetleri Sanayi Ticaret Ltd. Şti-Ford olmak üzere grup şirketlerimiz, doğrudan/dolaylı yurtiçi/yurtdışı iştiraklerimiz, faaliyetlerimiz gereği anlaşmalı olduğumuz kurumlar (sigorta şirketleri, eksperleri gibi), tedarikçiler, anlaşmalı satıcılar, iş ortaklarımız,
teknoloji hizmet sağlayıcıları, denetim şirketleri veya yasal bir zorunluluk gereği bu verileri talep etmeye yetkili olan kamu kurum veya kuruluşları, bunlarla sınırlı olmamak üzere ilgili diğer otoriteler ile paylaşabilecektir ve aktarabilir.
Haklarınız Nelerdir?
Hakkınızda tuttuğumuz kişisel verilerin doğru ve güncel olması önemlidir. Bu nedenle kişisel verilerinizde bir değişiklik meydana geldiğinde lütfen bize bildiriniz. Aksi halde, sistemlerimizde tuttuğumuz verilerdeki yanlışlıklardan sorumlu olmayacağımızı bildiririz. KVKK’nın “İstisnalar” başlıklı 28. maddesinde öngörülen haller saklı kalmak kaydıyla, Kanun’un 11. maddesi çerçevesinde haklarınız; Şirketimize başvurarak, kişisel verilerinizin; a) işlenip işlenmediğini öğrenme, b) kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme, c) kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, ç) kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, d) kişisel verilerinizin eksik veya yanlış işlenmiş ise düzeltilmesini isteme, e) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme, f) kişisel verilerinizin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme, g) kişisel verilerinizin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme ve ğ) kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahipsiniz.
Bu kapsamda yapacağınız talepler 6698 Kişisel Verileri Koruma Kanunu kapsamında yazılı olmalıdır. Bunun için, kimliğinizi tespit edici belgeler ile birlikte, kullanmak istediğiniz hakkınıza yönelik açıklamalarınızı içeren yazılı beyanınız ile kimliğinizi tevsik edecek şekilde Şirketimizin Cendere Cd. Huzur Mah. No:114 B Kat:13 SKYLAND, 34415 Sarıyer/İstanbul adresine bizzat başvurabilir veya başvurunuzu noter kanalıyla göndererek yapabilirsiniz. İnternet sitemizde bulunan “Başvuru Formu”nu kullanarak başvuru işleminizi kolayca gerçekleştirebilirsiniz.
Kullanıcı/Kullanıcılar/Veri Paylaşan Kişiler, Şirketimiz web sitesinde veya fiziki ortamlarında Kişisel Veri Koruma Kanunu tahtında işlem yapmadan önce Şirketimiz web sitesinde yer alan ve yukarıda belirtilen Kişisel Verilerin İşlenmesi Hakkında Bilgilendirme Metnini ve Kişisel Verilerin Korunması Politikasını okuduklarını, bu metinlerde belirtilen tüm hususlara uyacaklarını, web sitesinde yer alan/fiziki olarak sağlanan içeriklerin ve Şirketimize ait tüm elektronik/fiziki ortam ve bilgisayar/arşiv kayıtlarının Hukuk Muhakemeleri Kanunu m. 193 uyarınca kesin delil sayılacağını gayrikabili rücu olarak kabul, beyan ve taahhüt etmişlerdir.
KAR GRUP
ENTEGRE YÖNETİM SİSTEMİ
KALİTE VE MÜŞTERİ MEMNUNİYETİ POLİTİKASI
Müşterilerin ihtiyaçlarını ve beklentilerini tam ve sürekli olarak karşılayabilmek ve hizmetleri en ekonomik şekilde sunmak, minimum maliyet, maksimum kalite ve % 100 müşteri memnuniyetini sağlamak.Uygun maliyet politikamız ile uluslararası rekabet gücümüzü arttıracak ve etkili bir kalite güvence sistemi ile üretimimizi, verimliliğimizi ve kararlılığımızı en yüksek seviyede tutmak.Kaliteyi yaratma, koruma ve de devamlı olarak kaliteyi geliştirme faaliyetlerinin başlangıç noktasının bilgili personel oluşturmakta yatmaktadır. Buna yönelik, personelin kişisel yeteneklerini geliştirmek ve takım olarak etkili birliktelik içinde çalışmak için çalışanların eğitimine önem vermek.
Kalitenin müşteri odaklı bir felsefe olduğu, liderlik yarışında gerçek kazananları müşterilerden gelen mesajları en kısa sürede en iyi hizmet anlayışıyla ve ciddiyetle değerlendirip, kendi avantajlarına çevirebilenler olduğu bilincini tüm firma personeline benimsetmek.
Tüm personelimizle entegre yönetim sistemimizi ISO 9001: 2015 ISO 14001:2015 ISO 45001:2018 ISO 10002 standardlarının tüm gereklerini yerine getirmek ve sistemimizin etkinliğini sürekli geliştirmek kuruluşumuzun temel politikasıdır.
ÇEVRE POLİTİKASI
1) DOĞAL KAYNAKLARIN KORUNMASI
Teknik, ekonomik ve ticari olanakların elverdiği ölçüde çevreye en az zarar veren teknolojileri uygulayarak doğal kaynaklarımızı korumak, hem hammadde kullanımını uygun değerlerde tutmak hem de oluşan atıkların uygun geri kazanımlarının sağlanmasına yardımcı olmak birincil sorumluluğumuzdur.
2) YASALARA UYUM
Türk çevre mevzuatına ve TSE ISO 14001:2015 standartlarına uymayı taahhüt etmekte ve sürekli iyileştirme yaklaşımı çerçevesinde Dünya çapında geçerli olan normları sağlamayı hedeflemekteyiz. Geliştirme, planlama ve yatırım aşamalarında ürünlerin ve proseslerin çevre dostu olmasına dikkat etmekteyiz.
3) ÇEVRESEL YÜKÜN AZALTILMASI
Havaya, suya ve toprağa verdiğimiz çevre etkilerini kontrol altında tutmak ve bu etkileri azaltmak öncelikli amacımızdır. Bu amaca bağlı olarak sürekli iyileştirme çalışmaları yapmaktayız.
4) ATIKLARIN DEĞERLENDİRİLMESİ
Faaliyetlerimiz sırasında oluşan atıkları öncelikli olarak kaynağında azaltılmak ve ayrıştırmak, mümkün olmadığı durumlarda geri dönüşüme kazandırmak ve en uygun yöntemlerle bertaraf edilmesini sağlamaktayız.
5) ÇALIŞANLARIN KATILIMI
Üst yönetim başta olmak üzere tüm çalışanlar olarak çevre korumanın hepimizin sorumluluğu olduğu bilinciyle bu konudaki çalışmalara yetki ve sorumluluklarımız dâhilinde etkin olarak katılmak gerektiği inancındayız. Bu amaçla etkin bilgi akışı ve eğitimlerle kendimizi çevre koruma konusunda sürekli geliştirmekteyiz
İŞÇİ SAĞLIĞI VE İŞ GÜVENLİĞİ POLİTİKASI
KAR GRUP tüm faaliyetlerinde insanı en değerli varlığı olarak kabul eder ve daha güvenli ve sağlıklı bir çalışma ortamı yaratarak, oluşabilecek her türlü kayıpları en aza indirmeyi öncelikli iş hedefi olarak benimser.Çalışanlarının sağlık ve güvenlik düzeylerinin geliştirilmesini iş veriminin gereği olarak görür. İş Sağlığı ve İş Güvenliği Yönetim Sistemi uygulanarak, sistem periyodik olarak gözden geçirilir ve performansı izlenerek, sürekli olarak gelişmesi sağlanır.
Bu amaçla;
İş Sağlığı ve İş Güvenliği konuları ile ilgili tüm yerel kanun,yönetmelik ve standartlara uyulur. Meslek Hastalıkları, İş Sağlığı ve İş Güvenliği konularındaki tüm riskler değerlendirilir ve koruyucu önlemler alınır.Yeni proje ve proseslerin Meslek Hastalıkları, İş Sağlığı ve İş Güvenliği açısından etkileri projelendirme aşamasında değerlendirilir.Tüm çalışanların katılımı ile tehlikeler kaynağında yok edilerek sıfır iş kazası ve meslek hastalığı hedeflenir.Faaliyetlerimiz sırasında meydana gelebilecek herhangi bir kaza veya acil durumda kayıplarımızı en aza indirecek sistemler geliştirilir.Başarıya ulaşmak ve sürekli gelişme için çalışanlarımız iş sağlığı ve güvenliği, konularında eğitilir, zinde ve sağlıklı olmaları teşvik edilir.
ISO 45001 İş Sağlığı ve Güvenliği Yönetim sisteminin geliştirilmesi, planlanması, uygulanması, performans değerlendirmesi ve iyileştirme faaliyetlerinde çalışanlarımıza ve çalışan temsilcilerimize danışarak ve katılımlarını sağlayarak İSG faaliyetlerimizi sürdüreceğimizi ve gerekli kaynakları sağlayacağımızı taahhüt ederiz.
İşyerlerimizdeki tüm çalışanlarımız bu politikadaki hedeflere ulaşabilmek için işbirliği içinde çalışarak gerekli önlemleri alır ve sürekli gelişime açık bir kültür oluştururlar.
GENEL MÜDÜR EYS PO 02 / 11.10.2020