Kişisel Verilerin Korunması ve İşlenmesi Politikası

 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

BÖLÜM 1 –  POLİTİKANIN AMACI VE KAPSAMI

Kişisel Verilerin Korunması Kanunu Tasarısı ülkemizde ilk defa 2007 yılında Avrupa Birliği ile uyum kapsamında hazırlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, önceki metinler üzerinde yapılan çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiştir ve 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış,

7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ve bu bağlamda Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.

Verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını hedef alır.

Verilerin korunması kişileri onlar hakkındaki bilgilerin (otomatik olarak ya da otomatik olmayan yollarla) işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış bir dizi önlemi ifade eder.

Bu Politika ile müşterilerimizin, çalışanlarımızın,  çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi prensipleri oluşturulmaktadır.

Politika’nın temel amacı,6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu Kuyumcukent İşletme A.Ş. tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında  açıklamalarda bulunarak,  kişisel verileri şirketimiz tarafından işlenen İlgili Kişi gerçek kişileri bilgilendirmek ve uygulamada şeffaflığı sağlamaktır.

Kuyumcukent İşletme A.Ş. bu Politika ile;  bir Anayasal hak olan Kişisel Verilerinin Korunmasını bir şirket politikası haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma Kanunu ve  mevzuat ve düzenlemelerine uymayı taahhüt etmektedir.

Kişisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak Şirket içerisinde gerekli prosedürler düzenlenmekte, özel aydınlatma metinleri oluşturulmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için Şirket tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

BÖLÜM 2- TANIMLAR

Kişisel Verileri Koruma Kanunu ve Kuyumcukent İşletme A.Ş.’nin Kişisel Verilerin Korunması ve İşlenmesi Politikasında yer alan bazı tanımların açıklamalarına aşağıda yer verilmiştir.

Kişisel Verilerin İşlenmesi:   Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel İlgili Kişi:  Kişisel verisi işlenen gerçek kişi müşteriler, çalışanlar, çalışan adayları, tedarikçiler ve çalışanları, ortaklar, şirketle yapılmış sözleşme kapsamındaki diğer üçüncü şahıs gerçek kişiler.

Kişisel Veri:  Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Örneğin; adı-soyadı, TCKN, e-posta, adres, iş adresi, doğum tarihi, doğum yeri, kredi kartı numarası, ehliyet no, banka hesap numarası, pasaport no, ruhsat no, diploma vb.

Özel Nitelikli Kişisel Veri:  Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik  ve genetik veriler özel nitelikli verilerdir.

Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde işlendiği ve saklandığı veri kayıt sistemini  kuran ve  yöneten kişi veri sorumlusudur.

Veri İşleyen : Veri sorumlusunun verdiği yetki kapsamında  onun adına veri işleyen gerçek veya tüzel kişi.

Müşteri: Şirketle sözleşmeye dayalı iş ilişkisi olan, sözleşmeye dayanmasa bile şirket ürün ve hizmetlerini kullanan kişiler.

Potansiyel Müşteri:  Şirkette sunulan ürün ve hizmetleri kullanma talep ve ilgisini gösteren kişi, kişiler

Açık Rıza:   Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez,  geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Anonim hale getirme : Kişisel verilerin başka verilerle eşleştirilse  dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.

KVKK :  7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu

BÖLÜM  3- KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel veriler; şirketimizin  meşru menfaati gereği sizden bizzat talep ettiği bilgiler, faaliyet konularımıza uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çağrı merkezi, internet sitesi, sözlü, yazılı ve benzeri kanallardan elde edilen bilgiler, şirketimize hizmet vermekte olan İK kuruluşları, ve hukuki yükümlülüklerimizi yerine getirmek için bize iletilen hukuki belge ve tebligatlar vasıtasıyla topluyoruz.

Şirketimiz’ de,  kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kurallarına uygun hareket edilmektedir. 

Kanunun 5. Maddesinin 1. Fıkrasında yer alan  ‘Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez’  düzenlemesi çerçevesinde şirketimiz kanunun tanıdığı istisnai haller dışında, açık rızanın bulunması halinde kişisel veri işlemektedir.

Kanun 5. Madde kapsamında, aşağıda belirtilen durumlarda şirketimiz  kişisel veri sahiplerinin verilerini açık rıza almaksızın işleyebilmektedir

Kişisel verileriniz, Kişisel Verilerin Korunması Kanunu Mad. 5/2-c : “ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait ait kişisel verilerin işlenmesinin gerekli olması”,Kişisel Verilerin Korunması Kanunu Mad. 5/2-ç: “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”,Kişisel Verilerin Korunması Kanunu Mad. 5/2-e: “ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”ve Sosyal Güvenlik Kurumuna ve 4857 Sayılı İş Kanuna karşı yükümlülüklerin yerine getirilmesi hukuki sebeplerine dayanarak işlenmektedir.

Şirketimiz Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda;  hukuka ve dürüstlük kuralına uygunluk , doğru ve güncel tutma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyarak  öngörülen usul ve esaslara bağlı olarak  kişisel veri işleme faaliyetinde bulunmaktadır.

Şirketimiz de,  kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kurallarına uygun hareket edilmektedir. 

Bu kapsamda kişisel verilerin işlenmesinde orantılılık gereklilikleri dikkate alınmakta, kişisel veriler amacın gerektirdiği durumlar dışında kullanılmamaktadır.

Kuyumcukent İşletme A.Ş. olarak, Kanunun 6. maddesinde yer alan Özel Nitelikli Kişisel verilerin işlenmesine ilişkin ve 8. ve 9. maddeler de yer alan kişisel verilerin aktarılması konusunda öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan esaslara uygun davranmaktadır.

Şirketimiz için  KVK Kanunu ile “Özel Nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunması özel öneme sahiptir. KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir.

Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Bu verilerin işlenebilmesi için Kanun 6. Madde de yer verilen istisnalar dışında İlgili Kişinin açık rızasının alınması zorunludur.

Kişisel İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan işlenebilmektedir.

BÖLÜM 4- İŞLENEN KİŞİSEL VERİLER VE KİŞİSEL  VERİLERİN İŞLENME AMAÇLARI

Şirketimiz  tarafından özel nitelikli kişisel verileriniz ve genel nitelikli kişisel verileriniz,  tarafından aşağıda yer alanlar dâhil ve bunlarla sınırlı olmaksızın bu maddede belirtilen veri kategorileri ile bağlantılı ve ölçülü şekilde işlenebilmektedir:

Kimlik Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b

İletişim Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.

Lokasyon Bulunduğu yerin konum bilgileri v.b

Özlük Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.

Hukuki İşlem Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b

Müşteri İşlem Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b

Fiziksel Mekan Güvenliği ; Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b

Finans Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.

Mesleki Deneyim Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertikalar, Transkript bilgileri v.b.

Görsel Ve İşitsel Kayıtlar Görsel ve İşitsel kayıtlar v.b

Sağlık Bilgileri Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.

Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.

https://www.kuyumcukent.com.tr/ adresine gönderdiğiniz veya girdiğiniz kişisel verileriniz.

Şirketimiz , tarafından elde edilen her türlü kişisel veriniz (Özel nitelikli kişisel veriler de dahil fakat bunlarla sınırlı olmamak kaydıyla) aşağıdaki amaçlar ile işlenebilecektir:

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Erişim Yetkilerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi

Fiziksel Mekan Güvenliğinin Temini

Görevlendirme Süreçlerinin Yürütülmesi

Hukuk İşlerinin Takibi Ve Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İnsan Kaynakları Süreçlerinin Planlanması

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Performans Değerlendirme Süreçlerinin Yürütülmesi

Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi amaçları ile;

İlgili mevzuat uyarınca elde edilen ve işlenen kişisel verileriniz şirketimize  ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza altında tutulabilecektir.

BÖLÜM 5- KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verileriniz, Yasal  mevzuat  ve yukarıda 3.bölümde yer verilen veri işleme amaçları kapsamında   Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, ve her türlü yargı makamı, merkezi ve sair üçüncü kişiler, yetki vermiş olduğunuz temsilcileriniz, avukatlar, vergi ve finans danışmanları da dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar, resmi merciler dâhil sağlık hizmetlerini yukarıda belirtilen amaçlarla geliştirmek veya yürütmek üzere işbirliği yaptığımız iş ortaklarımız ve diğer üçüncü kişiler ile paylaşılabilecektir veya bu kapsamda yurt dışına aktarılabilecektir. grup şirketlerine, sözleşmeye dayalı iş ilişkisinde olduğu danışman ve müşavirlerine, hizmet tedarikçilerine,  faaliyetin getirdiği yasal zorunluluklar kapsamında kamu kuruluşları ve mevzuatla tanımlanmış diğer kuruluşlara aktarabilmektedir

Kuyumcukent İşletme A.Ş. Kanunun 6. maddesinde yer alan Özel Nitelikli Kişisel verilerin işlenmesine ilişkin ve 8. ve 9. maddeler de yer alan kişisel verilerin aktarılması konusunda öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan esaslara uygun davranmaktadır.

Kanun 5. Madde kapsamında, aşağıda belirtilen durumlarda kişisel veri sahiplerinin verilerini açık rıza almaksızın aktarılmaktadır;

Kişisel verilerin şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

Kişisel verilerin işlenmesinin şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

Kişisel verilerin İlgili Kişi tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde şirketimiz tarafından işlenmesi,

Kişisel verilerin işlenmesinin şirketimizin veya İlgili Kişi veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,

Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması.

Özel nitelikteki verilerin aktarılabilmesi için Kanun 6. Madde de yer verilen ve aşağıda yer verilen istisnalar dışında İlgili Kişinin açık rızasının alınması zorunludur.

İlgili istisnalar Kişisel İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan aktarılabilmektedir.

BÖLÜM -6 KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Kuyumcukent İşletme A.Ş. olarak kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte,  kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını ve aktarma amacını açık ve kesin olarak belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Verilerin kimlere aktarılabileceği ve aktarma amaçları Aydınlatma metninde yer verilmektedir. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.

Kuyumcukent İşletme A.Ş. olarak kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır.

Bu prensipler Kanun 10. Madde kapsamında, KVKK Aydınlatma Metni ile veri işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Aydınlatma metni şirket internet sitesinde yer almakta iş ilişkisi ve sözleşme kurulmasından önce ilgili kişilere Aydınlatma Metni iletilerek açık bir şekilde bilgilendirilmektedir.

Bu kapsamda Şirket;   varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, ne şekilde saklanacağı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel İlgili Kişinin sahip olduğu hakları konusunda veri sahiplerine aydınlatma yapmaktadır.

Anayasa’nın 20. Maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur.  Bu doğrultuda KVK Kanunu’nun 11. Maddesinde İlgili Kişinin hakları arasında “bilgi talep etme” de sayılmıştır.

Şirketimiz  bu kapsamda, Anayasa’nın 20.Maddesine uygun olarak İlgili Kişiyi aydınlatmakta ve KVK Kanunu’nun 11. Maddelerine uygun olarak İlgili Kişinin bilgi talep etmesi durumunda gerekli bilgilendirmeleri  yapmaktadır.

BÖLÜM 7- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI:

Kişisel Verilerin Hukuka Aykırı Erişiminin Engellenmesi  ve Kişisel Verilerin Güvenli Ortamlarda Saklanması İçin Alınan İdari ve Teknik Tedbirler:

Şirketimiz , bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak alt yapıyı ve kontrolleri hayata geçirmiştir. Kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi önlemek için ve oluşabilecek diğer teknik tehditler karşısında  korunacak verinin niteliğine  göre,  aşağıda yer verilen  teknik ve idari tedbirleri uygulamaya koymuştur.

Teknik Tedbirler:

Güvenlik sistemi kişisel  verilerin  kişilere  ait  bilgi  sistemlerinde  bulunduğu  esnada  tüm  tehditlere  karşı korunmasıdır. 

Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır

Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirilmiştir.

Kullanılan log programları  Sistem yöneticilerinin sistemi güçlü bir şekilde izlemesine yardımcı olmaktadır.

Çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı şirket bilgi sistem birimi tarafından düzenli olarak kontrol  edilmektedir. 

Yetki düzeyi onayları genel müdür veya veri sorumlusu yöneticisi tarafından verilmektedir.

Kişisel veri kaynaklarına erişim için personel veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonların dan oluşan, akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler kullanılmaktadır.

Şirkette dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir.

Şirket Bilgisayar  sistemlerinde firewall,  antivirüs  yazılımları,  güvenlik  duvarları,    içerik kontrolcüler, merkezi yönetim yazılımları kullanılmaktadır

Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp trafikleri firewall mantığı esas alınarak antivirüs ağ geçidine yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler engellenmiş olur. Mail sunucuları üzerine kurulan antivirüs sistemiyle yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale getirilmiş olur.

Sunucu bilgisayarları üzerine kurulan virüs koruma yazılımları ve şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla şirketimizde kurumsal antivirüs çözümü sağlanmış olmaktadır.

Bu denetleme çalışmaları; bilinen açıklara karşı güvenlik taraması, uygulama tipine göre uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma kontrollerini kapsamaktadır.

İdari Tedbirler:

Şirketimizin  Veri Güvenliğine ilişkin hazırladığı politikaların temel amacı, yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında  açıklamalarda bulunmak, kişisel verileri şirket tarafından işlenen İlgili Kişi gerçek kişileri bilgilendirmek, uygulamada şeffaflığı ve veri güvenliğini ve Kanuna uyumu sağlamaktır.

 Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikeler dikkate alınarak,  bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek,  veri güvenliğini sağlamak için ilgili alanlarda, Bilgi Güvenliği, Saklama-Yedekleme, Silme- Anonimleştirme politikaları uygulamaya alınmıştır.

Uygulamalar üzerinde teknik kontrol sistemleri kurulmuştur. Veri sorumlusu olarak şirket kurum içi sistematik periyodik denetimleri Veri Sorumlusu Yöneticisi  kanalıyla yapmaktadır.  Denetimler gerek görüldüğünde bağımsız denetim şirketlerine yaptırılır.

Gizlilik taahhütnameleri; Veri sorumluları ile veri işleyen gerçek veya tüzel kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamazlar.  Bu yükümlülük görevden ayrılmalarından veya hizmet sözleşmelerinin sona ermesinden sonra da devam eder.

Kanunun 12. Maddesi ikinci fıkrası gereği Veri İşleyenler,  kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusu ile müştereken sorumludur.

Kişisel verilerin işlenme ve aktarılma amaçlarını ve veri kategorilerini açıklayan ve  veri güvenlik tebdirlerinin veri işleyen nezdinde denetlemeye tabi  olduğunu belirten bir yazı veri işleyene verilmektedir.

Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyen  diğer şahıs veya kurumlardan taahhütname alınması zorunlu kılınmıştır.

Çalışanlar,  danışmanlar, bilgi sistem destek şirketleri  ve diğer üçüncü  kişi veya şirketlerle  yapılan sözleşmelere de bu kapsamda gizlilik taahhütnameleri eklenmektedir.

 Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

Şirketimiz mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.

BÖLÜM 8–İŞLENEN KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Şirketimiz KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel İlgili Kişi gruplarının,  hangi kişisel verilerinin  işlediğini kategorik baz da belirlemekte kişisel İlgili Kişinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel İlgili Kişine bildirmektedir.

Şirketimiz  meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda,   KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere,  KVK Kanunun da belirtilen genel ilkelere ve KVK Kanunun da düzenlenen bütün yükümlülüklere uyularak;   Müşteri,  Ziyaretçi, Sözleşmeye Dayalı İşlerin Tarafı Olan Üçüncü Kişiler,  Çalışanlar, Çalışan adayı, Şirket Hissedarı, İşbirliği İçinde Olunan Kurumların Çalışanları, Ortakları  ve Yetkilileri ile sınırlı olarak kategori bazlı  işlenmektedir.

Kişisel Verilerin Silinmesi,  Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki 28 Ekim 2017 tarihli Yönetmelik‘te  ‘’Kişisel Veri Saklama ve İmha Politikasına İlişkin Esaslar’’ bölümünde; ‘’Kanunun 16.  maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan Veri Sorumluları, kişisel veri işleme envanterine uygun olarak ‘Kişisel Veri Saklama ve İmha Politikası’ hazırlamakla yükümlüdür’’ hükmü  yer almaktadır.

Kanun'un 4. maddesi uyarınca kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli ve işlenmesini gerektiren sebepler ortadan kalktığında kendiliğinden veya İlgili Kişi talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir

28 Ekim 2017 tarihinde yürürlüğe giren Yönetmelik de işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir.

Şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirketimizin uygulamaları ve t.........ri yaşamın teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. 

Bu kapsamda, Şirketimiz  öncelikle  kanunlar da ve ilgili mevzuat ta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte,  bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Kişisel verilerin işlenme amacı sona ermiş;  ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse,   kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanuni süreler göz önüne alınarak saklanabilmektedir.

Gelecekte kullanma ihtimali ile Şirketimiz tarafından kişisel veriler saklanmamaktadır. 

BÖLÜM 9-VERİLERİ SİLME YOKETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ

Kanunun 7. maddesinde, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir. Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir

Özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir.

Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,

Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,

Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

İlgili kişinin, Kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması;

Belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir

Kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır.  Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez şekilde silinmesi sağlanmaktadır

Kişisel verilerin silinmesi ve yok edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar Veri Sorumlusu Yöneticisi tarafından verilir.

Silme işlemine konu teşkil edecek kişisel veriler  belirlenir. Silme işlemleri önceden belirlenmiş personel vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir. Silme işlemi yapan personelin  silinen datayı geri getirme, tekrar kullanma erişim yetkileri kaldırılır.

Silinmesi gereken verilerin  silme, yok etme veya anonimleştirilmesinin,  kanun, yönetmelik  ve şirket politika ve prosedürlerine uygun olarak yapıldığının ve işlemlere ilişkin oluşturulan bilgi kaydı doğruluğunun kontrolü Bilgi Güvenlik Komitesi(KVKK Uyum Ekibi) tarafından yapılır.

BÖLÜM 10 – İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARINI KULLANMASI

Kuyumcukent İşletme A.Ş. KVK Kanunu’nun 11. maddesine uygun olarak İlgili Kişinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda İlgili Kişiye yol göstermektedir. Şirketimiz, ilgili kişi haklarının değerlendirilmesi ve ilgili kişilere gereken bilgilendirmenin yapılması için iç işleyişe ait  idari ve teknik düzenlemeleri uygulamaya koymuştur.

İlgili Kişi KVKK 11. Madde  gereğince aşağıdaki haklara sahiptir;

Kişisel verisinin  işlenip işlenmediğini öğrenme.

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.

KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili Kişinin Haklarını Kullanması;

İlgili Kişi  KVK Kanunu’nun 13.  maddesinin 1.  fıkrası gereğince yukarıda 11. madde açıklamasında belirtilen hakları kullanabilir

İlgili Kişi Kanun 11.madde kapsamındaki başvurularını, ıslak imzalı yazılı başvuru olarak  bizzat adresimize getirerek veya noter kanalıyla gönderebilir veya  (KEP)……… adresine, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından şirketimize bildirilen ve şirketimizin sisteminde kayıtlı bulunan elektronik posta güvenli elektronik imzalı olarak iletebilirler

İlgili Kişi adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.

İlgili Kişinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak İlgili Kişi tarafından  başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.

İlgili Kişi,  KVK Kanunu’nun 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün içinde KVK Kuruluna şikayette bulunabilir.

Şirketimizin  İlgili Kişinin Başvurusunu Reddetme Hakkı;

Şirketimiz aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

İlgili Kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

İlgili Kişinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,

Talep edilen bilginin kamuya açık bir bilgi olması.

Kişisel verilerin anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi resmi amaçlarla işlenmesi.

Kişisel verilerin millî savunma, millî güvenlik  ve kamu güvenliği,  ekonomik güvenlik alanlarında kamu düzeni sağlamaya yönelik kanunla yetki verilen kamu kuruluşları ve kurumları tarafından yürütülen güvenlik ve istihbari faaliyet kapsamında işlenmesi.

Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı tarafından işlenmesi.

Kişisel veri işlemenin  görevli ve yetkili kamu kurum ve kuruluşları tarafından  yürütülen soruşturma veya inceleme  için gerekli olması.

Şirketimiz başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir ve ilgili kişi başvurusunda yer alan hususlarla ilgili soru yöneltebilir.

BÖLÜM 11. POLİTİKANIN UYGULANMASI

Kuyumcukent İşletme A.Ş. tarafından düzenlenen bu Politika           tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Şirketimizin internet sitesinde Bu politika Genel Müdür imzası ile yürürlüğe girer.  Bu Politikanın gözden geçirme ve güncellenmesi Genel Müdür talimatı ile yetkilendirilen personel tarafından yerine getirilir. Yapılan güncellemeler Genel Müdür onayıyla yürürlüğe girer. Politika her yıl en az bir kez Veri Sorumlusu Yöneticisi tarafından gözden geçirilir.

 

                                                                                                                                                                                                                             Bilgilerinize sunulur.

KUYUMCUKENT İŞLETME A.Ş.

Yukarı Çık