KİŞİSEL VERİLERİN KORUNMASI GENEL POLİTİKASI
1. AMAÇ
BV SAVUNMA VE HAVACILIK TİC. LTD. ŞTİ. [“ŞİRKET”] tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına ilişkin idari ve teknik sistemler konusunda iş başvurusu yapan kişilerin, çalışanların, alt işveren çalışanlarının, şirket yöneticilerinin, ziyaretçilerin, tedarikçilerin ve müşterilerin kişisel verilerini korumak ve güvenliğini sağlamaktır.
2. KAPSAM
ŞİRKET’e iş başvurusu yapan adayları, çalışanları, alt işveren çalışanlarını, şirket yöneticilerini, ziyaretçileri, tedarikçileri ve müşterileri kapsar.
3. TANIMLAR
Kişisel Veri: Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Örneğin bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri, müşteri şikâyet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları, bordro, fatura, banka dekontları, kredi kartı ekstreleri, belgeler (nüfus cüzdanı fotokopileri, yazılar mektuplar, davet yazıları) gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler, kişisel veri olarak kabul edilmektedir.
Özel Nitelikli Kişisel Veri: İşlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Örneğin; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı (her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar), cinsel hayatı, ceza mahkûmiyeti (sabıkası) ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileridir.
Veri İşleyen: Veri sorumlusu adına verileri işleyen gerçek veya tüzel kişilerdir. Örneğin veri işleyen gerçek bir kişi olabileceği gibi veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle hizmet sunan çağrı merkezleri, pazar araştırma şirketleri, kuryeler de olabilir.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu kişiler, gerçek kişiler olabileceği gibi, örneğin kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir.
Açık rıza: İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin, kişisel verilerin sadece bir Hard Disk’de, CD’de, Server’ da depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.
Veri kayıt sistemi: Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Örneğin veri kayıt sisteminde kişisel verilerin; ad-soyad veya kimlik numarası üzerinden sınıflandırılması gibi. Otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmez.
4. SORUMLULUKLAR
Veri Sorumlusu:Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.
5. UYGULAMA
5.1. Veri Sorumlusu ve Veri İşleyen
Genel Olarak;
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerekse de hukuki sorumluluk bakımından, tüzel kişilerin sorumluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
Kişisel verilerin toplanması ve toplama amacı,
Toplanacak kişisel veri türleri,
Toplanan verilerin hangi amaçlarla kullanılacağı,
Hangi bireylerin kişisel verilerinin toplanacağı,
Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
Verilerin ne kadar süreyle saklanacağı,
Veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı.
Veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
Kişisel verilerin hangi yöntemle saklanacağı,
Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemi.
5.2 Kişisel Verilerin İşlenmesinde Genel İlkeler
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Buna göre;
Hukuka ve dürüstlük kurallarına uygunluk,
Doğruluk ve güncellik,
Belirli, açık ve meşru amaçlar için işlenmek,
İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
İlkelerine uygun olmalıdır.
5.2.1. Kişisel verilerin işlenme şartları;
Kişisel veriler ancak aşağıda sıralanan şartlardan en az birinin varlığı halinde işlenebilir:
- Veri sahibinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
5.2.2 Özel nitelikli kişisel verilerin işlenme şartları;
Özel nitelikli kişisel veriler aşağıdaki durumlarda işlenebilir. Veri sahibinin açık rızası bulunmaksızın özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmüş olması halinde işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmadan işlenebilir.
KVKK Metni’nin devamını kvkk metni butonuna tıklayarak okuyabilirsiniz.
KİŞİSEL VERİLERİN KORUNMASI GENEL POLİTİKASI
1. AMAÇ
BV SAVUNMA VE HAVACILIK TİC. LTD. ŞTİ. [“ŞİRKET”] tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına ilişkin idari ve teknik sistemler konusunda iş başvurusu yapan kişilerin, çalışanların, alt işveren çalışanlarının, şirket yöneticilerinin, ziyaretçilerin, tedarikçilerin ve müşterilerin kişisel verilerini korumak ve güvenliğini sağlamaktır.
2. KAPSAM
ŞİRKET’e iş başvurusu yapan adayları, çalışanları, alt işveren çalışanlarını, şirket yöneticilerini, ziyaretçileri, tedarikçileri ve müşterileri kapsar.
3. TANIMLAR
Kişisel Veri: Kimliği belirli ya da belirlenebilir nitelikteki gerçek bir kişiye ilişkin her türlü bilgidir. Örneğin bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri, telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, IP adresi, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri, müşteri şikâyet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları, bordro, fatura, banka dekontları, kredi kartı ekstreleri, belgeler (nüfus cüzdanı fotokopileri, yazılar mektuplar, davet yazıları) gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler, kişisel veri olarak kabul edilmektedir.
Özel Nitelikli Kişisel Veri: İşlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Örneğin; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı (her türlü tahlil sonucu, kişinin geçirdiği hastalıklar, kullandığı ilaçlar), cinsel hayatı, ceza mahkûmiyeti (sabıkası) ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verileridir.
Veri İşleyen: Veri sorumlusu adına verileri işleyen gerçek veya tüzel kişilerdir. Örneğin veri işleyen gerçek bir kişi olabileceği gibi veri sorumlusu adına faaliyet gösteren, dışarıdan hizmet alınması suretiyle hizmet sunan çağrı merkezleri, pazar araştırma şirketleri, kuryeler de olabilir.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Bu kişiler, gerçek kişiler olabileceği gibi, örneğin kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilir.
Açık rıza: İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır.
Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin, kişisel verilerin sadece bir Hard Disk’de, CD’de, Server’ da depolanması, anılan verilerle başkaca hiçbir işlem yapılmasa da bir veri işleme faaliyetidir.
Veri kayıt sistemi: Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Bu sistemler elektronik yahut fiziki ortamda oluşturulabilir. Örneğin veri kayıt sisteminde kişisel verilerin; ad-soyad veya kimlik numarası üzerinden sınıflandırılması gibi. Otomatik olmayan yollarla işlenen kişisel veriler bir veri kayıt sisteminin parçası değilse Kanun kapsamında değerlendirilmez.
4. SORUMLULUKLAR
Veri Sorumlusu:Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.
5. UYGULAMA
5.1. Veri Sorumlusu ve Veri İşleyen
Genel Olarak;
Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Tüzel kişiler, kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendileri “veri sorumlusu” olup, ilgili düzenlemelerde belirtilen hukuki sorumluluk tüzel kişinin şahsında doğacaktır. Bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmemiştir. Bu çerçevede gerek cezai gerekse de hukuki sorumluluk bakımından, tüzel kişilerin sorumluğuna ilişkin özel hukuk ve kamu hukukundaki genel hükümler uygulanır.
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler olarak tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
Veri işleyenin faaliyetleri veri işlemenin daha çok teknik kısımları ile sınırlıdır. Kişisel verilerin işlenmesine ilişkin kararların alınması yetkisi ise veri sorumlusuna aittir. Veri sorumlusu kişisel verilerin işlenme amacını ve yöntemini belirleyen kişidir. Yani işleme faaliyetinin “neden” ve “nasıl” yapılacağı sorularının cevabını verecek kişidir.
Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği dikkate alınmalıdır:
Kişisel verilerin toplanması ve toplama amacı,
Toplanacak kişisel veri türleri,
Toplanan verilerin hangi amaçlarla kullanılacağı,
Hangi bireylerin kişisel verilerinin toplanacağı,
Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
Verilerin ne kadar süreyle saklanacağı,
Veri sahiplerinin erişim hakkı ve diğer haklarının uygulanıp uygulanmayacağı.
Veri sorumlusu yapacağı kişisel veri işleme sözleşmesi ile, aşağıda örnek olarak belirtilen hususlarda karar verme yetkisini veri işleyene bırakabilir:
Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya diğer metotların kullanılacağı,
Kişisel verilerin hangi yöntemle saklanacağı,
Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemi.
5.2 Kişisel Verilerin İşlenmesinde Genel İlkeler
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Buna göre;
Hukuka ve dürüstlük kurallarına uygunluk,
Doğruluk ve güncellik,
Belirli, açık ve meşru amaçlar için işlenmek,
İşlendikleri amaçla bağlantılık, sınırlılık ve ölçülülük,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
İlkelerine uygun olmalıdır.
5.2.1. Kişisel verilerin işlenme şartları;
Kişisel veriler ancak aşağıda sıralanan şartlardan en az birinin varlığı halinde işlenebilir:
- Veri sahibinin açık rızasının varlığı,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
5.2.2 Özel nitelikli kişisel verilerin işlenme şartları;
Özel nitelikli kişisel veriler aşağıdaki durumlarda işlenebilir. Veri sahibinin açık rızası bulunmaksızın özel nitelikli kişisel verilerin işlenmesi kural olarak yasaktır. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmüş olması halinde işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmadan işlenebilir.
KVKK Metni’nin devamını kvkk metni butonuna tıklayarak okuyabilirsiniz.