Bul

Gizlilik Politikası

Gizlilik Politikası

TÜRK DEMİRDÖKÜM FABRİKALARI A.Ş.

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA İNTERNET SİTESİ AYDINLATMA METNİ

Türk DemirDöküm Fabrikaları A.Ş. (Bundan böyle “DemirDöküm” olarak anılacaktır), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, kişisel verilerinizin toplanma yöntemleri, işlenmesi, kullanılması, aktarılması, imha edilmesi ve haklarınız konularında sizleri işbu Aydınlatma Metni ile bilgilendirmektedir.

İlgili kişi, işbu metin ile kişisel verilerinin işlenmesine ilişkin olarak aydınlatılmış olduğunu ve kişisel verilerinin burada belirtilen şekilde kullanımına muvafakat ettiğini beyan eder.

Veri Sorumlusu

6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca DemirDöküm; kişisel verilerin işlenmesi aşamasında ve aşağıda açıklanacak olan hususlar doğrultusunda veri sorumlusudur.

Kapsam ve Hukuki Sebep

Kişisel veriler; ilgili kişinin açık rızasına istinaden veya Kanunlarda açıkça öngörülmesi, sözleşmenin kurulması veya ifası için gerekli olması, hukuki yükümlülüğün yerine getirilebilmesi için zorunlu olması veyahut meşru menfaatin gerektirmesi sebebiyle işbu Aydınlatma Metni ile belirtilen amaçlar ve kapsam dışında kullanılmamak kaydıyla gerekli tüm bilgi güvenliği tedbirleri de alınarak işlenebilecek; yasal saklama süresince veya işleme amacının gerekli kıldığı süre boyunca saklanacak ve işleme amacının gerekli kıldığı sürenin sonunda anonimleştirilerek şirketimiz tarafından kullanılmaya devam edilecek yahut Kanun ve ilgili mevzuata uygun olarak şirket prosedürleri gereği imha edilecektir.

DemirDöküm tarafından Kanun gereğince kişisel verilerin hukuka ve dürüstlük kuralına uygun olarak doğru ve gerektiğinde güncel olarak, belirli, açık ve meşru amaçlar doğrultusunda, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak, ilgili mevzuatta öngörülen süre kadar veya işlendikleri amaç için gerekli olan süre kadar işlenmesine özellikle dikkat edilmektedir ve bu amaçla gerekli denetimler yapılmaktadır. DemirDöküm tarafından, veri mahremiyeti konusunda azami hassasiyet gösterilmekte ve kişisel verilerin korunması amacıyla gerekli teknik, idari ve hukuki tüm tedbirler alınmaktadır.

Kişisel Verilerin İşlenmesindeki Amaç

Kişisel verileriniz, sözlü, yazılı ya da elektronik ortamda, Kanun’un izin verdiği çerçevede;

a. DemirDöküm tarafından ticari kararların verilmesi, uygulanması ve gerçekleştirilmesi konusunda gerekli adımların atılması,

b. Tesisimizin, internet sitemizin ve personel güvenliğinin sağlanması,

c. Sözleşme yönetimi, hukuki işlemlerin tesisi ve hukuki süreçlerin takibi,

d. Şirketimiz ticari sırlarının korunması ve bilgi güvenliğinin sağlanabilmesi amacıyla bilgi güvenliği süreçlerinin planlanması, bunların denetimi ve icrası,

e. Finans ve/veya muhasebe işlerinin takibi,

f. İnsan Kaynakları faaliyetlerimizin mevzuata uygun yürütülebilmesi,

g. Isıtma sistemleri teknolojileri altyapısının oluşturulması ve yönetilmesi,

h. Ticari faaliyetlerimizin verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi, bu faaliyetlerin planlanması ve/veya icrası,

i. Ticari ve iş stratejilerinin belirlenmesi ve uygulanması,

j. Fikri ve Sınai Mülkiyet haklarının tesisi ve korunması,

k. Personel verimliliğini artırmak ve memnuniyetini ölçülmesi/sürdürülmesi,

l. DemirDöküm’ün sözleşmelerden ve mevzuattan doğan yükümlülüklerini tam ve gereği gibi ifa edebilmesi,

m. Tarafımıza ileteceğiniz öneri, istek, şikayet ve arıza bildirimlerinin değerlendirilebilmesi, cevaplandırılabilmesi ve bildirimler uyarınca iyileştirme çalışmalarının yapılabilmesi

amaçları ile işlenecektir.

Kişisel Verilerin Üçüncü Kişilerle Paylaşılması

Şirketimiz tarafından; kişisel veriler yalnızca, veri aktarımı için Kanun’da yazılı hukuka uygunluk hallerine dayanarak, veri güvenliği ve gizlilik esasları çerçevesinde yeterli tedbirler alınmak kaydıyla Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde ilgili diğer kişi veya kurumlara aktarılabilecektir.

İlgili Kişi (Veri Sahibi) Olarak Haklarınız

Kanun’un 28. maddesinde düzenlenen istisnalar saklı kalmak kaydıyla, Kanun’un 11. maddesi çerçevesinde kişisel veri sahipleri olarak;

a) Kişisel verilerinizin işlenip işlenmediğini öğrenme,

b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

e) Kişisel verileriniz eksik veya yanlış işlenmiş ise düzeltilmesini isteme,

f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,

g) Kişisel verilerinizin aktarıldığı üçüncü kişilere yukarıda sayılan (e) ve (f) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,

h) Kişisel verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

i) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

haklarına sahipsiniz.

DemirDöküm ile paylaştığınız bilgilerin/verilerin doğru olması ve tarafımıza doğru şekilde aktarılmış olması önemli olup bu durum haklarınızı kullanabilmeniz açısından önem arz etmektedir. Kişisel verilerinizde bir değişiklik olması halinde tarafımıza bildirimde bulunmanız gerekmektedir. Yanlış ya da hatalı bilgi verilmesinden doğacak sorumluluk, bilgiyi/veriyi DemirDöküm’e ileten tarafa aittir.

Kişisel verilerin korunması kapsamında DemirDöküm’e iletilecek olan talepler mutlaka işbu Aydınlatma Metni ekinde yayımlanan Başvuru Formu (40 kB) vasıtasıyla iletilmelidir. Bahsi geçen form ile Atatürk Mah. Meriç Cad. No: ¼ 34758 Ataşehir İstanbul adresine posta veya şirketimiz bünyesinde kayıtlı e-mailiniz vasıtasıyla info@demirdokum.com.tr uzantılı e-posta adresine elektronik posta yolu ile DemirDöküm’e başvuruda bulunma imkânınız bulunmaktadır.

Başvuruyu müteakip DemirDöküm; 30 günlük yasal süre içerisinde, başvuruyu ücretsiz şekilde sonuçlandıracaktır. Taleplerinizin yerine getirilmesi için ayrıca maliyet hesaplanmasını gerektirir hallerde DemirDöküm’ün 10 sayfanın üzerindeki yazılı cevaplarda her sayfa için 1 Türk Lirası, CD, flash bellek, gibi kayıt ortamlarında cevap verilmesi halinde söz konusu kayıt ortamının maliyeti tutarında ücreti tarafınızdan talep etme hakkı saklıdır.

Ayrıca DemirDöküm’ün; Kanunda meydana gelebilecek değişiklikler ve Kişisel Verileri Koruma Kurulu tarafından belirlenebilecek yeni yöntem veya yönetmelikler sebebiyle, bu aydınlatma bildiriminde değişiklik yapma hakkı saklıdır.

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. HEDEF VE KAPSAM

Türk DemirDöküm Fabrikaları A.Ş. (Bundan böyle "Veri Sorumlusu" olarak anılacaktır), ticari varlık ve başarılarını desteklediği etik değerleri gereği hukuki düzenlemelere riayet edilmesi konusunda yüksek hassasiyet sahibi olup, kişisel verilerin korunmasına ilişkin mevzuata uyum çerçevesinde gerekli her türlü yapılanmayı tesis etmektedir.

Kişisel Veri Saklama ve İmha Politikası vasıtasıyla, Veri Sorumlusu tarafından işlenen kişisel verileri şirket bünyesinde bulundurma ve imha etme süreçlerinde benimsenen ilke ve esaslar düzenlenmektedir.

Veri Sorumlusu tarafından hukuka uygun şekilde işlenen kişisel verilerin, işlenmesini gerektiren sebeplerin ortadan kalkması ya da veri sahibinin imhaya ilişkin talepte bulunması üzerine işbu Politika hükümleri uygulanacaktır.

2. DAYANAK

Kişisel Veri İmha Politikası; KVK Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği yayımlanmış olup; Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan yayın ve rehberlere sirayet ederek hazırlanmıştır.

3. VERİ SORUMLUSU

Tüzel kişiliği altında işlenen kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri işleme faaliyetinden sorumlu olan Veri Sorumlusu; KVK Kanunu gereği veri sorumlusudur.

İşbu politika gereği; Veri Sorumlusu bünyesinde işlenen kişisel verilerin imha süreçlerinde Veri Güvenliği Kurulu yetkilidir.

4. TANIMLAR

Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:

Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikteki Kişisel VeriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Veri SahibiKişisel verisi işlenen belirli ya da belirlenebilir gerçek kişi (İlgili kişi)
Kişisel Verilerin İmhasıKişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kişisel Verilerin İşlenmesiKişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri
Sorumlusu
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzelkişi
Periyodik İmhaKişisel veri işleme ve saklama süresi dolduğunda Veri Sorumlusu tarafından, tekrar eden aralıklarla ve Resen gerçekleştirilecek olan imha işlemi
KVK Kanunu (Kanun)7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan,
24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
Veri Güvenliği KuruluVeri Sorumlusu tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul
KVK Kurumu
(Kurum)
Kişisel Verileri Koruma Kurumu
Veri İhlaliKişisel verilerin korunması hukukunda; işlenen kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi

5. KİŞİSEL VERİLERİN SAKLANMASI

Veri Sorumlusu nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Veri Sorumlusu; kişisel verilerin, güvenli şekilde saklanması ve hukuka aykırı müdahalelere maruz kalmaması adına gerekli idari ve teknik tedbirleri alır. Veri güvenliğine ilişkin alınan tedbirler ve veri saklama gerekçeleri hususlarında Kişisel Verilerin Korunması ve İşlenmesi Politikası’na riayet edilir.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları farklı nitelik ya da Veri Sorumlusu’nun hukuki yükümlülükleri nedeniyle aşağıda gösterilen ortamlardan farklı bir ortamda tutulabilir.

Fiziki OrtamlarKağıt ve benzeri fiziki yollarla saklanan kişisel veriler
Elektronik OrtamlarVeri Sorumlusu bünyesinde yer alan ve yalnızca Veri Sorumlusu’nun erişim yetkisini haiz olduğu sunucu ve harici disklerde saklanan kişisel veriler
Bulut OrtamlarKriprogratif yöntemler kullanılarak şifrelenmiş internet tabanlı sistemlerden yararlanılarak saklanan kişisel veriler

6. KİŞİSEL VERİLERİN İMHA EDİLMESİ

Kişisel verilerin imha edilmesi; işleme amacını yitiren ya da veri sahibinin talepte bulunduğu kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerini ifade eder. Kişisel verinin varlığı sözleşmesel, ticari, hukuki, idari işlemler gereğince doğması muhtemele hak taleplerine ilişkin ise söz konusu işleme ilişkin zamanaşımı süresince veriler muhafaza edilir.

Veri Sorumlusu bünyesinde işlenen kişisel veriler;

İlgili kişinin talebi halinde ya da

KVK Kanunu’nun 5’nci ve 6’ncı maddelerinde ve Veri Sorumlusu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda sayılan veri işleme nedenlerinin ortadan kalkması halinde resen işbu Politika uyarınca silinir, yok edilir veya anonim hale getirilir.

Veri Güvenliği Kurulu; Veri Sorumlusu tarafından işlenmekte olan tüm kişisel veriler için 1 yıllık zaman aralıkları ile kontroller yaparak; burada yazıldığı şekilde gerekli hallerde periyodik imha işlemi gerçekleştirir.

7. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen verilere hiç kimse yeniden erişemez.

Bu konuda talep ve şirket politikası arasında bir çelişki doğması halinde çelişkinin giderilmesi amacı ile Kişisel Verileri Korunma Kurumu’na yazılı başvuru yapılır ve ilke kararı doğrultusunda işlem yapılır.

7.1. SİLME TEKNİKLERİ

7.1.1. KARARTMA

Kağıt ortamında bulunan ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilerek, aksi halde mürekkep kullanılarak kullanıcılar tarafından görünmez kılınması tekniğidir.

7.1.2. DİJİTAL ORTAMDAN GÜVENLİ ŞEKİLDE SİLME

Merkezi sunucularda ve bulutta yer alan kişisel veriler, ilişkisel veritabanı kullanıldığı için direkt silme işlemi teknik olarak mümkün değildir. Bu nedenle tekrar erişilememesi için anonimleştirme işlemi uygulanır.

8. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, silinmesinden farklı olarak imha işlemi sonrasında veri sorumlusunun da söz konusu verilere erişememesi anlamına gelir.

8.1. YOK ETME TEKNİKLERİ

8.1.1. DE-MANYETİZE

Manyetik medya, de-manyetize etme özellikli bir cihazdan geçirilerek verilerin okunamaz biçimde bozulur. De-manyetize özellikli cihaz ihtiyaç halinde Veri Sorumlusu tarafından temin edilir.

8.1.2. FİZİKSEL YOK ETME

Optik medya ve manyetik medya eritilerek, yakılarak veya toz haline getirilerek fiziksel olarak yok edilir.

8.1.3. ÜZERİNE YAZMA

Manyetik medya yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilir. Gerek halinde şirket tarafından bu amaçla yazılım temin edilir.

8.1.4. DİJİTAL ORTAMDAN GÜVENLİ ŞEKİLDE YOK ETME

İlişkisel veritabanında olmayan kişisel veriler uygulama katmanında yer alan Yok Etme komutu ile bir daha geri döndürülemeyecek şekilde silinerek imha edilir. İlişkisel veritabanında yer alan kişisel verilerin silinmesi teknik olarak mümkün olmadığı için yeniden erişilip gerçek kişiyle ilişkilendirilmemesi için anonimleştirme yapılır.

9. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi; kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir. Veri Sorumlusu; kişisel verilerin anonim hale getirilmesi ile alakalı her türlü güvenlik önlemini alır.

9.1. ANONİM HALE GETİRME TEKNİKLERİ

Kişisel verilerin anonim hale getirilmesinde; gruplama, maskeleme, türetme, genelleştirme, rastgele hale getirme gibi teknikler bulunmaktadır. Veri Sorumlusu; anonimleştirme yöntemini seçerken, kişisel verinin niteliği ve büyüklüğü, kişisel verinin fiziki ortamlarda bulunma yapısı ve çeşitliliği, veriden sağlanmak istenen fayda / işleme amacı, verinin işlenme sıklığı, kişisel verinin aktarılacağı 3. şahısların güvenilirliği, anonimleştirme için gereken çabanın anlamlı olması, kişisel verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, verinin dağıtıklık/merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü ve anonimliği bozacak bir saldırı ihtimallerini dikkate alır.

Veri Sorumlusu tarafından işlenen kişisel veri kategorilerinin saklama sebep ve süreleri aşağıdaki tabloda belirtilmiştir. Saklama süresi dolan her veri, takip eden ilk periyodik imha süresinde imha edilir.

Veri KategorisiSaklama SüresiSaklama Sebebi
Özlük Verileri5510 Sayılı Kanuna göre belge saklama süresi, belgenin ilgili olduğu yılı takip eden yılbaşından başlamak üzere 10 yıldır.Çalışanlar için iş akdi ve mevzuattan doğan yükümlülüklerin yerine getirilmesi
Sağlık Bilgileriİş Sağlığı ve Güvenliği hükümlerine göre, çalışanların sağlık dosyaları 15 yıl süreyle saklanırİş sağlığı ve güvenliği yükümlülüklerinin sağlanması
Mesleki DeneyimÇalışan adaylarının özgeçmiş bilgileri 3 ay süreyle saklanır.Çalışan adaylarının başvuru süreçlerinin yürütülmesi
Kimlik ve İletişim VerileriMüşteri ve müşteri adayına ilişkin alınan iletişim bilgileri 10 yıl süreyle saklanır.İletişim faaliyetlerinin yürütülmesi
Hukuki İşlemİşlem tarihinden itibaren 10 yıl süreyle saklanır.Yetkili yargı / idari kurum ve merciler tarafından iletilen taleplerin cevaplandırılması
Müşteri İşlemTBK. İlgili hükümler doğrultusunda 10 yıl süreyle saklanır.Mal / hizmet satın alım ve satış süreçlerinin yürütülmesi ve müşteri memnuniyetinin sağlanması
Finans ve Muhasebe VerileriTTK. md. 82’ye göre 10 yıl süreyle saklanır.Finans ve muhasebe işlerinin yürütülmesi
Pazarlama VerileriElde edilmesinden İtibaren 10 yıl süreyle saklanır.Pazarlama faaliyet ve çalışmalarının yürütülmesi
Ceza Mahkumiyeti ve Güvenlik Tedbirleriİş sağlığı ve güvenliği hükümlerine göre 15 yıl süreyle saklanır.İş Sağlığı / Güvenliği ve Hukuk işlerinin takibinin yürütülmesi
Fiziksel Mekan GüvenliğiGüvenlik kamerası kayıtları 2 aylık süre boyunca saklanır.Fiziksel mekan güvenliğinin temini
İşlem Güvenliği1 yıl süreyle saklanır.Bilgi güvenliği süreçlerinin yürütülmesi

10. VERİ SAHİBİ İMHA TALEPLERİ

Veri sahibi tarafından imha talebinin Veri Sorumlusu’na iletilmesi halinde; durum 24 saat içerisinde Veri Güvenliği Kurulu’na bildirilir. Talebin cevaplandırılması süreçlerinde Veri Sorumlusu Veri Sahibi İlişkileri Kılavuzu’na riayet edilir.

Veri Sorumlusu’na iletilen veri sahibi başvurusunun bir veri ihlali ihtimaline yönelik bulgular barındırması halinde Veri Sorumlusu Veri İhlali Prosedürü uygulamaya konulur. İhlal ihtimali derhal ve en geç 24 saat içerisinde Veri Güvenliği Kurulu’na bildirilir.

11. İHLAL ve YAPTIRIMLAR

Veri sorumlusu tarafından yayınlanmış olan kişisel verilere ilişkin politika ve prosedürlerin çalışanlar tarafından ihlal edilmesi halinde; İş Sözleşmesi ve 4857 sayılı İş Kanunu gereğince çalışanın savunması alınır ve fiile uygun disiplin tedbiri tesis edilir. Fiilin aynı zamanda 5237 sayılı Türk Ceza Kanunu veya sair kanunlarca suç teşkil etmesi halinde gerekli adli mercilere bildirim yapılır.

12. REVİZYON

İşbu Politika, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda yine Veri Güvenliği Kurulu yetkilidir.

Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politikada yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Veri Sorumlusu, idari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikasına değişiklik yapma hakkını saklı tutar. İşbu prosedür veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek prosedüre eklenecek, gerekli duyurular yapıldıktan sonra prosedürün ayrılmaz bir parçası olarak kabul edilecektir.

KİŞİSEL VERİ İHLALİ PROSEDÜRÜ

1. HEDEF VE KAPSAM

Veri mahremiyeti mevzuatına uyum konusunda azami hassasiyeti gösteren Türk DemirDÖküm Fabrikaları A.Ş. (Bundan böyle “Veri Sorumlusu” olarak anılacaktır)bu kapsamda risk temelli bir yaklaşım benimsemektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVK Kanunu” olarak anılacaktır) özel hüküm içeren sair mevzuata uygun olarak veri sorumlusu sıfatıyla muhafaza edilen kişisel verilere ilişkin politika ve prosedürler oluşturarak yayımlanmış olmakla birlikte, anılan politikaların veya kişisel verilere ilişkin süreçlerin ihlal edilmesi halinde alınması gereken tedbir, ilk işlemler, yazışmalar ve işletilmesi gereken süreçlerin planlanması amacıyla Veri Sorumlusu Kişisel Veri İhlali Prosedürü tanzim edilmiştir.

İşbu prosedür ile; veri koruma düzenlemeleri altında Veri Sorumlusu bünyesinde işlenen kişisel ve özel nitelikteki kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi ihtimaline karşın alınacak aksiyon planı detaylandırılmıştır.

2. DAYANAK

Veri Sorumlusu Veri İhlali Prosedürü; KVK Kanunu ve Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin 24.01.2019 Tarih ve 2019/10 Sayılı Kararına İlişkin Duyuru gereği yayımlanmış olup; Veri Sorumlusu KVK Politikası ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan yayın ve rehberlere riayet ederek hazırlanmıştır.

Veri sorumlusunun en hassas yükümlülüklerinden biri bünyesinde işlenen kişisel verilerin güvenliğini sağlamasıdır. Bu amaçla Veri Sorumlusu, KVK Kanunu’nun 12. maddesi gereği;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır.

3. VERİ SORUMLUSU

Tüzel kişiliği altında işlenen kişisel verilerin işleme amaç ve vasıtalarını belirleyen ve veri işleme faaliyetinden sorumlu olan Veri Sorumlusu; KVK Kanunu gereği veri sorumlusudur.

4. TANIMLAR

Veri Sorumlusu Veri İhlali Prosedürü ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:

Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikteki Kişisel VeriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Veri SahibiKişisel verisi işlenen belirli ya da belirlenebilir gerçek kişi (İlgili kişi)
Veri İhlaliKişisel verilerin korunması hukukunda; işlenen kişisel verilerin kanuni olmayan yollarla üçüncü şahısların eline geçmesi
Veri SorumlusuKişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Kişisel Verilerin İşlenmesiKişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri Güvenliği KuruluVeri Sorumlusu tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul
KVK KurumuKişisel Verileri Koruma Kurumu

5. VERİ İHLALİ / VERİ İHLALİ RİSKİ

KVK Kanunu gereğince kişisel veri veya özel nitelikli kişisel veri olarak tanımlanmış olan verilerin veri sahibinden açık rıza alınmaksızın elde edilmesi, işlenmesi, yurtiçi veya yurtdışında bulunan üçüncü kişiler ile paylaşılması veya açık rıza alınmış olmasına rağmen, kişisel verilerin korunması hakkında yayınlanmış politikaların ihlal edilerek üçüncü kişilerin eline geçmesi, verilerin fiziki veya elektronik alanlara hukuka aykırı olarak müdahale edilerek üçüncü kişilerin uhdesine geçmesi, fiziki ve elektronik ortamlarda yeterli veri güvenliği tedbirlerinin alınmaması, veri ihlali veya veri ihlali riski olarak nitelendirilecektir.

6. MÜDAHALE PLANI

Veri ihlali tespiti halinde durum; ilgili veri sahiplerine ve Kişisel Verileri Koruma Kurulu’na en kısa süre içinde ve en geç72 saat içinde bildirilir. 72 saatlik bildirim süresine uyulması amacıyla aşağıda yer alan süreçlerin işletilmesi esastır.

Veri ihlalinin tespiti halinde ilgili personel tarafından gecikmeksizin en geç 60 dakika içerisinde Veri Güvenliği Kurulu yetkililerine bu kişilere ulaşılamaması halinde ise Veri Sorumlusu yetkililerine durum hakkında sözlü bildirimde bulunulur. İhlalin duyumu üzerine Veri Güvenliği Kurulu’nun en geç 24 saat içerisinde toplanarak aşağıda yer alan süreçleri işleterek bir veri ihlal rapor hazırlaması gerekmektedir.

6.1. VERİ İHLALİ SEBEBİNİN TESPİTİ

  • Kişisel verilerin yanlış alıcılara gönderilmesi
  • Belge/cihaz hırsızlığı veya kaybolması
  • Verilerin güvensiz ortamlarda depolanması
  • Zararlı yazılımlar
  • Sosyal mühendislik
  • Sabotaj
  • Kaza/ İhmal
  • Diğer

6.2. İHLALDEN ETKİLENEN VERİ SAHİPLERİ

İhlalden etkilenen veri sahipleri; en kısa süre içinde ve en geç 72 saat içerisinde söz konusu ihlal hakkında bilgilendirilir.

İhlal sonrası veri sahiplerinin kişisel verileri ile ilgili talep ve başvuruları derhal işleme alınarak Veri Sorumlusu Veri Sahibi İlişkileri Kılavuzu (link) gereği değerlendirilir.

6.3. KİŞİSEL VERİ KATEGORİLERİ

  • Kimlik
  • İletişim
  • Lokasyon
  • Özlük Hukuki
  • İşlem Müşteri
  • İşlem
  • Fiziksel Mekan Güvenliği
  • İşlem Güvenliği
  • Risk Yönetimi
  • Finans
  • Mesleki Deneyim
  • Pazarlama
  • Görsel ve İşitsel Kayıtlar

6.4. ÖZEL NİTELİKLİ KİŞİSEL VERİ KATEGORİLERİ

  • Irk ve Etnik Köken
  • Siyasi Düşünce
  • Felsefi İnanç
  • Din, Mezhep ve Diğer İnançlar
  • Kılık ve Kıyafet
  • Dernek Üyeliği
  • Vakıf Üyeliği
  • Sendika Üyeliği
  • Sağlık Bilgileri
  • Cinsel Hayat
  • Ceza Mahkumiyeti ve Güvenlik Tedbirleri
  • Biyometrik Veri
  • Genetik Veri

6.5. İHLALDEN ETKİLENEN KİŞİ SAYISI

  • Tahmini Kişi Sayısı :................................................
  • Tahmini Kayıt Sayısı :................................................

6.6. İHLALDEN ETKİLENEN KİŞİ GRUPLARI

  • Çalışanlar
  • Kullanıcılar
  • Aboneler/Üyeler M
  • Müşteriler ve potansiyel Müşteriler
  • Diğer

6.7. İHLALİN KİŞİLER ÜZERİNDEKİ ETKİSİ

  • Kişisel veriler üzerinde kontrol kaybı K
  • Kimlik hırsızlığı
  • Ayrımcılık
  • Hakların kısıtlanması
  • Dolandırıcılık
  • Finansal kayıp
  • İtibar kaybı
  • Kişisel verilerin güvenliği kaybı
  • Diğer

6.8. İHLAL NEDENİYLE DOĞMASI MUHTELİF RİSKLER

6.9. İHLALİN ORGANİZASYONA ETKİSİ

  • Bilinmiyor
  • Düşük Herhangi bir etkinlik kaybı söz konusu değil.
  • Orta Bazı kullanıcılarınıza önemli bir hizmeti sunma yetinizi kaybettik.
  • Yüksek Tüm kullanıcılarınıza her türlü önemli hizmeti sunma yetinizi kaybettik.

6.10. İYİLEŞME ZAMANI

  • Normal
  • Destekli
  • Uzatılmış
  • Geri Dönülmez
  • Tamamlanmış

6.11. BİLGİ SİSTEMİNİN SİBER SALDIRIDAN ETKİLENMESİ

  • Evet
  • Hayır

Cevabın “Evet” olması halinde açıklaması, iyileşme zamanı ve organizasyona etkisi hakkında açıklama

6.12. VERİ İHLALİ RAPORLAMASI

Veri ihlaline ilişkin raporun tamamlanmasını müteakip olarak söz konusu rapor,Veri Güvenliği Kurulu tarafından Kişisel Verileri Koruma Kurulu Başkanlığı’na elektronik veya fiziki olarak gönderilir ve süreç takibi yapılır. Raporun Kurul ile paylaşılmasına ilişkin süre, veri ihlalinin tespitini takiben 72 saati aşmaz.

7. İHLAL ve YAPTIRIMLAR

Veri sorumlusu tarafından yayınlanmış olan kişisel verilere ilişkin politika ve prosedürlerin çalışanlar tarafından ihlal edilmesi halinde; İş Sözleşmesi ve 4857 sayılı İş Kanunu gereğince çalışanın savunması alınır ve fiile uygun disiplin tedbiri tesis edilir. Fiilin aynı zamanda 5237 sayılı Türk Ceza Kanunu veya sair kanunlarca suç teşkil etmesi halinde gerekli adli mercilere bildirim yapılır.

8. REVİZYON

İşbu Prosedür, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Prosedür’ün yürürlükten kaldırılması hususu hariç olmak üzere Prosedür içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda yine Veri Güvenliği Kurulu yetkilidir.

Veri Sorumlusu Kişisel Veri İhlali Prosedürü her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Prosedür’de yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Veri Sorumlusu, idari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak Veri Sorumlusu Kişisel Veri İhlali Prosedürü’nde değişiklik yapma hakkını saklı tutar. İşbu prosedür veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek prosedüre eklenecek,gerekli duyurular yapıldıktan sonra prosedürün ayrılmaz bir parçası olarak kabul edilecektir.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. HEDEF VE KAPSAM

Türk DemirDöküm Fabrikaları A.Ş.(Bundan böyle “Veri Sorumlusu” olarak anılacaktır), ticari varlık ve başarılarını desteklediği etik değerleri gereği hukuki düzenlemelere riayet edilmesi konusunda yüksek hassasiyet sahibi olup, kişisel verilerin korunmasına ilişkin mevzuata uyum çerçevesinde gerekli her türlü yapılanmayı tesis etmektedir.

Kişisel Verilerin İşlenmesi ve Korunması Politikası (Bundan böyle “KVK Politikası veya Politika” olarak anılacaktır) ile Veri Sorumlusuyla istihdam ilişkisi içerisinde bulunan çalışanlar dışında kalan veri sahiplerine ilişkin kişisel verilerin işlenmesinde benimsenen ilke ve esaslar düzenlenmekte ve bu kapsamda Veri Sorumlusu tarafından yürütülen kişisel veri işleme faaliyetlerinde veri sahiplerinin hukuki güvenlikleri temin edilmekte ve şeffaflık sağlanmaktadır. (Çalışanların veri sahibi bulunduğu veri işleme faaliyetleri, “Çalışanların Kişisel Verilerinin Korunması ve İşlenmesi Politikası” çerçevesinde düzenlenmektedir.)

KVK Politikası vasıtasıyla, Veri Sorumlusu tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanununda (Bundan böyle “KVK Kanunu” olarak anılacaktır) yer alan düzenlemelere uyum kapsamında temel prensipler ve Veri Sorumlusu tarafından yerine getirilecek esaslar belirlenmektedir.

İşbu KVK Politikası, ilgili mevzuat ile paralel bir içeriği haiz olmakla birlikte, Politika ile yürürlükte bulunan yasal mevzuatın çelişmesi durumunda mevzuat hükümleri tatbik edilecektir.

2. VERİ SORUMLUSU

Veri Sorumlusu; KVK Kanunu gereği amaç ve vasıtalarını belirlemekte olduğu kişisel veri işleme faaliyetlerinde “veri sorumlusu” sıfatını haizdir ve işbu politika ile veri sorumlusu sıfatı sebebiyle edinmiş olduğu yükümlülükleri kamuoyuna duyurmaktadır.

3. TANIMLAR

KVK Politikası’nda ve mevzuatta yer alan önemli tanımlar anlamlarıyla birlikte aşağıdaki tabloda yer almaktadır:

Kişisel VeriKimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikteki Kişisel VeriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler
Veri SahibiKişisel verisi işlenen belirli yada belirlenebilir gerçek kişi (İlgili kişi)
Açık RızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan muvafakat
Anonim Hale GetirmeKişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Kişisel Verilerin İşlenmesiKişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri SorumlusuKişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri İşleyenVeri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleme faaliyetinde bulunan organizasyon dışı gerçek ve tüzel kişi
KVK Kanunu (Kanun)7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan,
24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK KuruluKişisel Verileri Koruma Kurulu
KVK Kurumu (Kurum)Kişisel Verileri Koruma Kurumu
VERBİSKVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı nezdinde kamuya açık şekilde tutulan Veri Sorumluları Sicili
Veri Sorumlusu (Şirket)Türk DemirDöküm Fabrikaları A.Ş.
Veri Sorumlusu İş OrtaklarıVeri Sorumlusu’nun ticari ilişkiler gereği işbirliğinde bulunduğu kişiler
Veri Sorumlusu KVK Saklama ve İmha PolitikasıBünyesinde barındırdığı kişisel verilerin saklanma, silinme, yok edilme ve anonim hale gelme süreçlerinin düzenlendiği Veri Sorumlusu tarafından tanzim edilmiş olan politika
Veri Sorumlusu TedarikçileriSözleşme temelli olarak Veri Sorumlusu’na hizmet sunan üçüncü kişiler
Veri Sorumlusu Veri Sahibi Başvuru FormuVeri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu
Veri Sorumlusu KVK PolitikasıVeri Sorumlusu Kişisel Verilerin İşlenmesi ve Korunması Politikası
Grup ŞirketlerVeri Sorumlusu bünyesinde yer alan topluluk şirketleri
Kişisel Veri İşleme EnvanteriVeri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Veri Sorumluları Sicili Hakkında Yönetmelik30 Aralık 2017 tarihli ve 30286 sayılı Resmi Gazete’de yayımlanan 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik
Veri Güvenliği KuruluVeri Sorumlusu tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan Kurul

4. VERİ GÜVENLİĞİ KURULU

Veri Güvenliği Kurulu; Veri Sorumlusu bünyesinde işlenen kişisel verilerin korunmasından ve kişisel verilerin korunması mevzuatına uyum sürecinin takibinden sorumlu olan birimdir. Finans ve İdare ve Pazarlama departmanları temsilcilerinden oluşmaktadır.

Kurul tarafından gerek duyulması halinde veya talep doğrultusunda gerekli toplantılar gerçekleştirilir. Politikaların revizyonu ve mevzuata uyumu Veri Güvenliği Kurulu tarafından kontrol edilmektedir. Bu kapsamda aşağıda belirtilen faaliyetler ile sair uyum süreçleri Veri Güvenliği Kurulu tarafından yürütülmektedir:

a) Kişisel verilerin korunması alanında gerekli rol ve görevlendirmelerin yapılması,

b) Kanun ve Kurul kararlarına uygun olarak kişisel verilerin hukuka aykırı şekilde aktarımı, erişimi, açıklanmasını engellemek ve güvenlik eksikliği yaratabilecek sair hususlarda gerekli tedbirleri alınması ve uygulatılması,

c) Veri güvenliğine ilişkin tedbir ve idari kararların uygulanmasına ilişkin denetimlerin gerçekleştirilmesi,

d) Gerektiği takdirde özel nitelikli kişisel verilerin muhafazasına ilişkin ek tedbirlerin uygulanması,

e) Şirket bünyesinde veri koruma kültürünün temin edilmesi amacıyla gerektiği takdirde eğitimler düzenlenmesi,

f) Mevzuata uyum açısından ilgili dokümanların uygulanmasının temini ve gerekli denetimlerin yürütülmesi,

g) Grup şirketlerinin mevzuattan doğan yükümlülüklerinin yerine getirip getirilmediğinin takibi,

h) KVK Kurumu ve KVK Kurulu ile olan ilişkilerin takibi.

4.1. ROL VE GÖREVLER

Kurum ile kurulacak iletişim için veri sorumlusu tarafından VERBIS kayıt ve bilgi girişi işlemleri görevini ifa edecek olan “İrtibat kişisi” Veri Güvenliği Kurulu kararı ile atanır.

“Kişisel Veri Sahibi İlişkileri Kılavuzu” gereği ‘Veri sahibi ilişkileri ve ilgili mekanizmaların işlerliliğini kontrol’ görevlerini ifa edecek olan ilgili kişi Veri Güvenliği Kurulu kararı ile atanır.

Yukarıda belirtilen asgari görevlere ek olarak, kişisel veri mahremiyeti uyumunun temini için duyulacak ihtiyaçlar sebebi ile atanacak görevli kişilere birtakım ek görev ve sorumluluklar verilebilir.

4.2. POLİTİKA, PROSEDÜR, REHBER VE KILAVUZLARIN HAZIRLANMASI

Kişisel verilerin korunması mevzuatına uyumun sağlanmasının temini amacıyla Veri Güvenliği Kurulu tarafından; Veri Sorumlusu adına veri sorumlusu sıfatı ile aşağıda yazılı dokümanlar hazırlanarak yayımlanır.

1. Kişisel Verilerin Korunması Politikası

2. Kişisel Veri Saklama ve İmha Politikası

3. Kişisel Veri İhlali Prosedürü

5. POLİTİKA ESASLARI

5.1. TEMEL İLKELER

Veri Sorumlusu tarafından, kişisel verilerin işlenmesi esnasında aşağıda yazılı temel ilkeler benimsenmektedir.

5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

Veri Sorumlusu, Türkiye Cumhuriyeti Anayasası ve KVK Kanunu başta olmak üzere, kişisel veri işleme faaliyetlerini, veri mahremiyeti mevzuatına ve dürüstlük kuralına uygun şekilde yürütür.

5.1.2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

Veri Sorumlusu, işlemekte olduğu kişisel verilerin doğruluğunu ve güncelliğini sağlayarak bu çerçevede gereken idari ve teknik tedbirleri alır ve süreç takibini sürdürür.

5.1.3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

Veri Sorumlusu; kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işler. Bu kapsamda; kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenmektedir. Diğer bir deyişle, kişisel veriler yalnızca ileride kullanılabileceği varsayımı ile işlenmemektedir (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir). Bu çerçevede Veri Sorumlusu, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurur.

5.1.4.Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

Veri Sorumlusu; kişisel verileri, ilgili mevzuatta bir süre öngörüldüğü takdirde bu süreye riayet edecek süre ile işler. Mevzuatta bu doğrultuda bir düzenleme bulunmaması halinde ise verileri, veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza eder. Veri Sorumlusu; mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri silme, yok etme veya anonim hale getirme yöntemleriyle imha etmektedir. Bu kapsamda, oluşturulmuş olan Veri Sorumlusu Kişisel Veri Saklama ve İmha Politikası'na riayet edilmektedir.

5.2. HUKUKA UYGUN İŞLEME FAALİYETİ

Veri Sorumlusu; kişisel verilerin işlenmesi faaliyetlerinde bulunurken; temel ilkelere de riayet etmek kaydıyla, KVK Kanunu’nun 5. ve 6. maddelerinde belirlenen veri işleme şartlarına uygun şekilde hareket eder.

Veri Sorumlusu, kişisel verilerin hukuka uygun olarak işlenmesi için iç sistemlerinde gerekli mekanizmaları kurgular. Ayrıca kurum içi eğitimlerle veri mahremiyeti konusunda personel farkındalığını sağlayarak sürecin sürekliliğini hassasiyetle yürütür.

Veri Sorumlusu; kişisel verilerin işlenmesi kapsamında Türkiye Cumhuriyeti Anayasası başta olmak üzere, 5237 Sayılı Türk Ceza Kanunu, KVK Kanunu ve sair mevzuat ile Veri Sorumlusu KVK Politikası’nda ortaya konulan kurallara paralel şekilde faaliyet göstermektedir.

5.2.1. Veri İşleme Şartları

Kişisel veriler, Veri Sahibinin açık rızası temin edilmek kaydıyla mevzuata ve Kurul kararlarına uygun şekilde işlenmektedir. Aşağıda belirtilen koşullardan en az birinin temini halinde, açık rıza aranmaksızın veri işleme faaliyetleri gerçekleştirilebilmektedir:

– Açık rıza: Kişisel veri sahibinin bilgilendirmeye dayalı şekilde belirli bir konuya ilişkin olarak hukuka uygun, özgür iradesi ile rıza temin etmesi neticesinde veri işlenmesi.

– Kanunda öngörülme/zorunluluk arz etme: Kişisel verinin işlenmesine ilişkin mevzuatta açık hüküm bulunması veya Veri İşleyen’in hukuki yükümlülükleri kapsamında zorunluluk teşkil etmesi durumunda veri işlenmesi.

– Fiili imkansızlık sebebiyle açık rıza alınamaması: Veri sahibinin fiili imkansızlık sebebiyle açık rıza veremeyecek durumda olması veya rızasına geçerlilik tanınamayacak olması durumunda, veri sahibi veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması için zorunluluk teşkil etmesi halinde ilgili verinin işlenmesi.

– Sözleşme ile bağlantı: Bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili ve gerekli olması durumunda taraflara ait kişisel verilerin işlenmesi.

– Kişisel verinin veri sahibi tarafından alenileştirilmesi: Verinin doğrudan Veri Sahibi tarafından aleni hale getirilmesi durumunda, alenileştirme kapsamı ile sınırlı şekilde veri işlenmesi.

– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri işlenmesi.

– Veri sorumlusunun meşru menfaatleri: Veri Sahibinin temel hak ve özgürlükleri muhafaza edilmek kaydıyla, Veri Sorumlusunun meşru menfaatleri gerektirdiği durumda veri işlenmesi.

5.2.2. Özel Nitelikli Kişisel Veri İşleme Şartları

Özel nitelikli kişisel veriler, aşağıdaki şartların bulunması halinde; ilgili mevzuat, Kurul kararları ve Veri Sahibi tarafından tatbik edilen politikalara uygun şekilde ve öngörülen tedbirler tesis edilmek kaydıyla işlenmektedir.

– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunda açıkça düzenlenmesi durumunda Veri Sahibinin açık rızası temin edilmeksizin işlenebilmektedir. Kanunda bu doğrultuda bir düzenleme bulunmaması halinde ise ilgilinin açık rızası bulunması kaydıyla veri işlenmektedir.

– Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, ilgilinin açık rızası bulunması kaydıyla işlenebilmektedir. Ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla sınırlı olmak kaydıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibinin açık rızası bulunmaksızın işlenebilmektedir.

5.3. HUKUKA UYGUN VERİ AKTARIMI

Veri Sorumlusu tarafından; kişisel verilerin, grup şirketleri ve 3. kişilerle paylaşımında veya kişisel verilerin 3. kişilerin paylaşımına açılmasında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına riayet edilir. Verilerin aktarıldığı 3. kişilere, bahse konu kişisel verilerin güvenliğini sağlaması için gerekli tüm tedbir ve denetimler yaptırılır.

5.3.1. Kişisel Verilerin Aktarımı

Kişisel veriler, Veri Sahibinin açık rızası üzerine aktarılabileceği gibi, gerekli koruyucu tedbirler mevzuata ve Veri Sahibi politikalarına uygun şekilde tatbik edilmek kaydıyla aşağıdaki koşulların varlığı halinde ilgilinin açık rızası bulunmaksızın aktarılabilmektedir:

– Açık rıza: Kişisel veri sahibinin bilgilendirmeye dayalı şekilde belirli bir konuya ilişkin olarak hukuka uygun, özgür iradesi ile rıza temin etmesi neticesinde veri aktarımı.

– Kanunda öngörülme/zorunluluk arz etme: Kişisel verinin işlenmesine ilişkin mevzuatta açık hüküm bulunması veya Veri Sorumlusunun hukuki yükümlülüklerini ifası kapsamında zorunluluk teşkil etmesi durumunda veri aktarımı.

– Fiili imkansızlık sebebiyle açık rıza alınamaması: Veri sahibinin fiili imkansızlık sebebiyle açık rıza veremeyecek durumda olması veya rızasına geçerlilik tanınamayacak olması durumunda, veri sahibi veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması için zorunluluk teşkil etmesi halinde ilgili verinin aktarımı.

– Sözleşme ile bağlantı: Bir sözleşmenin kurulması veya ifası ile doğrudan doğruya ilgili ve gerekli olması durumunda taraflara ait kişisel verilerin aktarımı.

– Kişisel verinin veri sahibi tarafından alenileştirilmesi: Verinin doğrudan Veri Sahibi tarafından aleni hale getirilmesi durumunda, alenileştirme kapsamı ile sınırlı şekilde veri aktarımı.

– Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri aktarımı,

– Veri sorumlusunun meşru menfaatleri: Veri Sahibinin temel hak ve özgürlükleri muhafaza edilmek kaydıyla, Veri Sorumlusunun meşru menfaatleri gerektirdiği durumda veri aktarımı.

5.3.2. Özel Nitelikli Kişisel Verilerin Aktarımı

Yeterli teknik ve idari güvenlik önlemlerinin tesis edilmesi koşuluyla ve aşağıda belirtilen şartların varlığı halinde özel nitelikli kişisel veriler aktarılabilmektedir:

– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunda açıkça düzenlenmesi durumunda Veri Sahibinin açık rızası temin edilmeksizin aktarılabilmektedir. Kanunda bu doğrultuda bir düzenleme bulunmaması halinde ise ilgilinin açık rızası bulunması kaydıyla veri aktarılabilmektedir.

– Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, ilgilinin açık rızası bulunması kaydıyla aktarılabilmektedir. Ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla sınırlı olmak kaydıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibinin açık rızası bulunmaksızın aktarılabilmektedir.

Belirtilen veri aktarım şartlarının mevcudiyeti halinde ilgili kişisel veriler, Kurul tarafından tespit ve ilan edilen yeterli korumaya sahip/güvenli ülkelere veya yeterli korumanın bulunmaması halinde ilgili mevzuat ve Kurul düzenlemeleri ile belirlenen veri aktarım koşulları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlanmasına ilişkin yazılı taahhüdünün temin edildiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabileceği gibi; Kurul tarafından belirlenen sınırlama ve koşullara riayet edilmek kaydıyla Bağlayıcı Şirket Kuralları uygulamasına başvurulması halinde yurt dışına aktarılabilecektir.

6. YÜKÜMLÜLÜKLER

Veri Sorumlusu; KVK Kanunu’nun veri sorumluları için öngördüğü yükümlülüklere uymaktadır. Bu kapsamda işbu politikada Veri Sorumlusu’nun uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:

6.1. KVK Kurulu Tarafından Verilen Kararları Yerine Getirme Yükümlülüğü

Veri Sorumlusu; kişisel verilerin korunması faaliyetlerini düzenleyen ve bu alanda ülkemizin idari otoritesi olan KVK Kurumu’nun icra organı olan KVK Kurulu tarafından, şikayet halinde ya da resen yapılan inceleme sonucunda tebliğ edilen kararları derhal uygular. Ayrıca KVK Kurulu tarafından tesis edilen ilke kararlarını da veri mahremiyeti kuralları olarak benimser.

6.2. Veri Sahibi İlişkileri Yükümlülüğü

Veri Sorumlusu; veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırır.

Veri Sahipleri, KVK Kanunu’nun 11. maddesi uyarınca Veri Sorumlusuna www.demirdokum.com.tr adresi üzerinden başvurarak aşağıda belirtilen haklarını kullanabilmektedirler.:

1. Kişisel verilerinin işlenip işlenmediğini öğrenmek,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,

7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,

8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etmek.

6.3. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü

Veri Sorumlusu; Veri Sorumluları Sicili Hakkında Yönetmelik’te bahsi geçen kriterleri sağlaması halinde, KVK Kanunu’nun 16. maddesine ve yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmaktadır. Sicil; kamuya açık şekilde tutulmakta olup, ilgili kişi veya kişiler tarafından incelenebilmektedir.

6.4. Veri Sahibini Aydınlatma Yükümlülüğü

Veri Sorumlusu; KVK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun şekilde kişisel verilerin elde edilmesi sırasında veri sahiplerinin, yetkilendirdiği kişiler tarafından bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Aydınlatma yükümlülüğünü yerine getirme amacıyla internet sitesinde yayımlanmış olan KVK Aydınlatma Metnini inceleyebilirsiniz.

6.5. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Veri Sorumlusu tarafından, KVK Kanunu’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle ve;

1. Kişisel verilerin hukuka aykırı işlenmesini önlemek,

2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve

3. Kişisel verilerin muhafazasını sağlamak

amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirler alınmaktadır. Ayrıca, veri güvenliğini sağlamaya yönelik mekanizmaların işletilmesi kapsamında gerekli denetimler tatbik edilmektedir.

7. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek ve kişisel verilerin güvenli şekilde muhafazasını sağlamak amacı ile imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri alır.

Bu kapsamda Veri Sorumlusu; Kanun’un 12. maddesi ve KVK Kurulu tarafından hazırlanarak internet sitesinde yayımlanmış olan Veri Güvenliği Rehberi’ne sirayet eder. Veri Sorumlusu tarafından; kişisel veri güvenliği amacı ile aşağıda yazılı idari ve teknik tedbirler alınır.

7.1. İDARİ TEDBİRLER

– Veri Sorumlusu tarafından; kişisel veri kategorileri, veri sahipleri, işleme amaçları ve alınan güvenlik tedbirlerinin yer aldığı Kişisel Veri İşleme Envanteri oluşturulur.

– Kişisel verilerin korunmasına ilişkin gerekli kurumsal politika ve prosedürler oluşturularak bunların işlerliliği ve devamlılığı sağlanır.

– Çalışanlarla gizlilik taahhütnameleri imzalanır.

– Farkındalık eğitim ve toplantıları yapılarak kurum içi veri koruma bilinci oluşturulur.

– Kişisel verilerin aktarıma konu olduğu durumlarda, grup şirketleri ya da 3. Kişi şirketler tarafından gerekli tedbirlerin alınması sağlanır.

– İş sözleşmeleri ve disiplin yönetmeliklerine kanuna uygun hükümler eklenir.

– Şartların sağlanması halinde Veri Sorumluları Sicil Bilgi Sistemi VERBİS’e kayıt ve bilgi girişi işlemleri tamamlanır.

– Veri işleyenler ile imzalanan sözleşmelere Veri Güvenliği hükümleri eklenir.

7.2. TEKNİK TEDBİRLER

– Veri Sorumlusu tarafından; kişisel veri içeren fiziksel ve elektronik ortamların güvenliği sağlanır.

– Kötü amaçlı yazılımlara karşın kişisel veriler düzenli aralıklarla yedeklenir ve yedeklenen kişisel verilerin güvenliği sağlanır.

– Siber güvenliğin teminin sağlanması amacıyla bilişim ağlarına yönelik önleyici sistem ve yazılımlar kurulur.

– Veri Sorumlusu çalışanlarının kişisel verilere erişim yetkisi, görev ve yetki kontrolleri devamlı suretle sağlanarak oluşturulur.

7.3. KİŞİSEL VERİ İHLALİ

Veri Sorumlusu; işlenen kişisel verilerin hukuka aykırı şekilde yetkisiz kimseler tarafından elde edilmesi durumunda, 72 saat içerisinde durumu KVK Kurulu’na ve ilgili veri sahiplerine bildirir. Bu sebeple Veri Sorumlusu Veri İhlali Prosedürü (link) oluşturulmuş; bu prosedür kapsamında Veri Güvenliği Kurulu tarafından Veri Sorumlusu bünyesindeki tüm ihlal tatbikatları kurgulanmaktadır.

8. KİŞİSEL VERİLERİN İMHASI

Veri Sorumlusu; KVK Kanunu’nun 7. maddesi gereğince, hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik oluşturduğu Kişisel Veri Saklama ve İmha Politikası gereği kişisel verilerin imhasına ilişkin gerekli tüm iç sistemlerini oluşturmuştur.

9. REVİZYON

İşbu Politika, Veri Güvenliği Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Veri Güvenliği Kurulu yetkilidir.

KVK Politikası, Veri Sorumlusu tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Veri Güvenliği Kurulu onayına sunularak güncellenir. Başta KVK Kanunu olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Veri Sorumlusu, idari otorite olan KVK Kurumu tarafından yapılacak olan yasal düzenlemelere paralel olarak KVK Politikası’nda değişiklik yapma hakkını saklı tutar.

İşbu politikada veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek politikaya eklenecek, gerekli duyurular yapıldıktan sonra politikanın ayrılmaz bir parçası olarak kabul edilecektir.