Kişisel Verilerin Korunması
Şirketimiz “Hür Çelik Sanayi ve Dış Ticaret A.Ş.” olarak; temel hak ve özgürlüklerinin korunması amacıyla, kişisel verilerle ilgili düzenlenen “Kişisel Verilerin Korunması Kanunu” ve bu Kanun kapsamında kişisel verilerinizin alınma şekilleri, işleme amaçları, hukuki nedenleri ve haklarınız konularında sizi en şeffaf şekilde bilgilendirmek istiyoruz.
6698 Sayılı Kişisel Verilerin Korunması Kanunu (kısaca “Kanun”) 07 Nisan 2016 tarihinde yürürlüğe girmiş olup, “kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilginin işlenmesine ilişkin düzenlemeleri içermektedir.
İşbu Hürçelik Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Hür Çelik San. ve Dış Ticaret A.Ş. tarafından (“HÜR ÇELİK”) aşağıda listeli kategorilerde yer alan gerçek kişilere ait kişisel verilerin Kanun kapsamında işlenmesine ilişkin HÜRÇELİK’in beyan ve açıklamalarını içermektedir. Bu kapsamda Politika’nın uygulama alanı, aşağıdaki İlgili Kişilere ait kişisel verilerin işlenme süreçleridir:
• Gerçek Müşteriler (kısaca “Müşteri” veya “Kullanıcı” olarak anılabilir)
• Kurumsal Müşteri Hissedarları, Yetkilileri, Çalışanları • Potansiyel Müşteriler (kısaca “Potansiyel Müşteri” veya “Potansiyel Kullanıcı” olarak anılabilir) • Şirket Yetkilileri • Hissedarlar • Eski Çalışan / Emekliler • İş Ortağı Hissedarları, Yetkilileri, Çalışanları • Tedarikçi Hissedarları, Yetkilileri, Çalışanları • Çalışanlar • Çalışan adayı, Stajyerler ve Stajyer adayı • İş Ortağı Adayları • Tedarikçi Adayları • Ziyaretçiler • Basın • Üçüncü Kişiler Bu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.
1. POLİTİKA’NIN AMACI
Hür Çelik Sanayi ve Dış Ticaret A.Ş., Türkiye Cumhuriyeti Anayasası (kısaca “Anayasa”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (kısaca “Kanun”) başta olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan yasal mevzuata uygun hareket etmekle mükellef olup, HÜRÇELİK, söz konusu yasal mevzuata uyumlu olacak şekilde faaliyette bulunma ve kişisel verileri koruma konusunda gerekli çalışmaları yürütmektedir. Bu çalışmalar kapsamında HÜRÇELİK tarafından Kişisel Veri Korunması ve İşlenmesi politikası hazırlanmıştır. Politika’da yer alan tanımlara işbu Protokol’ün ekinde (Ek-2) yer almaktadır. HÜRÇELİK hukuki ve sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma düzenlemelerine uymayı taahhüt etmektedir. İşbu Politika; HÜRÇELİK tarafından aşağıda listeli kategorilerde yer alan gerçek kişilere ait kişisel verilerin Kanun kapsamında korunmasına, işlenmesine ilişkin HÜRÇELİK’in beyan ve açıklamalarını içermekte ve bu süreçlerle ilgili kişilerin bilgilendirilmesi amaçlanmaktadır. Kanun ve ilgili yasal mevzuat uyarınca veri sorumlusu olan HÜRÇELİK, kişisel verilerin işlenmesi ve korunmasında benimsenen temel ilkeleri, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile işlendikleri amaç için gerekli olan azami süreyi belirlemeye ilişkin usul ve esaslar işbu Politika ile belirlemektedir. Bu Politika’da HÜRÇELİK tarafından, hangi verilerin kişisel veri olduğu, hangi kişisel verilerin saklandığı, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirler ile kişisel verilerin işlenmesinde, muhafaza edilmesinde, İlgili Kişilerin aydınlatılması ve bilgilendirilmesinde, üçüncü kişilere aktarılması ve korunmasına ilişkin detaylı açıklamalara yer verilmektedir.
2. POLİTİKANIN KAPSAMI
Bu Politika; HÜRÇELİK müşterilerinin, potansiyel müşterilerin, çalışanların, çalışan adaylarının, stajyerlerin, stajyer adaylarının, HÜRÇELİK hissedarlarının, HÜRÇELİK hissedarları ve yetkililerinin, ziyaretçilerin, iş ortağı şirketlerin/kurumların çalışanlarının, hissedarları ve yetkililerinin, tedarikçi hissedarlarının, yetkililerinin, çalışanlarının, kurumsal müşterilerin hissedarlarının, yetkililerinin, çalışanlarının, iş ortağı ve tedarikçi adaylarının, eski çalışan ve emeklilerin, basın ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Kanun ve ilgili yasal mevzuat uyarınca veri sorumlusu olan HÜRÇELİK kişisel verilerin işlenmesi ve korunmasında benimsenen temel ilkeleri, kişisel verilerin korunmasına ilişkin alınan idari ve teknik tedbirlere ilişkin usul ve esasları işbu Politika ile belirlemektedir. HÜRÇELİK, bünyesinde kişisel veri işleyen ve saklayan aşağıdaki varlıklar ve bu varlıklara ilişkin tüm süreçler bu Politika kapsamındadır; Kişisel veri içeren bütün basılı veya yazılı belgeler, dokümanlar, dosyalar kişisel veri içeren bütün uygulamalar Kişisel veri içeren bütün veri tabanları, Bu kapsamda; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, HÜRÇELİK müşterilerinin, potansiyel müşterilerinin, çalışanlarının, çalışan adaylarının, stajyerlerinin, stajyer adaylarının, HÜRÇELİK hissedarlarının, yetkililerinin, tedarikçilerinin, tedarikçi çalışanlarının, HÜRÇELİK web sitemiz, işyeri ziyaretçilerinin, iş ortaklığı olan kurum çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin rızası ve/veya kanunun öngördüğü tüm yasal veri işleme şartları kapsamında toplanan kişisel verilerine ilişkindir. İstatiksel amaçla yapılan değerlendirmeler veya çalışmalar için elde edilen kişisel veri içermeyen veriler gibi anonim hale gelmiş ve tanımlanamayan veriler ile tüzel kişilere ilişkin veriler kişisel veri ve belirli ya da belirlenebilir bir kişiye atfedilemeyecek veriler kişisel veri olarak kabul edilmemekte olup, işbu Politika’ya tabi değildir. İşbu Politika, HÜRÇELİK’in gerçek kişi müşterileri ile birlikte HÜRÇELİK’in belirli bir çerçeve sözleşmesi olmayan diğer gerçek kişilere de uygulanmaktadır.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Kanun’un 4. maddesi uyarınca veri sorumlusu konumundaki HÜRÇELİK, kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket etmektedir: • Hukuka ve dürüstlük kurallarına uyum: Hürçelik kişisel verilerinizin işlenmesinde kanunlara, ikincil düzenlemelere ve hukukun genel ilkelerine uygun olarak hareket eder; kişisel verileri işlenme amacı ile sınırlı olarak işlemeye ve İlgili Kişilerin makul beklentilerini dikkate almaya önem verir. • Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulamalıdır. Bu doğrultuda HÜRÇELİK İlgili Kişiler’in verilerini güncellemesi için olanak sağlamakta ve verilerin veri tabanlarına doğru bir şekilde aktarımını temin için gerekli önlemleri almaktadır. • Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda İlgili Kişiler’i kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda veri sorumlusu konumundaki HÜRÇELİK veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak İlgili Kişi’yi sahiplerini aydınlatma metinleri kapsamında açık bir şekilde bilgilendirmektedir. HÜRÇELİK her bir kişisel veri işleme faaliyetinden önce veri işleme amaçlarını tespit eder ve bu amaçların hukuka aykırı olmamasına dikkat eder. • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: HÜRÇELİK tarafından kişisel veriler, temin edildikleri sırada İlgili Kişi’ye sahibine bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir. HÜRÇELİK tarafından veri işleme faaliyeti toplama amacını gerçekleştirme için gerekli olan kişisel verilerle sınırlandırılmakta ve bu amaçla ilişkili olmayan kişisel verilerin işlenmemesi için gerekli adımlar atılmaktadır. • İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Veriler, yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4. HÜRÇELİK TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kanun’un 5. ve 6. Maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları ortaya koymaktadır. “Özel nitelikli kişisel veriler” Kanun’da sınırlı bir şekilde sayılmış olup kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içermektedir. Kanun’un 5. maddesi özel nitelikli olmayan kişisel verilerin işlenme şartlarını belirlerken, özel nitelikli verilerin işlenme şartları Kanun’un 6. maddesinde düzenlenmiştir. Kanun’un 5. maddesinde yer alan düzenlemeye uygun olarak, HÜRÇELİK kural olarak, Kişisel Verileri, İlgili Kişi’nin açık rızası olması halinde işlemektedir. Ancak Kanun’un 5. maddesinin 2. fıkrası uyarınca; açık rızanın olmadığı hallerde de Kişisel Veri’lerin işlenmesine olanak verilmiştir. Buna göre; aşağıdaki bentlerde yazan şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler HÜRÇELİK tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. Anılan maddelere göre özel nitelikli olmayan kişisel veriler aşağıdaki hallerde işlenebilecektir: • İlgili Kişi’nin açık rızası bulunması. • Veri işlemenin kanunlarda açıkça öngörülmesi. • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması. • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması. • Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması. • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
5.1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle Kanun kapsamında “özel nitelikli” olarak belirlenen kişisel veriler, işbu hassasiyet nedeniyle bu Politika’da ayrıca belirtilmiştir. Kanun’un 6. maddesi 1. fıkrasında tanımı yapılan özel nitelikli kişisel verilerin yine Kanun’un 6. maddesinin 2. fıkrasında belirtildiği üzere İlgili Kişi’nin açık rızası olmaksızın işlenmesi yasaktır. Kanun’un 6. Maddesinin 3. Fıkrası bu kuralın istisnalarını düzenlemektedir. HÜRÇELİK tarafından; özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla yukarıda belirtilen kanun maddesine uygun olarak işlenmektedir. Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli” veya “hassas” kişisel veri olarak tanımlamış ve bunların işlenmesi için daha ağır şartlar öngörmüştür. Buna göre, özel nitelikli kişisel veriler, veri sahibinden açık rıza alınmış bulunan haller dışında ancak aşağıdaki koşullarda işlenebilecektir: • İlgili Kişi’nin açık rızası bulunması, • Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi, • Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi. 5.2. HÜRÇELİK tarafından Ek-1’de belirtilen kategorilerde yer alan gerçek kişilere ilişkin kişisel veriler aşağıdaki amaçlarla işlenmektedir: HÜRÇELİK, Kişisel Veri’leri, Kanun’un 5 ve 6. maddeleri ile uyumlu olarak, aşağıda belirtilenler ile benzeri amaçlar için, onay alınması gereken hallerde, yasal mevzuat dairesinde İlgili Kişi’nin onayı alınarak işlemektedir: • Kişisel ve iletişim verileri : Adı- soyadı, telefon, e-mail bilgileri ürün satışı, muhasebe işlemleri, finans işlemleri ve iletişim amaçlı kullanılmaktadır. • Kamera kayıtları : Fiziksel mekan güvenliği temini. 5.3. Yukarıda ifade edilen veri bazlı amaçlar dışında aşağıda belirtilenler dâhil olmak ancak bununla sınırlı olmamak üzere, İlgili Kişi’nin veya İlgili Kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir. • Elektronik veya kâğıt ortamında işleme dayanak olacak tüm kayıt ve belgeleri düzenlemek, • Kamu güvenliğine ilişkin hususlarda talep halinde ve mevzuat gereği kamu görevlilerine bilgi verebilmek, • Yasal yükümlülüklerimizi yerine getirebilmek ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi, • Şirket içinde ve depolarda güvenliğin sağlanması • Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası • Acil Durum Yönetimi Süreçlerinin Yürütülmesi • Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi • Çalışanlar için Yan Haklar ve Menfaatlerin Planlanması ve İcrası • Çalışan Adayı ve Stajyerler için Başvuru ve Seçme Yerleştirme Süreçlerinin Yönetilmesi • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi • Denetim / Etik / Eğitim Faaliyetlerinin Yürütülmesi • Tüm Erişim Yetkilerinin Planlanması ve Yürütülmesi • Etkinlik Yönetimi • Finans ve/veya Muhasebe İşlerinin Takibi • Faaliyetlerin Mevzuata Uygun Yürütülmesi • Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi • Fiziksel Mekân Güvenliğinin Temini • Görevlendirme Süreçlerinin Yürütülmesi • Hukuk İşlerinin Takibi ve Yürütülmesi • İç Denetim/Soruşturma/İstihbarat Faaliyetlerinin Yürütülmesi • İletişim Faaliyetlerinin Yürütülmesi • İnsan Kaynakları Süreçlerinin Planlanması • İş Faaliyetlerinin Yürütülmesi / Denetimi • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi • İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası • İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi • Kurumsal İletişim ve Kurumsal Yönetim Faaliyetlerinin Planlanması ve İcrası • Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini • Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası • Şirket Operasyonlarının Güvenliğinin Temini • Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası • Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası • Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi • Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi • Tedarik Zinciri Yönetimi Süreçlerinin Planlanması ve İcrası • Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası • Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası, • Ürün ve/veya Hizmetlerin Satın Alım, Pazarlama ve/veya Satış Süreçlerinin Planlanması ve İcrası, • Ürün ve/veya Hizmetlerin Satış Sonrası Destek Hizmetlerinin Yürütülmesi • Verilerin Doğru ve Güncel Olmasının Sağlanması • Lojistik Faaliyetlerinin Yürütülmesi • Organizasyon Ve Etkinlik Yönetimi • Pazarlama Analiz Çalışmalarının Yürütülmesi • Performans Değerlendirme Süreçlerinin Yürütülmesi • Risk Yönetimi Süreçlerinin Yürütülmesi • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi • Sözleşme Süreçlerinin Yürütülmesi • Ücret Politikasının Yürütülmesi • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini • Yatırım Süreçlerinin Yürütülmesi • Yönetim Faaliyetlerinin Yürütülmesi • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi Söz konusu kişisel veri işleme amaçlarına ilişkin detaylı bilgilere işbu Politika’nın EK-3 (“EK 3- Kişisel Veri İşleme Amaçları”) kısmından ulaşılması mümkündür.
6. HÜRÇELİK TARAFINDAN KİŞİSEL VERİLERİN AKTARILMASI
6.1. Aktarıma İlişkin Genel Şartlar
Kanun’un 8. maddesi, kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel veri” olup olmadığına göre bir ayrıma gitmiştir. Bahsi geçen maddeye göre özel nitelikli olmayan kişisel veriler, yukarıda Bölüm 5.2 ve 5.3’de belirtilen işleme şartlarından birinin varlığı halinde üçüncü kişilere aktarılabilecektir. Bu doğrultuda kişisel veriler; • İlgili Kişi’nin açık rızası bulunması, • Veri işlemenin kanunlarda açıkça öngörülmesi, • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması, • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması, • Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması, • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, hallerinde HÜRÇELİK tarafından tüzel kişilikleri dışındaki kişilerle paylaşılabilmektedir.
Kanun’un 8. maddesi, özel nitelikli kişisel veriler açısından da Bölüm 5.1’de belirtilen işleme şartlarına atıf yapmış, ancak aktarım için ayrıca yeterli önlemlerin alınmış olmasını öngörmüştür. Buna göre HÜRÇELİK tarafından özel nitelikli kişisel veriler, • Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi, ve • Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi, amaçlarına tabi olarak, her halükarda yeterli önlemlerin alınması sonrasında üçüncü kişilerle paylaşılmaktadır.
HÜRÇELİK, Kanun’un 8’inci ve 9’uncu maddelerine uygun olarak kişisel verileri aşağıda sıralanan alıcı grubu kategorilerine aktarabilmektedir: • Kanunen Yetkili Kamu Kurumu, • Kanunen Yetkili Özel Kurum, • İş Ortağı, • Tedarikçi hissedar ve çalışanları • HÜRÇELİK hissedarları, çalışanları • Doğrudan/dolaylı yurtiçi/yurtdışı iştiraklerimize, • Faaliyetlerimizi yürütebilmek için işbirliği yaptığımız program ortağı kurum, kuruluşlarla, • Verilerin bulut ortamında saklanması hizmeti aldığımız yurtiçi/yurtdışı kişi ve kurumlarla, • Anlaşmalı olduğumuz bankalarla, • Yurtiçi/yurtdışı ilgili iş ortaklarımızla
6.2. Yurtdışına Aktarım
HÜRÇELİK tarafından kişisel veriler yurtdışına; • İlgili Kişinin açık rızasının bulunması halinde, veya • İlgili Kişinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya birkaçının karşılandığı hallerde; • Verilerin aktarıldığı ülkede yeterli koruma bulunması veya • Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili HÜRÇELİK’in ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile aktarılabilmektedir. Bu kapsamda kullanılan sunucu ve elektronik ortamlarda/yurt dışı sunucularda/bulut bilişim sistemleri üzerinde işlenerek saklanabilmektedir.
7. HÜRÇELİK TARAFINDAN İŞLENEN KİŞİSEL VERİLER
HÜRÇELİK tarafından işlenen Kişisel Veri’lerin kategorileri Ek-1 kapsamında yer almaktadır.
8. HÜRÇELİK TARAFINDAN KİŞİSEL VERİLERİN İŞLENMESİ USULÜ
8.1. HÜRÇELİK, Kanun’da öngörüldüğü şekilde, kişisel verilerin elde edilmesi sırasında İlgili Kişilere veri sorumlusu olarak kişisel verileri hangi amaçla işlediği, işlenen kişisel verileri kime ve hangi amaçlarla aktarabileceği, kişisel veri toplama yöntem ve hukuki sebebi ile İlgili Kişi’nin hakları konusunda bilgilendirme yapmaktadır. 8.2. Herhangi bir süreç, Kanun uyarınca açık rıza alınmasını gerekli kıldığı takdirde, HÜRÇELİK tarafından yukarıda bahsi geçen bilgilendirmenin yapılması sonrasında İlgili Kişi’den açık rızaları alınmaktadır.
9. HÜRÇELİK TARAFINDAN KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
9.1. HÜRÇELİK, kişisel verilerin saklanma sürelerini belirlerken yürürlükte bulunan mevzuatı ve süreç konusu verilerin işlenme amaçlarını göz önünde tutarak belirleme yapmaktadır. HÜRÇELİK, saklama sürelerini her halükârda yasal yükümlülükleri ve ilgili zamanaşımı süreleri ışığında tespit etmektedir. 9.2. Türk Ceza Kanunu, Kanun ve ilgili diğer mevzuatta öngörülen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü gereği, HÜRÇELİK tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, veri işleme amacının ortadan kalkması halinde, kişisel veriler HÜRÇELİK’İN re’sen vermiş olduğu karara veya kişisel veri sahibinin talebine istinaden silinir, yok edilir veya anonim hale getirilir.
KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
HÜRÇELİK tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, olanaklar dâhilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır. Bu kapsamda HÜRÇELİK tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) HÜRÇELİK bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir.
9.3. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için HÜRÇELİK Tarafından Alınan İdari Tedbirler:
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. • Çalışanlar için yetki matrisi oluşturulmuştur. • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. • Gizlilik taahhütnameleri yapılmaktadır. • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. • Kişisel veri güvenliğinin takibi yapılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • Kişisel veri içeren fiziksel ortamların dış risklere karşı (yangın, sel vb.) karşı güvenliği sağlanmaktadır. • Kişisel veri içeren ortamların güvenliği sağlanmaktadır. • Kişisel veriler mümkün olduğunca azaltılmaktadır. • Kurum içi periyodik ve /veya rasgele denetimler yapılmakta ve yaptırılmaktadır. • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
9.4. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için HÜRÇELİK Tarafından Alınan Teknik Tedbirler:
• HÜRÇELİK tarafından kişisel verilerin işlenmesine ve korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncellenmekte ve iyileştirilmektedir. • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. • Anahtar yönetimi uygulanmaktadır. • Bilgi teknoloji sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. • Erişim logları düzenli olarak tutulmaktadır. • Gerektiğinde veri maskeleme önlemi uygulanmaktadır. • Güncel anti-virüs sistemleri kullanılmaktadır. • Güvenlik duvarları kullanılmaktadır. • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlamaktadır. • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. • Kurum içi periyodik ve/veya rasgele denetimler yapılmakta ve yaptırılmaktadır. • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Mevcut risk ve tehditler belirlenmiştir. • Saldırı tespit ve önleme sistemleri kullanılmaktadır. • Sızma testi uygulanmaktadır. • Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir. • Şifreleme yapılmaktadır. • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır. • Veri kaybı önleme yazılımları kullanılmaktadır. 9.5. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Uygulanacak Yöntem ve Alınacak Tedbirler HÜRÇELİK tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum Kurul’a ve İlgili Kişiler’e bildirilecektir.
10. İLGİLİ KİŞİLER’İN AYDINLATILMASI
HÜRÇELİK, Kanun’un 10’uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında İlgili Kişi’yi aydınlatmaktadır. Bu kapsamda HÜRÇELİK ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişi’nin sahip olduğu hakları konusunda aydınlatma yapmaktadır. T.C. Anayasası’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkı da yer almaktadır. HÜRÇELİK, bu kapsamda, T.C. Anayasası’nın 20. ve Kanun’un 11. maddelerine uygun olarak İlgili Kişi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. İlgili Kişi’nin hakları ile ilgili detaylı bilgilere işbu Politika’nın 12.1’inci bölümünde (“İlgili Kişi’nin Hakları”) yer verilmiştir.
11. İLGİLİ KİŞİ’NİN HAKLARI VE BU HAKLARIN KULLANILMASI
11.1. İlgili Kişi’nin Hakları
Kişisel Veri’lere ilişkin olarak Kanun’un 11. Maddesi uyarınca İlgili Kişi’nin HÜRÇELİK’ten talep edebileceği yasal haklar aşağıda sayılmaktadır: (1) Kişisel verilerinin işlenip işlenmediğini öğrenme, (2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, (3) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, (4) Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme, (5) Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, (6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, (7) İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme, (8) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
11.2. İlgili Kişi’nin Haklarını İleri Süremeyeceği Haller
Kanun’un 28’inci maddesinde sayılı hallerde, İlgili Kişi bölüm 12.1’de (“İlgili Kişi’nin Hakları”) sayılan haklarını ileri süremeyeceklerdir. Zira bu durumlar Kanun’da belirtilen veri koruma kapsamı dışında tutulmaktadır. Anılan madde kapsamında sayılı haller aşağıda sıralanmaktadır: (1) Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi, (2) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi. (3) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi, (4) Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, (5) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Kanun’un 28’inci maddesinin 2’nci fıkrası gereği, aşağıda sıralanan hallerde İlgili Kişi zararının giderilmesini talep etme hakkı hariç, bölüm 12.1’de (“İlgili Kişi’nin Hakları”) sayılan diğer haklarını ileri süremezler: (1) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması, (2) Kişisel veri sahibi tarafından alenileştirilmiş kişisel verilerin işlenmesi, (3) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması, (4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
11.3. İlgili Kişi’nin Haklarını Kullanması
İlgili Kişi, işbu Politika’da bölüm 12.1’de (“İlgili Kişi’nin Hakları”) sayılı haklarına ilişkin taleplerini “Hür Çelik Sanayi ve Dış Ticaret Anonim Şirketi İlgili Kişi Başvuru Formu”nu doldurarak; – ıslak imzalı kopyasının; elden, noter aracılığıyla, iadeli taahhütlü mektupla “Pelitli Mah. 4417. Sokak, No:30, Gebze-Kocaeli” adresine iletilmesi yoluyla veya – Formun taratılarak 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak hurcelik@hs03.kep.tr] adresine kayıtlı elektronik posta ile gönderilmesi yoluyla veya – Formun taratılarak Veri Sorumlusu’nun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak sureti ile kvkk@hurcelik.com elektronik posta adresine e-posta iletilmesi veya – Kişisel Verileri Koruma Kurulu tarafından öngörülen diğer bir yöntemin izlenmesi yolu ile HÜRÇELİK’e iletme hakkına sahiptir. İlgili Kişi adına üçüncü kişilerin başvuru talebinde bulunabilmesi için İlgili Kişi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
11.4. HÜRÇELİK’in Başvurulara Cevap Vermesi
HÜRÇELİK, İlgili Kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almaktadır. HÜRÇELİK, İlgili Kişi’nin başvurularını kabul edebileceği gibi gerekçesini açıklamak kaydı ile kabul etmeme hakkına da sahiptir. HÜRÇELİK ilgili cevabını İlgili Kişi’ye yazılı olarak veya elektronik ortamda bildirebilecektir. İlgili Kişi’nin, bölüm 12.1’de (“İlgili Kişi’nin Hakları”) altında yer alan haklara ilişkin talebini bölüm 12.3’te (“İlgili Kişi’nin Haklarını Kullanması”) anılan usullere uygun olarak HÜRÇELİK’e iletmesi durumunda, HÜRÇELİK talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde, talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde aşağıda belirtilen ücret alınabilecektir. İlgili Kişi’nin başvurusuna HÜRÇELİK yazılı olarak cevap verecek ise on sayfaya kadar ücret alınmayacak ancak on sayfasının üzerindeki her sayfa için Kanun ve ilgili diğer mevzuatlarda belirtildiği şekilde 1,00-TL (bir Türk Lirası) işlem ücreti alabilecektir.