KVKK Veri İşleme Politikası

1.KİŞİSEL VERİ POLİTİKASININ KAPSAM VE AMACI

1-l Amaç

ŞG Proje Mühendislik ve İnşaat A.Ş.; çalışanlarına, ziyaretçilerine, iş bağlantılarına, hizmet sağlayıcılarına ve sair üçüncü diğer kişilere ait kişisel verilerin titizlikle, Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) başta olmak üzere ilgili mevzuata uygun şekilde saklanmasına ve gerektiği hallerde süresi içerisinde imhasına azami önem vermektedir.

Bu çerçevede hangi kişisel verilerin hangi amaçla işleneceğinin, ne kadar süreyle saklanacağının, hangi şekilde imha edileceğinin, saklama ve imha süreçleri ile ilgili sorumluların kim olduğunun, veri sahibinin başvuru sürecinin belirlenmesi ile veri sahibine ve kamuya açıklanmasının önem teşkil ettiği ortadadır.

İşbu kişisel veri politikası hem fiziken basılarak hem de şirketler grubunun web sitesi üzerinde yayınlanarak kamuya açık hale getirilmekte, içerisindeki bilgilere erişim kolaylığının sağlanması amaçlanmaktadır.

1-ll Kapsam

İşbu politika, şirketler grubunca işlenen, fiziki ve elektronik ortamlarda mevzuat uyarınca saklanan tüm kişisel verileri kapsar.

 

2.KISALTMALAR VE TANIMLAR

Bu bölümde Politika’da geçen teknik ve hukuki kavramlar kısaca açıklanmaktadır. Buna göre;

TANIM AÇIKLAMA
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan, izin verilen konuda muhataba izin ve yetkiler sağlayan rıza
Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan Şirket personeli
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet Sağlayıcı Belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kişi Kişisel verisi işlenen gerçek kişi

 

İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi
Kanun 7/4/2016   tarihli   ve   6698   sayılı   Kişisel Verilerin Korunması Kanunu
Karartma Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kurul Kişisel Verileri Koruma Kurulu
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi

veriler üzerinde gerçekleştirilen her türlü işlem

 

Kişisel Veri Saklama ve İmha Politikası Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı.
Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi
 

Kişisel Verilerin Silinmesi

 

İşlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler
Periyodik imha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini
Politika Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi(VERBİS) Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve

yönetilen bilişim sistemi

 

Yönetmelik 28.10.2017 tarih ve 30224 sayılı Resmî Gazete’ de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında

Yönetmeliği

 

3.ŞİRKETİN SORUMLULUKLARI

Veri sorumlusu şirketin mevzuat çerçevesinde mevcut sorumlulukları aşağıda sıralanmıştır

3-l Aydınlatma Yükümlülüğü

Kişisel veriler toplanmadan önce veri sahiplerine aşağıdaki konularda bilgilendirme yapılmalıdır:

  • Kişisel verilerinizin hangi amaçla işleneceği,
  • Kimliğimiz, varsa temsilcimizin kimliğine ilişkin bilgiler,
  • İşlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği,
  • Verileri toplama yöntemimiz ve hukuki sebebi ve
  • Kişisel verisi işlenen kişinin KVKK madde 11 uyarınca hakları

3-ll Veri Güvenliğini Sağlama Yükümlülüğü

Veri sorumlusu işlediği kişisel verileri güvenli bir şekilde muhafaza etmek, verilerin öngörülen amaçlar dışında üçüncü kişilere aktarımının önüne geçmek ve meşru menfaatlerinin gerektirdiği süre boyunca saklamak, bu süre dolduktan sonra verileri güvenli bir şekilde imha etmekle yükümlüdür.

 

4.VERİ SAHİBİNİN HAKLARI

Veri sahibi, kendisiyle ilgili kişisel verilerle ilgili olarak aşağıdaki haklara sahip olup, şirketler grubuna başvurarak bu haklarını kullanmak yönünde talepte bulunabilir

  • Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

4-l Hakların Kullanılması

Mebusevler Mahallesi Turgut Reis Caddesi 3/3 Çankaya/ANKARA adresine bizzat elden verilen veya noter aracılığıyla gönderilen dilekçe ile bizzat başvuru yapılabilmektedir.

Güvenli e-imza ya da mobil imza ile imzalı dilekçenin sgproje@hs01.kep.tr KEP adresine gönderilmesi ile elektronik yoldan başvuru yapılabilmektedir.

Başkası adına başvuru yapanın bu konuda özel yetkili olması ve alacağı vekaletnamede 6698 Sayılı KVKK kapsamında başvuruda bulunma yetkisinin özel ve açık olarak verilmesi gerekmektedir.

Başkası adına yetkisiz hareket eden kişinin yaptığı ve usulüne aykırı yapılan başvurular değerlendirmeye alınmaz.

4-ll Başvurunun Değerlendirilmesi ve Cevaplanması

Belirlenen şekilde yapılan başvurular veri irtibat kişisi, idari işler genel müdürlüğü, hukuk departmanı ve şirket yönetim kurulunca değerlendirilerek otuz gün içerisinde cevaplandırılır.

KVK Kurulu tarafından ücrete ilişkin yayınlanacak tarifedeki koşulların oluşması durumunda tarife üzerinden ücretlendirme yapılır.

Talebin kabulü halinde gecikmeksizin gerekli işlemler yapılır. Talebin reddedilmesi halinde ret kararı gerekçeli olarak başvurucuya yazılı olarak ya da elektronik ortamda iletilir. Başvurunun otuz gün içerisinde cevaplandırılmaması başvurunun reddi anlamına gelir.

4-lll Kişisel Verileri Koruma Kurulu’na Şikayet Hakkı

Şirkete 6698 Sayılı KVKK kapsamında yaptığı başvurusu süresi içerisinde cevaplanmayan ya da reddedilen kişi ilgili kararı öğrendikten sonra otuz, her halükarde altmış gün içerisinde Kişisel Verileri Koruma Kurulu’na başvuruda bulunabilir.

4-IV Başvurunun Ret Sebepleri

Kişisel veriler ile ilgili başvurular, sayılanlarla sınırlı olmamakla birlikte aşağıdaki hallerde reddedilebilir:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmiş olması
  • Kişisel verilerin, ilgili kişinin özel hayatının gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmiş olması
  • İlgili kişi tarafından alenileştirilen kişisel verilerin işlenmesi,
  • Başvurunun haklı bir nedene dayanmaması,
  • Başvurunun ilgili mevzuata aykırı bir istek içermesi
  • Başvuru usulüne uyulmaması

 

5.İŞLENEN VERİLERE DAİR BİLGİLENDİRME

5-l Veri İşleme İlkeleri

Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşleme

Kişisel veriler şirket tarafından gerekli mevzuat hükümlerinin tanıdığı haklar uyarınca, meşru menfaatlerine uygun olarak ve mevzuatça tanınan haklar kötüye kullanılmadan işlenmektedir.

Kişisel Verilerin Doğru ve Güncel Olması

İşlenen veriler doğruluğu teyit edilerek işlenmekte, düzenli periyotlarla güncellenmektedir. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi

İşbu politikada kişisel veri grupları belirlenerek hangi amaçlar doğrultusunda işlendikleri açık ve anlaşılabilir bir şekilde belirtilmektedir. İşlenen kişisel veriler bu politikadaki amaçları doğrultusunda, amacı sınırı ve ölçüsünde işlenmekte, veriler belirtilen amaç dışında kullanılmamaktadır.

Kişisel Verilerin Mevzuatta Öngörülen ya da Meşru Menfaatlerin Gerektirdiği Sürelerle Saklanması

İşlenen veriler kanuni sürenin dolmasından ya da bahse konu veriyi işlemekte şirketin meşru bir menfaatinin kalmamasından sonra ilk imha periyodunda geri dönülemez şekilde imha edilmekte, bu hususta düzenli olarak denetimler yapılmaktadır.

5-ll Kişisel Verilerin İşlenmesi

Kişisel Verilerin Açık Rıza ile İşlenmesi İlkesi

Mevzuat gereği kişisel verilerin işlenmesi için, veri sahibinin açık rızasının alınması gerekmektedir. Açık rıza ise mevzuatta “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” olarak tanımlanmaktadır.

Açık Rızanın Aranmadığı Haller

Aşağıdaki durumların varlığında kişisel verilerin işlenmesi için açık rıza alınmasına gerek olmadığı kanunda düzenlenmiştir:

  • Kanunlarda açıkça öngörülmesi
  • Fiilî imkansızlık sebebiyle ilgilinin açık rızasının alınamaması
  • Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
  • Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • Şirket’in meşru menfaatleri için veri işlemenin zorunlu olması Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler (sağlık ve cinsel hayata ilişkin veriler hariç), KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınarak, İlgili Kişi’nin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde şirketçe işlenir.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmektedir.

Şirkete Ait İnternet Sitesinde Çerezler Aracılığıyla Temin Edilen Kişisel Verilerin İşlenmesi

www.sgporje.com.tr internet sitesi üzerinde bulunan çerez programları aracılığıyla elde edilen kişisel veriler, internet sitesinin kullanım kolaylığını ve verimliliğini arttırmak amacıyla toplanmakta, işlenmekte ve aktarılmaktadır. Verilerin işlenmesinin istenmemesi durumunda internet sitesi üzerinden çerezleri reddet seçeneği kullanılarak veri toplanma süreci durdurulmakta ve çerezleri reddeden kullanıcıya ilişkin toplanan önceki veriler silinmektedir. Çerezlerin reddedilmesi durumunda web sitesinin gerektiği gibi çalışmaması, istenilen bilgilerin görüntülenmesinde aksaklıklar yaşanması ihtimali mevcuttur.

Kablosuz Ağa Erişim Kapsamında Toplanan Kişisel Verilerin İşlenmesi

Şirket binası içerisinde kablosuz ağ hizmeti sağlanmakta olup, şirket ilgili mevzuat kapsamında

“İnternet toplu kullanım sağlayıcı” olarak tanımlanmaktadır.

Şirketin sağladığı kablosuz ağın kullanıcılarına ilişkin tanımlayıcı bilgiler, IP adresleri, kullanımın başlama ve bitiş süreleri, hedef IP adresi bilgisi gibi verilerin elektronik ortama kaydedilerek saklanması 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve ilgili mevzuat kapsamında şirkete yüklenen bir sorumluluk olup, bu kapsam çerçevesinde sayılan veriler işlenmektedir.

Kamu ve Bina Güvenliğinin Sağlanması Amacıyla Kişisel Verilerin İşlenmesi

Şirket misafirlerinin, çalışanlarının ve üçüncü diğer kişilerin menfaatlerinin korunması amacıyla, şirket içerisinde ve kapı önünde mevcut bulunan güvenlik kameralarınca günün 24 saati görüntülü/sessiz kayıt yapılmakta, bu veriler dijital ortamda mevzuatta öngörülen sürelerle saklanmakta, ihtiyaç halinde kullanılmaktadır.

5-ll Kişisel Verilerin Aktarılması

 5-ll.i Kişisel verilerin yurtiçine aktarımı

Kişisel veriler kural olarak ilgili kişinin açık rızası olmadan yurtiçine aktarılamazlar. Ancak KVKK ve ilgili diğer mevzuatla düzenlenen istisna hallerinde, işleme ve aktarım amacına bağlı kalmak kaydıyla özel hukuk kişileri ile kamu kurum ve kuruluşları ile kişinin açık rızası olmadan paylaşılabilmektedir.

Şirketçe işlenen kişisel veriler işbu politika kapsamında belirlenen işleme amaçları doğrultusu ve ölçüsünde olmak üzere, ya da mevzuat çerçevesinde paylaşılmasının gerekmesi halinde; hissedarlar, iş ortakları, iştirakler ve bağlı ortaklıklar, tedarikçiler, topluluk şirketleri ve yetkili kamu kurum ve kuruluşlarına aktarılmaktadır.

5-ll.ii Kişisel verilerin yurtdışına aktarımı

Şirket tarafından normal süreçlerde yurtdışına veri aktarımı yapılmamaktadır. Ancak KVKK ve ilgili diğer mevzuatın zorunlu kıldığı hallerde

  • KVK Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması veya
  • Yeterli korumanın olmadığı ülkelerde yer alması fakat Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması

koşuluyla kişisel veriler açık rıza olmaksızın yurt dışına aktarılabilir.

5-ll.iii Veri aktarımına ilişkin alınan tedbirler

Şirketçe üçüncü kişilere veri aktarımı dijital ortamda şifreleme yöntemleri kullanmak, fiziki verilerde güvenli taşıma ile aktarılarak aktarım esnasında veri sızıntısının önüne geçilmekte, mümkün olduğu hallerde veri alıcısından taahhütname alınarak alıcı tarafından verilerin amaç dışı işlenilmesi engellenmektedir.

5-lll Şirketler Grubunca İşlenen Kişisel Veriler

  • Kimlik

Ad soyad, Anne – baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b.

  • İletişim

Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.

  • Lokasyon

Bulunduğu yerin konum bilgileri v.b.

  • Özlük

Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b.

  • Hukuki İşlem

Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler, arabuluculuk süreçlerine ilişkin bilgiler v.b.

  • Müşteri İşlem

Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.

  • Fiziksel Mekan Güvenliği

Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.

  • İşlem Güvenliği

IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.

  • Risk Yönetimi

Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.

  • Finans

Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.

  • Mesleki Deneyim

Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.

  • Pazarlama

Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.

  • Görsel Ve İşitsel Kayıtlar Görsel ve İşitsel kayıtlar v.b. 14- Sağlık Bilgileri

Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.

  • Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri

Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.

  • Biyometrik Veri

Avuç içi bilgileri, Parmak izi bilgileri, Retina taraması bilgileri, Yüz tanıma bilgileri v.b.

 

5-IV Verilerin İşlenme Amaçları

1- Kimlik

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Eğitim Faaliyetlerinin Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi Lojistik Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

2- İletişim

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Eğitim Faaliyetlerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

3- Lokasyon

Görevlendirme Süreçlerinin Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi Lojistik Faaliyetlerinin Yürütülmesi

4-Özlük

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Eğitim Faaliyetlerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi Ücret Politikasının Yürütülmesi

Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi Yönetim Faaliyetlerinin Yürütülmesi

5- Hukuki İşlem

Faaliyetlerin Mevzuata Uygun Yürütülmesi Hukuk İşlerinin Takibi Ve Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması

6- Müşteri İşlem

Finans Ve Muhasebe İşlerinin Yürütülmesi

Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

Lojistik Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi Pazarlama Analiz Çalışmalarının Yürütülmesi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi Sözleşme Süreçlerinin Yürütülmesi

Talep / Şikayetlerin Takibi

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

7- Fiziksel Mekan Güvenliği

Faaliyetlerin Mevzuata Uygun Yürütülmesi Fiziksel Mekan Güvenliğinin Temini Hukuk İşlerinin Takibi Ve Yürütülmesi

8- İşlem Güvenliği

Bilgi Güvenliği Süreçlerinin Yürütülmesi 9-Risk Yönetimi

Finans Ve Muhasebe İşlerinin Yürütülmesi Risk Yönetimi Süreçlerinin Yürütülmesi

9- Finans

Finans Ve Muhasebe İşlerinin Yürütülmesi

11- Mesleki Deneyim

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Eğitim Faaliyetlerinin Yürütülmesi

Görevlendirme Süreçlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması

12- Pazarlama

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi Pazarlama Analiz Çalışmalarının Yürütülmesi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi Sponsorluk Faaliyetlerinin Yürütülmesi

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

13- Görsel Ve İşitsel Kayıtlar

Denetim / Etik Faaliyetlerinin Yürütülmesi Fiziksel Mekan Güvenliğinin Temini Hukuk İşlerinin Takibi Ve Yürütülmesi

21- Sağlık Bilgileri

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Görevlendirme Süreçlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

23- Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Hukuk İşlerinin Takibi Ve Yürütülmesi

24- Biyometrik Veri

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Performans Değerlendirme Süreçlerinin Yürütülmesi

 

6.VERİLERİN SAKLANMASI VE İMHASI

 6-l Veri Saklamaya İlişkin Bilgiler

Kanunun dördüncü maddesi uyarınca, kanunun üç, beş ve altıncı maddeleriyle işlenmesi düzenlenen verilerin, işlenme amaçlarının gerektireceği süre boyunca muhafaza edilmesi gerektiği düzenlenmiştir.

İşbu çerçevede, işlenen kişisel veriler yukarıda yazılı veri işleme amaçları doğrultusunda, veri envanterinde belirtilen süre kadar saklanmakta; saklama sürelerini dolmasını müteakip ilk periyodik veri imha sürecinde ise imha edilmektedir.

6-llVeri Saklama Ortamları Fiziki Ortamlar

Basılı medyalar, el yazısıyla doldurulan evraklar, basılı evraklar ve fiziki olarak saklamaya elverişli kapsam dahilindeki diğer veriler dosyalanarak klasörler içerisinde saklanmaktadır.

Dijital Ortamlar

Dijital ortamda hazırlanan veya taranan medyalar, evrak kopyaları, görsel ve işitsel kayıtlar, güvenlik kamera kayıtları ve dijital ortama aktarılan kapsam dahilindeki diğer veriler harici bellek, CD-ROM, DVD-ROM, dahili bellek, veri bulutu gibi yerlerde saklanmaktadır.

6-II.i Veri Saklama Gerekçeleri

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 4857 sayılı İş Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu

6-II.ii Veri Saklama Amaçları

  • İnsan kaynakları süreçlerini yürütmek.
  • Kurumsal iletişimi sağlamak.
  • Kurum güvenliğini sağlamak,
  • İstatistiksel çalışmalar
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa
  • VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
  • Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
  • Yasal raporlamalar
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

    6-lll Veri İmha Protokolü
    6-III.i Verilerin İmha Sebepleri
  • İlgilisinin başvurusu üzerine talebin uygun görülmesi
  • Veri saklama süresinin dolması ve sürenin dolmasından sonra saklamayı haklı kılacak bir gerekçenin bulunmaması
  • Veri saklama amacının ortadan kalkması
  • İlgili mevzuatlarda meydana gelecek değişiklikler

6-III.ii Veri İmhası Yöntemleri

Fiziken saklanan veriler için

  • Anonim hale getirme
  • Kağıt öğütme makinesinde öğütme, yakma gibi fiziksel yöntemler
  • Dijital ortamda saklanan veriler için
  • Veri tabanından geri dönülemez şekilde silme
  • Üzerine yeni veri yazmak suretiyle verinin okunamaz hale getirilmesi

6-III.iii Veri İmhasında Sorumluluk

  • Her departmanın işlediği kişisel verilerin korunması ve imhası süreçlerinin yönetilmesinden departman müdürü
  • Şirketin tamamı ile ilgili kişisel verilerin saklanması ve imhası süreçlerini irtibat kişisi koordine
  • Veriler departman müdürü ve iki uzmandan oluşan veri imha komisyonu tarafından veri imha prosedürü gerçekleştirilir. İmha edilen veriler tutanak altına alınır, tutanak komisyon üyelerince imzalanarak şirket bünyesinde mevcut KVKK klasöründe on yıldan az olmamak üzere saklanır.

6-III.iv Veri Saklamadaki Güvenlik Önlemleri

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel ) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

 

7.KİŞİSEL VERİ ENVANTERİ VE SORUMLULARI

 

7-l Kişisel Veri Envanteri

İNSAN KAYNAKLARI DEPARTMANI

Kimlik Verileri – On yıl süreyle saklanır İletişim Bilgileri – Beş yıl süreyle saklanır Özlük Verileri – On yıl süreyle saklanır Lokasyon Verileri – Beş ay süreyle saklanır

Ceza Mahkumiyeti ve Güvenlik Tedbirleri – On yıl süreyle saklanır

Sağlık Bilgileri – On yıl süreyle saklanır Biyometrik Veri – Bir yıl süre ile saklanır Hukuki İşlem – On yıl süreyle saklanır Mesleki Deneyim – On yıl süreyle saklanır

İşlem Güvenliği Verileri – Bir yıl süreyle saklanır

 

SATIN ALMA DEPARTMANI

Kimlik Verileri – On yıl süreyle saklanır İletişim Bilgileri – Beş yıl süreyle saklanır Lokasyon Verileri – Beş ay süreyle saklanır Sağlık Bilgileri – On yıl süreyle saklanır Biyometrik Veri – Bir yıl süre ile saklanır Hukuki İşlem – On yıl süreyle saklanır Finans Verileri – On yıl süreyle saklanır Pazarlama Verileri – On yıl süreyle saklanır Müşteri İşlem – On yıl süreyle saklanır

Risk Yönetim Verileri – Beş yıl süreyle saklanır

İşlem Güvenliği Verileri – Bir yıl süreyle saklanır

 

MUHASEBE DEPARTMANI

Kimlik Verileri – On yıl süreyle saklanır İletişim Bilgileri – On yıl süreyle saklanır Pazarlama Verileri – On yıl süreyle saklanır Sağlık Bilgileri – On yıl süreyle saklanır Hukuki İşlem – On yıl süreyle saklanır Finans Verileri – On yıl süreyle saklanır Özlük Verileri – On yıl süreyle saklanır

Risk Yönetim Verileri – Beş yıl süreyle saklanır

 

IT DEPARTMANI

Görsel Ve İşitsel Kayıtlar – Bir yıl süreyle saklanır Fiziksel Mekan Güvenliği – Bir yıl süreyle saklanır Lokasyon – Beş ay süreyle saklanır

Hukuki İşlem – On yıl süreyle saklanır

İşlem Güvenliği Verileri – Bir yıl süreyle saklanır

 

SEKRETERYA

Görsel ve İşitsel Kayıtlar – Bir yıl süreyle saklanır İşlem Güvenliği Verileri – Bir yıl süreyle saklanır Fiziksel Mekan Güvenliği – Bir yıl süreyle saklanır Hukuki İşlem – On yıl süreyle saklanır

7-ll Kişi Grupları

  • Kimlik Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı Stajyer

Tedarikçi Çalışanı Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Ziyaretçi

  • İletişim
  • Lokasyon
  • Özlük
  • Hukuki İşlem

Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı Stajyer

Tedarikçi Çalışanı Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi

Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı Stajyer

Tedarikçi Çalışanı Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi

Çalışan Adayı Çalışan Hissedar/Ortak Stajyer

Çalışan Adayı Çalışan

  • Müşteri İşlem
  • Fiziksel Mekan Güvenliği
  • İşlem Güvenliği
  • Risk Yönetimi
  • Finans
  • Mesleki Deneyim
  • Pazarlama
  • Görsel Ve İşitsel Kayıtlar

21-Sağlık Bilgileri

Stajyer

Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Alan Kişi

Çalışan Adayı Çalışan Hissedar/Ortak Stajyer

Tedarikçi Çalışanı Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Ziyaretçi

Çalışan Adayı Çalışan Stajyer

Tedarikçi Çalışanı Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Ziyaretçi

Çalışan Adayı Çalışan

Çalışan Adayı Çalışan

Tedarikçi Yetkilisi

Çalışan Adayı Çalışan Stajyer

Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Alan Kişi

Çalışan Adayı Çalışan Stajyer

Tedarikçi Çalışanı Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Ziyaretçi

Çalışan Adayı Çalışan

Sınav adayı Stajye

23- Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri

Çalışan Adayı

24- Biyometrik Veri

Çalışan Stajyer

Çalışan Adayı Çalışan

Sınav adayı Stajyer

 

8.POLİTİKANIN YAYINLANMASI VE YÜRÜRLÜK

Yayınlanma

İşbu politika basılı olarak şirket nezdinde bulundurulmakta, ihtiyaç halinde nüshaları ilgililere verilerek bilgilendirme yapılması sağlanmakta ve şirketin internet sitesi olan www.sgproje.com.tr adresinde kamunun erişimine açık olarak bulundurulmaktadır.

Yürürlük

Politika şirket yönetim kurulunca imzalanarak web sitesinde erişime açıldığı tarihten itibaren yürürlüğe girmiş sayılır.

Politikanın Güncellenmesi

Politika altı ayda bir gözden geçirilir, ihtiyaç olması halinde değişiklik yapılır. Politikanın Yürürlükten Kalkması

Yeni kişisel veri politikasının kabulü ile eskisi yürürlükten kalkmış olur. Yürürlükten kalkan politika Kişisel Verilerin Korunması dosyasında beş sene muhafaza edilir.