ARAS CAM İNŞAAT SAN. VE TİC. A.Ş. (“ŞİRKET”)
ÇALIŞANLARI VE ÇALIŞAN ADAYLARI
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
GİRİŞ 4
AMAÇ 4
KAPSAM 4
BU POLİTİKA’NIN DİĞER POLİTİKALARLA İLİŞKİSİ 4
GÜNCELLENEBİLİRLİK 4
1. İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI 4
1.1. İŞ İLANI VERME VE BAŞVURU SÜREÇLERİNDE İZLENMESİ GEREKEN ADIMLAR 4
1.1.1. İlan Veren Şirket Bilgilerinin Belirtilmesi 4
1.1.2. Toplanan Kişisel Verilerin İşe Alım Süreci ile Uyumlu Olması 5
1.1.3. Özel Nitelikli Kişisel Verilerin İşlenmesi 5
1.2. MÜLAKAT SIRASINDA İZLENMESİ GEREKEN ADIMLAR 5
1.3. İŞE ALIM ÖNCESİ YAPILAN ARAŞTIRMALARDA VEYA KONTROLLERDE İZLENMESİ GEREKEN ADIMLAR 6
1.3.1. Adayların Sağladığı Kişisel Verilerin Doğruluğunun Kontrolü ve Ek Araştırma Yapılması 6
1.3.2. Araştırmanın Zamanı 6
1.3.3. Araştırma Yöntemi 7
1.3.4. Araştırma İçin İzin Alınması 7
1.4. ADAYLARIN KİŞİSEL VERİLERİNİN SAKLANMASI VE GÜVENLİĞİ 7
1.4.1. Adayların Kişisel Verilerinin Güvenliği 7
1.4.2. İşe Alım Sürecine ilişkin Kişisel Verilerin Saklanma Süresi 8
1.4.3. İşe Alınan Adayların Çalışan Kayıtlarına Aktarılması Gereken Kişisel Verileri 8
1.4.4. Başvurusu Kabul Edilmeyen Adayların Kişisel Verileri 8
2. ŞİRKET İLE İŞ İLİŞKİSİNİN SONA ERMESİ SONRASINDA KİŞİSEL VERİLERİN İŞLENMESİ 8
3. ÇALIŞAN VERİLERİNİN İŞLENMESİ 9
3.1. ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİNDE GENEL YAKLAŞIM 9
3.1.1. Çalışanlar’ın Bilgilendirilmesi ve Hukuka Uygun Kişisel Veri İşleme Şartlarına Dayalı Olarak Kişisel Veri İşleme 9
3.1.2. İhtiyaçlar Doğrultusunda Gerektiği Kadar Kişisel Veri Toplanması 9
3.1.3. Kişisel Verilerin Güncelliğinin Sağlanması 9
3.1.4. Özel Nitelikli Çalışan Verilerinin İşlenmesi 10
3.2. ÇALIŞANLAR’IN SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN GENEL YAKLAŞIM 10
3.2.1. Sağlık Verilerinin Zorunlu Olmadıkça İşlenmemesi ve Ayrı Saklanması 10
3.2.2. Sağlık Verilerinin Paylaşımı ve Bu Verilere Erişim 10
3.3. ÇALIŞANLARINKİŞİSEL VERİLERİN KATEGORİZASYONU VE KİŞİSEL VERİLERİN İŞLEME AMAÇLARI 11
3.3.1. Kişisel Verilerin Kategorizasyonu 11
3.3.2. Kişisel Verilerin İşlenme Amaçları 12
3.3.3. Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları 14
3.4. YAN HAKLAR VE MENFAATLERİN SAĞLANDIĞI DURUMLARDA ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ 15
3.5. FIRSAT EŞİTLİĞİNİN GÖZETİLMESİ KAPSAMINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ 15
3.6. USULSÜZLÜKLERLE MÜCADELE KAPSAMINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ 15
3.7. ŞİRKET BİRLEŞME VE DEVRALMALARI İLE ŞİRKET YAPISINI DEĞİŞTİREN DİĞER İŞLEMLERDE ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ 16
3.7.1. Şirket Yapısı Değişikliği İçin Çalışanlar’ın Kişisel Verilerinin Paylaşılması 16
3.7.2. Bilgilendirme Yapılması 16
3.8. DİSİPLİN SORUŞTURMALARINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ 16
3.9. ÇALIŞANLAR’IN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI 17
3.9.1. Çalışanlar’ın Kanuni Hakları 17
3.9.2. Çalışanlar’ın Kanuni Haklarını Kullanmalarına ilişkin Esaslar 17
3.10. ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI 18
3.10.1. Kişisel Veri Paylaşımına İlişkin Genel Kurallar 18
3.10.2. Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma 18
3.10.3. Kişisel Verilerin Yayınlanması 19
3.11. ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ 19
3.11.1. Çalışanlar’ın Kişisel Verilerinin Saklanma Süresine ilişkin Kurallar 19
3.11.2. Saklanma Süresinin Dolmasından Sonra Kişisel Veriler Hakkında Alınacak Aksiyonlar 19
3.12. KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI 20
3.13. KİŞİSEL VERİLERİN GÜVENLİĞİ 20
4. ÇALIŞANLAR’IN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ 20
4.1. ÇALIŞANLAR’IN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİ İŞLEME KONUSUNDAKİ GENEL YAKLAŞIM 20
4.1.1. Çalışanlar’ın Hangi Amaçlarla Hangi İş Faaliyetleri Özelinde Kişisel Verilerinin İşleneceğinin Belirlenmesi 21
4.1.2. Çalışanlar’ın İş Faaliyetlerine ilişkin Şirketimizin Kişisel Veri İşleme Faaliyetleri Hakkında Bilgilendirilmesi 21
4.1.3. Çalışanlar’ın İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Kişisel Verilerin Başka Amaçlarla Kullanılması 21
4.1.4. Çalışanlar’ın İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Bilgilere Karşı Çalışanlar’a Savunma Hakkı Verilmesi 21
4.2. ÇALIŞAN’IN İŞ FAALİYETLERİYLE BAĞLANTILI GERÇEKLEŞTİRDİĞİ ELEKTRONİK HABERLEŞME İŞLEMLERİNE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ 22
4.2.1. Elektronik Haberleşme Araçlarının Kullanımına ilişkin Politika Belirlenmesi 22
4.2.2. Kurumsal Elektronik Posta Kullanımına ilişkin Çalışanların Kişisel Verilerin İşlenmesi 22
4.2.3. İnternet Kullanımına ilişkin Kişisel Verilerin İşlenmesi 22
4.2.4. Çalışan’ın İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine ilişkin Kişisel Verilerinin Saklama Süresi 23
4.3. İŞYERİNDE GÜVENLİK KAMERASI UYGULAMASI 23
4.3.1. Güvenlik Kameralarının Kullanımı Hakkında Bilgilendirme Yapılması 23
4.4. ŞİRKET TARAFINDAN SAĞLANAN ARAÇLARIN TAKİBİ 23
5. ÇALIŞANLAR’IN SAĞLIĞINA İLİŞKİN VERİLER 23
5.1. ÇALIŞANLAR’IN SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN GENEL YAKLAŞIM 23
5.1.1. Sağlık Verilerin İşlenmesine ilişkin Koşullar 23
5.1.2. Çalışanlar’ın Sağlık Verilerinin Belirtilen Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi 23
5.1.3. Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi 24
5.1.4. Çalışanlar’a Sağlık Verilerinin Nasıl Kullanılacağının ve Bu Verilere Kimler Tarafından Erişileceğinin Açıklanması 24
5.2. MUAYENE VE TESTLERDEN ELDE EDİLEN SAĞLIK VERİLERİNİN İŞLENMESİ 24
5.2.1. Sağlık Verilerinin İşlenmesine ilişkin Şirket Politikasının Çalışanlar’a Bildirilmesi 24
5.2.2. İşe Alınması Muhtemel Olan Adayların Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması 24
5.2.3. Çalışanlar’ın Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması 24
5.2.4. Muayeneden Elde Edilen Numunelerin Belirtilen İşleme Amacı Dışında Kullanılmaması 25
6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI 25
7. ŞİRKET ÇALIŞANLARININ VE ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI 25
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.
KVK Kanunu kapsamında kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kişisel veri işleme terimi ise kişisel verilerin toplanmasından silinmesine kadar geçen sürede yapılan her türlü işlem anlamına gelmektedir.
Kişisel verilerin korunması, Şirket için büyük hassasiyet arz etmekte olup Şirket’in öncelikleri arasındadır. Kişisel verilerin işlenmesinde Şirketin uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.
AMAÇ
Bu Politika’da Şirket çalışanlarının kişisel verileri işlenirken Şirketin hangi kurallara uyması gerektiği düzenlenmektedir. Dolayısıyla bu Politika’nın amacı, Şirket tarafından benzer uygulamalar yapılarak hukuka uygun şekilde işlenmesinin sağlanmasıdır.
KAPSAM
Bu Politika’nın birinci dereceden muhatabı Şirketimizdir. Ancak, bu Politika’nın uygulanması ve Politika’da yer alan düzenlemeler, Şirketlerimiz çalışanlarını ilgilendirmektedir. Hali hazırda istihdam ilişkisi devam eden çalışanların yanısıra hala kişisel verileri işlenmekte olan eski çalışanlar ile Şirketimize iş başvurusunda bulunan adaylar da bu Politika kapsamındadır. Bu Politika’da yer alan “Çalışan” ifadesi, uygun olduğu ölçüde, Şirket çalışanlarını, eski çalışanları ve çalışan adaylarını kapsayacaktır.
BU POLİTİKA’NIN DİĞER POLİTİKALARLA İLİŞKİSİ
Bu Politika, Şirket çalışanları’nın kişisel verilerinin işlenmesi konusunda Şirketimizin alacağı aksiyonları düzenlemekte ve kendi çalışanları için oluşturacakları politikanın çerçevesini çizmektedir. Bu Politika’da hüküm bulunmayan haller için kişisel verilerin işlenmesine ilişkin genel politikalarda yer alan hükümler uygulanacaktır.
GÜNCELLENEBİLİRLİK
Bu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde çalışanlarımız, ilgili güncelleme hakkında çeşitli kanallar aracılığı ile bilgilendirileceklerdir.
1. İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI
1.1. İŞ İLANI VERME VE BAŞVURU SÜREÇLERİNDE İZLENMESİ GEREKEN ADIMLAR
1.1.1. İlan Veren Şirket Bilgilerinin Belirtilmesi
Şirketimiz, açık pozisyonlar için işe alım sürecini iş ilanıyla (internet sitesi, gazete ilanı, istihdam veya danışmanlık şirketleri aracılığıyla veya benzeri yöntemlerle) başlatabilir veya kendilerine iletilen özgeçmişleri değerlendirebilirler.
Şirketimiz, adayların kişisel verilerini hukuka uygun bir şekilde işlemeye ve bilgilendirme yükümlülüklerini yerine getirmeye özen gösterirler. Bu kapsamda her bir iş ilanında veya başvuru formunda Şirketin unvanı ve iletişim bilgileri açıkça belirtilir.
Şirketimizin istihdam veya danışmanlık şirketi aracılığıyla işe alım sürecini başlatması durumunda, istihdam veya danışmanlık şirketi tarafından toplanan kişisel verilerin nasıl kullanılacağının ve paylaşacağının belirtilmiş olmasını sağlamaya yönelik önlemleri alır.
1.1.2. Toplanan Kişisel Verilerin İşe Alım Süreci ile Uyumlu Olması
Şirketimiz kişisel veri sahibini bilgilendirme yükümlülüğünün yerine getirebilmesi için toplanan kişisel verilerin hangi amaçla toplandığı hususunda adayları bilgilendirirler. Toplanan kişisel verilerin, aday tarafından başvurulan pozisyon dışında, başka bir pozisyon veya amaç için kullanılması veya paylaşılması öngörülüyorsa, bu kullanım ve paylaşım amaçları açıkça belirtilir.
İşe alım sürecinde kişisel verilerin toplanması için yöneltilen sorular ile kişisel veri toplamak amacıyla hazırlanan formlar her açık pozisyon türüne göre değerlendirilir ve gereksiz kişisel veri toplanmasının önüne geçecek önlemler alınır (Örneğin adayların adı, soyadı, adresi, doğum tarihi, tabiiyeti, e-posta adresi, iş deneyimi ve eğitimi hakkında sorular sorulabilir). Çalışanlardan toplanan bazı kişisel veriler, adayın işe alımı onaylanmadan istenmemelidir (Örneğin, banka hesap bilgileri).
Adayın başvurduğu işin niteliğine göre daha kapsamlı kişisel veri işlenmesi gerekli olabilir. Ancak, söz konusu kişisel veriler işin niteliğine uygun olmalıdır. İşin niteliği gereği talep edilen kişisel veriler sadece ilgili pozisyon için geçerli olmalıdır.
1.1.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Adayların ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve [güvenlik tedbirleriyle] ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Şirketimiz tarafından, kanuni zorunluluk veya işin niteliği gereği olanlar hariç, işe alım kararı vermek amacıyla özel nitelikli kişisel veriler baz alınarak ayrımcılık yapılamaz veya bu amaçlarla işe alım sürecinde özel nitelikli kişisel veriler işlenemez.
İşin niteliği veya kanuni zorunluluk nedeniyle özel nitelikli kişisel verilerin işlenmesi gerekiyorsa, ancak bu kapsama uygun düşen özel nitelikli kişisel veriler, mümkün olduğunca sınırlı olarak işlenebilir. Böyle bir durumda, işlenecek özel nitelikli kişisel verileri talep etme nedeni ve kullanım amacı hakkında başvuru formuyla veya ayrı bir açıklayıcı not ile aday bilgilendirilir.
Talep edilmesi gereken özel nitelikli kişisel veriler, adaydan ilerleyen aşamalarda toplanabilir nitelikte ise, bu veriler işe alım sürecinin ilk aşamasında istenemez.
1.2. MÜLAKAT SIRASINDA İZLENMESİ GEREKEN ADIMLAR
Şirketimiz; adaylar ile video konferans, telefon gibi araçlarla veya yüz yüze mülakat gerçekleştirebilirler.
Şirketimiz mülakatı gerçekleştiren çalışanlarını, mülakat sırasında toplanan kişisel verilerin nasıl kayıt altına alınacağı ve muhafaza edileceği hakkında bilgilendirir.
Görüşmeyi yapan ilgili kişilerin mülakat sırasında kaydettikleri kişisel veriler hakkında, ilgili aday, kişisel verilerine ilişkin kanuni haklarını kullanmayı talep ederse; bu talep Şirket tarafından en geç 30 gün içerisinde cevaplandırılır. Şirketimiz, görüşmeyi gerçekleştirecek olan çalışanlarını bu konu hakkında bilgilendirir.
Şirketimiz, aday tarafından ileri sürülebilecek kanuni hak kullanım taleplerinin kullanılması için gerekli önlemleri alır.
1.3. İŞE ALIM ÖNCESİ YAPILAN ARAŞTIRMALARDA VEYA KONTROLLERDE İZLENMESİ GEREKEN ADIMLAR
1.3.1. Adayların Sağladığı Kişisel Verilerin Doğruluğunun Kontrolü ve Ek Araştırma Yapılması
İşe alım sürecinde adayların ilettiği kişisel verilerin doğruluğu Şirketimiz tarafından başka kaynaklardan teyit edilebilir. Kontrol sadece aday tarafından iletilen kişisel verilerin doğruluğunu teyit etmek amacıyla yapılır.
Şirketimiz; aday tarafından iletilen kişisel verilerin doğruluğunun kontrol edilmesi durumunda, adayı bu husus hakkında (kontrol edilecek olan kişisel veriler, kullanılacak olan kontrol yöntemi ve kaynaklar hakkında) bilgilendirir ve [açık rıza gerektiği takdirde rızasını] alır. Ayrıca kontrol sonucu elde edilen bilgi ile iletilen kişisel veri arasında tutarsızlık olması durumunda, adaya durumu açıklama olanağı tanınır.
Ayrıca; bazı özel durumlarda Şirketimiz tarafından aktif bir şekilde aday hakkında ek bilgilerin elde edilmesine ilişkin araştırma yapılabilir. Araştırma yapılması yerine, istenilen bilgilerin mümkün olduğu kadar adaydan alınmasına özen gösterilmelidir.
Aday hakkında araştırma yapılabilmesi için aşağıdaki tüm koşulların mevcudiyeti aranır:
• Kullanılan yöntemler hukuka uygun olmalıdır.
• Araştırılması gereken kişisel verilerin toplanamaması durumunda, Şirketimiz veya müşterileri ve/veya iş ortakları açısından risk oluşması söz konusu olmalıdır, Aynı amaca ulaşmak için daha makul bir alternatif bulunmamalıdır.
Şirketimiz; hangi pozisyonlar için ek araştırma yapılması gerektiğini yukarıdaki koşullar ışığında önceden belirlemeye özen gösterirler.
Şirketimiz, iş başvuru formunda veya ek açıklayıcı bilgilendirme notunda, adaylara ilişkin araştırma yapılacağı, araştırmanın kapsamı ve araştırma için kullanılacak olan kaynak çeşitleri hususlarına mümkün olduğunca yer vermeye çalışırlar. Araştırma sırasında ilgili kaynaklardan bilgi alınabilmesi için adayın hangi kişisel verilerinin paylaşılacağı hakkında da adaya bilgi verilir.
1.3.2. Araştırmanın Zamanı
Şirketimiz tarafından adaylarla ilgili ek araştırma yapılması gerekli görülüyor ise, adaylara haklarında araştırma yapılacağı hususu işe alım sürecinin ilk aşamalarında bildirilir.
Şirketimiz tarafından başvuruda bulunan kişi hakkında araştırma yapılması söz konusu olduğunda, araştırma işe alım sürecinin mümkün olduğu kadar sonuçlanmasına yakın bir aşamasında yapılır. Ön elemeden geçen adayların tümüne kapsamlı araştırma yapılmaz. Ancak açık pozisyona seçilme ihtimali yüksek adaylar hakkında kapsamlı araştırma yapılabilir.
1.3.3. Araştırma Yöntemi
Şirketimiz aday hakkında araştırma yaparken kaynakları titizlikle seçer. Bu kapsamda Şirketimiz aşağıdaki ilkelere uymalıdır:
• Araştırılan bilginin ilgili kaynaktan talep edilebilmesi için, bilgiyi söz konusu kaynaktan elde etme ihtimali yüksek olmalıdır.
• Adayın ailesi veya yakın çevresine istisnai durumlarda başvurulmalıdır.
• Araştırma sonucu elde edilen bilgi, kaynağın güvenilirliğine göre değerlendirilmelidir.
• Hiçbir istihdam kararı güvenilirliği şüpheli olan bir kaynağa dayanmamalıdır.
• Güvenilirliği kesin olmayan kaynaklardan elde edilen bilgilere itimat edilmemelidir.
• Şirketimiz, kendi bünyesindeki ilgili çalışanı veya araştırmayı üstlenecek olan kişileri araştırma yöntemi hakkında bilgilendirmelidir.
• Araştırmanın sonucu adayın aleyhine sonuçlanır ise, söz konusu durum hakkında aday bilgilendirilmelidir. Şirketimiz başvuran adayın sonuç hakkında bilgilendirilebilmesi ve adayın arzu ettiği takdirde duruma ilişkin açıklama yapabilmesini teminen bir sistem kurmalıdır.
• Adayın sonuç hakkında vereceği açıklama dikkate alınmalıdır.
• Araştırma sırasında adaydan farklı bir kişiye ilişkin kişisel veri elde edilmemesine özen gösterilmelidir.
• Adaydan farklı bir kişiye ilişkin kişisel veri toplanması ve işlenmesi halinde, ilgili kişi, söz konusu durum ve bilginin işlenme yöntemi hakkında bilgilendirilmelidir. Bu bilgilendirmeyi gerçekleştirebilmek amacıyla bir sistem kurulması gerekmektedir.
1.3.4. Araştırma İçin İzin Alınması
Araştırma sırasında üçüncü bir kişiden bilgi ve belgenin toplanması adayın rızasına bağlı ise, Şirketimiz adaydan açık rıza almalıdır. Üçüncü kişinin adaydan açık rıza alması yerine, Şirketimizin açık rızayı doğrudan adaydan alması yöntemi mümkün olduğunca tercih edilmelidir.
1.4. ADAYLARIN KİŞİSEL VERİLERİNİN SAKLANMASI VE GÜVENLİĞİ
1.4.1. Adayların Kişisel Verilerinin Güvenliği
İşe alım sürecinde Şirketimiz, Çalışanlar’ın kişisel verilerinin korunmasına ilişkin gösterdiği özeni aynı şekilde işe başvuran adaylara da gösterir. Bu kapsamda özellikle aşağıdaki önlemler alınır:
• Başvurular dijital ortamda iletiliyor ise, Şirketimizin güvenli bir sistem kurması gerekir.
• Elektronik ortamda iletilen başvurular sadece işe alım sürecinden sorumlu olan kişiler tarafından erişilebilen dizin veya sistemlere kaydedilir.
• Başvurular posta veya faks aracılığıyla iletiliyor ise, insan kaynaklarından sorumlu yetkili kişiye başvuruların iletilmesi sağlanır. Elde edilen fiziki belgelerin güvenliği sağlanır.
• Şirketimiz adayların kişisel verilerine erişimi, işe alım süreçlerini yürütmekle görevli olan kişilerle sınırlar. Söz konusu kişiler, adaylara ait kişisel verilerin işlenmesi ile alınacak güvenlik önlemleri hakkında düzenli aralıklarla bilgilendirilir.
1.4.2. İşe Alım Sürecine ilişkin Kişisel Verilerin Saklanma Süresi
Şirketimiz işe alım sürecine ilişkin kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini engellemek adına her türlü teknik, idari ve hukuki tedbiri alır.
Şirketimiz işe alım sürecine ilişkin adayın kişisel verilerini, bu verilerin işlenme amaçlarına uygun olan bir süre boyunca saklar. İş hukuku ve diğer ilgili düzenlemelere uyumlu olarak, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, kişisel veriler, Şirketimiz tarafından veya adayın talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Geçerli bir sebep olmadığı takdirde (muhtemel uyuşmazlıkların çözümü gibi), Şirketimiz ilgili kişisel verileri işe alım sürecinden dolayı doğabilecek taleplerin zamanaşımı süresi bitiminden sonra muhafaza etmezler. İlgili zamanaşımı süresinin bitiminden itibaren adayın kişisel verileri anonimleştirilerek saklanmaya devam edilebilir.
İşe alım sürecinde adayın durumu hakkında araştırma yapılmış veya herhangi bir şekilde üçüncü kişilerden veri temin edilmiş ise; üçüncü kişilerden elde edilen bilgiler en kısa sürede silinir. Şirketimiz araştırma yapılıp yapılmadığını, araştırmanın sonucunu ve adayın işe alınıp alınmadığını belirterek araştırmanın sonuçlarını saklayabilir.
1.4.3. İşe Alınan Adayların Çalışan Kayıtlarına Aktarılması Gereken Kişisel Verileri
Şirketimiz açık pozisyona kabul edilen başarılı adayların özlük dosyalarına, adaylık süreci boyunca elde edilen kişisel verilerden hangi verilerin aktarılacağını özenle belirler. İş ilişkisi ve özlük dosyasının kapsamı gereği gerekli olmayan kişisel veriler yeni çalışanın özlük dosyasına aktarılmaz.
1.4.4. Başvurusu Kabul Edilmeyen Adayların Kişisel Verileri
Şirketimiz başarıyla sonuçlanmayan başvuruları ileride açılabilecek pozisyonlar için değerlendirmek isterlerse, kayıtlarda adayların kişisel verilerini tutabilirler. Bu amaçla kişisel veri tutulacaksa; iş başvuru formunda veya ek açıklayıcı belgelerde Şirketimizin adayları bu konuda bilgilendirmeleri ve talep etmeleri durumunda bilgilerin kayıtlardan silinebileceğini belirtmeleri gerekmektedir.
2. ŞİRKET İLE İŞ İLİŞKİSİNİN SONA ERMESİ SONRASINDA KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz ile iş ilişkisi sona eren Çalışanlar’ın kişisel verileri, olası hukuki uyuşmazlıklarda kullanılma amacı başta olmak üzere KVK Kanunu’nun 5. ve 6. maddelerinde belirlenen şartların varlığı halinde işbu Politika’da belirtilen amaçlarla işlenebilecektir.
3. ÇALIŞAN VERİLERİNİN İŞLENMESİ
3.1. ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİNDE GENEL YAKLAŞIM
3.1.1. Çalışanlar’ın Bilgilendirilmesi ve Hukuka Uygun Kişisel Veri İşleme Şartlarına Dayalı Olarak Kişisel Veri İşleme
Şirketimiz, Çalışanlar’ını; kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir.
Şirketimiz, işledikleri kişisel verileri değerlendirerek, KVK Kanunu’nda yer alan şartlardan en az birisine dayalı olarak bu verileri işlerler. Bu şartlar;
• Çalışan’ın açık rızasının olması,
• Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık sebebiyle Çalışan’ın açık rızasının alınamaması,
• Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
• Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
• Meşru menfaate dayalı olarak verilerin işlenmesidir.
Bu şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir.
Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır.
Şirketimiz, kişisel verilerinin saklanması, kullanılması ve paylaşılmasına ilişkin olarak Çalışanlar’ın bilgilendirilmesi konusunda, kendilerine özgü şartlara göre en faydalı yöntemi tespit eder ve uygular.
3.1.2. İhtiyaçlar Doğrultusunda Gerektiği Kadar Kişisel Veri Toplanması
Şirketimiz, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine Çalışanlar’dan kişisel veri toplar. Şirketimiz, toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını sağlar.
Yukarıda belirtilen prensibe uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır. Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir ya da anonimleştirilir.
3.1.3. Kişisel Verilerin Güncelliğinin Sağlanması
Şirketimiz, Çalışanlar’ın kişisel verilerinin güncelliğini sağlamak adına gerekli önlemleri alır.
Bu kapsamda özellikle aşağıda hususlara dikkat edilir:
• Çalışanlar’ın, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili Çalışan’ın kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
• Çalışanlar’ın değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
• Çalışanlar’ın değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık çalışmaları ile ilgili insan kaynakları personeli tarafından aktif takip yapılır.
Yukarıda açıklanan yöntem haricinde Şirketimiz; kendine özgü koşullara göre Çalışanlar’ın işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.
3.1.4. Özel Nitelikli Çalışan Verilerinin İşlenmesi
Kişisel verilerin bir kısmı, KVK Kanunu kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.
Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve [güvenlik tedbirleriyle] ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz sağlık verilerini, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebilir:
• Çalışan’ın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda öngörülen hallerde,
• Çalışan’ın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.
3.2. ÇALIŞANLAR’IN SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN GENEL YAKLAŞIM
3.2.1. Sağlık Verilerinin Zorunlu Olmadıkça İşlenmemesi ve Ayrı Saklanması
Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta Çalışanlar’ın kaza ve hastalık raporları olmak üzere Çalışanlar’ın sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışan’ın işe gelmediği günlere ya da karıştığı kaza ve diğer olaylara ilişkin bilgiler kullanılırken Çalışan’ın sağlık verilerinin kullanılmasından mümkün olduğunca kaçınılır.
3.2.2. Sağlık Verilerinin Paylaşımı ve Bu Verilere Erişim
Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate alınarak ve bu yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür.
Şirketimiz, Çalışanlar’ın sağlık verileri ile ilgilenen kişilerin yukarıdaki durumlar hakkında bilgilendirilmesini ve eğitilmesini düzenli aralıklarla sağlar.
Şirketimiz kural olarak, Çalışanlar’ın sağlık verilerini diğer Çalışanlar’ın erişimine açmazlar. Ancak hukuken Şirketi’nin meşru menfaatleri gereği bir işin ve bu işle ilgili olarak da bu verilerin işlenmesi zorunlu ise; bu işle görevli olan personelin işin gereğini yerine getirmekle sınırlı olmak kaydıyla bu kişisel verileri işlemeleri için gerekli idari ve teknik tedbirler alınarak kendilerine erişim hakkı sağlanır.
Yöneticilerin kendi yönetimsel rollerini yerine getirebilmeleri açısından zorunlu olarak bilmeleri gereken sağlık verileri, yöneticilere açıklanabilir. Şirketimizin yöneticileri, sağlık verilerinin hassasiyeti ve bu verilerin KVK Kanunu’ndaki işleme şartları konusunda, sağlık verileri kendileriyle paylaşılmadan önce bilgilendirir.
3.3. ÇALIŞANLARINKİŞİSEL VERİLERİN KATEGORİZASYONU VE KİŞİSEL VERİLERİN İŞLEME AMAÇLARI
3.3.1. Kişisel Verilerin Kategorizasyonu
Bu Politika kapsamında, Şirket tarafından çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.
Şirketimiz nezdinde; Şirketimizin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nun 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bu amaçlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
KİŞİSEL VERİ KATEGORİZASYONU KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Kimlik Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, Pasaport, Mesleki Kimlik, Şirket Kimliği, Evlilik Cüzdanı, Vukuatlı Nüfus Cüzdanı Örneği belgeler gibi dokümanlarda yer alan tüm bilgiler.
İletişim Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; İkametgâh, telefon numarası, adres, e-mail, adres kayıt sistemi gibi bilgiler.
Sağlık Bilgileri Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket’in iş birimleri tarafından yürütülen operasyonlar çerçevesinde; sunduğu ürün ve hizmetlerle ilgili olarak veya Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin iş süreçlerini yürütmek veya Şirket’in ve Kişisel Veri Sahibi’nin hukuki ve diğer menfaatlerini korumak amacıyla elde edilen Kişisel Veri Sahibi’nin ve/veya aile bireylerinin Sağlık Raporu, Engelli vergi muafiyet belgeleri, sigorta belgeleri, askerlik durum belgesi gibi sağlık verileri
3.3.2. Kişisel Verilerin İşlenme Amaçları
Şirket, KVK Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir.
Bu çerçevede; Şirketimiz kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla işleyebilmektedir:
Kapsam Amaç
Şirket’in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanmasının ve İcra Edilmesi amacı kapsamında
• İnsan kaynakları süreçlerinin planlanması
• Personel temin süreçlerinin yürütülmesi
• Eğitim faaliyetlerinin planlanması ve icrası
• Çalışanların iş faaliyetlerinin takibi ve denetimi
• Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası
• Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
• Çalışan memnuniyetinin ve bağlılığı süreçlerinin planlanması ve icrası
• Ücret Politikasının yönetimi
• Erişim yetkilerinin yürütülmesi
• Yetenek/kariyer gelişimi faaliyetlerinin planlanması ve icrası
• Çalışanların iş ve üretim süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi süreçlerinin planlanması ve icrası
Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi amacı kapsamında;
• Finans ve muhasebe işlerinin takibi
• İletişim faaliyetlerinin planlanması ve icrası
• Yönetim faaliyetlerin yürütülmesi
• İş faaliyetlerinin yürütülmesi/denetimi
• Mal/Hizmet Üretim ve operasyon süreçlerinin planlanması ve icrası
• Bilgi güvenliği süreçlerinin yürütülmesi
• İş sürekliğinin sağlanması faaliyetlerinin yürütülmesi
Şirket’in Ticari ve İş Stratejilerinin Planlanması ve İcrası amacı kapsamında;
• Eğitim Faaliyetlerinin yürütülmesi
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Stratejik planlama faaliyetlerinin yürütülmesi
Şirket’in ve Şirket’le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin temini amacı kapsamında;
• Faaliyetlerin mevzuata uygun yürütülmesi
• İş sağlığı/güvenliği süreçlerinin planlanması ve icrası
• Denetim/Etik faaliyetlerinin yürütülmesi
• Hukuk işlerinin takibi ve yürütülmesi
• Fiziksel mekan güvenliğinin temini
• Şirket (Veri sorumlusu) operasyonlarının güvenliğinin temini
• Risk yönetimi süreçlerinin yürütülmesi
• Yetkili kişi, kurum ve kuruluşlara mevzuattan kaynaklı bilgi verilmesi
• Acil durum yönetimi süreçlerinin yürütülmesi
3.3.3. Şirket Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Şirket, KVKK’nun 8. ve 9. maddelerine uygun olarak Politika ile yönetilen çalışanların kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
• Şirket iş ortaklarına,
• Şirket iştirakleri ve bağlı ortaklarına,
• Şirket içi ilgili bölüm ve departman yetkililerine,
• Hukuken Yetkili kamu kurum ve kuruluşlarına
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler Tanımı Veri Aktarım Amacı
İş Ortağı Şirket’in ticari faaliyetlerini yürütürken müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak.
Tedarikçi Şirket’in ticari faaliyetlerini yürütürken emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirket’e hizmet sunan tarafları tanımlamaktadır. Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak.
Şirket içi ilgili bölüm ve departman yetkililileri Şirketin ilgili departman yetkililerini tanımlamaktadır. Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak.
Hukuken Yetkili Kamu Kurum ve Kuruluşları İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak.
3.4. YAN HAKLAR VE MENFAATLERİN SAĞLANDIĞI DURUMLARDA ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Özel sağlık sigortası, hayat sigortası, ferdi kaza sigortası, şirket aracı, bireysel emeklilik, esnek yan fayda programı ya da benzeri faydalar bu başlık altında yan haklar ve menfaatler olarak adlandırılır.
Şirketimiz, Çalışanlar’ın kişisel verilerinin Çalışanlar’a yan haklar ve menfaatler sağlamak için hizmet alınan üçüncü kişilerle paylaşılmasında, asgari düzeyde veri paylaşmaya özen gösterir. Bahsi geçen üçüncü kişilerle sadece, ilgili yan hak ve menfaatin sağlanması için zorunlu olan kişisel veriler paylaşılır. Ayrıca, bu kapsamda toplanan kişisel verilerin başka bir amaçla kullanılmaması için gerekli tedbirler alınır.
Hizmet alınan üçüncü kişilerle paylaşılacak kişisel verilerin özel nitelikli kişisel veri olup olmadıkları paylaşımdan önce değerlendirilir.
Hizmet alınan üçüncü kişiler ile yapılacak kişisel veri paylaşımları hakkında Çalışanlar’ın bilgilendirilmesi sağlanır. Bu kapsamda, Çalışanlar’ın hangi kişisel verilerinin paylaşıldığı ve bunların ne amaçla kullanılacağı Çalışan’a açıklanır.
3.5. FIRSAT EŞİTLİĞİNİN GÖZETİLMESİ KAPSAMINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirketimiz Çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde kişisel veri işleyebilir.
Fırsat eşitliğinin sağlanması için işlenen kişisel veriler belirli aralıklarla kontrol edilir. Fırsat eşitliğinin sağlanması amacıyla işlenen kişisel veriler mümkün olan en geniş kapsamda anonimleştirilerek kullanılır.
3.6. USULSÜZLÜKLERLE MÜCADELE KAPSAMINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirketimiz, Çalışanlar’ın usulsüz işlemlerini engellemek adına değişik birimlerde bulunan kişisel veri setlerini karşılaştırabilir.
Usulsüzlüklerle mücadele kapsamında yapılacak kişisel veri seti karşılaştırma işlemleri için kurallar Şirketimiz tarafından belirlenir.
Şirketimiz usulsüz işlemlerin tespiti amacıyla çalışanlarının kişisel verilerini ancak aşağıdaki koşullar veya benzeri koşullardan birinin varlığı halinde paylaşır:
• Hukuken ilgili Çalışan’ın kişisel verilerinin paylaşılmasının zorunlu olması,
• Çalışan’ın kişisel verilerinin paylaşılmaması halinde bir suçun önlenmesinin ya da tespit edilmesinin mümkün olmayacağına dair güçlü şüphe bulunması,
• İlgili Çalışan’ın iş sözleşmesinde, kişisel verilerinin bu kapsamda paylaşılmasına ilişkin hüküm bulunması.
3.7. ŞİRKET BİRLEŞME VE DEVRALMALARI İLE ŞİRKET YAPISINI DEĞİŞTİREN DİĞER İŞLEMLERDE ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirket birleşme ve devralmaları da dahil şirket yapısını değiştiren tüm işlemler bu bölüm altında değerlendirilmektedir.
3.7.1. Şirket Yapısı Değişikliği İçin Çalışanlar’ın Kişisel Verilerinin Paylaşılması
Şirketimiz, şirket yapısı değişikliği amacıyla Çalışanlar’ın kişisel verilerini paylaşma gereksinimi duyduklarında; öncelikle bu kişisel verilerin mümkün olduğu ölçüde anonimleştirilerek paylaşılmasını sağlar.
Anonimleştirilerek paylaşılması mümkün olmayan Çalışan kişisel verileri için karşı taraftan sadece şirket yapısı değişikliği ile ilgili işlemleriyle sınırlı olarak bu kişisel verileri kullanacağı, kişisel verilerin KVK Kanunu’nun veri güvenliği hükümleri uyarınca korunacağı ve KVK Kanunu’nun ilgili hükümlerine uygun olarak işleneceği, kişisel verilerin üçüncü kişilere aktarılmayacağı ve ilgili işlemler tamamlandıktan sonra kişisel verilerin silineceği veya yok edileceğini konularında taahhüt alınır.
3.7.2. Bilgilendirme Yapılması
Bilgilendirmenin Şirket menfaatlerine olumsuz herhangi bir etkisi olmayacak ise (örneğin şirket birleşmesi işlemi çerçevesinde kişisel verilerinin paylaşıldığını öğrenen Çalışan’ın bu bilgiyi kullanarak şirket hisse fiyatlarına etki etmesi gibi), Çalışanlar’a hangi kişisel verilerinin ne amaçla paylaşıldığına ve kullanılacağına ilişkin bilgilendirme yapılır.
Çalışanlar, ayrıca, hangi kişisel verilerinin şirket yapısı değişikliği sonucu yeni işverenlerine aktarılacağı konusunda bilgilendirilir.
3.8. DİSİPLİN SORUŞTURMALARINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirketimiz, disiplin soruşturmaları sırasında da Çalışanlar’ın kişisel verilerinin korunmasına ilişkin yükümlülüklere aynen uymak zorundadırlar. Bu kapsamda özelikle aşağıdaki aksiyonlar alınır:
• Disiplin soruşturmalarına ilişkin politika ve prosedürlerin kişisel verilerin korunmasına ilişkin yükümlülüklerle uyumlu hale getirilmesi,
• Disiplin soruşturmaları kapsamına giren kişisel verilere de Çalışanlar’ın kişisel verilerine erişme hakkı kapsamında erişilebileceği konusunda disiplin soruşturmaları yapmaya yetkili kişilerin bilgilendirilmesi,
• Disiplin soruşturmaları sırasında hukuka aykırı yöntemlerle kişisel veri elde edilmemesini sağlayacak önlemlerin alınması,
• Disiplin soruşturmaları sırasında kullanılacak olan kişisel verilerin doğru ve güncel olmasına dikkat edilmesi,
• Disiplin soruşturmasına ilişkin kişisel verilerin ve kayıtların güvenli şekilde saklanması,
• Çalışanlar hakkındaki asılsız iddiaların, eğer bunların silinmemesi için herhangi bir hukuki sebep bulunmuyorsa, çalışanların dosyalarından silinmesinin sağlanması.
Şirketimiz, Çalışanlar’ın kişisel verilerine sadece disiplin soruşturmasının varlığı sebebiyle keyfi olarak erişilmesine engel olurlar. Bu kapsamda kişisel verilerin elde edilme amaçlarına uygun düşmüyorsa veya soruşturma konusunun ciddiyetine göre kişisel verilere erişmek orantısız bir işlem olarak değerlendiriliyorsa salt disiplin soruşturması nedeniyle çalışanların kişisel verilerine erişilemez.
3.9. ÇALIŞANLAR’IN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI
3.9.1. Çalışanlar’ın Kanuni Hakları
Çalışanlar’ın kişisel verilerine ilişkin olarak ilgili mevzuat gereği aşağıdaki hakları bulunmaktadır:
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f. İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
3.9.2. Çalışanlar’ın Kanuni Haklarını Kullanmalarına ilişkin Esaslar
Şirketimiz, Çalışanlar’ın kanuni haklarını kullanabilmelerini, gerekli başvuruların yapılabilmesini ve yapacakları başvurulara en geç 30 gün içerisinde cevap verilmesini sağlayacak her türlü idari, hukuki ve teknik önlemleri alır ve ilgili süreçleri tasarlayarak bu konuda Çalışanlar’ı bilgilendirirler.
Şirketimiz tarafından kanuni haklarını kullanan Çalışanlar’a verilecek cevaplarda üçüncü kişilerin kişisel verilerinin ifşa edilmemesi için gereken her türlü özen gösterilir.
3.10. ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI
3.10.1. Kişisel Veri Paylaşımına İlişkin Genel Kurallar
Şirketimiz Çalışanlar’ın kişisel verilerinin paylaşımına ilişkin iç prosedürlerini belirler. Veri paylaşım taleplerinin bu konuda yetkin Çalışanlarca cevaplanması sağlanır.
Şirket dışından gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta şirketi talepleri gibi) gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır. Şirket dışından gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.
Çalışanlar’ın kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin yurtdışına aktarılmasına ilişkin her türlü idari, hukuki ve teknik önlem alınır.
Çalışanlar’ın kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki yükümlülüğün kapsamına uygun şekilde kişisel veri paylaşımı yapılabilir.
Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla; Çalışanlar’ın kişisel verileri ancak aşağıdaki şartlardan birisinin varlığı halinde üçüncü kişilere aktarılabilir:
• Veri sahibinin açık rızasının olması,
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise, Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.10.2. Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma
Çalışanlar’ın kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının KVK Kanunu’nda yer alan şartlardan birisine dayalı olması aranır.
Çalışanlar’ın, daha önce bilgilendirilmemiş olmaması halinde, en geç paylaşım anında bu paylaşım ile ilgili olarak bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı niteliği taşıyorsa ilgili Çalışan konuya ilişkin bilgilendirilmez.
Rutin olarak gerçekleştirilmeyen Çalışanlar’ın kişisel verilerinin şirket dışı paylaşım talepleri ve bu kapsamda yapılan paylaşımlar Şirket tarafından kayıt altına alınabilir. Bu kapsamda asgari olarak paylaşıma onay veren kişi, paylaşım talebinde bulunan kişi, paylaşım gerekçesi, paylaşım tarih ve saati ile paylaşılan veri tipleri kayıt altına alınır. Bu kayıtların düzenli olarak kontrol edilmesi ve incelenmesi sağlanır.
3.10.3. Kişisel Verilerin Yayınlanması
Şirketimiz, Çalışanlar’ın kişisel verilerini ancak aşağıdaki şartlara dikkat ederek yayınlayabilirler:
• Kişisel verilerin yayınlanması için hukuki bir hak veya yükümlülük bulunması veya Çalışan’ın yayınlama için açık rıza vermiş olması,
• Kişisel verilerin açıkça elverişsiz olmaması.
• Şirketimiz, kişisel verilerin yayınlanması neticesinde elde edilecek faydalar ile Çalışanlar’ın gizliliğinin korunacağına ilişkin beklentileri dengeleyici bir yaklaşım ile hareket ederler.
Yıllık raporlar, yayınlar ya da internet siteleri gibi mecralarda bazı Çalışanlar’ın isimlerinin ve diğer kişisel verilerin yayınlanması halinde, bu durumlar özel olarak değerlendirilir ve açık rıza alınması gereksinimi olup olmadığı belirlenir. Açık rıza alınması gerektiğine kanaat getirilmesi halinde ilgili Çalışanlar’ın açık rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel veri tipleri tek tek Çalışan’a bildirilir.
3.11. ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ
3.11.1. Çalışanlar’ın Kişisel Verilerinin Saklanma Süresine ilişkin Kurallar
Şirketimiz, Çalışanlar’ın kişisel verilerinin saklanmasında mevzuatın getirdiği yükümlülükleri de göz önünde bulundurarak makul süreler belirler. Çalışanlar’ın kişisel verilerinin saklanma süresi, kural olarak ilgili veriye ilişkin mevzuatın öngördüğü süreyi ve her halükarda mevzuatın belirlemiş olduğu en uzun zamanaşımı süresini aşamaz. Ancak Çalışanlar’ın kişisel verilerinin belirtilen sürelerden daha uzun süre saklanmasında uygun bir fayda görülmesi halinde Çalışanlar’ın kişisel verilerinin saklanma süresi bu faydaya uygun olarak uzatılabilir.
Çalışanlar’ın kişisel verilerinin saklanma süresi her bir veri tipi ya da kategorisi için ayrı ayrı belirlenir.
Şirketimiz, Çalışanlar’ın kişisel verilerinin saklanması ve silinmesi işlerinin takibi için gerekli olan teknik ve idari tedbirleri alır.
3.11.2. Saklanma Süresinin Dolmasından Sonra Kişisel Veriler Hakkında Alınacak Aksiyonlar
Çalışanlar’ın kişisel verilerinin saklanma süresinin dolmasından sonra bu kişisel verilerin anonimleştirilmesi, silinmesi veya yok edilmesi sağlanır.
Şirketimiz, saklanma süresinin dolmasından sonra Çalışanlar’ın kişisel verilerinin, anonimleştirerek saklama gereği duyulmaması halinde, silinmesini veya yok edilmesini sağlar. Kişisel verilerin silinme işleminin etkinliğinin sağlanması için gereken önlemler alınır.
3.12. KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI
Şirketimiz, Çalışanlar’ın kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar kullanabilirler. Ancak Şirketimiz, dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri almak zorundadır:
• Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarının kontrol edilmesi,
• Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,
• Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar da içeren sözleşme yapılması,
• Kişisel verilerin yurtdışındaki dış hizmet sağlayıcılarına gönderilmesi halinde gerekli hukuki, idari ve teknik önlemlerin alınması.
3.13. KİŞİSEL VERİLERİN GÜVENLİĞİ
Çalışan verilerinin güvenliğini sağlamak için Şirketimiz gereken tüm makul önlemleri alır. Alınan önlemler yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır.
Şirketimiz, Çalışanlar’ın iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu Çalışanlar tayin eder. Çalışanlar’ın bu kapsamda kişisel veri işleme faaliyetinden sorumlu olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak Çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda Şirketimiz, mevcut durumda bu verilere erişimi gereksiz olan Çalışanlar var ise bu Çalışanlar’ın erişim yetkilerini kaldırır veya sınırlar. Çalışanlar’ın kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri alınır. Bu kapsamda ayrıca erişim yetkili kişilerin gereksiz yere geniş yetki sahibi olması engellenir.
Bilgi sistemleri üzerinde kimlerin Çalışanlar’ın kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilir ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulur.
Çalışanlar’ın kişisel verilerine erişimi olan diğer Çalışanlar’ın gerekli güvenlik kontrollerinden geçirilmeleri esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır.
Çalışanlar’a ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanır.
4. ÇALIŞANLAR’IN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ
4.1. ÇALIŞANLAR’IN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİ İŞLEME KONUSUNDAKİ GENEL YAKLAŞIM
Bu Bölüm altında Çalışanlar’ın Şirketimizin faaliyetlerinin yürütülmesi esnasında gerçekleştirdikleri işlemler özelinde, hangi kişisel verilerinin işlenebileceğine ilişkin (iletişim, araç kullanımı v.b.) hususlar ile bu konuda Şirketimiz tarafından uyulması gereken esaslar detaylandırılmaktadır.
4.1.1. Çalışanlar’ın Hangi Amaçlarla Hangi İş Faaliyetleri Özelinde Kişisel Verilerinin İşleneceğinin Belirlenmesi
Şirketimiz, Çalışanlar’ın hangi iş faaliyetleri özelinde ve hangi amaçlarla kişisel verilerini işlediklerini (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi) tespit eder ve kişisel verilerin işlenme amaçları ile sağlanmak istenen sonuca uygun olacak kişisel veri işleme yöntemlerini belirler.
Şirketimiz, kendi bünyelerinde gerçekleştirecekleri değerlendirme sonucu, Çalışanlar’ın iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme amaçlarının veya yöntemlerinin kişisel verilerin korunması kurallarına uygunluğunu sağlar.
Şirketimiz, Çalışanlar’ın iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetlerinde görevli Çalışanlar’ını kişisel verilerin korunması ve konuya ilişkin diğer mevzuat, ilgili mevzuat kapsamında dikkat edilmesi gereken hususlar ve Şirketin mevzuattan kaynaklanan yükümlülükleri konusunda bilgilendirilir. Bu faaliyetler neticesinde elde edilen kişisel verilere erişimi olan Çalışanlar ile yapılan sözleşmelere ilave gizlilik ve güvenlik yükümlülükleri eklenir veya bu kişiler tarafından gizlilik politikaları/taahhütnameleri imzalanması sağlanır.
4.1.2. Çalışanlar’ın İş Faaliyetlerine ilişkin Şirketimizin Kişisel Veri İşleme Faaliyetleri Hakkında Bilgilendirilmesi
Şirketimiz, Çalışanlar’ı; işle ilgili gerçekleştirmiş olduğu faaliyetleri kapsamında ne şekilde bir kişisel veri işleme faaliyetinde bulundukları (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi), bu kişisel verilerin işlenme amaçları ve prosedürleri hakkında bilgilendirir.
Şirketimiz; iş saatleri içerisinde iş ve işyeri kurallarına uygun davranılıp davranılmadığının ve Çalışan’ın görevlerini gereği gibi yerine getirip getirmediğinin tespiti ve işyeri ortamında huzur ve düzeni bozacak hareketler yapılıp yapılmadığının takibi ve benzeri amaçlarla Çalışan’ın kişisel verilerini işlemekteyse ilgili Çalışanlar’ı açıkça ve detaylı olarak bilgilendirmesi gerekir.
Çalışanlar’ın kendi iş faaliyetleriyle ilgili işvereni tarafından hangi kişisel veri işleme faaliyetleri yürüttüğünden haberdar edilmeleri ve farkındalık oluşması için Şirketimiz nezdinde, çalışma ortamının doğasına uygun olarak uyarılar yerleştirilir.
4.1.3. Çalışanlar’ın İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Kişisel Verilerin Başka Amaçlarla Kullanılması
Çalışanlar’ın iş faaliyetleriyle ilişkili işlenen kişisel verileri, KVK Kanunu’nun 5. maddesinde belirtilen şartlara ve 4. maddesinde öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun başka amaçlar için de işlenebilir.
4.1.4. Çalışanlar’ın İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Bilgilere Karşı Çalışanlar’a Savunma Hakkı Verilmesi
Çalışanlar’ın iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir Çalışan aleyhinde şikayet prosedürü veya disiplin süreci başlatılmadan önce, Çalışanlar’a elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilir.
4.2. ÇALIŞAN’IN İŞ FAALİYETLERİYLE BAĞLANTILI GERÇEKLEŞTİRDİĞİ ELEKTRONİK HABERLEŞME İŞLEMLERİNE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ
4.2.1. Elektronik Haberleşme Araçlarının Kullanımına ilişkin Politika Belirlenmesi
Şirketimiz tarafından Çalışanlar’a sunulan telefon, faks, e-posta, laptop, internet ve benzeri elektronik haberleşme araç ve vasıtalarının denetlenmesi söz konusu ise, bu elektronik haberleşme araç ve vasıtalarının kullanımına ilişkin politika belirlenerek Çalışanlar’ın bilgisine sunulur. Bu politika içerisinde, Çalışanlar’ın belirlenen kurallara aykırı davranması halinde uygulanacak yaptırımlara da yer verilir.
Elektronik haberleşme araçlarının kullanımına ilişkin mevcut politikalar var ise, bu politikaların kişisel verilerin korunması mevzuatı ile diğer ilgili mevzuata uyumluluğu değerlendirilir; politikalar kişisel verilerin korunması mevzuatına uyumlu olacak şekilde revize edilir.
Şirketimiz, elektronik haberleşme araçlarının şahsi kullanımı konusunda kendi politikalarını belirler.
Elektronik haberleşme araçlarının şahsi amaçlarla kullanıma izin verilmesi halinde, izin verilen şahsi kullanım sınırları belirlenir ve Çalışan’a bu sınırlar bildirilir.
Çalışanlar’ın, işle ilgili haberleşme içeriklerinin her zaman denetlenebileceğinin farkında olmaları ve bu konuda bilgilendirilmeleri önem taşır.
4.2.2. Kurumsal Elektronik Posta Kullanımına ilişkin Çalışanların Kişisel Verilerin İşlenmesi
Şirketimiz, Çalışanlar’ın kurumsal e-postalarının kullanımına yönelik faaliyetleriyle alakalı kişisel verilerini işleyebilir. Bu kişisel veri işleme faaliyetlerinin kapsamı ve amacı konusunda Çalışanlar’ın açık bir şekilde bilgilendirilmesi esastır. Buna ilaveten bu kişisel veri işleme faaliyetlerinin hukuki niteliği ve kapsamı konusunda mutlaka hukuki değerlendirme yapılır.
4.2.3. İnternet Kullanımına ilişkin Kişisel Verilerin İşlenmesi
Şirketimiz, işyerindeki internet kullanımına ilişkin sınırlamalar getirebilir ve bu sınırlamalara uyulup uyulmadığını denetleyebilir.
İnternet kullanımına ilişkin kişisel verilerin işlenmesinde, Şirketimiz bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetleri hakkında Çalışanlar’ını açık bir şekilde bilgilendirir.
Hukuki bir yükümlülüğün yerine getirilmesi için internet kullanımının izlenmesi gerekmekte ise veya ilgili veri işleme KVK Kanunu’nda belirtilen şartlardan bir başkasını karşılıyor ise, Çalışanlar’dan ayrıca açık rıza alınması gerekmez. Ancak bu kişisel verilerin KVK Kanunu’nda belirtilen kişisel veri sahibinin rızasına tabi olmayan kişisel veri işleme şartlarına dayalı amaçlar dışında işlenmesi durumunda ayrıca Çalışan’dan açık rıza alınır.
4.2.4. Çalışan’ın İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine ilişkin Kişisel Verilerinin Saklama Süresi
Şirketimiz, Çalışanlar’ın iş faaliyetleriyle bağlantılı gerçekleştirdiği elektronik haberleşme işlemlerine ilişkin kişisel verilerinden hangilerinin saklanacağı ve bu bilgilerin saklanma süresine ilişkin prosedürlerini belirler. Mevzuattan kaynaklanan başka bir yükümlülük mevcut değilse, bu Politika’nın 3.2 Bölümünde belirtilen amaçlarla işlenen kişisel veriler, iş sözleşmesi süresi boyunca ve sözleşmenin bitiminden itibaren gerçekleştirilen faaliyetin niteliğine göre ortaya çıkabilecek hukuki uyuşmazlığın gerektirdiği zamanaşımı süresi boyunca saklanabilir. Bu verilerin saklanmasına izin veren hukuki düzenlemeler dikkate alınarak verilerin saklanma süresi gözden geçirilir. Bu süre istisnai durumların varlığı halinde uzatılabilir. Sürenin uzatılması halinde Çalışanlar süre uzatımına, gerekçeye ve saklanan kişisel veri tiplerine ilişkin bilgilendirilir.
4.3. İŞYERİNDE GÜVENLİK KAMERASI UYGULAMASI
Şirketimiz, işyerlerinin güvenliğini sağlamak amacıyla çeşitli noktalara güvenlik kameraları yerleştirebilmektedir. Bu güvenlik kameralarının görüntü alanlarının tüm işyerini değil; sadece özel risk taşıyan alanları, giriş – çıkış ve benzeri alanları kapsamasına özen gösterilir.
4.3.1. Güvenlik Kameralarının Kullanımı Hakkında Bilgilendirme Yapılması
Şirketimiz Çalışanlar’ı güvenlik kamerası ile çekim yapılan, güvenlik kameraları ile izlenen alanlar ve izlemenin amaçları hakkında bilgilendirmeye özen gösterir.
4.4. ŞİRKET TARAFINDAN SAĞLANAN ARAÇLARIN TAKİBİ
Şirketimiz tarafından Çalışanlar’a araç tahsis edildiği durumlarda; tahsis edilen araçların kat edilen mesafenin belirlenmesi, akaryakıt kullanımı ölçümü, konum verisinin alınması ve benzeri amaçlarla takibi yapılabilir. Bu takip ile ilgili Çalışanlar önceden bilgilendirilir.
5. ÇALIŞANLAR’IN SAĞLIĞINA İLİŞKİN VERİLER
5.1. ÇALIŞANLAR’IN SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN GENEL YAKLAŞIM
5.1.1. Sağlık Verilerin İşlenmesine ilişkin Koşullar
Sağlık verileri bu Politika’da, özel nitelikli kişisel verilerin korunması için öngörülen düzenlemelere uygun olarak işlenir. Aşağıdaki hususlar ayrıca göz önünde bulundurulur.
Çalışan’ın rızası gereken durumlarda, sağlık testinden elde edilen sağlık verilerinin kullanılabilmesi için Şirketimiz Çalışan’dan sadece testin yapılmasına ilişkin değil; test sonuçlarının kaydedilmesi, kullanılması ve paylaşılmasına ilişkin de açık rıza alır.
5.1.2. Çalışanlar’ın Sağlık Verilerinin Belirtilen Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi
Şirketimiz, Çalışanlar’a yapılacak sağlık anketlerinde, sadece gerçekten gereken bilgilerin toplandığından emin olur ve gereksiz bilgi talep edilmemesi hususuna özen gösterir.
Şirketimiz, Çalışanlar’dan tüm sağlık verilerini şirket ile paylaşması için genel bir açık rıza vermesini isteyemez. Şirketler, sadece belirtilen amaç için gerçekten gerekli olduğu düşünülen sağlık verilerinin şirketle paylaşılmasını isteyebilir.
5.1.3. Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi
Çalışanlar’ın sağlık verilerini işleyecek veya işlemeye yetkilendirecek Şirket Çalışanları’nın ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır.
Çalışan’ın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir.
5.1.4. Çalışanlar’a Sağlık Verilerinin Nasıl Kullanılacağının ve Bu Verilere Kimler Tarafından Erişileceğinin Açıklanması
Şirketimiz, Çalışanlar’a, sağlık verilerinin hangi amaçlar içerisinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.
5.2. MUAYENE VE TESTLERDEN ELDE EDİLEN SAĞLIK VERİLERİNİN İŞLENMESİ
5.2.1. Sağlık Verilerinin İşlenmesine ilişkin Şirket Politikasının Çalışanlar’a Bildirilmesi
Şirketimiz, Çalışanlar’ın sağlık verilerinin işlenmesine ilişkin izlenen politikaların şeffaf olmasına özen gösterir.
Şirketimiz, sağlık testlerinin yapılacağı yerlere, testlerin niteliğine, test sonucu elde edilen verilerin nasıl kullanılacağı ve korunacağına ilişkin şartları belirler. Bu şartlar hakkında Çalışanlar’ı bilgilendirmeye özen gösterir.
5.2.2. İşe Alınması Muhtemel Olan Adayların Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması
Şirketimiz, işe alınması muhtemel olan adayların söz konusu işe uygun olup olmadığına karar vermek için ilgili adaya testler yapılmasını talep edebilir. Bu testleri aynı zamanda herhangi bir kanuni yükümlülüğünü yerine getirmek için veya muhtemel Çalışan’ın tabi olacağı sigorta türünü belirlemek için de yapabilir.
Şirketimiz, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.
Şirketimiz, amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil olunabilecek yöntemleri izler.
İşe alım sürecinde tıbbi muayene veya sağlık testi sadece kişinin gerçekten işe alınma ihtimali yüksek ise yapılır.
Şirketimiz, iş başvurusu sürecinin ilk zamanlarında, işe alınma ihtimalinin yüksek olması halinde sağlık muayenesi veya testi yapılabileceğine dair adayı bilgilendirir.
5.2.3. Çalışanlar’ın Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması
Şirketimiz, iş sağlığı ve güvenliği programı kapsamında tıbbi muayene ve testler aracılığıyla Çalışanlar’a ait sağlık verilerini toplayabilir. Yasal mevzuata göre zorunlu muayene ve testler dışında kalan muayene ve testlere katılmak, Çalışan’ın kendi seçimine bırakılır.
Şirketimiz, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.
Şirketimiz amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil olunabilecek yöntemleri izler. Örneğin, Çalışan’ın sağlık verilerini öğrenmek için muayene sonuçlarına bakmak yerine sağlık anketi yapabilir.
5.2.4. Muayeneden Elde Edilen Numunelerin Belirtilen İşleme Amacı Dışında Kullanılmaması
Şirketimiz, sağlık kontrollerinin ve testlerin hangi amaçla gerçekleştirildiği konusunda Çalışanlar’ı açıkça bilgilendirir.
Şirketimiz hiçbir şekilde Çalışan’dan gizli bir şekilde ona ait biyometrik/genetik numunelerini (parmak izi, saç teli vs.) toplayamaz. Kanuni sebeplere dayalı olarak gerçekleştirilen faaliyetler istisna oluşturur.
6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
KVKK’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kararına istinaden veya çalışanın talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Şirketimiz ilgili yükümlülüğünü yerine getirmek üzere Şirket içerisinde gerekli teknik ve idari tedbirleri alarak; bu konuda gerekli işleyiş mekanizmaları geliştirmiş olup; bu yükümlüklerine uygun davranmak üzere ilgili iş birimlerini eğitmekte, görevlendirme ve farkındalıklarını sağlamaktadır.
7. ŞİRKET ÇALIŞANLARININ VE ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları, prosedürleri ve uygulama rehberlerini yönetmek üzere, Şirket üst yönetiminin kararı gereğince “Kişisel Verilerin Korunması Komitesi” oluşturulmuştur. Bu komitenin görevleri aşağıda belirtilmektedir.
• Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak.
• Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak.
• Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak.
• Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş ortakları nezdinde farkındalığı arttırmak.
• Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak.
• Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak.
• Çalışanların başvurularını en üst düzeyde karara bağlamak.
• Çalışanların; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
• Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak.
• Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek.
• Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.