EKMAS EGEM OTOMOTİV İNŞAAT SANAYİ VE TİCARET ANONİM ŞİRKETİ

 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

GİRİŞ

Bu Politika ile kişisel verilerin işlenmesi ve korunması konusunda Ekmas Egem Otomotiv Sanayi ve Ticaret Anonim Şirketi (“EKMAS”) tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır. Bu Politika ile EKMAS tarafından yerine getirilecek hususlar ortaya konulmakta, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen düzenlemelere nasıl uyacağına ilişkin temel ilkeler belirlenmektedir.

 

AMAÇ

Bu Politika topluluk düzeyinde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla ilgili tüm grup şirketleri özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.

Grup Şirketleri EKMAS tarafından belirlenen ilkeler doğrultusunda iç işleyişlerini uyum için gerekli düzenlemeleri yapacak çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturacaktır.

 

TANIMLAR

Bu politika kapsamında;

Ekmas: Sitenin sahibi olan Ekmas Egem Otomotiv İnşaat Sanayi ve Ticaret Anonim Şirketi’ni,

İlgili kişi/gerçek kişi: Kişisel veri sahibini,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Site: http://www.ekmasgroup.com.tr/ ) adresinde yer alan web sitesini,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

5651 Sayılı Kanun: İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücade Edilmesi Hakkında Kanun’u,

6698 Sayılı Kanun/KVKK: Kişisel Verilerin Korunması Kanunu’nu,

ifade eder.

  1. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

Bu Politika, EKMAS’ın KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır.

EKMAS bu Politikayı rehber edinerek kendi bünyelerinde gerçekleştirdikleri kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaklardır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.

EKMAS bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve grup şirketlerinin iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

KVKK’ya uyumluluğun sağlanması için EKMAS tarafından kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere uygun olarak işlenmelidir. Bu kapsamda, EKMAS tarafından tüm kişisel veri işleme faaliyetlerinde dikkate alınması gereken ilke ve şartlar bu bölümde ele alınacaktır.

 

Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkeler aşağıda başlıklar halinde incelenmektedir.

1.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

EKMAS kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmelidir. Bu kapsamda EKMAS, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun düşecek seviyede işlemelidirler.

 

1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

EKMAS, işlemekte oldukları kişisel verilerin doğru ve güncel olmasını sağlamalı ve bu doğrultuda gerekli tedbirleri almalıdır. Örneğin, EKMAS kişisel veri sahiplerinin kişisel verilerini düzeltmelerine ve güncelleştirmelerine imkân verecek sistemleri geliştirmelidir.

 

1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

EKMAS, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işlemelidir. Bu kapsamda EKMAS kişisel verilerin hangi amaçla işleneceğini belirlemeli ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunmalıdır. Kişisel veriler, belirtilen amaçlar dışında işlenmemelidir. EKMAS tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olmalıdır.

 

1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

EKMAS, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemeli ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmalıdır. Örneğin, kişisel veriler elde edildikten sonra ortaya çıkan yeni bir amacın gerçekleştirilmesine yönelik kişisel veri işleme faaliyeti yürütülmemelidir.

 

1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

EKMAS kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza etmelidir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmalıdır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

 

1.6 Fiziksel Ziyaretçilerin Kişisel Verilerin İşlenmesi

EKMAS yerleşkesini fiziksel olarak ziyaret eden gerçek kişilerin işlenen kişisel verileri

EKMAS, EKMAS yerleşkesini ziyaret eden gerçek kişilerin;

  • Kimlik bilgileri (TC kimlik belgesi, ehliyet, pasaport, avukat kimliği gibi),
  • Ziyaret edeceği kişi bilgisi,
  • Ziyaretçi giriş ve çıkış saati,
  • Araç marka ve plakası,
  • Hangi firmadan geldiği,
  • Görüntü kaydı,

şeklindeki kişisel verileri/özel nitelikli kişisel verileri işlemektedir.

 

EKMAS çalışan ve ziyaretçilerinin güvenliğini sağlamak amacıyla bina içi ve dışında kameralar ile görüntü kaydı almaktadır. Ziyaretçilere kamera ile kayıt yapıldığına ilişkin bilgilendirmeler bina içerisinde yapılmaktadır.

 

1.6.1. Ziyaretçilerin Kişisel Verilerinin İşlenme Amacı

EKMAS, EKMAS yerleşkesini ziyaret eden kişilerin kişisel verilerini aşağıdaki amaçlarla işlemektedir:

  • Mekan Güvenliğinin Sağlanması
  • Tabi olunan mevzuat uyarınca kimlik bilgi ve belgelerini almak,
  • Ziyaretçi giriş kartı vermek ve ziyaretçi numarası oluşturmak,
  • Ziyaret giriş çıkış saatlerinin kaydını tutmak,
  • Silahla gelen ziyaretçiler için silah teslim tutanağı oluşturmak,
  • Ziyaretçi kartı ile birlikte binanın iç ve dış krokisini ve gerekli güvenlik bilgilerini paylaşmak.
  • Acil durum yönetimi süreçlerinin planlanması ve icrası (terör, yangın),
  • Binaya gelen kişi/ürünlerin güvenlik taramalarının gerçekleştirmek,
  • Suç yada hukuka aykırılık durumunda kolluk kuvvetine haber vermek.

1.6.2. Ziyaretçilere ait Kişisel Verilerin Toplanma ve İşlenme Yöntemleri

  • Ziyaretçinin kendisine ait resmi kimlik belgeleri (TC kimlik, ehliyet, pasaport, avukat kimlik kartı gibi)
  • CCTV ile alınan görüntü kayıtları ile kişisel veriler işlenmektedir.

1.6.3. Ziyaretçilerin Kişisel Verilerinin Güvenliğinin Sağlanması ve Kişisel Veri Paylaşımı

Ziyaretçilere ait gerek kimlik bilgileri gerek CCTV kayıtları sadece yetkili kişilerin erişimine açık olan sistemlerde muhafaza edilmektedir. Bu kişisel veriler talep halinde, verileri talep etmeye hukuken yetkili olan kamu kurum ve kuruluşları ile paylaşılabilmektedir.

 

  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler kural olarak, KVKK’nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenmelidir. Bu kapsamda EKMAS kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini değerlendirmeli ve bu şartlardan birine dayanmayan kişisel veri işleme faaliyetleri durdurulmalıdır.

 

KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınmalıdır.

 

Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.

 

Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına EKMAS  ve grup şirketler içerisinde gerekli sistemler kurgulanmalı ve kurum içi farkındalık yaratılmalıdır.

 

III. EKMAS’IN YÜKÜMLÜLÜKLERİ

3.1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü

Grup Şirketleri, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatılmalıdır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Bu bilgiler aşağıdaki gibidir:

(1) Veri sorumlusu olarak EKMAS’ın ve varsa temsilcisinin kimliği,

(2) Kişisel verilerin hangi amaçla işleneceği,

(3) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

(4) Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

(5) Kişisel veri sahibinin sahip olduğu haklar.

Bu kapsamda, EKMAS tarafından öncelikle kişisel veri toplama kanalları tespit edilmeli ve her kanal özelinde aydınlatma noktaları ve metinleri belirlenmelidir.

 

3.2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü

Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler.

 

Bu kapsamda, EKMAS, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri almalıdır.

 

KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Kişisel veri sahiplerinin yalnızca yazılı olarak EKMAS’a iletilen talepleri işleme alınmalıdır. İleride Kurul tarafından farklı başvuru yöntemleri belirlenebilecektir. EKMAS talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde yanıtlandırmalıdır.

 

Değerlendirme sonucunda EKMAS başvuruları kabul ederek gereken aksiyonları alabilecekleri gibi başvuruları gerekçeli olarak reddedebilirler.

 

Önemle belirtmek gerekir ki kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikayette bulunabilir. Bu şikayetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmesi önem arz etmektedir.

 

3.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

EKMAS işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almalıdır.

 

Kurul ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Dolayısıyla bu kapsamdaki yükümlülüklere de uyum sağlamak amacıyla makul derecede efor sarf ederek maksimum derecede güvenlik sağlanmalıdır.

 

EKMAS, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır. Bu denetim sonuçları EKMAS bünyesinde görevli birimlerce incelenmeli ve gerekli aksiyonlar alınmalıdır.

 

EKMAS, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdürler. Bu kapsamda gerekli organizasyonel yapı kurulmalıdır.

 

EKMAS tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınmalıdır.

 

Web sitesi üzerinden kişisel verilerin alındığı tüm sayfalar SSL sertifikası ile korunmaktadır.

 

3.3.1. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması

Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler EKMAS tarafından alınmalıdır:

  • EKMAS bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilmeli, bu kapsamda bir “kişisel veri işleme haritası” çıkartılmalıdır.
  • Kişisel veri işleme haritası uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenmelidir.
  • Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenmeli ve ilgilisine raporlanmalıdır.
  • EKMAS çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilmeli ve eğitilmelidir.
  • Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılmalı ve gerekli idari tedbirler EKMAS’ın iç politikaları ve eğitimleri yoluyla hayata geçirilmelidir.
  • EKMAS ile çalışanları, iştirakleri, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulmalıdır.
  • Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalıdır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri sınırlandırılmalıdır.

 

3.3.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması

Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler EKMAS tarafından alınmalıdır:

  • Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun teknik önlemler alınmalı, alınan önlemler periyodik olarak güncellenmelidir.
  • EKMAS tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanmalı devreye alınmalıdır.
  • Alınan teknik önlemler periyodik olarak ilgilisine raporlanmalı, güvenlik riski olan hususlara teknolojik çözüm üretilmektedir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmalıdır.
  • EKMAS’ın çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilmeli ve teknik konularda bilgili personel istihdam edilmelidir.
  • EKMAS çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmalıdır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.
  • EKMAS tarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmelidir.

 

3.4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü

EKMAS, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olmalıdır. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):

(1) Veri sorumlusu olarak EKMAS’ın ve varsa temsilcisinin kimlik ve adres bilgileri,

(2) Kişisel verilerin hangi amaçla işleneceği,

(3) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

(4) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

(5) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

(6) Kişisel veri güvenliğine ilişkin alınan tedbirler,

(7) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

  1. EKMAS BÜNYESİNDE ORGANİZASYONEL YAPILANMA

EKMAS bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi atanmalıdır.

 

Bu kapsamda Komite veya atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:

  • Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
  • Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  • Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
  • Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
  • Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
  • Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
  • Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,
  • Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
  • Kurum ve Kurul ile olan ilişkileri yönetmek.

 

EKMAS bu Politikada yasal düzenlemeler ve Şirket Politikası doğrultusunda değişiklik veya güncellemeler yapabilir. Tüm bu değişiklik ve güncellemeleri yansıtan yeni Politika metni hakkında ilgili kişilere web sitesi üzerinden gerekli bilgilendirmeler yapılır.