GÜÇAR İNŞAAT SAN. VE TİC. A.Ş. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME POLİTİKASI
- AMAÇ VE KAPSAM
Kişisel Verileri Koruma Kurulu ’nun 07.03.2018 tarihli Resmi Gazetede yayımlanan 31.01.2018 tarihli kararı uyarınca GÜÇAR İnşaat San. ve Tic. A.Ş. (“Şirket”), Sicile kayıt yükümlülüğü olan bir veri sorumlusu olarak, bünyesinde bulunan özel nitelikli kişisel verileri; kişisel verileri işleme envanterine uygun bir şekilde saklamakla, bu verilerin güvenliğine yönelik kuralları tanımlamakla ve yönetimini sağlayacağı bütün faaliyetleri kapsayarak, bunu sürdürmek adına uygulanacak bir politika hazırlayarak bu politikaya uygun hareket etmekle yükümlüdür.
İşbu politika ile Veri Sorumlusu Şirketimiz bünyesinde işlenen özel nitelikli kişisel verilerin işlenmesi, saklanması, aktarılması ve güvenliğinin sağlanması hakkında usul ve esasların belirlenmesi amacıyla hazırlanmış olup yürürlük tarihinden itibaren belirli periyodlarla güncellenecektir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu ’nun 6 ncı maddesince kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Bu verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler, Veri Sorumlusu Şirket tarafından Kanuna uygun bir şekilde, Kurulca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin, ilgili kişinin açık rızası ile veya kanunlarda öngörülen haller dahilinde açık rıza aranmaksızın işlenmesi mümkündür.
Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ilgili kişinin açık rızası ile, ilgili kişinin rızası yoksa ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Şirketimiz bünyesinde; ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, kılık ve kıyafet bilgisi, sağlık verisi, vakıf ya da sendika üyeliği bilgisi gibi özel nitelikli kişisel veriler aşağıda sayılan, kanunlarca öngörülen işleme amaçları kapsamında ve ilgili kişiden açık rıza alınması suretiyle işlenmektedir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Özel nitelikli kişisel veriler;
Kanunlarda açıkça öngörülmesinin yanında ilgili kişinin hayatı ve beden bütünlüğünün korunması için zorunlu olan hallerde; sözleşmenin kurulabilmesi ve işe yeterliliğin işveren tarafından belirlenebilmesi adına sözleşmenin ifa edilebilirliğinin ölçülebilmesi için, veri sahibinin fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olması, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi ve çalışan adaylarının başvuru süreçlerinin yürütülmesi kapsamında işlenebilmekte olup;
Sağlık verileri acil durum yönetimi süreçleri gibi iş sağlığı ve güvenliği faaliyetlerinin yürütülmesi amaçlarıyla birlikte 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve sair kanunlar gereğince iş yeri hekiminden veya verisi işlenen ilgili kişiden yazılı şekilde toplanmaktadır. Söz konusu kişisel veri hukuki ilişkinin bitiminden itibaren 15 yıl süreyle,
Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler işe alım süreçlerinde ilgili kişiden fiziki, yazılı veya elektronik ortamlar aracılığı ile toplanmakta ve kurulan hukuki ilişkinin bitiminden itibaren 10 yıl süre ile,
Kılık ve kıyafet verileri (beden ölçüsü ör: small, medium, ayakkabı numarası vs.) iş faaliyetleri süresince giysi yardımı faaliyetlerinin yürütülmesi veya iş ekipmanı sağlanabilmesi amacıyla ilgili kişiden yazılı, sözlü veya elektronik ortamlar aracılığı ile toplanmakta ve iş sözleşmesi süresince saklanmaktadır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
Bu çerçevede, Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca Veri Sorumlusu Şirket tarafından aşağıda sayılan önlemler alınmaktadır;
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika işbu metin ile belirlenmiştir.
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
b) Çalışanlar ile Veri Sorumlusu Şirket arasında gizlilik sözleşmeleri akdedilmektedir.
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
ç) Yılda bir defa periyodik olarak yetki kontrollerinin gerçekleştirilmektedir.
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta; bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
- a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
- b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
- c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta ve test sonuçları kayıt altına alınmaktadır.
- d) Veri depolamaya yarayan yazılımlar için kullanıcı yetkilendirmeleri ve veri ihlaline karşın düzenli olarak güvenlik testleri yapılmaktadır. Söz konusu test sonuçları kayıt altına alınmaktadır.
- e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
- a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre olası bir afet ya da beşeri olaylar için yeterli güvenlik önlemleri alınmaktadır.
- b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmektedir.
5- Özel nitelikli kişisel veriler aktarılacaksa;
- a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
- b) Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenip kriptografik anahtarlar farklı ortamda tutulmaktadır.
- c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmektedir.
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınıp evrak “Gizlilik Dereceli Belgeler” formatında gönderilmektedir.
6- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini aşağıdaki şartların varlığı halinde üçüncü kişilere aktarabilmektedir:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ilgili kişinin açık rızasıyla veya kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir.
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
- Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ilgili kişinin açık rızasının varlığı halinde yetkili kamu kurum ve kuruluşlarına aktarılabilecektir.
- Vakıf ve sendika üyeliği bilgisi ilgili kişinin açık rızasının varlığı halinde gerçek kişi ve özel hukuk tüzel kişilerine aktarılabilecektir.
- Kılık ve kıyafet bilgisi söz konusu iş ekipmanlarını tedarik eden iş ortaklarıyla ile ilgili kişinin açık rızası alınarak paylaşılabilecektir.
Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
- ALICI GRUPLARI
İlgili kişinin açık rızasının varlığı halinde yukarıda sayılan ve Şirket bünyesi altında işlenen özel nitelikli kişisel verileri, yetkili kamu kurum ve kuruluşları, hissedarlar ve iş ortakları ile işbu sayılan amaçlar ve hukuki sebepler ile gerekli hallerde gerçek kişi ve özel hukuk tüzel kişilerle paylaşabilecektir.
İşbu politika …./…../….. tarihi itibari ile yürürlüğe girmiş olup, yukarıda belirlenen usul ve esaslar çerçevesinde yıllık periyodlarla güncellenmektedir.