Kişisel Verilerin Korunması ve İşlenmesi Politikası
Bu politika; ordupostasi.com bünyesinde kişisel verilerin hukuka uygun işlenmesi, saklanması ve korunmasına ilişkin ilke ve uygulamaları açıklamak amacıyla hazırlanmıştır.
I. Genel
A. Politikanın Amacı
ordupostasi.com Yönetim Kurulu ve tüm personelleri, Kişisel Verilerin Korunması ve İşlenmesi Politikası doğrultusunda, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili diğer mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir. Bu amaçla uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.
Kişisel Veri Koruma Politikasının amacı, ordupostasi.com'un kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması, organizasyonel hedef ve yükümlülüklerin belirlenmesi, desteklenmesi, kabul edilebilir risk seviyesiyle uyumlu kontrol mekanizmalarının tesis edilmesi, yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.
B. Politikanın Kapsamı
Bu politika ordupostasi.com için hazırlanmış olup kurum bünyesinde verilen tüm hizmetleri kapsamaktadır. Politika hükümleri; faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt yapılarını, sözleşmeleri, çevre ve fiziksel alanları ve bu alanlar için oluşturulan sistem ve düzenlemeleri kapsamaktadır. Bu politika; Yönetim Kurulu’nu, tüm departmanları, müdürlükleri, çalışanları, stajyer ve sözleşmeli personeli kapsar. KVKK veya bu politikayı ihlal eden her türlü eylem ilgili mevzuat kapsamında değerlendirilir ve yaptırımlar uygulanır.
ordupostasi.com’un kişisel verilere erişimi veya erişme ihtimali bulunan çözüm ortakları, kamu kurumları, sigorta şirketleri ve ordupostasi.com ile çalışan tüm üçüncü taraflar, bu politikayı okumaya ve politikaya uymaya davet edilir. Üçüncü taraflar, kişisel verilerin korunması konusunda en az ordupostasi.com kadar güçlü ve yeterli standartlara sahip olmak zorundadır. Üçüncü taraflar ile ordupostasi.com arasında kişisel verilerin korunmasına ilişkin yükümlülükleri ve denetim hakkını içeren gizlilik anlaşmaları imzalanacaktır. Gizlilik anlaşmaları imzalanmadan ordupostasi.com tarafından işlenen kişisel verilere erişim sağlanamaz. Bu politika ile benimsenen veri güvenliği ilkeleri sürdürülebilir kılınmıştır.
C. Politikanın Hedefi
ordupostasi.com Politikası ile, kurum bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına ilişkin farkındalık oluşturulması ve gerekli düzenin sağlanması hedeflenmektedir. Bu kapsamda politika, KVKK ve ilgili mevzuat doğrultusunda uygulanacak süreçlere yol göstermeyi amaçlamaktadır.
D. Tanım ve Kısaltmalar
E. Kişisel Verilere İlişkin Görev Dağılımı
II. Kişisel Verilerin Korunmasına İlişkin Hususlar
A. Kişisel Verilerin Güvenliğinin Sağlanması
Tüm personel ve çalışanlar, ordupostasi.com tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.
Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmektedir. Kişilere özgü erişim yetkilerine ilişkin bilgiler üçüncü kişiler ile paylaşılamaz. Kişisel verilere ilişkin bilgi güvenliği ile ilgili olaylar KVK Komitesi’nce kesin olarak tespit edildiğinden itibaren en kısa süre ve en geç 72 saat içerisinde KVK Kurulu’na bildirilir.
Kişisel Verilerin Bulunduğu Ortamlar
Elektronik Ortamlar
- Sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşımı vb.)
- Yazılımlar (ofis yazılımları)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit/engelleme, log, antivirüs vb.)
- Kişisel bilgisayarlar (masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, hafıza kartı vb.)
Elektronik Olmayan Ortamlar
- Yazıcı, tarayıcı, fotokopi makinesi
- Kâğıt
- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
- Yazılı, basılı ve görsel ortamlar
- Birim dolapları
B. İlgili Kişinin Haklarının Gözetilmesi
İlgili kişiler, KVKK’nın 11. maddesinde sayılan haklara sahiptir. ordupostasi.com, kişisel verilerin işlenmesi esnasında ilgili kişilerin tüm haklarını gözeterek faaliyetlerini sürdürmektedir.
C. Farkındalık ve Denetim
ordupostasi.com, hukuka aykırı işlem/erişimin önlenmesi ve muhafazanın sağlanması için çalışanlarına gerekli farkındalık eğitimlerinin düzenlenmesini sağlamaktadır.
D. İş Ortakları ve Tedarikçiler
ordupostasi.com, iş ortakları ve tedarikçileri nezdinde de farkındalığın artırılması ve gerekli denetimlerin yapılmasını sağlamaktadır.
III. Kişisel Verilerin İşlenmesinde İlkeler ve Uyulacak Kurallar
A. Mevzuatta Öngörülen İlkelere Uygun İşleme
- Hukuka ve dürüstlük kuralına uygun işleme: Şeffaflık ve aydınlatma yükümlülüğü çerçevesinde.
- Doğru ve güncel olma: Güncelleme/düzeltme için başvuru imkânı sağlanır.
- Belirli, açık ve meşru amaç: Mevzuat ve yayıncılık faaliyetlerinin olağan akışı içinde.
- Sınırlı ve ölçülü olma: Amaçla bağlantılı ve gerekli kadar veri işlenir.
- Süre ile sınırlı saklama: Mevzuatta öngörülen veya amaç için gerekli süre kadar saklanır; süre bitince silinir/yok edilir/anonimleştirilir.
B. KVKK 5. Madde Şartları
Kişisel veriler, KVKK’nın 5. maddesinde belirtilen şartlarla sınırlı olarak işlenmektedir. Kanunlarda açıkça öngörülmesi, fiili imkânsızlık, sözleşmenin kurulması/ifası, hukuki yükümlülük, alenileştirme, hakkın tesisi/kullanılması/korunması ve meşru menfaat gibi hallerde açık rıza aranmaksızın işlenebilir.
C. Aydınlatma
Kişisel veriler toplanırken KVKK’nın 10. maddesi ve ilgili tebliğ uyarınca ilgili kişiler aydınlatılmaktadır. Aydınlatma metinleri: www.ordupostasi.com/kvkk/ üzerinden incelenebilir.
D. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler kanunda sınırlı sayıda öngörülmüştür. İdari ve teknik tedbirler alınarak korunur; açık rıza olmaksızın işlenmesi kural olarak yasaktır, kanuni istisnalar saklıdır.
IV. İşlenen Kişisel Verilerin Sınıflandırılması, İşleme Amaçları ve Saklama Süreleri
A. Sınıflandırma
Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir. Tüzel kişilere ait, gerçek kişiye ilişkin bilgi içermeyen bilgiler bu kapsamda değildir.
Kişisel Veri Kategorileri
- Kimlik: Ad soyad, T.C. kimlik no, uyruk, anne/baba adı, doğum yeri/tarihi, cinsiyet, vergi no, SGK no, imza, taşıt plakası vb.
- İletişim: Telefon, adres, e-posta, faks vb.
- Özlük: Bordro, disiplin, işe giriş kayıtları, özgeçmiş, performans vb.
- Hukuki İşlem: Adli yazışmalar, dava dosyası bilgileri.
- Müşteri İşlem: Fatura, senet, çek, talep/sipariş vb.
- Fiziksel Mekan Güvenliği: Giriş-çıkış ve kamera kayıtları.
- İşlem Güvenliği: Site giriş-çıkış, IP, şifre/parola vb.
- Finans: Bilanço, malvarlığı vb.
- Mesleki Deneyim: Diploma, sertifika, eğitim, transkript.
- Pazarlama: Anket, kampanya verileri vb.
- Görsel/İşitsel: Fotoğraf, video, ses kayıtları.
- Özel Nitelikli: KVKK 6. maddede sayılan tüm veriler.
B. İşleme Amaçları
- Acil durum yönetimi süreçlerinin yürütülmesi
- Bilgi güvenliği süreçlerinin yürütülmesi
- Çalışan adayı, stajyer ve öğrenci seçim süreçlerinin yürütülmesi
- Çalışan başvuru süreçleri
- Çalışan memnuniyeti ve bağlılığı süreçleri
- İş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
- Yan haklar ve menfaatlerin yürütülmesi
- Denetim ve etik faaliyetlerin yürütülmesi
- Eğitim faaliyetlerinin yürütülmesi
- Erişim yetkilerinin yürütülmesi
- Faaliyetlerin mevzuata uygun yürütülmesi
- Finans ve muhasebe işlemleri
- Fiziksel mekan güvenliğinin temini
- Hukuk işlerinin yürütülmesi
- İletişim faaliyetlerinin yürütülmesi
- İnsan kaynakları planlaması
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
- Organizasyon ve etkinlik yönetimi
- Pazarlama analiz çalışmaları
- Reklam, kampanya ve promosyon süreçleri
- Saklama ve arşiv faaliyetleri
- Tedarik zinciri yönetimi
- Yönetim faaliyetlerinin yürütülmesi
- Ziyaretçi kayıtlarının tutulması
C. Saklama Süreleri ve Tedbirler
Kişisel veriler; mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, işlenme amacının gerektirdiği süre boyunca saklanır. Amaç ortadan kalktığında veya mevzuatta engel bulunmaması halinde silinir, yok edilir veya anonim hale getirilir.
Teknik Tedbirler
- İmha yöntemlerine uygun teknik araç/ekipman
- Risklerin belirlenmesi, uygun kontroller
- Erişim kayıtları ve uygunsuz erişimi engelleme
- Silinen veriye tekrar erişimi engelleme
- Güçlü parolalar, yedekleme, güvenlik yazılımları
- Özel nitelikli veriler için ek güvenlik
- Fiziksel ortam güvenliği
İdari Tedbirler
- Çalışan eğitimleri
- Sözleşmelere veri güvenliği maddeleri eklenmesi
- Aydınlatma ve açık rıza metinleri
- Kamera sistemleri için katmanlı aydınlatma
- Kilitli dolap sistemleri
- Gizlilik sözleşmeleri
V. Kişisel Verilerin Güvenliği
A. Yükümlülükler
Kişisel verilerin hukuka aykırı işlenmesinin ve erişiminin önlenmesi, hukuka uygun saklanması için idari ve teknik tedbirler alınmaktadır.
B. Tedbirler
- Rastgele ve/veya periyodik denetimler
- Çalışanlara periyodik farkındalık eğitimleri
- Departman bazlı süreç değerlendirmeleri
- Üçüncü taraf sözleşmelerinde tedbir yükümlülükleri
- İhlal halinde KVK Kurulu’na bildirim ve inceleme
Hukuka Aykırı Erişimi Engelleme
- Teknik uzman istihdamı
- Tedbirlerin periyodik güncellenmesi
- Erişim yetkilendirme prosedürleri
- Denetim ve raporlama prosedürleri
- Kayıt sistemlerinin mevzuata uygun kurulması ve denetimi
- Acil eylem planları
- Çalışanların erişim/yetkilendirme eğitimleri
- Gizlilik sözleşmelerinde tedbir hükümleri
- Güvenlik sistemleri kurulumu
Hukuka Aykırı İfşa
Yetkisiz ifşanın tespiti halinde; ilgili kişiye ve KVK Kurulu’na bildirim için sistem ve altyapılar oluşturulmaktadır. Kurul gerek görürse ilan veya doğrudan bildirim yapılabilir.
VI. Veri İşlenen Kişi Grupları
- Çalışan
- Çalışan Adayı
- Hissedar/Ortak
- Müşteriler ve Yetkilileri
- Potansiyel Ürün veya Hizmet Alıcısı
- Stajyer
- Tedarikçi
- Tedarikçi Çalışanı
- Tedarikçi Yetkilisi
- Ziyaretçi
- Yönetim Kurulu Üyeleri
- Kefil
- Telifli Yazarlar
- Haberi Ulaştıran Kişi
- Eğitmen
- Bağışçı
- Ürün veya Hizmet Alan Kişi Çalışanı/Yetkilisi
- Hizmet Alınan Özel Hukuk Kişisi
- Habere konu kişi
- Referansa Konu Kişi
VII. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin İşlenmesi
A. Kişisel Verilerin İşlenmesi
“İlgili Kişi’nin açık rızası bulunmadıkça kişisel verisi işlenemez.” Ancak aşağıdaki şartlardan birinin varlığı halinde rıza aranmaksızın işlenebilir:
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık sebebiyle açık rızanın alınamaması
- Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
- Hukuki yükümlülüğün yerine getirilmesi
- İlgili kişinin verisini alenileştirmesi
- Bir hakkın tesisi/kullanılması/korunması için zorunlu olması
- Meşru menfaat için zorunlu olması (temel haklara zarar vermemek kaydıyla)
B. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenmesi kural olarak yasaktır; kanuni istisnalar saklıdır.
VIII. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Aktarım Yapılabilecek Taraflar
- Bayi ağı/satış noktaları
- Gerçek veya özel hukuk tüzel kişileri
- Franchise ve bayi ağları
- İş ortakları ve iş bağlantıları
- İştirakler ve bağlı ortaklıklar
- Hukuken yetkili kamu kurum ve kuruluşları
- Hizmet alınan özel hukuk kişileri
- Hissedarlara
- Sosyal Güvenlik Kurumu
- Tedarikçiler
- Topluluk şirketleri
- Yetkili kamu kurum ve kuruluşları
Aktarım Amaçları
- Faaliyetlerin yürütülmesi
- Sözleşme kapsamında destek hizmeti sağlanması
- Tercih/ihtiyaç tespiti ve hizmetin güncellenmesi
- Hukuki yükümlülüklerin yerine getirilmesi
- Pazar araştırmaları ve istatistiksel çalışmalar
- Anket, yarışma, promosyon ve sponsorlukların organize edilmesi
- İş başvurularının değerlendirilmesi
- İrtibat sağlanması
- Pazarlama süreçlerinin yönetimi
- Satıcı/tedarikçi ilişkilerinin yönetimi
- Yasal raporlama ve faturalandırma işlemleri