Yazılar

Versiyon: 1

Yürürlülük Tarihi: 12.04.2022

ARM MAKİNE MÜH. PROJE TASARIM İML. İTH. İHR. PAZ. SATIŞ SAN. VE TİC. A.Ş

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ

ARM MAKİNE MÜH. PROJE TASARIM İML. İTH. İHR. PAZ. SATIŞ SAN. VE TİC. A.Ş (“ARM”, “Şirket” veya “Şirketimiz”), kişisel verileri aşağıdaki ilkelere uygun işlemektedir:

• Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
• Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
• Kişisel verilerin güvenliği için gerekli tüm idari ve teknik tedbirleri alma.

2. POLİTİKANIN AMACI

İşbu ARM Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (bundan sonra “Politika” olarak anılacaktır.) amacı Şirketimizin kişisel verilerin korunmasına yönelik yaklaşımları ile ilgili açıklamalarda bulunmak ve kişisel veri sahiplerini Şirketimizin kişisel veri işleme süreçleri hakkında şeffaf şekilde bilgilendirmektedir.

3. POLİTİKA VE KİŞİSEL VERİLERİN KORUNMASI MEVZUATI

Kişisel verilerin işlenmesi ve korunmasına ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat (“Kişisel Verilerin Korunması Mevzuatı”) uygulanmaktadır. İşbu Politika, Kişisel Verilerin Korunması Mevzuatına uyumlu olacak şekilde hazırlanmıştır, herhangi bir kanun veya ikincil mevzuat yerine geçmez. Politika, Kişisel Verilerin Korunması Mevzuatı tarafından ortaya konulan kuralların ARM’deki somut uygulamalarını açıklamaktadır.

4. KİŞİSEL VERİLERİN GÜVELİĞİ İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
   • ARM kişisel veri işleme süreçleriyle ilgili olarak aşağıda sayılan idari tedbirleri almıştır:

• Şirket veri işleme süreçleri kapsamında Veri Envanteri hazırlanmış olup tüm kişisel veri işleme süreçleri tespit edilmiş ve idari anlamda risk analizi yapılmıştır.
• Çalışanlara Kişisel Verilerin Korunması Kanunu ve veri güvenliği hakkında düzenli eğitimler verilmektedir.
• Çalışanların işe başlama sürecinde İş Sözleşmesiyle birlikte Çalışan KVKK Aydınlatma Metni ve ARM Çalışan KVK Açık Rıza Metni sunulmakta ve imza alınmaktadır.
• ARM Disiplin Yönetmeliği hazırlanmış olup Yönetmelik içerisinde çalışanların kişisel verilerine ilişkin politika, prosedür, talimat ve diğer düzenlemelere uymamaları halinde uygulanacak hükümler belirlenmiştir.
• Tüm KVK politika ve prosedürleri bir duyuru ile bütün çalışanlarla paylaşılmıştır.
• Kişisel Verilere İlişkin Başvuruların Alınması, Değerlendirilmesi ve Yanıtlamasına İlişkin Prosedür hazırlanmış ve işbu prosedür diğer politika ve prosedürlerle birlikte Şirket’in ortak alanında tüm çalışanların erişimine sunulmaktadır.
• Tüm Şirket çalışanlarına ve kişisel verilere erişebilen tedarikçi çalışanlarına Gizlilik Taahhütnamesi imzalatılmaktadır.
• İlgili kişilerin, Kişisel Verilerin Korunması Kanunu’ndan kaynaklanan haklarına ilişkin başvuruları, İnternet Sitesi’nde “Kişisel Verilerin Korunması ve Gizlilik” menüsü altında kamuya açık şekilde yayınlanmış olan Kişisel Veri Sahibi Başvuru Formu üzerinden alınmakta ve Şirket’in tüm aydınlatma metinlerinde de ilgili kişiler işbu Başvuru Formu’na yönlendirilmektedir.
• Kişisel Veri Envanteri’nde belirlenen imha süreleri “Kişisel Veri Saklama ve İmha Politikası” kapsamında açıklanmakta ve kişisel veri sahiplerinin detaylı ve şeffaf şekilde bilgilendirilebilmeleri amacıyla işbu politika Şirket İnternet Sitesi’nde “Kişisel Verilerin Korunması ve Gizlilik” menüsü altında yayınlanmaktadır.
• Kişisel veri imha süreçlerinde İmha Tutanağı kullanılmaktadır.
• İnternet Sitesi’nde yer alan İletişim formlarına özel “İletişim Formu KVK Aydınlatma Metinleri hazırlanmış olup Şirket ile iletişime tüm kişilere karşı aydınlatma yükümlülüğü yerine getirilmektedir.
• ARM KVK Denetim Prosedürü uyarınca yılda bir kere KVK denetimleri yapılmaktadır.
• Şirket’in olası riskleri nasıl yöneteceği “Veri İhlal Prosedürü” ile belirlenmiştir.
• Kişisel verilerin aktarılması gereken hallerde “Veri Sorumlusundan Veri Sorumlusuna Kişisel Veri Aktarımlarına İlişkin Sözleşme” veya “Veri Sorumlusundan Veri İşleyene Kişisel Veri Aktarımlarına İlişkin Sözleşme” kullanılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

• ARM kişisel veri işleme süreçleriyle ilgili olarak alınmış olan teknik tedbirler aşağıda sayılmaktadır.

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• 5201 ve 5202 sayılı Kanunlar kapsamında Tesis Güvenlik Belgesine sahiptir ve bu belgeyi alabilmek için gereken tüm tedbirler alınmıştır.
• UPS ve ayrıca bir güç kaynağı üzerinden kesintisiz elektrik sağlanmaktadır.
• Şirket sunucuları, giriş-çıkışı denetlenen kilitli bir Bilgi İşlem Odasında tutulmaktadır.
• Şirket sosyal medya hesaplarının şifreleri kolay tahmin edilemeyecek, büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonlarından belirlenmektedir.
• Şirket e-posta hesaplarını ve sosyal medya hesaplarının güvenliği sağlanmaktadır, bu hesapların şifreleri Şirket Bilgi Güvenliği Politikasına uygun şekilde kolay tahmin edilemeyecek, büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonlarından belirlenmektedir.

 

5. KİŞİSEL VERİ SAHİPLERİNİN HAKLARINI KULLANMASI

İlgili kişilerin, Kişisel Verilerin Korunması Kanunu’ndan kaynaklanan haklarına ilişkin başvurularını daha düzenli ve mevzuata uygun şekilde alabilmek amacıyla ARM Kişisel Veri Sahibi Başvuru Formu hazırlanmış ve www.arm-makine.com adresinde (“İnternet Sitesi”) “Kişisel Verilerin Korunması ve Gizlilik” menüsü altında kamuya açık şekilde yayınlanmıştır. Şirketin tüm aydınlatma metinlerinde de ilgili kişiler haklarına ilişkin bilgilendirildikten sonra işbu Başvuru Formu’na yönlendirilmiştir.

Şirketimiz, kişisel veri sahiplerinden gelen başvuruların yönetim sürecini ARM Kişisel Verilere İlişkin Başvuruların Alınması, Değerlendirilmesi ve Yanıtlamasına İlişkin Prosedür’ü kapsamında Kişisel Verilerin Korunması Mevzuatı’na uygun şekilde yürütmektedir.

6. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER

Şirketimiz iş süreçleri kapsamında aşağıdaki kişisel verileri (kategorik olarak) işlemektedir:

·         Kimlik Bilgisi

·         İletişim Bilgisi

·         Özlük Bilgisi

·         Hukuki İşlem Bilgisi

·         Müşteri İşlem Bilgisi

·         Fiziksel Mekân Güvenliği Bilgisi

·         İşlem Güvenliği Bilgisi

·         Risk Yönetimi Bilgisi

·         Finans Bilgisi

Mesleki Deneyim Bilgisi

Görsel ve İşitsel Kayıtlar

 

7. ŞİRKETİMİZ TARAFINDAN İŞLENEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Şirketimiz işe alım süreçleri kapsamında çalışanlarının aşağıdaki özel nitelikli kişisel verileri (kategorik olarak) işlemektedir:

Sağlık Bilgisi

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgisi

 

 

 

 

 

8. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİ

Şirketimiz iş süreçleri kapsamında aşağıdaki kişisel veri sahiplerinin (kategorik olarak) kişsiel verilerini işlemektedir:

Şirket ile İletişime Geçen 3. Kişiler

Potansiyel Ürün veya Hizmet Alıcısı

Hissedar

İş Ortağı

Çalışan

Çalışan Adayı

Eski Çalışan

Tedarikçi Yetkilisi

Tedarikçi Çalışanı

Üçüncü Taraf Firma Çalışanı

Ziyaretçi

 

 

9. ŞİRKETİMİZİN KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Şirketimiz iş süreçleri kapsamında kişisel verileri aşağıdaki kişisel veri amaçları ile işlemektedir:

Acil Durum Yönetimi Süreçlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi

Denetim / Etik Faaliyetlerinin Yürütülmesi

Erişim Yetkilerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Finans ve Muhasebe İşlerinin Yürütülmesi

Fiziksel Mekan Güvenliğinin Temini

Görevlendirme Süreçlerinin Yürütülmesi

Hukuk İşlerinin Takibi Ve Yürütülmesi

İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

İnsan Kaynakları Süreçlerinin Planlanması

İş Faaliyetlerinin Yürütülmesi / Denetimi

İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

Lojistik Faaliyetlerinin Yürütülmesi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Organizasyon Ve Etkinlik Yönetimi

Performans Değerlendirme Süreçlerinin Yürütülmesi

Risk Yönetimi Süreçlerinin Yürütülmesi

Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Stratejik Planlama Faaliyetlerinin Yürütülmesi

Talep / Şikayetlerin Takibi

Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Yönetim Faaliyetlerinin Yürütülmesi

Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

Eğitim Faaliyetlerinin Yürütülmesi

Taşınır Mal Ve Kaynakların Güvenliğinin Temini

 

10. ŞİRKETİMİZİN KİŞİSEL VERİLERİ İŞLEMESİNE İLİŞKİN HUKUKİ SEBEPLER

Şirketimiz iş süreçleri kapsamında kişisel verileri aşağıdaki hukuki sebepler ile işlemektedir:

Kanunlarda açıkça öngörülmesi.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

İlgili kişinin kendisi tarafından alenileştirilmiş olması.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Açık rıza.

 

11. ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Tedarikçiler

Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri

İş Ortakları

Müşteriler

İnternet Sitesi/Sosyal Medya Takipçileri ve Ziyaretçileri

Yetkili Kamu Kurum ve Kuruluşları

 

12. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Şirketimizin kişisel verilerin saklanması ve imhasına ilişkin süreçlerin düzenlenmesi için ARM Kişisel Veri Saklanma ve İmha Politikası hazırlamış, İnternet Sitesi’nin “Kişisel Verilerin Korunması ve Gizlilik” menüsü altında kamuya açık şekilde yayınlanmıştır.

 

13. GÜNCELLEMELER

Şirket, 6698 saylı Kanun ve ilgili ikincil mevzuatta yapılan değişikliler ve Kişisel Verileri Koruma Kurulu kararları uyarınca ya da bu alandaki sektörel gelişmeler doğrultusunda işbu Politika’da ve Şirketin diğer politika ve prosedürlerinde değişiklik yapma hakkını saklı tutar.

Versiyon Numarası	Yürürlük Tarihi
Versiyon 1	12.04.2022