1.Amaç
Sağlam KOBİ projesi Veri Saklama ve KVKK Uyum politikası; ziyaretçilerimizin, adaylarımızın, çalışanlarımızın, müşterilerimizin, bayilerimizin, tedarikçilerimizin ve Sağlam KOBİ projesi ile iletişim ve işbirliği içinde olan tüm gerçek kişilerin bilgilerinin gizliliğini korumak, doğruluğunu güvence altına almak ve bilgilere ihtiyaç duyulduğunda yetki sahibi kişilerin erişimini sağlamak amacıyla uyulması gereken kuralları ve süreçleri tanımlamaktadır.
Sağlam KOBİ projesinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ile verisi işlenen ilgili kişilerin haklarının etkin şekilde kullanılmasının sağlanması önceliğimizdir. Bu nedenle, sayılanlarla sınırlı olmamak üzere; ziyaretçilerimizin, adaylarımızın, çalışanlarımızın, müşterilerimizin, bayilerimizin, tedarikçilerimizin ve Sağlam KOBİ projesi ile iletişim ve işbirliği içinde olan tüm gerçek kişilerin, ofislerimizi, depolarımızı, internet sitemizi ve mobil uygulamalarımızı ziyaret eden kullanıcılarımızın, kısacası faaliyetlerimiz sırasında edindiğimiz bütün kişisel verilere ilişkin verilerin işlenmesine, saklanmasına, aktarılmasına ilişkin işlemleri Sağlam KOBİ projesi, Kişisel Verilerin Korunması ve İşlenmesi Politikasına göre gerçekleştirmekteyiz.
Kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, kişisel bilgilerin gizliliği, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü, etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması maksadı ile ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini, mevzuat ve güncel teknolojiye uygun şekilde almaktayız.
2.Kapsam
Sağlam KOBİ projesinde; ziyaretçilerimizin, adaylarımızın, çalışanlarımızın, müşterilerimizin, bayilerimizin, tedarikçilerimizin ve Sağlam KOBİ projesi ile iletişim ve işbirliği içinde olan tüm gerçek kişiler de dahil olmak üzere Sağlam KOBİ projesi tarafından işlenen tüm kişisel veriler bu politika`nın kapsamındadır.
Politikamız, Şirket`in sahibi olduğu ya da Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesine yönelik faaliyetlerde uygulanmakta olup KVKK ve kişisel verilere ilişkin ilgili olan Türkiye Cumhuriyeti Anayasasının 20. Maddesi, TCK’nın 135-140. Maddeleri ve 6698 Sayılı Kişisel Verileri Koruma Kanunu ve bilgi güvenliği standartları gözetilerek hazırlanmıştır. (EK-1)
3. Tanımlar
a) Başvuru: KVKK’nın 13’üncü maddesi kapsamında ilgili kişinin Kanunun uygulanmasıyla ilgili taleplerini ilettiği başvuruyu,
b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
c) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının yaptığı bildirimi,
d) Kayıt yükümlülüğü: KVKK ve ilgili yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülüğü,
e) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini, f) Veri konusu kişi grubu : Veri sorumluları tarafından, kişisel verilerin hangi veri konusu kişi grupları için işlendiğine dair, belirlemenin yapıldığı gruplandırmayı,
g) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
h) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
i) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, j) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu, k) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlüortamı, l) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini detaylandırdıkları envanteri,
m) Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı, n) Kurul: Kişisel Verileri Koruma Kurulunu,
o) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
p) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini, q) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, r) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından, yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
s) İrtibat kişisi: Veri sorumlusunun, şirket içinden veya dışından belirlediği, VERBİS sistemine bildirdiği Türkiye’de yerleşik ve Türkiye Cumhuriyeti vatandaşı gerçek kişiyi ifade eder.
4. Sorumlular
4.1. Sağlam KOBİ projesi yönetim kurulu, Politika`ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin gözetiminden sorumludur. Kişisel Verilerin Korunması ve İşlenmesi Politikası Yönetim Kurulu tarafından onaylanmıştır. Politikanın oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay mekanizmasıdır. Veri sorumlusunun, veri kayıt sistemine (sicil) kayıt olması, imha ve periyodik imha süreçlerinin denetimi, kişisel veri işleme envanterinin yönetimi, (tüm) idari ve teknik tedbirlerin alınması Yönetim Kurulu sorumluluğundadır.
4.2. Sağlam KOBİ projesi İrtibat kişisi, Kişisel Verileri Koruma Kurumu ve veri sahipleriyle irtibatı sağlamaktan sorumludur.Veri sorumlusu adına işlem yapma yetkisine sahip olmayan ancak Kurum’dan gelecek taleplerin tebliğedileceği kişidir. Aynı zamanda irtibat kişisi, veri sahiplerinden gelecek soru ve taleplerin de irtibat sağlayıcısıdır. İrtibat kişisi, değerlendirme makamı olmayıp iletişimi ve koordinasyonu sağlar.
4.3. İlgili kullanıcılar, Veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen Sağlam KOBİ projesi kullanıcılarıdır. Kullanıcılar, Kanuna ve bu politikaya uygun hareket etmekten, idari ve teknik tedbirlere uymaktan ve kişisel verileri belirlenen, açık ve meşru amaçlar için işlemekten ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülükalmaktan sorumludurlar.
5. Yürürlülük ve Değişiklik Bu Politika 31.03.2018 tarihi itibariyle yürürlüğe girmiştir.
6. Kişisel Verilerin Sınıflandırılması
Özel nitelikli kişisel veriler Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Sağlam KOBİ projesi, ziyaretçilerimizin, adaylarımızın, çalışanlarımızın, müşterilerimizin, bayilerimizin, tedarikçilerimizin ve Sağlam KOBİ projesi ile iletişim ve işbirliği içinde olan tüm gerçek kişilerin özel nitelikli kişisel verilerini açık rıza ile veya kanuna uygun şartlarda olmak şartıyla alır. Sağlam KOBİ projesi, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.
7. Kişisel Verilerin İşlenmesi Sağlam KOBİ projesi ve Grup Şirketleri olarak; ziyaretçilerimizin, adaylarımızın, çalışanlarımızın, müşterilerimizin, bayilerimizin, tedarikçilerimizin ve Sağlam KOBİ projesi ile iletişim ve işbirliği içinde olan tüm gerçek kişilerin kişisel verilerini 6698 nolu kanuna ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmesi esastır. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülüolma,
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesinde, Kanunun yayım tarihinden önce yürürlükte bulunan mevzuat çerçevesinde hukuka uygun olarak alınmışrızaların, ilgili kişilerce aksi belirtilmediği sürece, yukarıda yer verilen hüküm uyarınca Kanuna uygun olduğu kabul edildiğinden, veri sorumlularınca bu şartlar dâhilinde alınmışmevcut rızaların güncellenmesine veya yeniden ilgili kişilerden açık rıza alınmasına gerek bulunmamaktadır. Kanunun yayımından önce toplanmış kişisel veriler; açık rıza dışındaki Kanunun 5’inci ve 6’ncı maddesindeki şartlar dahilinde işleniyorsa, bu işleme faaliyetleri için de açık rıza alınmasına ve bu faaliyetlerin de açık rızaya dayalı olarak yürütülmesine gerek yoktur.
8. Kişisel verileri işleme amaçlarımız
Sağlam KOBİ projesi ziyaretçilerimizin, adaylarımızın, çalışanlarımızın, müşterilerimizin, bayilerimizin, tedarikçilerimizin ve Sağlam KOBİ projesi ile iletişim ve işbirliği içinde olan tüm gerçek kişilerin kişisel verilerini aşağıdaki amaçlar için işlemesi esastır:
• Çalışanlarımızın ve müşterilerimizin güvenliğinin temin edilmesine yardımcı olmak, • Ticari faaliyetlerimizi yürütmek,
• Sözleşme kapsamında ve hizmet standartları çerçevesinde teknik destek hizmeti sağlamak, • Üyelerimizin / ziyaretçilerimizin tercih ve ihtiyaçlarını tespit etmek, verdiğimiz hizmetleri bu kapsamda şekillendirmek ve güncellemek,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerimizi yerine getirilmesini sağlamak,
• İş başvurularını değerlendirmek,
• Şirket ile işilişkisinde bulanan kişiler ile irtibat sağlamak,
• Pazarlama,
• Çalışanlarımızın eğitim, gelişim ve kariyer süreçlerini desteklemek,
• Uyumluluk yönetimi,
• Satıcı / tedarikçi yönetimi,
• Yasal raporlama yapmak,
• Çağrı merkezi süreçlerini yönetmek,
• Kurumsal iletişimi sağlamak,
• SMS, Elektronik posta ile bülten göndermek, pazarlama faaliyetinde ya da bildirimlerde bulunmak.
9. Kişisel Verilerin Aktarılması
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Bununla birlikte, kişisel veriler; Kanunun 5’inci maddesinin ikinci fıkrasında, yeterli önlemler alınmak kaydıyla, 6’ncı maddesinin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. Kişisel verilerin yurt dışına aktarılmasında ilgili kişinin açık rızası olması esastır. Bununla birlikte; Kişisel verinin yurt dışına aktarılmasında aktarılan ülkede ve sistemlerde yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. Yeterli koruma bilgisi Kurulca belirlenen listeden öğrenilir.
10.Kişisel Veri Sahibinin Hakları
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin, verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur.
11.Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Sağlam KOBİ projesi’nde KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Sağlam KOBİ projesi kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin aksiyonları, kanunlarda aksi belirtilmediği sürece, kanunun devreye alındığı tarihten itibaren verinin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, en fazla 3 yıl içinde yok eder.
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Suçlar
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
Kabahatler
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
5237 Sayılı Türk Ceza Kanunu
Kişisel verilerin kaydedilmesi
Madde 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.(2) (2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. (3) Verileri hukuka aykırı olarak verme veya ele geçirme Madde 136- (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.(4) Nitelikli haller Madde 137- (1) Yukarıdaki maddelerde tanımlanan suçların; a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenmesi halinde, verilecek ceza yarı oranında artırılır. Verileri yok etmeme Madde 138- (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.(5) (2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikayet
Madde 139- (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikayete bağlıdır.
Türkiye Cumhuriyeti Anayasası
Madde 20-
(Ek fıkra: 7/5/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.