Birinci Bölüm
BAŞLANGIÇ
- GİRİŞ
Kişisel verilerin korunması, bizim en önemli önceliklerimiz arasındadır. Bu konunun en önemli ayağını ise işbu Politika ile çalışanlarımızın ve çalışan adaylarımızın verilerinin korunması ve işlenmesi oluşturmaktadır.
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, işbu Politika çalışanlarımızın ve çalışan adaylarımızın korunmasına gerekli özeni göstermekte ve bunu bir şirket politikası haline getirmekteyiz.
Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için tarafımızca gereken idari ve teknik tedbirler alınmaktadır.
- AMAÇ
Anayasal bir hak olarak düzenlenen çalışanlarımızın ve çalışan adaylarımızın kişisel verilerinin korunması ve hukuksal güvence altına alınması konusunda, sorumluluğumuzun farkındayız ve kişisel verilerin güvenli bir şekilde kullanımına önem veriyoruz. Politika’nın temel amacı; tarafımızca hukuka uygun bir biçimde yürütülen çalışanlarımızın ve çalışan adaylarımızın kişisel veri işleme faaliyeti konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımızı ve çalışan adaylarımızı bilgilendirilerek şeffaflığı sağlamak suretiyle KVKK, Yönetmelik ve ikincil mevzuat ışığında kanuni yükümlülüklerimizi yerine getirebilmektir.
- KAPSAM
Politika; çalışanlarımızın ve çalışan adaylarımızın otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Halihazırda istihdam ilişkisi devam eden çalışanlarımızın yanı sıra, hala kişisel verileri işlenmekte olan eski çalışanlar ile tarafımıza iş başvurusunda bulunan adaylar da Politika kapsamındadır. Politika’da yer alan “Çalışan” ifadesi, uygun olduğu ölçüde, çalışanlarımızı, eski çalışanlarımızı ve çalışan adaylarımızı kapsayacaktır.
- YÜRÜRLÜK
Politika yürürlük tarihinde onaylanarak yürürlüğe girmiştir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.
Politika, internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
Politika, tarafımızca kabul edilen ve yürürlüğe konulan Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmhası Politikası’nın ayrılmaz bir parçasıdır.
- TANIMLAR
Politika’da kullanılan kavramlara ilişkin tanımlar tarafımızca kabul edilen ve yürürlüğe konulan Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmhası Politikası’na tabidir.
İkinci Bölüm
İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI
- İŞ İLANI VERME VE BAŞVURU SÜREÇLERİNDE İZLENMESİ GEREKEN ADIMLAR
- İLAN VEREN ŞİRKET BİLGİLERİNİN BELİRTİLMESİ
Biz, açık pozisyonlar için işe alım sürecini iş ilanıyla (internet sitesi, gazete ilanı, istihdam veya danışmanlık şirketleri aracılığıyla veya benzeri yöntemlerle) başlatabiliriz veya tarafımıza iletilen özgeçmişleri değerlendirebiliriz.
Biz, adayların kişisel verilerini hukuka uygun bir şekilde işlemeye ve bilgilendirme yükümlülüklerini yerine getirmeye özen gösteririz.
İstihdam veya danışmanlık şirketi aracılığıyla işe alım sürecini başlatmamız halinde, istihdam veya danışmanlık şirketi tarafından toplanan kişisel verilerin nasıl kullanılacağının ve paylaşacağının belirtilmiş olmasını sağlamaya yönelik önlemleri alırız.
- TOPLANAN KİŞİSEL VERİLERİN İŞE ALIM SÜRECİ İLE UYUMLU OLMASI
Kişisel veri sahibini bilgilendirme yükümlülüğünün yerine getirebilmesi için toplanan kişisel verilerin hangi amaçla toplandığı hususunda adayları bilgilendiririz. Toplanan kişisel verilerin, aday tarafından başvurulan pozisyon dışında, başka bir pozisyon veya amaç için kullanılması veya paylaşılması öngörülüyorsa, bu kullanım ve paylaşım amaçları belirtilir.
İşe alım sürecinde kişisel verilerin toplanması için yöneltilen sorular ile kişisel veri toplamak amacıyla hazırlanan formlar her açık pozisyon türüne göre değerlendirilir ve gereksiz kişisel veri toplanmasının önüne geçecek önlemler alınır (Örneğin adayların adı, soyadı, adresi, doğum tarihi, tabiiyeti, e-posta adresi, iş deneyimi ve eğitimi hakkında sorular sorulabilir). Çalışanlardan toplanan bazı kişisel veriler, adayın işe alımı onaylanmadan istenmemelidir (Örneğin, banka hesap bilgileri).
Adayın başvurduğu işin niteliğine göre daha kapsamlı kişisel veri işlenmesi gerekli olabilir. Ancak, söz konusu kişisel veriler işin niteliğine uygun olmalıdır. İşin niteliği gereği talep edilen kişisel veriler sadece ilgili pozisyon için geçerli olmalıdır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Adayların ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve [güvenlik tedbirleriyle] ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Tarafımızca, kanuni zorunluluk veya işin niteliği gereği olanlar hariç, işe alım kararı vermek amacıyla özel nitelikli kişisel veriler baz alınarak ayrımcılık yapılamaz veya bu amaçlarla işe alım sürecinde özel nitelikli kişisel veriler işlenemez.
İşin niteliği veya kanuni zorunluluk nedeniyle özel nitelikli kişisel verilerin işlenmesi gerekiyorsa, ancak bu kapsama uygun düşen özel nitelikli kişisel veriler, mümkün olduğunca sınırlı olarak işlenebilir.
Talep edilmesi gereken özel nitelikli kişisel veriler, adaydan ilerleyen aşamalarda toplanabilir nitelikte ise, bu veriler işe alım sürecinin ilk aşamasında istenemez.
- MÜLAKAT SIRASINDA İZLENMESİ GEREKEN ADIMLAR
Adaylar ile video konferans, telefon gibi araçlarla veya yüz yüze mülakat gerçekleştirebiliriz.
Mülakatı gerçekleştiren çalışanlarımızı, mülakat sırasında toplanan kişisel verilerin nasıl kayıt altına alınacağı ve muhafaza edileceği hakkında bilgilendiririz.
Görüşmeyi yapan ilgili kişilerin mülakat sırasında kaydettikleri kişisel veriler hakkında, ilgili aday, kişisel verilerine ilişkin kanuni haklarını kullanmayı talep ederse; bu talep tarafımızca en geç 30 gün içerisinde cevaplandırılır. Görüşmeyi gerçekleştirecek olan çalışanlarımızı bu konu hakkında bilgilendiririz.
Aday tarafından ileri sürülebilecek kanuni hak kullanım taleplerinin kullanılması için gerekli önlemleri alırız.
- İŞE ALIM ÖNCESİ YAPILAN ARAŞTIRMALARDA VEYA KONTROLLERDE İZLENMESİ GEREKEN ADIMLAR
- ADAYLARIN SAĞLADIĞI KİŞİSEL VERİLERİN DOĞRULUĞUNUN KONTROLÜ VE EK ARAŞTIRMA YAPILMASI
İşe alım sürecinde adayların ilettiği referanslar dahil kişisel verilerin doğruluğu tarafımızca başka kaynaklardan teyit edilebilir. Kontrol sadece aday tarafından iletilen kişisel verilerin doğruluğunu teyit etmek amacıyla yapılır.
Aday tarafından iletilen kişisel verilerin doğruluğunun kontrol edilmesi durumunda, adayı bu husus hakkında (kontrol edilecek olan kişisel veriler, kullanılacak olan kontrol yöntemi ve kaynaklar hakkında) bilgilendiririz ve [açık rıza gerektiği takdirde rızasını] alırız. Ayrıca kontrol sonucu elde edilen bilgi ile iletilen kişisel veri arasında tutarsızlık olması durumunda, adaya durumu açıklama olanağı tanırız. Ayrıca bazı özel durumlarda tarafımızca aktif bir şekilde aday hakkında ek bilgilerin elde edilmesine ilişkin araştırma yapılabilir. Araştırma yapılması yerine, istenilen bilgilerin mümkün olduğu kadar adaydan alınmasına özen gösterilmelidir. Aday hakkında araştırma yapılabilmesi için aşağıdaki tüm koşulların mevcudiyeti aranır:
- Kullanılan yöntemler hukuka uygun olmalıdır.
- Araştırılması gereken kişisel verilerin toplanamaması durumunda, Şirketimiz veya müşterileri ve/veya iş ortakları açısından risk oluşması söz konusu olmalıdır, Aynı amaca ulaşmak için daha makul bir alternatif bulunmamalıdır.
Hangi pozisyonlar için ek araştırma yapılması gerektiğini yukarıdaki koşullar ışığında önceden belirlemeye özen gösteririz.
İş başvuru formunda veya ek açıklayıcı bilgilendirme notunda, adaylara ilişkin araştırma yapılacağı, araştırmanın kapsamı ve araştırma için kullanılacak olan kaynak çeşitleri hususlarına mümkün olduğunca yer vermeye çalışırız.
- ARAŞTIRMANIN ZAMANI
Tarafımızca adaylarla ilgili ek araştırma yapılması gerekli görülüyor ise, adaylara haklarında araştırma yapılacağı hususu işe alım sürecinin ilk aşamalarında bildirilir.
Başvuruda bulunan kişi hakkında araştırma yapılması söz konusu olduğunda, araştırma işe alım sürecinin mümkün olduğu kadar sonuçlanmasına yakın bir aşamasında yapılır. Ön elemeden geçen adayların tümüne kapsamlı araştırma yapılmaz. Ancak açık pozisyona seçilme ihtimali yüksek adaylar hakkında kapsamlı araştırma yapılabilir.
- ARAŞTIRMA YÖNTEMİ
Aday hakkında araştırma yaparken kaynakları titizlikle seçeriz. Bu kapsamda aşağıdaki ilkelere uyarız:
- Araştırılan bilginin ilgili kaynaktan talep edilebilmesi için, bilgiyi söz konusu kaynaktan elde etme ihtimali yüksek olmalıdır.
- Adayın ailesi veya yakın çevresine istisnai durumlarda başvurulmalıdır.
- Araştırma sonucu elde edilen bilgi, kaynağın güvenilirliğine göre değerlendirilmelidir.
- Hiçbir istihdam kararı güvenilirliği şüpheli olan bir kaynağa dayanmamalıdır.
- Güvenilirliği kesin olmayan kaynaklardan elde edilen bilgilere itimat edilmemelidir.
- Şirketimiz, kendi bünyesindeki ilgili çalışanı veya araştırmayı üstlenecek olan kişileri araştırma yöntemi hakkında bilgilendirmelidir.
- Adayın sonuç hakkında vereceği açıklama dikkate alınmalıdır.
- Araştırma sırasında adaydan farklı bir kişiye ilişkin kişisel veri elde edilmemesine özen gösterilmelidir.
- Adaydan farklı bir kişiye ilişkin kişisel veri toplanması ve işlenmesi halinde, ilgili kişi, söz konusu durum ve bilginin işlenme yöntemi hakkında bilgilendirilmelidir. Bu bilgilendirmeyi gerçekleştirebilmek amacıyla bir sistem kurulması gerekmektedir.
- ARAŞTIRMA İÇİN İZİN ALINMASI
Araştırma sırasında üçüncü bir kişiden bilgi ve belgenin toplanması adayın rızasına bağlı ise, adaydan açık rıza alırız. Üçüncü kişinin adaydan açık rıza alması yerine, tarafımızın açık rızayı doğrudan adaydan alması yöntemi mümkün olduğunca tercih edilmektedir.
- ADAYLARIN KİŞİSEL VERİLERİNİN SAKLANMASI VE GÜVENLİĞİ
- ADAYLARIN KİŞİSEL VERİLERİNİN GÜVENLİĞİ
İşe alım sürecinde, Çalışanların kişisel verilerinin korunmasına ilişkin gösterdiğimiz özeni aynı şekilde işe başvuran adaylara da gösteririz. Bu kapsamda özellikle aşağıdaki önlemler alınır:
- Başvurular dijital ortamda iletiliyor ise, Şirketimizin güvenli bir sistem kurması gerekir.
- Elektronik ortamda iletilen başvurular sadece işe alım sürecinden sorumlu olan kişiler tarafından erişilebilen dizin veya sistemlere kaydedilir.
- Başvurular posta veya faks aracılığıyla iletiliyor ise, insan kaynaklarından sorumlu yetkili kişiye başvuruların iletilmesi sağlanır. Elde edilen fiziki belgelerin güvenliği sağlanır.
- Şirketimiz adayların kişisel verilerine erişimi, işe alım süreçlerini yürütmekle görevli olan kişilerle sınırlar. Söz konusu kişiler, adaylara ait kişisel verilerin işlenmesi ile alınacak güvenlik önlemleri hakkında düzenli aralıklarla bilgilendirilir.
- İŞE ALIM SÜRECİNE İLİŞKİN KİŞİSEL VERİLERİN SAKLANMA SÜRESİ
İşe alım sürecine ilişkin kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini engellemek adına her türlü teknik, idari ve hukuki tedbiri alırız. İşe alım sürecine ilişkin adayın kişisel verilerini, bu verilerin işlenme amaçlarına uygun olan bir süre boyunca saklarız. İş hukuku ve diğer ilgili düzenlemelere uyumlu olarak, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, kişisel veriler, tarafımızca veya adayın talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Geçerli bir sebep olmadığı takdirde (muhtemel uyuşmazlıkların çözümü gibi), ilgili kişisel verileri işe alım sürecinden dolayı doğabilecek taleplerin zamanaşımı süresi bitiminden sonra muhafaza etmeyiz. İlgili zamanaşımı süresinin bitiminden itibaren adayın kişisel verileri anonimleştirilerek saklanmaya devam edilebilir.
İşe alım sürecinde adayın durumu hakkında araştırma yapılmış veya herhangi bir şekilde üçüncü kişilerden veri temin edilmiş ise; üçüncü kişilerden elde edilen bilgiler en kısa sürede silinir. Araştırma yapılıp yapılmadığını, araştırmanın sonucunu ve adayın işe alınıp alınmadığını belirterek araştırmanın sonuçlarını saklayabiliriz.
- İŞE ALINAN ADAYLARIN ÇALIŞAN KAYITLARINA AKTARILMASI GEREKEN KİŞİSEL VERİLERİ
Açık pozisyona kabul edilen başarılı adayların özlük dosyalarına, adaylık süreci boyunca elde edilen kişisel verilerden hangi verilerin aktarılacağını özenle belirleriz. İş ilişkisi ve özlük dosyasının kapsamı gereği gerekli olmayan kişisel veriler yeni çalışanın özlük dosyasına aktarılmaz.
- BAŞVURUSU KABUL EDİLMEYEN ADAYLARIN KİŞİSEL VERİLERİ
Başarıyla sonuçlanmayan başvuruları ileride açılabilecek pozisyonlar için değerlendirmek istenmesi ihtimaline binean, kayıtlarda adayların kişisel verilerini tutabiliriz.
Üçüncü Bölüm
ÇALIŞAN VERİLERİNİN İŞLENMESİ
- ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİNDE GENEL YAKLAŞIM
- ÇALIŞANLARIN BİLGİLENDİRİLMESİ VE HUKUKA UYGUN KİŞİSEL VERİ İŞLEME ŞARTLARINA DAYALI OLARAK KİŞİSEL VERİ İŞLEME
Çalışanların kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendiririz. İşlediğimiz kişisel verileri değerlendirerek, Kanun’da yer alan şartlardan en az birisine dayalı olarak bu verileri işlerleriz:
- Çalışanın açık rızasının olması,
- Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık sebebiyle çalışanın açık rızasının alınamaması,
- Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
- Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
- Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
- Meşru menfaate dayalı olarak verilerin işlenmesidir.
Bu şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir. Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır.
Kişisel verilerinin saklanması, kullanılması ve paylaşılmasına ilişkin olarak çalışanların bilgilendirilmesi konusunda, kendilerine özgü şartlara göre en faydalı yöntemi tespit eder ve uygularız.
- İHTİYAÇLAR DOĞRULTUSUNDA GEREKTİĞİ KADAR KİŞİSEL VERİ TOPLANMASI
Biz, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine çalışanlardan kişisel veri toplarız. Toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını sağlarız.
Yukarıda belirtilen prensibe uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır. Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir ya da anonimleştirilir.
- KİŞİSEL VERİLERİN GÜNCELLİĞİNİN SAĞLANMASI
Biz, çalışanların kişisel verilerinin güncelliğini sağlamak adına gerekli önlemleri alırız. Bu kapsamda özellikle aşağıda hususlara dikkat ederiz:
- Çalışanların, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.
- Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.
- Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili çalışanın kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
- Çalışanların değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
- Çalışanların değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık çalışmaları ile ilgili insan kaynakları personeli tarafından aktif takip yapılır.
Yukarıda açıklanan yöntem haricinde; kendine özgü koşullara göre çalışanların işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alırız.
- ÖZEL NİTELİKLİ ÇALIŞAN VERİLERİNİN İŞLENMESİ
Kişisel verilerin bir kısmı, Kanun kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır. Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve [güvenlik tedbirleriyle] ilgili veriler ile biyometrik ve genetik verilerdir.
Sağlık verilerini, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebiliriz:
- Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda öngörülen hallerde,
- Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.
- ÇALIŞANLAR’IN SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN GENEL YAKLAŞIM
- SAĞLIK VERİLERİNİN ZORUNLU OLMADIKÇA İŞLENMEMESİ VE AYRI SAKLANMASI
Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta çalışanların kaza ve hastalık raporları olmak üzere çalışanların sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışanın işe gelmediği günlere ya da karıştığı kaza ve diğer olaylara ilişkin bilgiler kullanılırken Çalışanın sağlık verilerinin kullanılmasından mümkün olduğunca kaçınılır.
- SAĞLIK VERİLERİNİN PAYLAŞIMI VE BU VERİLERE ERİŞİM
Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate alınarak ve bu yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür. Çalışanların sağlık verileri ile ilgilenen kişilerin yukarıdaki durumlar hakkında bilgilendirilmesini ve eğitilmesini düzenli aralıklarla sağlarız.
Kural olarak, çalışanların sağlık verilerini diğer çalışanların erişimine açmayız. Ancak hukuken meşru menfaatlerimiz gereği bir işin ve bu işle ilgili olarak da bu verilerin işlenmesi zorunlu ise; bu işle görevli olan personelin işin gereğini yerine getirmekle sınırlı olmak kaydıyla bu kişisel verileri işlemeleri için gerekli idari ve teknik tedbirler alınarak kendilerine erişim hakkı sağlarız.
Yöneticilerin kendi yönetimsel rollerini yerine getirebilmeleri açısından zorunlu olarak bilmeleri gereken sağlık verileri, yöneticilere açıklanabilir. Yöneticilerimiz, sağlık verilerinin hassasiyeti ve bu verilerin Kanun’daki işleme şartları konusunda, sağlık verileri kendileriyle paylaşılmadan önce bilgilendirir.
- ÇALIŞAN VERİLERİNİN İŞLENMESİ
Aşağıda belirtilen amaçlarla çalışan kişisel verilerini temin etmekte ve işlemekteyiz:
- Çalışanların performans değerlendirme kriterlerinin belirlenmesi ve takibi süreçlerine destek olunması,
- Yabancı çalışanların çalışma/oturma izni başvuru süreçlerine destek olunması,
- Çalışanlara sağlanan yan hakların ve menfaatlerin planlanması ve takibi süreçlerine destek olunması,
- Çalışanların ücret yönetimi ve prim süreçlerinin planlanması ve icrası,
- Toplu İş Sözleşmesi (TİS) süreçlerine destek olunması,
- İnsan kaynakları stratejilerinin planlanması, yedekleme süreçleri ve organizasyonel gelişim faaliyetleri konusunda destek olunması,
- Üst düzey yöneticilerinin atama, terfi ve işten ayrılma kararlarının uygulanması ve ilgili duyuruların yapılması,
- Üst düzey yöneticilerinin ücret ve prim paketlerinin belirlenmesi konusunda destek olunması,
- Çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek olunması,
- Çalışanların kariyer gelişimi, eğitim ve yetenek yönetimi faaliyetlerinin planlanması ve icrası süreçlerine destek olunması,
- İşe alım süreçlerine destek olunması,
- Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi.
Çalışan kişisel verilerinin bahsi geçen amaçlarla işlenmek üzere çalışanlara Kanun ve ilgili mevzuat kapsamında öngörülen bilgilendirmeleri yapacak ve gerekmesi halinde ilgili açık rızaları temin edecektir.
- YAN HAKLAR VE MENFAATLERİN SAĞLANDIĞI DURUMLARDA ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Özel sağlık sigortası, hayat sigortası, ferdi kaza sigortası, şirket aracı, bireysel emeklilik, esnek yan fayda programı ya da benzeri faydalar bu başlık altında yan haklar ve menfaatler olarak adlandırılır.
Çalışanların kişisel verilerinin çalışanlara yan haklar ve menfaatler sağlamak için hizmet alınan üçüncü kişilerle paylaşılmasında, asgari düzeyde veri paylaşmaya özen gösteririz. Bahsi geçen üçüncü kişilerle sadece, ilgili yan hak ve menfaatin sağlanması için zorunlu olan kişisel verileri paylaşırız. Ayrıca, bu kapsamda toplanan kişisel verilerin başka bir amaçla kullanılmaması için gerekli tedbirler alırız.
Hizmet alınan üçüncü kişilerle paylaşılacak kişisel verilerin özel nitelikli kişisel veri olup olmadıkları paylaşımdan önce değerlendirilir. Hizmet alınan üçüncü kişiler ile yapılacak kişisel veri paylaşımları hakkında çalışanların bilgilendirilmesi sağlanır. Bu kapsamda, çalışanların hangi kişisel verilerinin paylaşıldığı ve bunların ne amaçla kullanılacağı çalışana açıklanır.
- FIRSAT EŞİTLİĞİNİN GÖZETİLMESİ KAPSAMINDA ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Biz, çalışanlarımızın arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde kişisel veri işleyebiliriz. Fırsat eşitliğinin sağlanması için işlenen kişisel veriler belirli aralıklarla kontrol edilir. Fırsat eşitliğinin sağlanması amacıyla işlenen kişisel veriler mümkün olan en geniş kapsamda anonimleştirilerek kullanılır.
- USULSÜZLÜKLERLE MÜCADELE KAPSAMINDA ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ
Çalışanların usulsüz işlemlerini engellemek adına değişik birimlerde bulunan kişisel veri setlerini karşılaştırabiliriz. Usulsüzlüklerle mücadele kapsamında yapılacak kişisel veri seti karşılaştırma işlemleri için kurallar tarafımızca belirlenir.
Usulsüz işlemlerin tespiti amacıyla çalışanların kişisel verilerini ancak aşağıdaki koşullar veya benzeri koşullardan birinin varlığı halinde paylaşırız:
- Hukuken ilgili çalışanın kişisel verilerinin paylaşılmasının zorunlu olması,
- Çalışanın kişisel verilerinin paylaşılmaması halinde bir suçun önlenmesinin ya da tespit edilmesinin mümkün olmayacağına dair güçlü şüphe bulunması,
- Çalışanın iş sözleşmesinde, kişisel verilerinin bu kapsamda paylaşılmasına ilişkin hüküm bulunması.
- ŞİRKET BİRLEŞME VE DEVRALMALARI İLE ŞİRKET YAPISINI DEĞİŞTİREN DİĞER İŞLEMLERDE ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirket birleşme ve devralmaları da dahil şirket yapısını değiştiren tüm işlemler bu bölüm altında değerlendirilmektedir.
- ŞİRKET YAPISI DEĞİŞİKLİĞİ İÇİN ÇALIŞANLARIN KİŞİSEL VERİLERİNİN PAYLAŞILMASI
Şirket yapısı değişikliği amacıyla çalışanların kişisel verilerini paylaşma gereksinimi duyduğumuzda; öncelikle bu kişisel verilerin mümkün olduğu ölçüde anonimleştirilerek paylaşılmasını sağlarız. Anonimleştirilerek paylaşılması mümkün olmayan çalışan kişisel verileri için karşı taraftan sadece şirket yapısı değişikliği ile ilgili işlemleriyle sınırlı olarak bu kişisel verileri kullanacağı, kişisel verilerin Kanun’un veri güvenliği hükümleri uyarınca korunacağı ve Kanun’un ilgili hükümlerine uygun olarak işleneceği, kişisel verilerin üçüncü kişilere aktarılmayacağı ve ilgili işlemler tamamlandıktan sonra kişisel verilerin silineceği veya yok edileceğini konularında taahhüt alınır.
- BİLGİLENDİRME YAPILMASI
Bilgilendirmenin Şirket menfaatlerine olumsuz herhangi bir etkisi olmayacak ise (örneğin şirket birleşmesi işlemi çerçevesinde kişisel verilerinin paylaşıldığını öğrenen çalışanın bu bilgiyi kullanarak şirket hisse fiyatlarına etki etmesi gibi), çalışanlara hangi kişisel verilerinin ne amaçla paylaşıldığına ve kullanılacağına ilişkin bilgilendirme yapılır. Çalışanlar, ayrıca hangi kişisel verilerinin şirket yapısı değişikliği sonucu yeni işverenlerine aktarılacağı konusunda bilgilendirilir.
- DİSİPLİN SORUŞTURMALARINDA ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Disiplin soruşturmaları sırasında da çalışanların kişisel verilerinin korunmasına ilişkin yükümlülüklere aynen uyarız. Bu kapsamda özelikle aşağıdaki aksiyonlar alınır:
- Disiplin soruşturmalarına ilişkin politika ve prosedürlerin kişisel verilerin korunmasına ilişkin yükümlülüklerle uyumlu hale getirilmesi,
- Disiplin soruşturmaları kapsamına giren kişisel verilere de Çalışanlar’ın kişisel verilerine erişme hakkı kapsamında erişilebileceği konusunda disiplin soruşturmaları yapmaya yetkili kişilerin bilgilendirilmesi,
- Disiplin soruşturmaları sırasında hukuka aykırı yöntemlerle kişisel veri elde edilmemesini sağlayacak önlemlerin alınması,
- Disiplin soruşturmaları sırasında kullanılacak olan kişisel verilerin doğru ve güncel olmasına dikkat edilmesi,
- Disiplin soruşturmasına ilişkin kişisel verilerin ve kayıtların güvenli şekilde saklanması,
- Çalışanlar hakkındaki asılsız iddiaların, eğer bunların silinmemesi için herhangi bir hukuki sebep bulunmuyorsa, çalışanların dosyalarından silinmesinin sağlanması.
Çalışanların kişisel verilerine sadece disiplin soruşturmasının varlığı sebebiyle keyfi olarak erişilmesine engel oluruz. Bu kapsamda kişisel verilerin elde edilme amaçlarına uygun düşmüyorsa veya soruşturma konusunun ciddiyetine göre kişisel verilere erişmek orantısız bir işlem olarak değerlendiriliyorsa salt disiplin soruşturması nedeniyle çalışanların kişisel verilerine erişilemez.
Dördüncü Bölüm
ÇALIŞAN SAĞLIK VERİLERİNİN İŞLENMESİ
- ÇALIŞANLAR IN SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN GENEL YAKLAŞIM
- SAĞLIK VERİLERİN İŞLENMESİNE İLİŞKİN KOŞULLAR
Sağlık verileri Politika’da, özel nitelikli kişisel verilerin korunması için öngörülen düzenlemelere uygun olarak işlenir. Aşağıdaki hususlar ayrıca göz önünde bulundurulur.
Çalışanın rızası gereken durumlarda, sağlık testinden elde edilen sağlık verilerinin kullanılabilmesi için çalışandan sadece testin yapılmasına ilişkin değil; test sonuçlarının kaydedilmesi, kullanılması ve paylaşılmasına ilişkin de açık rıza alınır.
- ÇALIŞANLARIN SAĞLIK VERİLERİNİN BELİRTİLEN AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLARAK İŞLENMESİ
Çalışanlara yapılacak sağlık anketlerinde, sadece gerçekten gereken bilgilerin toplandığından emin olur ve gereksiz bilgi talep edilmemesi hususuna özen gösterilir.
Çalışanlardan tüm sağlık verilerini şirket ile paylaşması için genel bir açık rıza vermesini istenmez. Sadece belirtilen amaç için gerçekten gerekli olduğu düşünülen sağlık verilerinin paylaşılması istenmektedir.
- SAĞLIK VERİLERİNİ İŞLEYECEK KİŞİLERİN BELİRLENMESİ
Çalışanların sağlık verilerini işleyecek veya işlemeye yetkilendirilecek çalışanların ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır. Çalışanın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir.
- ÇALIŞANLARA SAĞLIK VERİLERİNİN NASIL KULLANILACAĞININ VE BU VERİLERE KİMLER TARAFINDAN ERİŞİLECEĞİNİN AÇIKLANMASI
Çalışanara sağlık verilerinin hangi amaçlar içerisinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösteririz.
- MUAYENE VE TESTLERDEN ELDE EDİLEN SAĞLIK VERİLERİNİN İŞLENMESİ
- SAĞLIK VERİLERİNİN İŞLENMESİNE İLİŞKİN ŞİRKET POLİTİKASININ ÇALIŞANLARA BİLDİRİLMESİ
Çalışanların sağlık verilerinin işlenmesine ilişkin izlenen politikaların şeffaf olmasına özen gösteririz. Sağlık testlerinin yapılacağı yerlere, testlerin niteliğine, test sonucu elde edilen verilerin nasıl kullanılacağı ve korunacağına ilişkin şartlar belirlenir ve çalışanlar bilgilendirilir.
Beşinci Bölüm
ÇALIŞANLARIN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ
- ÇALIŞANLARIN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİ İŞLEME KONUSUNDAKİ GENEL YAKLAŞIM
- ÇALIŞANLARIN HANGİ AMAÇLARLA HANGİ İŞ FAALİYETLERİ ÖZELİNDE KİŞİSEL VERİLERİNİN İŞLENECEĞİNİN BELİRLENMESİ
Çalışanların hangi iş faaliyetleri özelinde ve hangi amaçlarla kişisel verilerini işlediklerini (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi) tespit eder ve kişisel verilerin işlenme amaçları ile sağlanmak istenen sonuca uygun olacak kişisel veri işleme yöntemlerini belirleriz.
Kendi bünyemizde gerçekleştireceğimiz değerlendirme sonucu, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme amaçlarının veya yöntemlerinin kişisel verilerin korunması kurallarına uygunluğunu sağlarız.
Çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetlerinde görevli çalışanlarını kişisel verilerin korunması ve konuya ilişkin diğer mevzuat, ilgili mevzuat kapsamında dikkat edilmesi gereken hususlar ve Şirketin mevzuattan kaynaklanan yükümlülükleri konusunda bilgilendiririz. Bu faaliyetler neticesinde elde edilen kişisel verilere erişimi olan çalışanlar ile yapılan sözleşmelere ilave gizlilik ve güvenlik yükümlülükleri ekler veya bu kişiler tarafından gizlilik politikaları/taahhütnameleri imzalanmasını sağlarız.
- ÇALIŞANLARIN İŞ FAALİYETLERİNE İLİŞKİN ŞİRKETİMİZİN KİŞİSEL VERİ İŞLEME FAALİYETLERİ HAKKINDA BİLGİLENDİRİLMESİ
Çalışanları işle ilgili gerçekleştirmiş olduğu faaliyetleri kapsamında ne şekilde bir kişisel veri işleme faaliyetinde bulundukları (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi), bu kişisel verilerin işlenme amaçları ve prosedürleri hakkında bilgilendiririz.
İş saatleri içerisinde iş ve işyeri kurallarına uygun davranılıp davranılmadığının ve çalışanın görevlerini gereği gibi yerine getirip getirmediğinin tespiti ve işyeri ortamında huzur ve düzeni bozacak hareketler yapılıp yapılmadığının takibi ve benzeri amaçlarla çalışanın kişisel veriler işlemekteyse ilgili çalışanı açıkça ve detaylı olarak bilgilendiririz.
Çalışanların kendi iş faaliyetleriyle ilgili işvereni tarafından hangi kişisel veri işleme faaliyetleri yürüttüğünden haberdar edilmeleri ve farkındalık oluşması için çalışma ortamının doğasına uygun olarak uyarılar yerleştiririz.
- ÇALIŞANLARIN İŞ FAALİYETLERİNE İLİŞKİN KİŞİSEL VERİ İŞLENMESİ SONUCUNDA ELDE EDİLEN KİŞİSEL VERİLERİN BAŞKA AMAÇLARLA KULLANILMASI
Çalışanların iş faaliyetleriyle ilişkili işlenen kişisel verileri, Kanun’un 5. maddesinde belirtilen şartlara ve 4. maddesinde öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun başka amaçlar için de işlenebilir.
- ÇALIŞANLARIN İŞ FAALİYETLERİNE İLİŞKİN KİŞİSEL VERİ İŞLENMESİ SONUCUNDA ELDE EDİLEN BİLGİLERE KARŞI ÇALIŞANLARA SAVUNMA HAKKI VERİLMESİ
Çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikayet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilir.
- ÇALIŞANIN İŞ FAALİYETLERİYLE BAĞLANTILI GERÇEKLEŞTİRDİĞİ ELEKTRONİK HABERLEŞME İŞLEMLERİNE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ
- ELEKTRONİK HABERLEŞME ARAÇLARININ KULLANIMINA İLİŞKİN POLİTİKA
Çalışanların iş faaliyetleri sırasında gerçekleştirdikleri işlemler hem Şirket’in hem müşterilerin hem çalışanların hem de diğer üçüncü kişilerin güvenliği açısından önem taşıyabilmektedir. Çalışanların elektronik haberleşme işlemlerine ilişkin kişisel verilerin işlenmesi halinde; çalışan verilerinin işlenmesinde bu politikada yer alan düzenlemelere uygun davranılır.
Elektronik haberleşme işlemleri ile elde edilen çalışanlara ilişkin kişisel verilere dayanarak bir çalışan aleyhinde şikayet prosedürü veya disiplin süreci başlatmadan önce ve sonrasında Kanun ve Politika’da yer alan kişisel verilerin korunması ve işlenmesi kurallarına uygun hareket edilir. Politika ile getirilen kurallara aykırı davranarak çalışanlar hakkında hukuka aykırı veri işleyen; ya da bu faaliyetler sonucunda elde edilen bilgileri başka amaçlarla kullanan çalışanlar hakkında disiplin soruşturması başlatılabilir.
Çalışana sağlanmış veya sağlanabilecek olan cep telefonu, diz üstü bilgisayar, tablet ve benzeri elektronik haberleşme araçlarının kullanımına ilişkin olarak çalışan verileri işlenebilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin Politika hükümleri dikkate alınır. Elektronik haberleşme araçlarının kullanımına ilişkin elde edilen kişisel verilere ilişkin, Politika’daki diğer hükümler uygulama alanı bulur.
Şirket telefonundan yapılan iletişim, telefon görüşmesi yapılan numaralar ve iletişimin süresine ilişkin kişisel verilerin sadece işlendikleri amaçla sınırlı olarak kullanılmasına özen gösterilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır.
Çalışan kurumsal e-posta hesabı üzerinden elde edilen kişisel veriler yasal mevzuat kapsamında bu politikada yer alan hükümler çerçevesinde işlenebilir.
Mevzuat çerçevesinde, çalışanların internet kullanımı sırasında kişisel verilerin elde edilmesi halinde; elde edilen kişisel verilere ilişkin, bu politikadaki ilgili hükümler uygulama alanı bulur.
Hukuki bir yükümlülüğün yerine getirilmesi için internet kullanımının izlenmesi gerekmekte ise veya ilgili veri işleme Kanun’da belirtilen şartlardan bir başkasını karşılıyor ise, çalışanlardan ayrıca açık rıza alınması gerekmez. Ancak bu kişisel verilerin Kanun’da belirtilen kişisel veri sahibinin rızasına tabi olmayan kişisel veri işleme şartlarına dayalı amaçlar dışında işlenmesi durumunda ayrıca çalışandan açık rıza alınır.
- ÇALIŞANIN İŞ FAALİYETLERİYLE BAĞLANTILI GERÇEKLEŞTİRDİĞİ ELEKTRONİK HABERLEŞME İŞLEMLERİNE İLİŞKİN KİŞİSEL VERİLERİNİN SAKLAMA SÜRESİ
Çalışanların iş faaliyetleriyle bağlantılı gerçekleştirdiği elektronik haberleşme işlemlerine ilişkin kişisel verilerinden hangilerinin saklanacağı ve bu bilgilerin saklanma süresine ilişkin prosedürler tarafımızca belirlenir.
Mevzuattan kaynaklanan başka bir yükümlülük mevcut değilse, işlenen kişisel veriler, iş sözleşmesi süresi boyunca ve sözleşmenin bitiminden itibaren gerçekleştirilen faaliyetin niteliğine göre ortaya çıkabilecek hukuki uyuşmazlığın gerektirdiği zamanaşımı süresi boyunca saklanabilir. Bu verilerin saklanmasına izin veren hukuki düzenlemeler dikkate alınarak verilerin saklanma süresi gözden geçirilir. Bu süre istisnai durumların varlığı halinde uzatılabilir. Sürenin uzatılması halinde Çalışanlar süre uzatımına, gerekçeye ve saklanan kişisel veri tiplerine ilişkin bilgilendirilir.
- İŞYERİNDE GÜVENLİK KAMERASI UYGULAMASI
- GÜVENLİK KAMERASI UYGULAMASININ AMACI
İşyerlerinde güvenliği sağlamak amacıyla çeşitli noktalara güvenlik kameraları yerleştirilebilmektedir. Bu güvenlik kameralarının görüntü alanlarının tüm işyerini değil; sadece özel risk taşıyan alanları, giriş – çıkış ve benzeri alanları kapsamasına özen gösterilir.
- GÜVENLİK KAMERALARININ KULLANIMI HAKKINDA BİLGİLENDİRME YAPILMASI
Çalışanları güvenlik kamerası ile çekim yapılan, güvenlik kameraları ile izlenen alanlar ve izlemenin amaçları hakkında bilgilendirmeye özen gösteririz.
- ŞİRKET TARAFINDAN SAĞLANAN ARAÇLARIN TAKİBİ
Çalışanlara araç tahsis edildiği durumlarda; tahsis edilen araçların kat edilen mesafenin belirlenmesi, akaryakıt kullanımı ölçümü, konum verisinin alınması ve benzeri amaçlarla takibi yapılabilir. Bu takip ile ilgili Çalışanlar önceden bilgilendirilir.
Altıncı Bölüm
KİŞİSEL VERİLERİN GÜVENLİĞİ VE ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI
- KİŞİSEL VERİLERİN GÜVENLİĞİ
Çalışan verilerinin güvenliğini sağlamak için gereken tüm makul önlemleri alırız. Alınan önlemler yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır.
Çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin edilir. Çalışanların bu kapsamda kişisel veri işleme faaliyetinden sorumlu olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak Çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda, mevcut durumda bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırır veya sınırlarız. Çalışanların kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri alınır. Bu kapsamda ayrıca erişim yetkili kişilerin gereksiz yere geniş yetki sahibi olması engellenir.
Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilir ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulur.
Çalışanların kişisel verilerine erişimi olan diğer çalışanların gerekli güvenlik kontrollerinden geçirilmeleri esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır.
Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanır.
- KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI
Çalışanların kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar kulllanılabilir. Ancak, dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri alırız:
- Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarının kontrol edilmesi,
- Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,
- Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar da içeren sözleşme yapılması,
- Kişisel verilerin yurtdışındaki dış hizmet sağlayıcılarına gönderilmesi halinde gerekli hukuki, idari ve teknik önlemlerin alınması.
- ÇALIŞANLAR’IN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI
- KİŞİSEL VERİ PAYLAŞIMINA İLİŞKİN GENEL KURALLAR
Çalışanların kişisel verilerinin paylaşımına ilişkin iç prosedürleri belirleriz. Veri paylaşım taleplerinin bu konuda yetkin çalışanlarca cevaplanması sağlarız.
Dışarıdan gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta şirketi talepleri gibi) gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır. Dışarıdan gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.
Çalışanların kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin yurtdışına aktarılmasına ilişkin her türlü idari, hukuki ve teknik önlem alınır.
Çalışanların kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki yükümlülüğün kapsamına uygun şekilde kişisel veri paylaşımı yapılabilir.
Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla; çalışanların kişisel verileri ancak aşağıdaki şartlardan birisinin varlığı halinde üçüncü kişilere aktarılabilir:
- Veri sahibinin açık rızasının olması,
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise, Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ilgili topluluk şirketinin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
- KİŞİSEL VERİ PAYLAŞIMINA İLİŞKİN BİLGİLENDİRME VE KAYIT TUTMA
Çalışanların kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının Kanun’da yer alan şartlardan birisine dayalı olması aranır.
Çalışanların, daha önce bilgilendirilmemiş olmaması halinde, en geç paylaşım anında bu paylaşım ile ilgili olarak bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı niteliği taşıyorsa ilgili çalışan konuya ilişkin bilgilendirilmez.
Rutin olarak gerçekleştirilmeyen çalışanların kişisel verilerinin şirket dışı paylaşım talepleri ve bu kapsamda yapılan paylaşımlar tarafımızca kayıt altına alınabilir. Bu kapsamda asgari olarak paylaşıma onay veren kişi, paylaşım talebinde bulunan kişi, paylaşım gerekçesi, paylaşım tarih ve saati ile paylaşılan veri tipleri kayıt altına alınır. Bu kayıtların düzenli olarak kontrol edilmesi ve incelenmesi sağlanır.
- KİŞİSEL VERİLERİN YAYINLANMASI
Çalışanların kişisel verilerini ancak aşağıdaki şartlara dikkat ederek yayınlanır:
- Kişisel verilerin yayınlanması için hukuki bir hak veya yükümlülük bulunması veya çalışanın yayınlama için açık rıza vermiş olması,
- Kişisel verilerin açıkça elverişsiz olmaması.
Kişisel verilerin yayınlanması neticesinde elde edilecek faydalar ile çalışanın gizliliğinin korunacağına ilişkin beklentileri dengeleyici bir yaklaşım ile hareket ederiz.
Yıllık raporlar, yayınlar ya da internet siteleri gibi mecralarda bazı çalışanlarının isimlerinin ve diğer kişisel verilerin yayınlanması halinde, bu durumlar özel olarak değerlendirilir ve açık rıza alınması gereksinimi olup olmadığı belirlenir. Açık rıza alınması gerektiğine kanaat getirilmesi halinde ilgili çalışanların açık rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel veri tipleri tek tek çalışana bildirilir.
Yedinci Bölüm
ÇALIŞANLARIN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI
- ÇALIŞANLARIN KANUNİ HAKLARI
Çalışanların kişisel verilerine ilişkin olarak ilgili mevzuat gereği aşağıdaki hakları bulunmaktadır:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığım öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
- ÇALIŞANLARIN KANUNİ HAKLARINI KULLANMALARINA İLİŞKİN ESASLAR
Çalışanların kanuni haklarını kullanabilmelerini, gerekli başvuruların yapılabilmesini ve yapacakları başvurulara en geç 30 gün içerisinde cevap verilmesini sağlayacak her türlü idari, hukuki ve teknik önlemleri alırız ve ilgili süreçleri tasarlayarak bu konuda çalışanları bilgilendiririz.
Kanuni haklarını kullanan çalışanlara verilecek cevaplarda üçüncü kişilerin kişisel verilerinin ifşa edilmemesi için gereken her türlü özen gösteririz.
Sekizinci Bölüm
ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ
- ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİNE İLİŞKİN KURALLAR
Çalışanların kişisel verilerinin saklanmasında mevzuatın getirdiği yükümlülükleri de göz önünde bulundurarak makul süreler belirleriz. Çalışanların kişisel verilerinin saklanma süresi, kural olarak ilgili veriye ilişkin mevzuatın öngördüğü süreyi ve her halükarda mevzuatın belirlemiş olduğu en uzun zamanaşımı süresini aşamaz. Ancak çalışanların kişisel verilerinin belirtilen sürelerden daha uzun süre saklanmasında uygun bir fayda görülmesi halinde çalışanların kişisel verilerinin saklanma süresi bu faydaya uygun olarak uzatılabilir.
Çalışanların kişisel verilerinin saklanma süresi her bir veri tipi ya da kategorisi için ayrı ayrı belirlenir.
Çalışanların kişisel verilerinin saklanması ve silinmesi işlerinin takibi için gerekli olan teknik ve idari tedbirleri alırız.
- SAKLANMA SÜRESİNİN DOLMASINDAN SONRA KİŞİSEL VERİLER HAKKINDA ALINACAK AKSİYONLAR
Çalışanların kişisel verilerinin saklanma süresinin dolmasından sonra bu kişisel verilerin anonimleştirilmesi, silinmesi veya yok edilmesi sağlanır.
Saklanma süresinin dolmasından sonra çalışanların kişisel verilerinin, anonimleştirerek saklama gereği duyulmaması halinde, silinmesini veya yok edilmesini sağlanır. Kişisel verilerin silinme işleminin etkinliğinin sağlanması için gereken önlemler alınır.
- İŞ İLİŞKİSİNİN SONA ERMESİ SONRASINDA KİŞİSEL VERİLERİN İŞLENMESİ
İş ilişkisi sona eren çalışanların kişisel verileri, olası hukuki uyuşmazlıklarda kullanılma amacı başta olmak üzere Kanun’un 5. ve 6. maddelerinde belirlenen şartların varlığı halinde Politika’da belirtilen amaçlarla işlenebilecektir.