Bu nedenle, Bireylere ait olan, kısacası faaliyetlerimiz sırasında edindiğimiz bütün kişisel verilere ilişkin, işleme, saklama ve aktarma işlemlerini, TRIATECH Kişisel Veri İşleme Saklama ve İmha Politikasına (“Politika”) göre gerçekleştirmekteyiz.
Kişisel verilerin korunması ve kişisel verileri toplanan Bireylerin, temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, kişisel bilgilerin gizliliği, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması maksadı ile ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini, Veri Koruma Mevzuatı ve güncel teknolojiye uygun şekilde almaktayız. İşbu Politika, insan kaynakları, ticaret, tanıtım, pazarlama, güvenlik ve benzeri faaliyetlerimiz sırasında işlenen kişisel verilerin, KVKK’da anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri açıklamaktadır.
Tanımlar ve Kısaltmalar:
Bu bölümde Politika’da geçen tanım ve kısaltmalar kısaca açıklanır.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişiyi ifade eder.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkilendirilemeyecek hale getirilmesini ifade eder.
Çalışan: TRIATECH personelini ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, sağlık bilgileri, parmak izi, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Rol ve Sorumluluklar:
-Veri Koruma Komitesi
İşbu Politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden, TRIATECH organizasyonu içerisinde bulunan Veri Koruma Komitesi sorumludur. Komite, bu Politika’yı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir. Hazırlanan dokümanın kurum içinde ve internet sitesinde yayımlanması Veri Koruma Komitesi’nin sorumluluğundadır.
-Sahip Olduğumuz Kişisel Veriler
TRIATECH tarafından işlenen Bireyler’e ait başlıca kişisel veriler aşağıdaki şekilde tanımlanabilir.
- Kimlik verileri, örneğin adınız, fotoğrafınız, cinsiyetiniz, doğum tarihiniz, kimlik numaranız;
- Ulusal veya sair kimlik belgeleri, örneğin ulusal kimliğiniz/pasaportunuz, herhangi bir vize başvurusuna ilişkin bilgiler, sürücü ehliyeti, ulusal sağlık sistemi numarası (veya muadili);
- İletişim bilgileri, örneğin ev adresiniz, kişisel telefon numaralarınız ve e-posta adresleriniz, acil durumda ulaşılacak kişi ve/ veya en yakın akrabanızın iletişim bilgileri;
- Mesleğiniz ve işinizle ilgili bilgiler, örneğin unvanınız/ göreviniz, iş yeri veya yerleri, sözleşme maddeleri, performans, değerlendirme, eğitim ve kariyer gelişim kayıtları, dâhil olduğunuz herhangi bir şikayet prosedürü kayıtları, disiplin kayıtları, talep ettiğiniz ve kullandığınız tatil/ yıllık izin bilgileri, talep ettiğiniz ve kullandığınız diğer tüm izin bilgileri ve hastalık kayıtları;
- Mesleki nitelikler, başarılar ve/ veya beceriler hakkında bilgiler, örneğin akademik/mesleki nitelikler, eğitim, CV/ özgeçmiş ve bildiğiniz diller. Buna işinizle ilgili gerekli olan tüm yetkinlikler de dahildir, örneğin sürücü belgesi sınıfınız veya adli sicil kaydınız ve/veya mesleki kuruluş üyelikleriniz;
- Finansal veriler, örneğin banka hesap bilgileri, vergi bilgileri ve maaş, ikramiye, fazla mesai ve diğer değişken ödeme unsurları, masraflar ve TRIATECH harcırahları dâhil TRIATECH tarafından size yapılan ödemeler hakkında bilgiler;
- Size yapılan veya sizin yaptığınız ödemelerin idaresi için gerekli diğer bilgiler, örneğin aldığınız her türlü kredi bilgileri, maaş/ücret ödemesi öncesinde veya vasıtasıyla yapılan katkılara ve gelirinize yapılan her türlü ilavelere ve gelirinizden yapılan her türlü kesintiye ilişkin bilgiler;
- TRIATECH sistemleri, cihazları ve mallarını kullanımınızla ilgili bilgiler, örneğin bilgisayarınızın ve/veya cep telefonunuzun veya diğer cihazlarınızın kimliği, cep telefonu veya sabit telefon numaraları, kullanıcı kimliği, IP adresleri, kayıt dosyaları, yazılım ve donanım envanterleri, çerezler yoluyla web sitesi trafiğinin denetlenmesi ve güvenliğinin sağlanması maksadıyla toplanan veriler, TRIATECH tesislerine erişim hakkında bilgiler, çağrı merkezi kayıtları ve CCTV kayıtları;
- İş amacıyla yapılan/ kullanılan seyahat ve konaklamayla ilgili bilgiler;
- Sağlık ve güvenlik bilgileri, örneğin iş kazası kayıtları, kişisel yaralanma hasar talebi bilgileri (TRIATECH’i etkileyen), tıbbi belgeler, işe uygunluk değerlendirmeleri veya diğer mesleki sağlık raporları ve uyuşturucu ve alkol testi sonuçları; ve
- Geçmiş ve/veya muhtemel ve/veya mevcut işvereninizle ilgili bilgiler.
Hukuki Yükümlülükler:
KVKK uyarınca Veri Sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamında hukuki yükümlülüklerimiz aşağıda sıralanmıştır:
-Aydınlatma Yükümlülüğümüz
Veri Sorumlusu olarak kişisel verileri toplarken;
- Kişisel verilerinizin hangi amaçla işleneceği
- Kimliğimiz, varsa temsilcimizin kimliğine ilişkin bilgiler
- İşlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği
- Verileri toplama yöntemimiz ve hukuki sebebi
- Kanundan doğan haklarınız hususlarında verisi işlenen ilgili kişileri aydınlatma
yükümlülüğümüz bulunmaktadır.
Aydınlatma yükümlülüğümüz gereğince, TRIATECH olarak kamuoyuna açık olan işbu Politika’mızın açık, anlaşılır, kolay erişebilir olmasına özen göstermekteyiz.
-Veri Güvenliğini Saklama Yükümlülüğümüz
Veri Sorumlusu olarak uhdemizde bulunan kişisel verilerin güvenliğini sağlamak için Veri Koruma Mevzuatında öngörülen idari ve teknik tedbirleri almaktayız. Bu kapsamda, Kişisel verilerin; hukuka ve şirket politika/kurallarına aykırı işlenmesini ve kişisel verilere hukuka ve şirket kurallarına aykırı şekilde erişilmesini önlemek, verilerin uygun şartlarda saklanmasını ve muhafazasını sağlamak, verilerin imhası sürecini hukuka ve şirket politika/kurallarına uygun yürütmek yükümlülüklerimiz arasındadır. Kurallara aykırılık söz konusu olduğunda gerekli yaptırımlar ve şirket içi disiplin kuralları tarafımızca uygulanmaktadır.
Kişisel Verilerin İşlenmesi:
-Kişisel Verileri İşleme İlkelerimiz
- Kişisel verileri dürüstlük kurallarına uygun ve şeffaf şekilde, aydınlatma yükümlülüğümüzü yerine getirmek suretiyle işlemekteyiz.
- İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerimizde gerekli tedbirleri alırız. Kişisel Veri Sahibi’ne de mevcut verilerini güncellemesi ve var ise işlenen verilerindeki hataların düzeltilmesi için bize başvurmasına olanak sunarız.
- TRIATECH olarak kişisel verileri; kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve ticari hayatın olağan akışı çerçevesinde faaliyetlerimizi sürdürmek için belirlenen meşru amaçlarımız dahilinde işlemekteyiz.
- Kişisel verileri açık ve kesin olarak belirlediğimiz amaçla bağlantılı, sınırlı ve ölçülü olarak işlemekteyiz. İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktayız. Bu nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde ilgili kişilerden konuya ilişkin açık rıza almaktayız.
- Mevzuattaki bir çok düzenleme çeşitli kişisel verilerin belirli süreler ile saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız. Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalması durumunda kişisel verileri silmekte, yok etmekte veya anonim hale getirmekteyiz.
-Kişisel Verileri İşleme Amaçlarımız
Kişisel verileri aşağıda sayılan amaçlar kapsamında işlemekteyiz:
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- İnsan Kaynakları Faaliyetlerinin Yürütülmesi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Tedarikçi İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Fiziksel ve Dijital Ortam Güvenliğinin Temin Edilmesi
-Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler kanunlarda öngörülen hallerde ve Kişisel Veri Koruma Kurulu’nun öngördüğü idari ve teknik tedbirler alınarak veya ilgili kişilerin açık rızaları alınarak tarafımızca işlenir.
-Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı İstisnai Haller
Aşağıda sayılan istisnai hallerde ilgili kişilerden açık rıza alınmadan kişisel verileri işleyebiliriz:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kişisel Verilerin Aktarılması:
Kişisel verilere, sadece görevlerini ve işlerini yapmak için erişmesi gereken kişilerin ve bunlara erişim için meşru bir amacı olan üçüncü şahısların erişmesine izin vermeye özen göstermekteyiz. Üçüncü şahısların kişisel verilerinize erişmesine izin verdiğimiz her durumda, verilerin bu politikayla tutarlı bir şekilde kullanılmasını ve verilerin gizliliğinin ve bütünlüğünün korunmasını sağlayacak uygun tedbirleri uygulayacağız. İşlediğimiz kişisel veriler Veri Koruma Mevzuatında öngörülen sınırlar dahilinde, TRIATECH ve TRIATECH’in farklı tüzel kişiliğe sahip yerel ve global şirketleri, bağlı iştirakleri ve bir hizmet sözleşmesi vasıtasıyla hizmet satın aldığı gizlilik yükümlülüğü bulunan veri işleyen konumundaki hizmet sağlayıcıları tarafından, TRIATECH’in, faaliyetlerini etkin şekilde yürütebilmek için kullanmakta olduğu otomatik veri işleme sistemlerinde kaydedilebilecek, işlenebilecek ve ilgili kişilerin bilgisi ve açık rızası dahilinde yurt dışına aktarılabilecektir. Kişisel verileriniz yukarıda sayılanlar dışındaki üçüncü kişilere hiçbir şekilde ifşa edilmeyecektir.
Zorunlu haller dışında taşınabilir bellek ile veri aktarımı yapılmamaktadır. Mecbur kalındığında, sorumlu kişilerin refakatinde bu aktarım yapılmaktadır. Kağıt ortamında aktarılacak verilerin güvenliği için ağzı kapalı zarflar ve kilitli dolaplar kullanılmaktadır. Bu konuda gereken teknik ve idari tedbiri almak Veri Sorumlusu olarak TRIATECH’in sorumluluğundadır.,
Kişisel Verilerin Saklanması:
-Kişisel Verilerin İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Saklanması
Kişisel verileri mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca TRIATECH’in sorumluluğundadır. Kişisel veriler, mevzuatta öngörülen veya amacının gerektirdiği süre boyunca muhafaza edilir. Veriler fiziki (birim dolapları, arşivler) veya elektronik (sunucu, bulut,vs.) ortamlarda saklanır. Verilerin saklanması ve muhafazası için gereken güvenlik tedbirleri alınmakta, ortam güvenliği TRIATECH tarafından sağlanmaktadır. Tüm dijital ve fiziksel saklama ortamlarında verilerin bütünselliğinin kaybolmamasına özen gösterilmektedir. Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının ortadan kalkması veya ilgili kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler silinmekte, yok edilmekte veya anonimleştirilerek saklanmaktadır. Yok etme, silme veya anonimleştirme hususlarında Veri Koruma Mevzuatının gereklerine uyulmaktadır.
Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi:
-Kişisel Verilerin Silinmesi ve Yok Edilmesi
Aşağıda belirtilen durumlarda kişisel veriler için silme, yok etme ve/veya anonimleştirme işlemi uygulanır;
- Veri Koruma Mevzuatı hükümlerinde bir değişiklik olması,
- Kişisel verilerin işlenmesini ve saklanmasını gerektiren şartların ortadan kalkması,
- İlgili kişinin açık rıza vermemesi veya rızasını geri alması ve bu kararın veri sorumlusu tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin dolması,
- Kişisel Veri Koruma Kurulu’na yapılan bir başvuru sonucu verilerin imhası talebinin kurulca uygun bulunması,
-Kişisel Verilerin Silinmesi ve Yok Edilmesinde Kullanılan Yöntemler
Kişisel verilerin silinmesi ve yok edilmesi için kullanılan yöntemler aşağıda belirtilmiştir. Kişisel verilerin saklanma şekline göre aşağıdaki yöntemlerden biri kullanılır.
-Doküman Olarak Saklanan Kişisel Verilerin Yok Edilmesi
Doküman olarak, fiziksel ortamda(dolap ve/veya arşivlerde) muhafaza edilen verilerin güvenli olarak yok edilmesi sorumluluğu o verileri işleyen birim yöneticilerindedir. Bu tip dokümanlar, geri dönüştürülemeyecek veya okunamayacak şekilde kesilerek, yakılarak, kırpıntı makinaları ile doğranarak veya benzeri yöntemlerle imha edilir. Bu verilerin tanımlanan şekli ile imhası için veri işleyen konumundaki uzman bir kuruluştan da destek alınabilir.
-Eklektronik Ortamda Saklanan Kişisel Verilerin Silinmesi
Elektronik ortamda, güvenilir olarak silme ve yok edilmesi işlemi Bilgi Teknolojileri biriminin sorumluluğundadır. Dijital ortamda muhafaza edilen veriler, ilgililerin erişemeyeceği şekilde silinir veya tekrar kullanılabilir hale getirilemeyecek şekilde yok etme işlemine tabi tutulur. Fiziksel veya Elektronik, her iki ortamda saklanan ve imha edilen verilere uygulanan işlemler tutanaklara, Bilgi Teknolojileri birimi tarafından kayıt edilir.
Kişisel Veri Sahibinin Hakları:
Kişisel Veri Sahibi kişisel verileri üzerinde;
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
-Kişisel Verilere İlişkin Hakların Kullanılması
Verisi, veri sorumlusu TRIATECH’in talimatları uyarınca işlenen her ilgili kişi KVKK’nın 11.maddesi kapsamındaki haklarını kullanmak amacıyla KVKK’nın 13.maddesi uyarınca veri sorumlusuna başvuruda bulunma hakkına sahiptir. Veri sorumlusu TRIATECH, bu başvuruyu en geç 30 (otuz) gün içerisinde kabul veya gerekçesini açıklamak kaydıyla reddetmek zorundadır. Ancak bu başvurunun usulüne uygun bir başvuru olarak kabul edilebilmesi için Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği’nde düzenlenen unsurların tamamını karşılaması gerekmektedir.
Herhangi bir ilgili kişinin başvurusunun geçerli bir başvuru olarak kabul görmesi için;
- İlgili kişinin bizzat kendisi tarafından kimlik ibraz etmek suretiyle Türkçe dilinde, yazılı olarak veya
- Kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da
- İlgili kişi tarafından TRIATECH’e daha önce bildirilen ve TRIATECH’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya
- TRIATECH tarafından, başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla iletilmesi gerekmektedir.
Yine bir başvurunun usulüne uygun bir başvuru olarak kabul edilip değerlendirilmesi için içerisinde aşağıdaki hususların hepsinin yer alması gerekmektedir.
- İlgili kişinin adı, soyadı ve başvuru yazılı ise ıslak imzası,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- İlgili kişiye ait talebin konusu.
Bu nedenle KVKK’nın 11.maddesi uyarınca ilgili kişilere tanınan hakların kullanılabilmesi için Veri Sorumlusuna Başvuru Usul ve Esasları Tebliği’nde düzenlenen unsurların tamamını taşıyacak şekilde bir başvurunun, işbu Politikada yer alan iletişim ve adres bilgileri kullanılarak iadeli taahhütlü posta yoluyla, şahsen gelip bizzat başvurularak, TRIATECH sistemlerinde kayıtlı bir e-posta adresi üzerinden ya da güvenli elektronik imza kullanılmak suretiyle elektronik posta yoluyla TRIATECH’e iletilmesi gerekmektedir.
Bireyler ve sair ilgili kişiler, işbu Politika veya TRIATECH’in diğer kişisel veri koruma uygulamalarına ilişkin herhangi bir soru veya endişeleri bulunması ya da haklarına ilişkin bir talepleri bulunması halinde, Veri Koruma Komitesine [email protected] adresinden ulaşabilirler.