VOSMER OTOMOTİV A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA KURUM POLİTİKASI
İçindekiler
5.1.Kişisel Verilerin İşlenmesindeki Genel İlkeler
5.1.1.Hukuka ve Dürüstlük Kurallarına Uygun Olunması
5.1.2.Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
5.1.3.Belirli, Açık ve Meşru Amaçlarla İşleme
5.1.4.İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
5.1.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
5.1.6.Kişisel Verileri İşleme Amaçları
5.2.Özel Nitelikli Kişisel Verilerin İşlenmesi
5.3.Kişisel Verilerin Kategorizasyonu
5.4.Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
5.5.Kişisel Verinin Aktarılması
5.5.1.Kişisel Verinin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
5.6. Kurumun İş Ortakları Tarafından Toplanan Verilerin Kurum Tarafından İşlenmesi
6.KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
6.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
7.VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
7.1.Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
7.2.Kişisel Veri Sahibinin Haklarını Kullanması
8.KURUM TESİSİ, BİNA GİRİŞLERİ İLE BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
9.KURUM BINASINDA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
10.KURUM TESİSLERİNDE ZİYARETÇİLERE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
12.KURUM KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
1.GİRİŞ
Bilindiği üzere Avrupa Birliği (AB) tarafından kişisel verilerin korunması hakkında düzenlemeler yapılmakta olup üye ülkelerin bu düzenlemelere ve ilkelere uyması yükümlülük haline dönüştürülmüştür. Ülkemiz ise AB kriterlerine uyum çerçevesinde Türkiye Büyük Millet Meclisi (TBMM) tarafından kişisel verilerin korunması ile ilgili düzenlemeler yapılmaktadır.
Vosmer Otomotiv A.Ş. TBMM tarafından, 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Kanunu ve bu kanunun uygulamasına yönelik diğer düzenlemelere tam uyumun sağlanması için gerekli olan hassasiyeti en üst düzeyde göstermekte olup konunun finansal yansımalarının yanı sıra toplum üzerindeki etkilerini de dikkate alarak hareket etmektedir.
Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve Vosmer Otomotiv A.Ş. bünyesindeki diğer yazılı Politikalar ile yönetilen süreç ve hedeflenen; nezdimizde kayıtları tutulan hak sahiplerinin, müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, şirket hissedarlarının ve yetkililerinin, yetkili bayisi ve işbirliği içinde olduğumuz (Doğuş Otomotiv Servis ve Tic. A.Ş. ve Yüce Auto A.Ş.) kurumların çalışanları, hissedarları, yetkililerin ve üçüncü kişilerin kişisel verilerinin, mevzuat gereği kayıt altına alınması kanunen zorunlu olan kişisel verilerin ilgili kamu kurum ve kuruluşlarıyla hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu Politika’da kişisel verilerin işlenmesi süreçleri için Vosmer Otomotiv A.Ş.’nin benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:
- Kişisel verilerin rıza kapsamında işlenmesi,
- Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
- Kişisel verileri doğru ve gerektiğinde güncel tutma,
- Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
- Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
- Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
- Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma, Kişisel verilerin korunması için gerekli tedbirleri alma,
- Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılması/paylaşılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
- Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi
2.AMAÇ VE KAPSAM
Kanun kapsamında kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir.
Söz konusu düzenleme dikkate alınarak hazırlanan işbu Vosmer Otomotiv A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Hakkında Kurum Politikası’nın amacı, kişisel verilerin korunması hakkındaki düzenlemelere ilişkin yükümlülüklere uyumun sağlanması, kurumun gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kişisel veri sahiplerinin ve kurum çalışanlarının bilinçlendirilmesidir.
İşbu Politika, kurum içinde değerlendirilir ve uygulanır. Bu kapsamda işbu Politika ile yönetilen müşteri ve potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, bayi ve yetkili servis aracılığıyla kişisel verileri alınmış müşterilerimizin, işbirliği içinde olduğumuz kurumların hissedarlarının ve çalışanlarının ve diğer üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi oluşturulmaktadır.
İşbu Politika çerçevesinde Kurum bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ile ilgili prosedürler belirlenir. Söz konusu prosedürlerin hazırlanması, koşullara uygun olarak değiştirilmesi ve uygulamaya konulması Vosmer Otomotiv A.Ş. Yönetim Kurulu’nun yetkilendireceği birimin yetki ve sorumluluğundadır. Tüm Kurum çalışanları görevlerini yerine getirirken işbu Politika’ya ve ilgili tüm mevzuata riayet etmekle yükümlüdür.
İşbu Politika’ya uyulmaması veya herhangi bir şekilde işbu Politika’nın ihlal edilmesi durumunda olayın mahiyetine göre Kurum tarafından gerekli yaptırımlar uygulanacak olup iş akdinin feshine kadar gidebilecek disiplin cezaları gündeme gelebilecektir.
3.POLİTİKANIN YÜRÜRLÜĞÜ
Vosmer Otomotiv A.Ş. tarafından düzenlenen bu Politika 02.12.2019 tarihinde yürürlüğe konulmuştur.
Bu Politika Vosmer Otomotiv A.Ş.’nin internet sitesinde (www.vosmer.com.tr) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
4.TANIMLAR
İşbu Politika’da içerik aksini gerektirmedikçe:
“Açık Rıza” | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza, |
“Anayasa” | Türkiye Cumhuriyeti Anayasası |
“Kurum” | Vosmer Otomotiv A.Ş. |
“Kişisel Veri” | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (örn. Ad-soyad, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası – Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir). |
“Kişisel Veri Sahibi” | Kişisel verisi işlenen gerçek kişi |
“Kişisel Verilerin İşlenmesi” | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, |
“Özel Nitelikli Kişisel Veri” | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, |
“Veri Sorumlusu” | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi, |
anlamına gelmektedir.
5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
5.1.Kişisel Verilerin İşlenmesindeki Genel İlkeler
Kurum, Anayasa’nın 20. maddesine ve Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Kurum kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir. Kurum, müşterilerine, çalışanlarına, bayiliğini üstlendiği markaların çalışanlarına, ziyaretçilerine, tedarikçi firma çalışanlarına ve üçüncü kişilere ait kişisel bilgileri; (kimlik bilgileri, – ad, soyad, TC kimlik numarası, cinsiyet, yaş, doğum tarihi – iletişim bilgileri – e-posta adresi, telefon numarası, adres bilgisi, IP adresi- araç özellikleri, ruhsat bilgileri, şasi bilgileri, her türlü ürüne ilişkin kullanım alışkanlığı, araç üzerindeki tercih, zevk ve kullanıcı alışkanlıkları, meslek verisi, görsel ve işitsel veri, eğitim verisi aile bireyleri verisi, sağlık verisi gibi kişisel verileri işlenmekte ve bu verileri işlerken, burada sayılan kişisel veri sahiplerinin Vosmer Otomotiv A.Ş. mal ve hizmetlerinden etkin yararlanabilmesi, ürün ve hizmet çeşitliliğinin geliştirilebilmesi ile araçlarda veri özellikli teknolojik gelişim ve inovasyon sağlanması, en iyi hizmet en iyi ürün prensibi ile hizmet sağlanabilmesi ve bu hizmetlerin sonucu olarak pazarlama, promosyon ve yeniliklerden haberdar edilebilmelerinin yanı sıra sözleşmelerin ifası, işin yerine getirilmesi ve mali/hukuki/ticari yükümlülükler çerçevesinde işlemektedir.
Kurumu, Kanunu’nun 10. maddesine uygun olarak veri sahiplerini aydınlatmaktadır ve rıza alınması gereken durumlarda veri sahiplerinden rızalarını talep etmekte; bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.
5.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Olunması
Kurum, basiretli bir tacir olarak, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile hukuka ve dürüstlük kuralına uygun hareket etmektedir.
5.1.2.Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verilerin doğru ve güncel bir şekilde tutulması, Kurum açısından ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Kurum’un aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Kurum tarafından veri sahibi olan ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açıktır.
5.1.3.Belirli, Açık ve Meşru Amaçlarla İşleme
Kurum, meşru ve hukuka uygun olan kişisel veri işleme amaçlarını açık ve kesin olarak belirlenmektedir. Bu kapsamda kişisel veriler, Kurum tarafından sunulmakta ya da sunulacak ürün ve/veya hizmetler ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Bu kapsamda, kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
5.1.4.İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kurum, kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işlemekte ve söz konusu amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu doğrultuda kişisel verilerin işlenmesi faaliyetler ve yasal yükümlülükler ile sınırlıdır.
5.1.5.İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Kurum, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.
5.1.6.Kişisel Verileri İşleme Amaçları
Kurumumuzun veri işleme amaçları aşağıda açıklanmaktadır:
- Yeni ve ikinci el araç satışı,
- Satış sonrası hizmetlerinin ifası,
- Yedek parça ve aksesuar satışı,
- Lisansiyer ve bayilik sözleşmelerinin gereklerinin yerine getirilmesi,
- Mail order ve virman talimatı da dâhil olmak üzere tahsilat işlemlerinin gerçekleştirilmesi,
- Müşterilere; ürün-hizmet tanıtımı, bilgilendirme, kişiye özel reklam, kampanya ve diğer faydaların sunulması, sadakat programları çerçevesinde ticari elektronik iletilerin gönderilmesi, anket ve tele-satış uygulamaları, istatistikî analizler vasıtasıyla çeşitli avantajlar sağlanması,
- Hasar yönetimi gibi satış sonrası hizmetler yerine getirilebilmesi, hasarların takibi amacı ile değerlendirme yapılması,
- Hizmet kalitesini geliştirici çalışmalar yapılması ve daha iyi hizmet sunulması,
- Hizmetlerimiz karşılığı fatura tanzimi,
- Dış kaynaklardan hizmet alımı yapılması,
- Kendi uzmanlık alanına girmeyen konularda hizmet alınabilmesi ve teknoloji hizmeti alınması maksadıyla konusunda uzman kuruluşların faydalarının müşterilere sunulması,
- Kimlik teyidi,
- Soru ve şikâyetlere cevap verilmesi,
- Veri güvenliği kapsamında gerekli teknik ve idari tedbirlerin alınması,
- İlgili iş ortakları ve sair üçüncü kişilerle sunulan ürün ve hizmetlerle ilgili finansal mutabakat sağlanması,
- Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini,
- İlgili mevzuat gereği saklanması gereken verilere ilişkin bilgilerin muhafaza edilmesi,
- Bilgilerinin tutarlılığına ilişkin denetimin sağlanması,
- Müşteri memnuniyetinin ölçülmesi,
- Çalışanlar bakımından; özlük dosyasının oluşturulması, işin gereklerini sürekli olarak yerine getirmeye ehil olup olmadığının tespiti, özel sağlık sigortası yapılması, sağlık dosyası oluşturulması, iş güvenliği önlemlerinin alınması,
- Bayi zincirinde Kurum işleyiş ve politikaları ile Bayi işleyiş ve politikalarının uyumlu hale getirilmesi,
- İnternet sitesi veya sosyal medya kanalları ile alınan verilerin 3. kişi ajanslar vasıtası ile pazarlama amacıyla kullanılması,
- Kurum şirket merkezi vasıtası ile Türkiye’de pazarlama faaliyeti yapılması,
- Yasal yükümlülüklerin yerine getirilmesi,
- Bayi ve Yetkili Servis şirketlerinin personel temin süreçlerine destek olunması
- Vosmer Otomotiv Ş. finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi
- Vosmer OtomotivŞ. hukuk işlerinin icrası/takibi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi amaçlarıyla,
diğer taraftan da verilen hizmet kalitesinin arttırılması için;
- Sunulan her türlü ürün, hizmet ve kampanyalardan sizleri haberdar etmek,
- İhtiyaçlarınız doğrultusunda talep ettiğiniz ürün ve hizmetleri sunmak,
- Ürün ve hizmetlerin satış, pazarlaması ve tanıtımı süreçlerini programlanmak ve takip etmek,
- Müşteri kayıtlarının oluşturulması ve yönetilmesini sağlamak,
- Satışa bağlı faturalandırma dâhil her türlü muhasebesel ve finansal işlemlerin yürütülmesi, risk yönetimini gerçekleştirmek,
- Sizlere sunulan ürün ve hizmet satışı, satış sonrası destek, ikame araç temini vb. gerekli işlemlerin icrası ve takibi, değerlendirilmesi, sonuçlandırılması, risk değerlendirmesi yapılması, her türlü sözleşme süreçlerinin yürütülmesi, operasyonel süreçlerin planlanması ve icrasını gerçekleştirmek,
- Kurum ile girmiş olduğunuz her türlü ticari işlemlerde tarafınızın hak kaybına uğramaması adına tarafınıza ait bilgilerinizi tespit etmek,
- Kurum’un ticari işlemlerde basiretli tacir gibi davranma yükümlülüğünü yerine getirmek,
- Garanti, kasko ve sigortalama süreçlerini takip etmek ve bu konularda müşterilerin tüm işlemlerini gerçekleştirmek,
- Kurum bünyesinde alınan stratejik ve idari kararlar hakkında sizleri bilgilendirmek,
- Müşteri talep ve şikâyetlerinin değerlendirilmesini sağlamak, geri dönüş sağlayarak memnuniyet telefon, SMS, web, dijital platformlar vb. üzerinden anketi yapmak,
- Müşteri ilişkileri yönetimi, pazarlama stratejilerinin belirlenmesi ve gerektiğinde istatistiki çalışmalar yapmak,
- Şirketimiz tarafından sunulan hizmetleri iyileştirilmek ve geliştirilmek, ticari ve iş stratejilerini belirlenmek ve uygulanmak
- Her türlü sözleşme süreçlerinin yürütülmesini sağlamak ve hukuki talep ve işlemlerin takip ve icrasını sağlamak,
- Kurum merkez ofisini veya şubelerini ziyaret etmeniz halinde güvenliğinizi sağlamak ve takibini yapmak,
- Bilgi güvenliği süreçlerini planlamak, bilgi teknolojileri alt yapısının oluşturmak ve yönetmek,
- Kurum tarafından sunulan ürün ve hizmetler ile Kurum’un ve Kurum ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temin etmek,
- İş ortakları, bayiler veya tedarikçilerle yürütülen işlerin planlamasını ve takibi yapmak,
- Resmi kurumlarla iletişim süreçlerinin takibi ve icrasını yapmak,
- Ürün ve/veya hizmetlerimiz için anlaşmalı olduğumuz kredi sağlayıcı şirketler tarafından sunulan kredi imkânlarına başvuru olması halinde kredi sağlayıcı şirketlerce yapılacak kredi değerlendirme işlemlerinin bu kuruluşlar nezdinde takibi, planlanması ve yürütülmesini sağlamak,
- Müşteri temelli gelişmeler hakkında bilgi alınarak verim raporlarının oluşturulmasını ve güncellenmesini sağlamak,
- Pazar araştırmalarının yapılması, ürün ve hizmetlere bağlılığının sağlanması veya artırılmasına yönelik aktiviteleri planlanmak ve düzenlemek,
- Bazı etkinliklerin organizasyonunu ve takibini sağlamak
amaçlarıyla verileri işlemektedir.
5.2.Özel Nitelikli Kişisel Verilerin İşlenmesi
Kurumumuz, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere hassasiyetle uygun davranmaktadır.
Bu kapsamda Kanun’un 6.maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kurum tarafından, Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Kurum tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Kurum bünyesinde gerekli denetimler sağlanmaktadır.
Bu kapsamda, Kurum bünyesinde verilen iş yeri hekimliği hizmeti sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece revir ile ilgili personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.
5.3.Kişisel Verilerin Kategorizasyonu
Kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, Kurumumuz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak ve Kanun’un düzenlenen başta kişisel verilerin işlenmesine ilişkin genel ilkeler olmak üzere diğer tüm ilke ve yükümlülüklere uyularak veri kategorileri bazında işlenmektedir.
İşbu Politika’nın uygulama kapsamındaki kişisel veri sahibi kategorizasyonlarına ve söz konusu kategorizasyona ilişkin açıklamalara aşağıda yer verilmiştir.
“Çalışan Adayı” | Kurumumuza herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Kurumumuzun incelemesine açmış olan gerçek kişiler anlamına gelmektedir. |
“Çalışan” | Kuruluşumuz çalışanları, |
“Yetkili” | Kuruluşumuzun yönetim kurulu üyesi ve Kuruluşumuzca yetkilendirilen diğer gerçek kişiler |
“Hissedar” | Kurumumuz müşterisi olan tüzel kişi şirketlerin hissedarları gerçek kişiler anlamına gelmektedir. |
“Müşteri” | Kurumumuz ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Kurumumuzun sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler anlamına gelmektedir. |
“Potansiyel Müşteri” | Ürün ve hizmetlerimizi kullanma talebinde veya ilgisinde bulunuş veya bu bilgiye sahip olabileceği ticari teamül ve dürüstlük kurullarına uygun olarak değerlendirilmiş gerçek kişiler anlamına gelmektedir. |
“Stajyer Adayı” | Kurumumuza herhangi bir yolla stajyer pozisyonu için iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Kurumumuzun incelemesine açmış olan gerçek kişiler anlamına gelmektedir. |
“Ziyaretçi” | Kurumumuzun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler anlamına gelmektedir. |
“İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri” | Kuruluşumuzun her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler |
“3.Kişi” | İşbu Politika’da belirlenen kişisel veri kategorileri dışında kalan, yukarıda bahsi geçen taraflarla arasındaki ticari ve hukuki işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler anlamına gelmektedir. |
Kurum tarafından kişisel verileri işlenen veri sahipleri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan gerçek kişi veri sahipleri de Kanun kapsamında Kuruma taleplerini yöneltebilecek olup, bu kişilerin talepleri de işbu Politika kapsamında değerlendirmeye alınacaktır.
Yukarıda yer alan açıklamalar doğrultusunda, kişisel veri kategorileri ve açıklamaları aşağıdaki tabloda ayrıntılı bir şekilde belirtilmiştir.
Kişisel Veri Kategorizasyonu | Kişisel Veri Kategorizasyonu Açıklama |
Çalışan/Stajyer Adayı Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Kurumumuzun çalışanı/stajyeri olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Kurumumuzun İnsan Kaynakları ihtiyaçları doğrultusunda çalışan adayı/stajyer olarak değerlendirilmiş olan bireylerle ilgili işlenen kişisel veriler anlamına gelmektedir. |
Denetim ve Teftiş Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Kurumumuzun kanuni yükümlülüklerine ve Kurum politikalarına uyum ve denetim kapsamında işlenen kişisel veriler anlamına gelmektedir. |
Fiziksel Mekân Güvenlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler anlamına gelmektedir. |
İletişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, telefon numarası, adres, e-posta ve benzeri bilgiler anlamına gelmektedir. |
Kimlik Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ehliyet, nüfus cüzdanı, ikametgâh, evlilik cüzdanı ve benzeri dokümanlarda yer alan tüm bilgiler anlamına gelmektedir. |
Müşteri Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler anlamına gelmektedir. |
Müşteri İşlem Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler anlamına gelmektedir. |
Özel Nitelikli Kişisel Veri | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Kanun’un 6’ıncı maddesinde belirtilen veriler anlamına gelmektedir. |
Pazarlama Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlanmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler anlamına gelmektedir. |
Talep/Şikâyet Yönetimi Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Kurumumuza yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler anlamına gelmektedir. |
5.4.Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kaldırılması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine Kurumumuz tarafından silinir, yok edilir veya anonim hale getirilir. Kurum bu konuda yönetmelik hükümlerine göre bir Politika oluşturulup ve bu Politika uyarınca verinin niteliğine göre imha yapılacaktır. Bu yönetmelik uyarınca Kurum tarafından periyodik imha tarihleri belirlenip, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim ve prosedür oluşturulacaktır.
5.5.Kişisel Verinin Aktarılması
Kurumumuz tarafından kişisel veriler ve özel nitelikli kişisel veriler kişisel veri sahibinin açık rızasına dayalı olarak veya Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemleri almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen amaç ve şartlar kapsamında yurtiçine aktarılmaktadır.
Kurum tarafından; KVK Kurulu’nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere kişisel veriler paylaşacak olursa, paylaşım sebepleri aşağıda açıklanmıştır:
- Kanunlarda kişisel verinin paylaşılabileceğine ilişkin açık bir düzenleme var ise,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin paylaşılması gerekli ise,
- Kurum’un hukuki yükümlülüğünü yerine getirmesi için kişisel veri paylaşımı zorunlu ise,
- Kişisel veri paylaşımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kurum’un meşru menfaatleri için kişisel veri paylaşımı zorunlu ise.
5.5.1. Kişisel Verinin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Kurum, Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
Kurum, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
- Yetkili bayisi olduğumuz distribütörlere ilişkin açıklamalar,
- Doğuş Otomotiv A.Ş. ve Yüce Auto A.Ş. şirketleri:
- Doğuş Müşteri Sistemleri A.Ş. (bkz. dogusmusterisistemleri.com)
- Doğuş Holding A.Ş. (bkz. dogusgrubu.com.tr)
- Doğuş Holding iştirakleri ve bağlı ortaklıkları, (bkz. dogusgrubu.com.tr)
- Doğuş Otomotiv’in sözleşme ilişkisi içerisinde olduğu yurtiçi ve/veya yurtdışındaki 3. taraflar
- Doğuş Otomotiv iştirakleri, bağlı ortaklıkları ve hissedarları (bkz. dogusotomotiv.com.tr)
- Doğuş Otomotiv’in ithalatını yaptığı araçların üretici firmaları (bkz. dogusotomotiv.com.tr)
- Doğuş Otomotiv yetkili satıcı ve yetkili servisleri (bkz. dogusotomotiv.com.tr)
- Doğuş Otomotiv ve yetkili satıcı/yetkili servisleri adına veri işleyen araştırma, tanıtım ve danışmanlık hizmeti veren firmalar
- Faaliyet alanımızla ilgili işbirliği içinde olduğumuz gruplar,
- Banka ve sigorta şirketleri
- Seyahat acentaları
- Çalışanlara sağlık hizmeti sağlanan kurum ve kuruluşlar
- Oteller
- Eğitim firmaları
- Kurumun iş ortakları ve tedarikçilerine,
- Kişisel verilerin yasal olarak korunduğu ülkelerdeki Doğuş Otomotiv A.Ş. ve Yüce Auto A.Ş. grup şirketlerine,
- Kurum şirket yetkililerine,
- Hukuken yetkili kamu kurum ve kuruluşlarına.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçlarını aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler | Tanımı | Veri Aktarım Amacı |
Kanunen Yetkili Kurumlar | İlgili mevzuat hükümlerine göre Kurum’un bilgi ve belge aktarılmasına yetkili kamu/özel kurum ve kuruluşları anlamına gelmektedir. SGK, yargı mercileri ve benzeri kanunen yetkili kamu/özel kurum ve kuruluşlardır. | İlgili kamu/özel kurum ve kuruluşların hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak aktarım yapılmaktadır. |
İş Ortağı | Kurum’un ticari faaliyetlerini yürütürken Kurum’un ürün ve hizmetlerinin satışı, tanıtımı ve pazarlaması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla kurduğu iş birliği, iş ortaklığı, program ortaklığı, ortak marka olan taraflar anlamına gelmektedir. | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak aktarım yapılmaktadır. |
Tedarikçi | Kurum’un ticari faaliyetlerini yürütürken Kurum’un emir ve talimatlarına uygun olarak sözleşme temelli olarak Kurum’a mal ve/veya hizmet sunan taraflar ve destek hizmeti kuruluşları anlamına gelmektedir. | Kurum’un tedarikçiden dış kaynaklı olarak temin ettiği ve Kurum’un ticari faaliyetlerini yerine getirmek için gerekli mal ve/veya hizmetlerin Kurum’a sunulmasını sağlamak ve destek hizmeti almak amacıyla sınırlı olarak aktarım yapılmaktadır. |
5.6.Kurumun İş Ortakları Tarafından Toplanan Verilerin Kurum Tarafından İşlenmesi
Kurum, faaliyetleri kapsamında yetkili bayisi üstlendiği Doğuş Otomotiv Servis ve Tic.A.Ş. ve Yüce Auto Motorlu Taşıtlar A.Ş (iş ortakları) ile sözleşme ilişkisi içine girmekte ve araç satışı ve satış sonrası yetkili servis hizmetlerini bu kişiler aracılığıyla yürütmektedir. Bu kapsamda Kurum müşterilerinin önemli bir kısmının kişisel verileri, Bayi ve Yetkili servisler aracılığıyla veri sahibi gerçek kişilerden aydınlatma yükümlülüğü yerine getirilerek ve rıza alınarak temin edilmekte, Turkuaz Programı aracılığıyla iş ortakları ile paylaşılmaktadır. İşin yürütülebilmesi amacıyla bu veriler hem Kurum hem de iş ortakları tarafından işlenebilmektedir. Kurum ile iş ortakları arasındaki kişisel veri paylaşımına dair ilişki Kanunu kapsamında veri işleyenden veri sorumlusuna kişisel veri paylaşımı şeklinde gerçekleşmesi durumunda, ilgili iş ortakları, ilgili kişinin kişisel verisini toplama aşamasında, kişiyi, bu kişisel verilerin Kurum’a gönderilebileceği konusunda aydınlatır Kurum kendi adına kişisel veri toplanması hallerini değerlendirerek bu hususta iş ortaklarını bilgilendirir, gerekirse eğitimleri verir ve tarafların hak ve yükümlülüklerini düzenleyen KVKK doğrultusunda hazırlanmış sözleşmelerin imzalanmasını sağlar.
5.7.Aydınlatma Yükümlülüğü
Anayasa’da herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11’inci maddesinde kişisel veri sahibinin hakları arasında “ bilgi talep etme” de sayılmıştır. Kurumumuz bu kapsamda, Kanun’un 10’uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine Kurumumuzun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11’inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır.
Yanı sıra Kurumumuz kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli kamuoyuna açık dokümanlarla veri işleme faaliyetlerini ilgili mevzuata uygun şekilde gerçekleştirdiğini duyurarak, kişisel veri işleme faaliyetlerinde ilgililere bilgilendirmeyi ve şeffaflığı sağlamaktadır.
6.KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Kurumumuz veri güvenliğinin sağlanması konusunda azami dikkat ve özeni göstermekte olup işbu kapsamda Kanun’un 12’inci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler alınmaktadır.
- Kurum:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye,
- Kişisel verilerin hukuka aykırı olarak erişilmesini önlemeye,
- Kişisel verilerin muhafazasının sağlanması
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.
- Kurum, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda birinci maddede belirtilen tedbirlerin alınması hususunda bu kişilerle ve Kurum Yasal sınırları içerisinde sorumludurlar.
- Kurum, İç Denetim tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılmasını sağlar.
- Kurum bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
- Kurum bünyesinde çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanamamaktadır. Bu yükümlülükler görevden ayrılmalarından sonra da devam eder.
- Kurumumuz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanması için gerekli özen ve yükümlükle hareket edilmektedir.
- Kurumumuz, kişisel verilerin güvenli ortamda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önleme için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
- İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bahse konu durum en kısa sürede ilgilisine ve KVK Kurulu’na bildirilir. Ayrıca KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilir.
6.1.Teknik Tedbirler
Kurum tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
- Yeni Teknolojik gelişmelere takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
- Her bir departman özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar kapatılmaktadır.
- Kurum içi işleyiş gereğince alınan teknik önlemler ilgili kullanıcılara raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri, firewall, Veri Açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda bilgili personel istihdam edilmektedir.
- Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için uygulamalar düzenli olarak dış etki testine tabi tutulmakta ve bu testin sonuçlarına göre bulunan açıkların kapatılması sağlanmaktadır.
6.2.İdari Tedbirler
Kurum tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
- Çalışanlar, şube ve markalara ait servislerde özellikle kişisel veri işleyen ilgili kullanıcılar ve tüm personel, kişisel verilere hukuka aykırı erişimi engellemek için alınacak idari tedbirler konusunda eğitilmektedir.
- Departman bazında kişisel veri işlenme süreçleri dikkate alınarak hukuki uyum şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır.
- Kurum ile çalışanlar arasında imzalanan sözleşmelerde hukuka uygun kişisel veri işleme faaliyetinin kapsamı anlatılmakta ve bu hususlara uygun davranılacağına dair taahhütler bulunmaktadır
- Kurum tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
6.3.Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Kurum, bünyesinde Kişisel Veri Gizlilik Yöneticisi bulunmaktadır. Kişisel Veri Gizlilik Yönetici veri sorumlusu olan Kurum, adına Kanunun 12. Maddesinden kaynaklanan görevi gereği kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller olumsuzluklar ve uygunsuzluklar yönetim kuruluna bildirilmekte ve yönetim kurulu bu hususlar nezdinde gereken tedbirleri almaktadır. Kurum tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelerde; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
7.VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ
Kişisel veri sahipleri aşağıda sıralana haklarına ilişkin taleplerini Kurum’a iletmeleri durumunda, talepler niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılmaktadır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurumumuz tarafından KVK Kurulu’nca veya diğer otoritelerce belirlenen tarifedeki ücretler alınacaktır.
Bu kapsamda veri sahipleri taleplerini yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle Kurumumuza iletebileceklerdir.
Kişisel veri sahipleri:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığı öğrenme,
- Yurtiçinde/yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasır otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme
haklarına sahiptir.
7.1.Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda yukarıda sayılan haklarını ileri süremezler:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, bu konularda yukarıda sayılan haklarını ileri süremezler:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
7.2.Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Kurum’a ücretsiz olarak iletebileceklerdir: Bu konuda kapsamlı düzenleme Kişisel Veri Sahibi Başvuru Prosedürü içerisinde yapılmıştır.
-
“www.vosmer.com.tr” adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya yazılı olarak posta aracılığı ile Yunus Emre Mahallesi 7523 Sok. No:2 Bornova/İZMİR adresine iletilmesi
-
“www.vosmer.com.tr” adresinde bulunan formun doldurulup yasal mevzuata uygun “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun “kvkk@vosmer.com.tr” adresine kayıtlı elektronik posta ile gönderilmesi güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Vosmer Otomotiv A.Ş ’ye daha önce bildirilen ve Vosmer Otomotiv A.Ş.’nin sisteminde kayıtlı bulunan elektronik posta adresini “vosmer@hs01.kep.tr” kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla başvuru yapılması,
-
“www.vosmer.com.tr” adresinde bulunan formun doldurulup kimlik belgesi ile birlikte şahsi başvuru yapılması,
8.KURUM TESİSİ, BİNA GİRİŞLERİ İLE BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Kurum tarafından güvenliğin sağlanması amacıyla, Kurum binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Kurum tarafından kişisel veri işleme faaliyeti yapılmaktadır.
Kurum, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Kurum tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
9.KURUM BINASINDA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Kurum tarafından; güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, Kurum binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Kurum binalarına gelen kişilerin kimlik verileri elde edilirken ya da Kurum nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
10.KURUM TESİSLERİNDE ZİYARETÇİLERE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Kurum tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla; Kurum tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kurum, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Kurum’un o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak Kurum’unun uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta daha sonra verinin niteliği uyarınca Kurum tarafından oluşturulmuş ilgili Politika uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Kurum’un belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Kurum’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
12.KURUM KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Kurum, işbu belge ile ortaya koyulan esasları; Kurum bünyesindeki diğer veri varlıklarına ilişkin Politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.