JENGAL YAZILIM ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
DOKÜMAN İSMİ : Kişisel Verilerin İşlenmesi ve Korunması Politikası
ONAYLAYAN : Jengal Yazılım A.Ş.
TARİH : 01.06.2024
VERSİYON : 1
İÇİNDEKİLER
GİRİŞ
- AMAÇ
- KAPSAM
- TANIMLAR
- İLGİLİ KİŞİ SINIFLANDIRMASI
- KİŞİSEL VERİ SINIFLANDIRMASI
- VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ROL VE SORUMLULUKLAR
- KİŞİSEL VERİLERİN TOPLANMASI
- KİŞİSELVERİLERİN İŞLENMESİ
- Kişisel Verilerin İşlenmesinde Genel İlkeler
- Hukuka ve Dürüstlük Kuralına Uygun Olma
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
- Kişisel Veriyi Belirli, Açık ve Meşru Amaçlarla İşleme
- Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
- Kişisel Verileri İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
- Kişisel Verilerin İşlenme Şartları
- İlgili Kişinin Açık Rızasının Bulunması
- Açık Rıza Aranmaksızın Kişisel Verilerinin İşlenebileceği Haller
- Özel Nitelikli Kişisel Verilerin İşlenmesi
- Çerezler Üzerinden Kişisel Verilerin İşlenmesi
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE İŞLEMENİN HUKUKİ SEBEBİ
- KİŞİSEL VERİLERİN AKTARILMASI
- GENEL OLARAK KİŞİSEL VERİLERİN AKTARILMASI
- KİŞİSEL VERİLERİN YURTDIŞINA AKTARIMI
- İLGİLİ KİŞİNİN AYDINLATILMASI
- İLGİLİ KİŞİNİN HAKLARININ GÖZETİLMESİ
İLGİLİ KİŞİNİN HAKLARI
- MEVZUAT GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN HALLER
- İLGİLİ KİŞİNİN HAKLARINI KULLANMASI
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
TEKNİK TEDBİRLER
- İDARİ TEDBİRLER
- KİŞİSEL VERİNİN HUKUKA AYKIRI İFŞASI DURUMUNDA ALINACAK TEDBİRLER
- KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
YÜRÜRLÜK VE İLAN
GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK/Kanun) gerçek kişilere ait kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyulması gerekli usul ve esasları düzenlemek amacıyla 7 Nisan 2016 tarihli Resmi Gazete’de yayınlanmıştır. Ayrıca işbu Politika, 32487 sayılı Resmi Gazete’de yayınlanan, 6698 sayılı Kanunun 6. 9. ve 18. Maddelerinde yapılan değişikliklere uygun hazırlanmıştır. Politika’da Jengal Yazılım Anonim Şirketi (“Şirket”)’nin KVKK, Anayasa ve Uluslararası Sözleşmeler kapsamında kişisel verilerin işlenmesi ve korunmasına ilişkin organizasyonu ve sorumlulukları açıklanmıştır.
-
AMAÇ
Bu Politika’nın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunulması, bu kapsamda Şirket paydaşları, Şirket yetkilileri, iş ortakları, çalışan, çalışan adayları, tedarikçiler, iştirakler, müşteriler, ziyaretçiler ve üçüncü kişiler başta olmak üzere Şirket tarafından kişisel verileri işlenen gerçek kişilerin bilgilendirilmesi, Şirket’in kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması, organizasyonel hedef ve yükümlülüklerin belirlenmesi, kontrol mekanizmalarının tesis edilmesi, Şirket’in kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar ve sözleşmeler uyarınca tabi olduğu yükümlülüklerin yerine getirilmesidir.
İşbu Politika’da belirtilen organizasyon ile Jengal Yazılım Anonim Şirketi tarafından gerçekleştirilen kişisel verilerin işlenmesi, korunması, saklanması ve imhası faaliyetlerinde mevzuata tam uyumun sağlanması, uyumluluğun sağlanması için gerekli düzenin kurulması, kişisel verileri Şirket tarafından işlenen kişilerin bilgilendirilerek şeffaflığın sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan haklarının korunması hedeflenmektedir.
-
KAPSAM
Bu Politika, Şirket paydaşları, Şirket yetkilileri, iş ortakları, çalışan, çalışan adayları, tedarikçiler, ziyaretçiler, müşteriler, potansiyel müşteriler ve üçüncü kişiler başta olmak üzere kişisel verileri Jengal Yazılım Anonim Şirketi tarafından, otomatik ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen gerçek kişileri kapsamaktadır. Tüzel kişiler bu Politika kapsamına dahil değildir.
İşlenen verinin ‘’kişisel veri’’ kapsamında olmaması ve kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla yapılmamış olması halinde bu Politika uygulanmayacaktır.
İşbu Politika kapsamında Şirket organizasyonunda yer alan işlem ve faaliyetler çerçevesinde işlenen veriler, verilerin kategorizasyonu, ilgili kişiler, veri toplama yöntemi, kişisel verilerin işlenme şartları, verilerin aktarıldığı üçüncü kişi grupları, verilerin işleme süreleri, verilerin imha süreleri hakkında özelleştirilmiş bilgilere yer verilmiştir.
-
TANIMLAR
Şirket : Jengal Yazılım Anonim Şirketi
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Aydınlatma Yükümlülüğü : Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür.
Çerez(Cookie) : Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalardır.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İrtibat Kişisi : Veri sorumlusu tarafından VERBİS’e kayıt esnasında bildirilen gerçek kişi.
Kayıtlı Elektronik Posta (KEP) : Her türlü ticari, hukuki yazışma ve belge paylaşımlarını gönderilen biçimde koruyan, alıcının kim olduğunu kesin olarak
tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal,
geçerli ve güvenli, kesin delil haline getiren sistem.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Saklama ve İmha Politikası : Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından
kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “Jengal Yazılım Anonim Şirketi Kişisel Veri Saklama ve İmha Politikası”.
KVKK : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kurul : Kişisel Verileri Koruma Kurulu
Kurum : Kişisel Verileri Koruma Kurumu
Otomatik Olarak Veri İşleme : Bilgisayar, telefon vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir.
Özel Nitelikli Kişisel Veri : Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, kişisel sağlık verileri, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Politika : Jengal Yazılım Anonim Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
-
İLGİLİ KİŞİ SINIFLANDIRMASI
Jengal Yazılım Anonim Şirketi Şirketi Kişisel Verilerin Korunması Politikası kapsamı dahilinde olan ve Şirket tarafından kişisel verileri işlenen ilgili kişiler aşağıdaki gibidir:
Şirket’in paydaşı olan gerçek kişiler.
Şirket’in ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri, paydaşları, çalışanları.
Jengal Yazılım Anonim Şirketi SGK’lı işçisi
Jengal Yazılım Anonim Şirketi’ne herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve bilgilerini Şirket’in incelemesine açmış olan gerçek kişiler.
Şirket’in ticari faaliyetlerinin yürütülmesi kapsamında, Şirket’in emir ve talimatlarına uygun ve sözleşme temelli olarak Şirket’e hizmet sunan taraflar.
Şirket binalarını veya Şirket tarafından işletilen internet sitelerini ziyaret eden gerçek kişiler
Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler.
Bu Politika’da herhangi bir kişisel ilgili kişi kategorisine girmeyen ancak Şirket tarafından kişisel verisi işlenmiş diğer gerçek kişiler.
-
KİŞİSEL VERİ SINIFLANDIRMASI
Kimlik Verileri
Ad, soyadı, doğum tarihi, doğduğu ülke, doğduğu şehir, cinsiyet, medeni durumu, milliyeti, T.C. kimlik kartı bilgileri (T.C. kimlik no, seri no, cüzdan no, baba adı, anne adı, doğum yeri, il, ilçe, mahalle, cilt no, aile sıra no, sıra no, hane no, sayfa no, kayıt no, verildiği yer, veriliş nedeni, veriliş tarihi, önceki soyadı), vukuatlı nüfus kayıt örneği, nüfus cüzdanı sureti, vergi numarası, mesleki kimlik bilgisi.
İletişim Verileri
Telefon numarası, açık adres bilgisi, e-posta adresi, şirket içi iletişim bilgileri (dahili telefon numarası, kurumsal e-posta adresi)
Finansal/Mali Veriler
Banka hesap no bilgisi, IBAN no bilgisi, banka isim ve şube bilgisi, finansal durum raporu ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları ve aylık prim hizmet bildirgesi, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı, SGK ve İŞKUR tarafından ödenen geçici ödenekler.
Özel Nitelikli Kişisel Veriler
Kan grubu, kronik hastalık bilgisi, aşı geçmişi, tıbbi anamnez bilgileri, geçirilen hastalıklar ve ameliyatlar, maluliyet bilgisi, alkol, madde, sigara kullanımı, röntgen görüntüleri, kullandığı ilaçlar, hastalık şikayetleri, sağlık ile ilgili tüm koruyucu hekimlik, teşhis ve tedavi işlemleri, kan ve idrar testleri, fizyolojik analiz sonuçları, SFT, boy, kilo, fiziki muayene sonucu, özel sağlık sigortası poliçesi bilgileri, işe giriş ve periyodik muayene formları, hamilelik bilgisi, ceza mahkumiyeti ve/veya güvenlik tedbiri bilgileri, sabıka kaydı.
Eğitim Verileri
Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, deneyime ilişkin bilgiler, CV, aldığı kurslar, transkript bilgileri, ulusal veya uluslararası sınav sonuçları.
Fiziksel Mekan Güvenlik Bilgisi Verileri
Fiziksel olarak mekana girişte, fiziksel mekanın içerisinde alınan kayıtlar ve belgelere ilişkin kişisel veriler; işyerine girişte çalışan giriş kartının okutulması suretiyle alınan kayıtlar, kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan kayıtlar.
Görsel ve İşitsel Veriler
Şirketimizin düzenlediği konferans, seminer, gösteri, sergi, münazara, fuar etkinliklerinde etkinlikle ilgili olarak; etkinliği tanıtmak, duyurmak, yaygınlaşmasını sağlamak amaçları için etkinliğin gerçekleştiği yerin ve katılanların durağan veya akan görüntüleri ve/veya sesleri ile Şirket merkez, şube ve temsilciliklerinde güvenliği sağlamak için kurulmuş olan kameraların sağladığı görsel/işitsel bilgiler.
Dijital platformlar aracılığıyla gerçekleştirilen sesli ve görüntülü tanıtım, toplantı, eğitim, bilgilendirme ve mülakatları içeren görsel ve işitsel veriler.
Özgeçmişte yer alması halinde vesikalık fotoğraf.
İşlem Güvenliği Verileri
IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, log kayıtları, elektronik sistemlere ve cihazlara giriş şifre, parola bilgileri.
Aile ve Yakınına İlişkin Veriler
Evlilik cüzdanı; eş ve çocuklarının adı/soyadı/T.C. Kimlik Numarası/cinsiyeti/doğum tarihi/görevi/telefon numarası/yakınlarının adı/soyadı/telefon numarası, referanslar bilgisi
Çalışmaya İlişkin Veriler
Şirketimize başvuru (iş başvurusu, staj başvurusu) için doldurmuş olduğunuz başvuru formu, kayıt evrakı kapsamında ve/veya Şirketimizin resmi e-posta adresi olan [email protected] adresine gönderilen iş başvuru formlarında yahut Şirketimiz tarafından sağlanan veya Linkedin, Kariyer.net, Indeed, Yenibiris.com, Jooble, Youthall, Coensio web siteleri üzerinden çevrimiçi ya da fiziki başka başvuru usulleri kullanılmak suretiyle iletmiş olduğunuz, iş durumunuza ait bilgiler, sicil numarası, pozisyonu, departmanı ve birimi, unvanı, staj yeri, staj süresi, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, tahsis numarası, sosyal güvenlik numarası, vergi dairesi numarası, esnek saatlerde çalışma durumu, seyahat durumu, emekli sandığı, emekli sandığı giriş tarihi, emekli sandığı sicil numarası, bağkur giriş tarihi, bağkur sicil numarası, muhasebe kodu, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün, grevde geçen gün sayısı.
İzin Verileri:
İzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon ve imzalar.
Çerez Verileri
Kullanıcıların bilgisayarlarına yahut mobil cihazlarına kaydedilen ve ziyaret ettikleri web sayfalarındaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük dosyalar.
İşlenen Diğer Veriler
Askerlik tecili, askerlik durum belgesi, araç plakası, araç ruhsatı sureti, araç km bilgisi, ehliyet sureti, trafik cezası sorgulama sonucu, giysi bedeni, şehit yakını olma durumu, binilen servis, binilen durak verileri.
-
VERİ SORUMLUSUNA İLİŞKİN BİLGİLER
Bu politikanın kapsamına giren kişisel veri işleme faaliyeti için veri sorumlusunun kimliğine ilişkin bilgiler aşağıda verilmektedir.
Veri Sorumlusu:
Unvan : Jengal Yazılım Anonim Şirketi
Adres : Örnek Mh. Semerkant Cd. Zemzeme Sk. No: 24/A Ataşehir, İstanbul
Telefon : 0 216 341 05 70
E posta adresi : [email protected]
KEP Adresi : [email protected]
İnternet Sitesi : www.jengal.com
-
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ROL VE SORUMLULUKLAR
Şirket, KVKK uyum programı çerçevesinde, KVKK’ya uyumun sürekliliğini garanti edebilmek adına kişisel verilerin korunması süreçleri ile ilgili ayrı bir organizasyon tertip ederek, buna uygun iş ve işlemleri gerçekleştirmiş, gerekli teçhizatı sağlamıştır. Bu çerçevede, Şirket bünyesinde bir İrtibat Kişisi görevlendirilmiştir.
UNVAN | BİRİM | GÖREV |
Yönetim Kurulu | Şirket Yönetim Kurulu Üyeleri | Politika’ya uygun şekilde iş ve işlemlerin yürütülmesini sağlar. |
Departman Yöneticileri | İnsan Kaynakları, Muhasebe, Bilgi İşlem Departman Yöneticileri | Şirket bünyesinde her bir departman nezdinde ilgili departmanın süreçleri içinde veri işleme faaliyetinin yürütülmesinden o departmanın yöneticisi sorumludur. Departman yöneticisi, kendi departmanı içinde Politika’nın yürütülmesini sağlar. |
Şirket Yetkilileri | Şirket tarafından yetki verilen kişiler | Şirket adına Politika’ya uygun şekilde iş ve işlemlerin yürütülmesine katkı sağlar. |
İrtibat Kişisi | Veri Sorumlusu tarafından atanan kişi | İrtibat Kişisi, Şirket’in KVK Mevzuatı ve VERBİS kapsamında irtibat kişisi olarak hareket eder. İrtibat kişisi aynı zamanda Politika’da yer alan hususların VERBİS sistemine uyumlu şekilde düzenlenmesi ve bildirimlerin yapılmasından sorumludur. |
-
KİŞİSEL VERİLERİN TOPLANMASI
Kişisel veriler, Şirket Yönetim Kurulu ve departmanları tarafından yetkilendirilmiş, veriyi işleyen gerçek veya tüzel kişiler tarafından, e-posta, telefon, özlük dosyası, kamera kayıtları, faks, internet sitesi, muhtelif sözleşmeler, organizasyon, etkinlik, kâğıt ortamında tutulan formlar ve tutanaklar ile tam veya kısmen otomatik ve herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda toplanmaktadır.
Kişisel veriler, fiziken evrak gönderilmesi, Şirket’in sağladığı bir evrakın fiziken doldurulması, Şirket’e ait numaraların aranması suretiyle bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemle de toplanmaktadır.
Kişisel veriler ayrıca www.jengal.com web sitesinde kullanılan çerezler (cookie) vasıtasıyla da toplanmaktadır. Söz konusu çerezler, yalnızca ziyaretçinin siteyi tam verimlilikte kullanabilmesi için gerekli çerezler olup ziyaretçinin tercihlerini hatırlamak amacıyla kullanılmaktadır.
Teknolojik gelişmelere bağlı olarak Şirket tarafından yukarıdaki kişisel veri elde etme kanallarına yeni eklemeler yapılabilecek ya da mevcut kanallardan bazılarının kullanılmasından vazgeçilebilecektir. Böyle durumlarda da şeffaflığı ve hesap verilebilirliği korumak adına Politika’nın güncellenmesi yoluyla kullanılan kanalların doğru bir şekilde ifade edilmesi sağlanacaktır.
-
KİŞİSELVERİLERİN İŞLENMESİ
- Kişisel Verilerin İşlenmesinde Genel İlkeler
Şirket, Türkiye Cumhuriyeti Anayasası, KVKK ve ilgili mevzuata uygun olarak verileri işlemektedir. Şirket, kişisel verilerin işlenmesi sürecinde KVKK madde 4 uyarınca aşağıdaki ilkelere uymaktadır.
- Hukuka ve Dürüstlük Kuralına Uygun Olma
Şirket, veri sorumlusu olarak kişisel verilerin işlenmesinde hukuki düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, faaliyeti kapsamında uymak zorunda olduğu diğer kanunlar ile birlikte KVKK kapsamında kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır.
- Kişisel Veriyi Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Bu kapsamda kişisel veriler sunulmakta ya da sunulacak hizmetlerle ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Bu kapsamda, kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Kişisel verileri işleme amaçlarımız aydınlatma metinlerinde de belirli ve açık olarak yer almaktadır.
- Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
- Kişisel Verileri İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri ancak uymakla yükümlü olduğu ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Kişisel verilerin işlenmesini gerektiren amaçlar ortadan kalktığında, Şirket tarafından ilgili kişisel verilerin muhafaza edilmesi işlemleri sonlandırılacaktır. Şirket bütün veri işleme süreçlerine ilişkin şeffaf biçimde tüm ilgili tarafları gereli dokümanlarla bilgilendirmektedir.
- Kişisel Verilerin İşlenme Şartları
Anayasa ve Kişisel Verileri Koruma Kanunu gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirket bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. İlgili kişinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda belirtilen diğer şartlardan birinin varlığı durumunda açık rıza aranmaksızın kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
- İlgili Kişinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
- Açık Rıza Aranmaksızın Kişisel Verilerinin İşlenebileceği Haller
İlgili kişinin kişisel verileri, kanunda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Şirket’in hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
İlgili kişinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Şirket, özel nitelikli kişisel verilerin öneminin bilincinde olup bu verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere uygun davranmaktadır. KVKK 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verilerin Korunması Kanunu’na uygun bir biçimde Şirket tarafından özel nitelikli kişisel veriler aşağıdaki durumlarda işlenmektedir:
İlgili kişinin açık rızası var ise özel nitelikli kişisel veriler açık rızaya dayanarak işlenebilmektedir.İlgili kişinin açık rızası yok ise;
-Kanunlarda açıkça öngörülmesi,
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
-İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
-Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
-Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
-İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
-Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması hallerinde işlenebilecektir.
İşbu Politikada, 32487 sayılı Resmi Gazete’de yayınlanan 6698 sayılı Kanunun 6. Maddesinde düzenlenen özel nitelikli verilerin işlenmesine ilişkin yapılan değişikliğe uygun olarak özel nitelikli verilerin işlenme prosedürü uygulanmıştır.
Çerezler Üzerinden Kişisel Verilerin İşlenmesiŞirket; çerezleri, internet sayfaları veya mobil uygulamaların işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanmakta ve dijital platformların kullanımını daha verimli getirmeye çalışmaktadır.
Ayrıca internet Şirket internet sitesi ve mobil uygulamalarında yapılan tercihleri hatırlamaya yönelik bazı çerezlerden yararlanmakta ve bu sayede geliştirilmiş ve tercihlere yönelik kişiselleştirilmiş bir deneyim sağlamaktadır. Dijital platformlarda yer alan çerezler üzerinden kişisel veriler işlenmekte ve aktarılmaktadır.
Şirket tarafından KVKK madde 12’ye uygun olarak, çerezler üzerinden toplanan kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Jengal Yazılım Anonim Şirketi Çerez Politikası www.jengal.com adresli Şirket internet sitesinde yayınlanmaktadır.
-
KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE İŞLEMENİN HUKUKİ SEBEBİ
Kişisel veriler, KVKK’da öngörülen sınırlar dahilinde aşağıdaki tabloda belirtilen amaçlarla ve hukuki sebeplere dayanılarak işlenmektedir.
İŞLENEN KİŞİSEL VERİ | İŞLENME AMACI | İŞLEMENİN HUKUKİ SEBEBİ |
Kimlik Verileri | İş sözleşmesinin kurulması, Personel özlük dosyasının oluşturulması, İşe giriş-çıkış, SGK işlemlerinin yapılması, Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması, SGK bildirimleri, İŞKUR bildirimleri, iş kazası ve meslek hastalığı bildirimlerinin yapılması, Kamu kurumları tarafından verilen teşvik işlemlerinin yapılması, Kamu kurumlarına, adli birimlere yasal yükümlülük bilgilendirmesinin yapılması, Kartvizit basımının sağlanması, Mahkeme kararlarının yerine getirilmesi ile hukuk işlerinin takibi ve yürütülmesi, Mal/hizmet alım, satım, üretim süreçlerinin Yürütülmesi Mevzuat, ilgili düzenleyici kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması, Saklama ve arşiv faaliyetlerinin yürütülmesi, Şirkete yapılan talep ve şikâyetlerin kaydedilmesi ve değerlendirilmesi, Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, Şirket tarafından kampanyalara ilişkin olarak reklam amaçlı iletişime geçilmesi, Tedarikçi iletişim faaliyetlerinin ve tedarik zinciri sürecinin yönetilmesi ve yürütülmesi, Tedarikçi ve iş ortakları ile ticari sözleşmelerin kurulması | |
İletişim Verileri | Personel özlük dosyasının oluşturulması, İşe giriş-çıkış, SGK işlemlerinin yapılması, Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması, SGK bildirimleri, İŞKUR bildirimleri, iş kazası ve meslek hastalığı bildirimlerinin yapılması, Kamu kurumları tarafından verilen teşvik işlemlerinin yapılması, Kamu kurumlarına, adli birimlere yasal yükümlülük bilgilendirmesinin yapılması, Kartvizit basımının sağlanması, Mahkeme kararlarının yerine getirilmesi, Hukuk işlerinin takibi ve yürütülmesi, Mevzuat, ilgili düzenleyici kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması, Saklama ve arşiv faaliyetlerinin yürütülmesi, Şirkete yapılan talep ve şikâyetlerin kaydedilmesi ve değerlendirilmesi, Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, Şirket tarafından kampanyalara ilişkin olarak reklam amaçlı iletişime geçilmesi, Tedarikçi iletişim faaliyetlerinin ve tedarik zinciri sürecinin yönetilmesi ve yürütülmesi, Tedarikçi ve iş ortakları ile ticari sözleşmelerin kurulması | Kişisel verinin işlenmesinin kanunlarda açıkça öngörülmüş olması (m.5/2-a), |
İzin Verileri | Çalışanların izin onayı işlemleri, kalan izinlerin işlemlerinin yapılması | Kişisel verinin işlenmesinin kanunlarda açıkça öngörülmüş olması (m.5/2-a), |
Aile ve Yakınına İlişkin Veriler | İşe başvuru ve mülakatı süresince toplanan belgelerin, kişiye ulaşılamadığında aranabilecek kişiye ait bilginin ve referans bilgilerinin kayıt altına alınması | Sizlerle ile bir sözleşme kurulması veya bu sözleşmeden kaynaklanan ifa yükümlülüğün yerine getirilmesiyle doğrudan ilgili olması kaydıyla veri işlemenin gerekli olması (m.5/2-c), Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (m.5/2-ç) |
Çalışmaya İlişkin Veriler | İşe alım süreçlerinin yürütülmesi, Pozisyona en uygun adayın belirlenmesinin sağlanması, Başvurulan iş pozisyonu için gereken şartların sağlanıp sağlanmadığının tespit edilmesi, İş başvuru formunda belirtilen bilgilerin doğruluğunun tespiti, İşe başvuru sürecinde toplanan belgelerin kayıt altına alınması, Kamu kurumları tarafından verilen teşvik işlemlerinin yapılması, İş sözleşmesinin kurulması, Personel özlük dosyasının oluşturulması, İşe giriş-çıkış, SGK işlemlerinin yapılması, 4857 Sayılı İş Kanunu, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 Sayılı Sosyal Sigortalar ile Genel Sağlık Sigortası Kanunu, 6698 Sayılı KVKK ve ilgili mevzuat kapsamında yükümlülüklerin yerine getirilmesi, | Kişisel verinin işlenmesinin kanunlarda açıkça öngörülmüş olması (m.5/2-a), |
| Çalışanın işin gerektirdiği sağlık niteliklerine sahip olup olmadığının değerlendirilmesi, Çalışanlara yönelik mevzuatın öngördüğü yükümlülüklerin yerine getirilmesi Kamu sağlığının korunması, Koruyucu hekimlik, tıbbî teşhis, tedavi, eczane ve bakım hizmetlerinin yürütülmesi, Sağlık hizmetleri ile finansmanının planlanması ve yönetimi | Açık rıza (m.6/3/a) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,(m.6/3/f) Kanunlarda açıkça öngörülmesi(m.6/3/b), Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması(m.6/3/d) |
Fiziksel Mekan Güvenlik Bilgisi Verileri | Şirket binası, personel, müşteri ve ziyaretçi güvenliğinin temini, şirket içerisinde güvenliğin sağlanması, Üretim binasının güvenliğinin sağlanması, Mahkeme ve savcılık taleplerinin yerine getirilmesi | Temel hak ve özgürlüklerinize zarar vermemek kaydıyla şirketin meşru menfaati için veri işlenmesinin zorunlu olması (m.5/2-f) |
İşlem Güvenliği Verileri | Şirkete ait elektronik hesapların ve sunucuların güvenliğinin sağlanması, Çalışana laptop tahsis edilmesi halinde işe yönelik faaliyetin kontrolünün sağlanması, Şirket bilgisayarlarında kullanılan program ve e-posta uygulamalarına kullanıcı adı ve şifre atanarak yetkili personelin erişiminin sağlanması | |
| Kendisine araç tahsis edilen veya kullandırılan çalışanın araba kullanmaya ehil olduğunun, ehliyetini herhangi bir nedenle kaybetmediğinin teyit edilmesi, Çalışana iş için gerekli kıyafetlerin sağlanması, Servis ve seyahat organizasyonunun sağlanması | |
Görsel ve İşitsel Veriler | Şirketin düzenlediği konferans, seminer, gösteri, sergi, münazara, fuar etkinliklerinde etkinlikle ilgili olarak; etkinliği tanıtmak, duyurmak, yaygınlaşmasını sağlamak | Açık Rıza (m.5/1) |
Web sitesi çerez verileri | Şirket internet sitesini ziyaret eden kullanıcıların web sitesini etkin bir şekilde kullanabilmelerinin sağlanması | |
Eğitim Verileri | Eğitim planlamasının yapılması, eğitimlerin raporlanması, eğitim sertifikalarının hazırlanması, gerçekleşen eğitimlere katılan çalışanların takip edilebilmesi, çalışanların aldıkları eğitimler sonucu gelişim süreçlerinin takip edilebilmesi, İşe alım süreçlerinin yürütülmesi, Pozisyona en uygun adayın belirlenmesinin sağlanması, İş başvuru formunda belirtilen bilgilerin doğruluğunun tespiti, İşe başvuru sürecinde toplanan belgelerin kayıt altına alınması, Kamu kurumları tarafından verilen teşvik işlemlerinin yapılması, İş sözleşmesinin kurulması, Personel özlük dosyasının oluşturulması, | Temel hak ve özgürlüklerinize zarar vermemek kaydıyla şirketin meşru menfaati için veri işlenmesinin zorunlu olması (m.5/2-f) |
Finansal/Mali Veriler | Finansal ve muhasebesel faaliyetlerin yürütülmesi, Bordro ve muhtasar beyanname işlemlerinin yapılması, İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması | Kişisel verinin işlenmesinin kanunlarda açıkça öngörülmüş olması (m.5/2-a) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması (m.5/2-ç) Temel hak ve özgürlüklerinize zarar vermemek kaydıyla şirketin meşru menfaati için veri işlenmesinin zorunlu olması (m.5/2-f) |
-
KİŞİSEL VERİLERİN AKTARILMASI
- GENEL OLARAK KİŞİSEL VERİLERİN AKTARILMASI
Şirket, hukuka uygun olarak elde etmiş olduğu kişisel verileri aşağıda belirtilen şartların varlığı halinde, veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir:
İlgili kişinin açık rızası var ise,Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, ilgili kişi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise,
Şirket, KVKK 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını ilgili kişiye bildirmektedir. Bu kapsamda Şirket, KVKK 8. ve 9. maddelerine uygun olarak bu Politika kapsamına dahil olan veri sahiplerinin kişisel verileri aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarılabilmektedir.
VERİ AKTARIMI YAPILABİLECEK KİŞİLER | TANIMI | VERİ AKTARIMININ AMACI |
İŞ ORTAKLARI | Şirket’in, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar | İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı |
TEDARİKÇİLER | Şirket’in ticari faaliyetlerinin yürütülmesi kapsamında, Şirket’in emir ve talimatlarına uygun ve sözleşme temelli olarak Şirket’e hizmet sunan taraflar | Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak |
İŞTİRAKLER | Şirket’in hissedarı olduğu şirketler | Şirket’in iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
PAYDAŞLAR | Şirket’in hissedarları | Şirket’in şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçları ile sınırlı olarak |
KANUNEN YETKİLİ KAMU KURUM VE KURULUŞLARI | İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | Kamu sağlığı, güvenlik adalet gibi hususlarda ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
HUKUKEN YETKİLİ ÖZEL HUKUK KİŞİLERİ | İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak |
ŞİRKET YETKİLİLERİ | Şirket’in imzaya yetkili gerçek kişileri | Şirket’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak |
HİZMET ALINAN ŞİRKETLER | Şirket’in faaliyetlerini daha kolay ve hızlı sürdürebilmesi amacıyla ikincil alanlarda hizmet aldığı kurumlardır. İK uygulamaları için Kolay İK programı kullanılmaktadır. Muhasebe işlemleri için Paraşüt programı ve ayrıca dışarıdan hizmet alınmaktadır. İş başvuruları için Linkedin, Kariyer Net, Indeed, Yenibiriş.com, Jooble, Youthall ve Coensio web siteleri kullanılmaktadır. Sağlık muayenesi için SZUTEST OSGB’den hizmet alınmaktadır. | Şirketin ikincil faaliyetlerine yardımcı olmak, mali ve yönetim işlerinin sürdürülmesi ve istihdamın sağlanması amaçlarıyla sınırlı olarak. |
- KİŞİSEL VERİLERİN YURTDIŞINA AKTARIMI
Kişisel veriler, 6698 sayılı kanunun 5 inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
Kişisel veriler, yeterlilik kararının bulunmaması durumunda, Kanun’un 5 inci ve 6’ncı maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve kanunun 9. maddesi dördüncü fıkrasında öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
-
İLGİLİ KİŞİNİN AYDINLATILMASI
Veri sorumlusu bilgileri,
İşlenen kişisel veriler,
Kişisel verilerin hangi amaçla ve hangi hukuki sebebe dayanarak işleneceği,
Kişisel verilerin toplanma yöntemi,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
İlgili kişinin hakları ve hakların nasıl kullanılabileceği,
Kişisel verilerin işleneceği süreler.
-
İLGİLİ KİŞİNİN HAKLARININ GÖZETİLMESİ
- İLGİLİ KİŞİNİN HAKLARI
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel verileri bulunan kişilerin bilgi almak için başvurmaları, talep ve şikâyetleri mevzuatın öngördüğü şekilde ve sürelerde ilgili Şirket içi düzenlemeler çerçevesinde yerine getirilir.
- MEVZUAT GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN HALLER
KVK Kanunu’nun 28. maddesi gereğince aşağıdaki hallerin KVKK kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.İlgili kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- İLGİLİ KİŞİNİN HAKLARINI KULLANMASI
İlgili kişi yukarıda bahsi geçen haklarını kullanmak için aşağıda belirtilen kanallar vasıtasıyla Şirket’e talepte bulunabilir:
www.jengal.com adresinde bulunan ‘’Başvuru Formu’’nu doldurduktan sonra ıslak imzalı bir nüshasının bizzat elden, posta veya noter aracılığı Örnek Mh. Semerkant Cd. Zemzeme Sk. No: 24/A Ataşehir, İstanbul adresine iletilmesi,
www.jengal.com adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki güvenli elektronik imzanızla veya mobil imzanızla imzalandıktan sonra güvenli elektronik imzalı formun Şirketimize ait [email protected] KEP adresine daha önceden bildirilen ve Şirketimizde kayıtlı bulunan elektronik posta adresiniz ile gönderilmesi,
Yöntemlerinden biriyle yapabilirsiniz.
Kanun’da öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen ilgili kişilere, Şirket tarafından yine Kanun’da öngörülen şekilde azami otuz gün içerisinde cevap verilmektedir. İlgili kişi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi belirlenmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir.
Başvurularda, ad-soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon ve varsa faks numarası, talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Söz konusu unsurları barındırmayan başvurular Şirket tarafından değerlendirilmeyecektir.
-
KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
Şirket, kişisel verilerin hukuka uygun işlenmesini ve korunmasını sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almakta ve gelişmelere paralel olarak güncelleme ve iyileştirmeler yapmaktadır.
- TEKNİK TEDBİRLER
Şirket tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Yeni teknolojik gelişmeler takip edilmekte ve siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar 1 hafta sonunda kapatılmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Virüs koruma sistemleri olarak, Windows, MAC antivirüs sistemleri başta olmak üzere, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli çözüm üretilmektedir.
İş yerine giriş çıkışlar Strike KR 700 Proximity Reader kapı kart sistemi ve Access Control Yazılımı ile günlük olarak kayıt tutularak yapılmaktadır.
Teknik konularda uzman personeller istihdam edilmektedir.
Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
Kağıt ortamı yoluyla veri aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve gerektiğinde evrak gizli formatta gönderilmektedir. Serverlar üzerinde periyodik olarak kişisel verilerin aktif olmaması durumunda şifrelenmiş şekilde datalar dijital ortamdan silinmektedir.
Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanmaktadır.
Ağ güvenliği, Coslat firewall sistemi ile anlık olarak kontrol altında tutularak dışarıdan gelebilecek saldırı ve benzeri olaylara karşı sistem kendisini kapatmaktadır.
Verilerin imhasında yazılım programları ile silinerek demanyetilize edildikten sonra üzerine veri yazılarak imha edilmektedir.
Sızma (Penetrasyon) testleri ile Şirket tarafından bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. Sızma testleri farklı güvenlik duvarı, web uygulamaları, erişimler, kablosuz ağlar, antispam, siber saldırılardan oluşmaktadır, bu başlıkların bir veya birkaçında zafiyet olması durumunda gerek programlar gerekse güvenlik duvarı üzerindeki kurallar yeniden yapılandırılarak zafiyet giderilmektedir.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. İlgili kullanıcı erişimlerinin kişisel verilerin bulunduğu klasörlere erişimi kısıtlanır veya iptal edilir. İmha prosedürü işlenmiş verilerin geri dönüşümü mümkün olmamaktadır.
Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları (Onedrive) kullanılmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Kullanıcıların her birisine ayrı oluşturulmuş ve yalnızca kendinde bulunan şifre ve kullanıcı adına özel olarak kullanılan programında erişimler kısıtlanarak kişilerin özel nitelikli verisine ulaşamaması sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Coslat Firewall güvenlik duvarları kullanılmaktadır. IP ve MAC adresleri ile kullanıcılar internet ortamları veya verilere erişimleri şifreleri olsa dahi engellenir ve verilere erişmelerini veya erişmeye çalıştıkları yazılımlar ile tespit edilerek bu doğrultuda aksiyonlar alınmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi yapılmaktadır. Sistem sürekli olarak kontrol altında bulunmakta ve yetkilendirme kontrolleri periyodik olarak yapılmaktadır. Verilerin bulunduğu klasörler üzerinde erişim zafiyetleri olması durumunda ana server üzerinde kullanılan yetkilendirme programları üzerinden yetkiler yeniden düzenlenmektedir.
Bütün yetkilendirmelerde ve periyodik olarak alınan data yedekleri, erişim şifreleri kullanıcılara özgü olup 128 bit ile 256 bit şifreleme ile şifrelenmektedir.
Kullanılan kablosuz ağlar için misafir ağlar oluşturulmakta ve bu kullanıcılar da 5651 sayılı kanuna istinaden loglanmaktadır. Kullanıcı bilgisayarları antivirüsler ile korunmakta ve arka tarafta güvenlik duvarlarından sisteme sızmak isteyen dış etkenlere karşı kurallar oluşturularak korunmaktadır. Kullanıcı bilgisayarlarının Windows güvenlik güncellemeleri periyodik olarak yapılmaktadır.
- İDARİ TEDBİRLER
Şirket bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, Şirket tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmekte ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmektedir.
Şirket ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmaktadır.
Kişisel veri barındıran fiziksel ortamlara erişim yetkileri sınırlandırılmaktadır.
Şirket bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri düzenli olarak denetlenmektedir.
İmzalanan sözleşmelere kişisel verilerin korunması ve veri güvenliğine ilişkin hükümler eklenmesi sağlanmaktadır.
Bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli önlemleri almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
Teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla gizlilik sözleşmesi imzalar, ilgili üçüncü kişilerin işbu gizlilik sözleşmesindeki yükümlülüklerine uyması için gerekli tüm özeni göstermektedir.
İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını periyodik olarak denetlemekte, gereken önlemleri almaktadır.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
Gizlilik sözleşmeleri hazırlanmaktadır. Gizlilik sözleşmeleri kapsamında kişisel verilerin korunmasına ilişkin ayrıca hükümler düzenlenmektedir.
Şirket bünyesinde çalışan personellere KVKK Farkındalık Eğitimleri verilmektedir.
Veri Sorumlusu sıfatına haiz Şirket ile Veri İşleyen arasındaki Gizlilik Sözleşmeleri hazırlanmaktadır.
İrtibat Kişisi olarak atanan kişi, Aydınlatma Metinlerinde ilan edilmektedir.
Çalışan/Ziyaretçi/Hizmet Alan Kişilere ilişkin Aydınlatma Metinleri hazırlanmaktadır.
Şirket bünyesinde çalışan personellerin İş Sözleşmeleri KVKK ile uyumlu hale getirilmektedir.
Kamera Sistemleri bulunan tüm yerlere Kamera Sistemleri Aydınlatma Metinleri tablo şeklinde asılmaktadır.
Şirket bünyesinde çalışan personellere ilişkin Bilgisayar Kullanım Talimatları hazırlanmaktadır.
Şirket bünyesinde çalışan personellere ilişkin kişisel verilerin saklandığı odalar bakımından Erişim Sınırlaması uygulanmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- KİŞİSEL VERİNİN HUKUKA AYKIRI İFŞASI DURUMUNDA ALINACAK TEDBİRLER
Şirket tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum Kurul’a, Bakanlıklara ve ilgili veri sahiplerine bildirilecektir.
-
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirket kişisel verilerini işlemekte olduğu veri sahiplerinin kişisel verilerini elektronik ve fiziki ortamlarda gerekli teknik ve idari güvenlik tedbirlerini alarak saklamaktadır. Şirket’in kişisel verileri saklama süresi ilgili mevzuatta belirlenen süreler dikkate alınarak hesaplanmaktadır.
KVKK’da yer alan kişisel veri işleme şartlarının varlığını ortadan kaldıracak kişisel veri işleme amaçlarının sona ermesi halinde, Şirket tarafından kişisel veriler imha edilecektir. Söz konusu imha işlemleri ilgili mevzuatın hükümlerine uygun olarak 6 aylık periyotlarla re’sen gerçekleştirilmekte veya veri sahiplerinden gelen taleplerin yerinde bulunması halinde neticeye bağlanmaktadır. Mevzuat gereğince, ilgili kişinin silme ve/veya yok etme taleplerini Şirket mevzuatta başkaca bir süre öngörülmediği takdirde en geç 30 gün içinde yerine getirerek ilgili kişiyi bilgilendirecektir.
Kişisel verilerin imhası ile ilgili tutanaklar ise Şirket tarafından 3 yıl süre ile saklanacaktır. Özel mevzuatlarda öngörülen süreler saklı olup, KVKK ve ilgili mevzuatında yapılan değişiklikler sebebiyle buradaki sürelerin değişmesi durumunda söz konusu güncel süreler uygulanacaktır.
Şirket tarafından silme, anonimleştirme ya da yok etme imha teknikleri kullanılmaktadır.
İmhaya ilişkin süreçler departman yöneticileri tarafından yürütülür ve karara bağlanır. “Jengal Yazılım Anonim Şirketi Kişisel Verilerin Saklanması ve İmhası Politikası’’ www.jengal.com adresinde yayınlanmaktadır.
-
YÜRÜRLÜK VE İLAN
Şirket tarafından düzenlenen bu Politika 04.08.2023 tarihinde yürürlüğe girmiş ve www.jengal.com adresinde kamuoyuna sunulmuştur. Başta KVKK olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel haline www.jengal.com internet adresinden erişilebilirsiniz.
Son Güncelleme Tarihi: 01.06.2024