SUN PREFABRİK ÇELİK YAPI SANAYİ VE TİCARET LİMİTED ŞİRKETİ
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
Veri sorumlusu sıfatıyla Sun Prefabrik Çelik Yapı Sanayi Ve Ticaret Limited Şirketi (“Şirket”) olarak, kişisel verilerinizin işlenmesi, aktarılması, muhafaza edilmesi, silinmesi, yok edilmesi, imha edilmesi, anonim hale getirilmesi ve belirtilen hususlarda aydınlatma yükümlülüğünün yerine getirilmesiyle ilgili bütün süreçlerde 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili ikincil mevzuatlarla belirlenen ilkelere ve sınırlara bağlı kalmaktayız.
İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası (“Politika”), Kanun’a ve ilgili ikincil mevzuata uygun bir şekilde düzenlenmiş olup, kişisel verisi işlenen gerçek kişilerin (“ilgili kişi”) erişimine sunulmaktadır.
İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası’nda, Şirket’in;
detaylı şekilde anlatılmaktadır.
Şirket, kişisel verileri CCTV, e-posta, posta, çerezler, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, iş başvuruları esnasında internet üzerinden veya kağıt ortamında, mevzuatın gerektirdiği hallerde veri sahiplerinden bizzat toplamakta ve gerektiği yerde ilgili kişilerin açık rızalarını alarak, açık rıza alınmasının gerekmediği hallerde ise aydınlatma yükümlülüğünü yerine getirerek, her halükarda ölçülülük ve veri minimizasyonu ilkelerini gözeterek işlemektedir.
Şirket tarafından kişisel veriler, ilgili kişilerin açık rızası, kanunlarda açıkça öngörülmüş olma, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olma, sözleşmenin kurulması ve ifasıyla doğrudan ilgili olma, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma, ilgili kişinin kendisi tarafından alenileştirilmiş olma, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması ve veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebepleriyle işlenmektedir.
Şirket, yürütmekte olduğu faaliyetler çerçevesinde özel nitelikli kişisel verileri veri sahibinin açık rızası alınmadığı takdirde işlemeyecektir. Sağlık verileri haricindeki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası alınmaksızın işlenebilecek; sağlığa ilişkin özel nitelikli veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla veri sahibinin açık rızası alınmadan işlenebilecektir.
Şirket, aşağıdaki kişi gruplarının kişisel verilerini işlemektedir.
Şirket tarafından, yukarıda belirtilen ilgili kişi gruplarının aşağıdaki tabloda belirtilen kişisel verileri işlenmektedir.
No |
İlgili Kişi |
Veri Kategorisi |
Örnek Veri Türleri |
1. |
Çalışan Adayı/ |
Kimlik Bilgisi |
Ad-Soyad, T.C. Kimlik Numarası, Doğum Tarihi, Doğum Yeri, Cinsiyet, Medeni Hali |
|
|
İletişim Bilgisi |
Adres (ev), E-posta, Telefon / Cep Telefonu |
Finansal Bilgi |
Geçmiş Dönem Maaş Bilgisi |
||
|
|
Özlük ve Meslek Bilgisi |
Öğrenim Durumu, Mezuniyet Bilgisi, Geçmiş İş Deneyimi, AGİ Bilgileri, Referanslar |
|
|
Özel Nitelikli Kişisel Veri |
Engellilik Durumu, Sabıka Kayıtları, Sağlık Bilgileri |
|
|
Diğer |
Fotoğraf, CCTV, Askerlik Durumu |
2. |
Çalışan/ Eski Çalışan |
Kimlik Bilgisi |
Ad-Soyad, T.C. Kimlik Numarası, T.C. Kimlik Kartı Bilgileri (Seri No, Uyruk, Cinsiyet vb.), Doğum Tarihi, Doğum Yeri, Cinsiyet, Medeni Hali, Pasaport Numarası, Ehliyet Bilgileri |
İletişim Bilgisi |
Adres, E-posta, Telefon/Cep Telefonu |
||
Finansal Bilgi |
Banka Hesap Bilgileri, Maaş Bilgisi, Borç Bakiyesi, IBAN Numarası, Ödeme Bilgileri, Kredi Kartı ve Banka Kartına İlişkin Bilgiler |
||
Çalışma Bilgisi |
İş Başlama/Bitiş Tarihi ve Saatleri, Departman, Unvan, Bordro Bilgileri, İzin Durumu |
||
Özlük ve Meslek Bilgisi |
Öğrenim Durumu, Mezuniyet Bilgisi, Askerlik Durumu, Geçmiş İş Deneyimi, İş Mülakatları ve Değerlendirmeler, Referanslar, İşe Giriş/Çıkış Kayıtları, Performans Değerlendirmeleri, AGİ Bilgileri, Sigorta Bilgileri, Emeklilik Bilgisi |
||
Hukuki İşlem ve Uyum Bilgisi |
Sözleşme, İcra ve Dava Dosya Bilgileri, Vekaletname |
||
Özel Nitelikli Kişisel Veri |
Adli Sicil Kaydı, Kan Grubu, Sağlık Raporu, İmza, Engellilik Durumu, |
||
Yan Haklar ve Menfaatler |
Prim ve İkramiye Bilgileri, Özel Sağlık Sigorta Bilgileri |
||
Aile Bireyleri ve Yakın Bilgileri |
Ad-Soyad, Yakınlık Derecesi, Okul, Doğum Tarihi, Cep Telefonu, Cinsiyet |
||
Diğer |
Fotoğraf, CCTV, Log Kayıtları, Cihaz Mac Adresi |
||
3. |
Çalışan Yakını |
Kimlik Bilgisi |
Ad-Soyad, T.C. Kimlik Numarası, Doğum Tarihi, Cinsiyet |
Finansal Bilgi |
Gelir Bilgisi |
||
Özlük ve Meslek Bilgisi |
Meslek, Eğitim Durumu |
||
4. |
Müşteri |
Kimlik Bilgisi |
Ad-Soyad, T.C. Kimlik Numarası |
Finansal Bilgi |
Kredi Kartı Bilgileri |
||
İletişim Bilgisi |
Adres (ev), E-posta, Telefon / Cep Telefonu |
||
Hukuki İşlem ve Uyum Bilgisi |
Resmi Tutanaklar |
||
Diğer |
CCTV |
||
5. |
Ziyaretçi |
Kimlik Bilgisi |
Ad-Soyad, T.C. Kimlik Numarası, Pasaport Numarası |
İletişim Bilgisi |
E-posta, Telefon/Cep Telefonu |
||
İşlem Güvenliği Bilgisi |
5651 Logları |
||
Diğer |
CCTV |
||
6.
|
İş Ortağı / Tedarikçi veya İş Ortağı / Tedarikçi Yetkilisi |
Kimlik Bilgisi |
Ad-Soyad, T.C. Kimlik Numarası, T.C. Kimlik Kartı Bilgileri (Seri No, Uyruk, Cinsiyet vb.) Doğum Tarihi, Doğum Yeri, Cinsiyet, Pasaport Numarası |
İletişim Bilgisi |
Adres (ev/iş), E-posta, Telefon/Cep Telefonu |
||
Finansal Bilgi |
Banka Hesap Bilgileri, Finansal Hareket Bilgileri, IBAN Numarası, Ödeme Bilgileri, Teminat Mektubu Nüshaları/Fotokopileri, Vergi Numarası |
||
Hukuki İşlem ve Uyum Bilgisi |
İmza Sirküleri, İmza Beyannamesi, Faaliyet Bilgisi, Vekaletname |
||
Diğer |
CCTV |
Kişisel veriler, Şirket tarafından aşağıdaki amaçlar ile kullanılmaktadır:
No |
Veri Sahibi |
Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor? |
1. |
Müşteri |
Adli Makamlar; Vergi denetimleri sırasında fiş, fatura, irsaliye ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması söz konusudur. |
2. |
Ziyaretçi / Web Sitesi Ziyaretçisi |
Hukuki yükümlülükler kapsamında (suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere Şirketin yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşılması; log kayıtlarının resmi kurumlar ile paylaşılması; kamera kayıtlarının talep edilmesi durumunda savcılık ve mahkeme gibi resmi kurumlar ile paylaşılması söz konusudur. |
3. |
İş, Çözüm Ortağı / Tedarikçi veya İş Ortağı / Tedarikçi Yetkilisi |
Muhasebe tarafından yapılması gereken yasal bildirimlerin gerçekleştirilmesi amacıyla ilgili kamu kurumları ve noterler ile kişisel verilerin paylaşılması; Vergi denetimleri sırasında fiş, fatura ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması; mevcut ticari ilişkiden kaynaklı ödeme yükümlülüğünün yerine getirilebilmesi amacıyla finansal verilerin banka ile paylaşılması gibi süreçler söz konusudur. |
Şirket, kişisel verileri yalnızca işbu Politika’da belirtilen amaçlar doğrultusunda, üçüncü kişilere ve kurumlara aktarmaktadır.
Aktarıma konu olan kişisel veriler, gerekli teknik ve idari tedbirler alınarak, ilgili üçüncü kişinin sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Dahası aktarım yapılan üçüncü kişiler ile ek protokoller imza edilerek aktarılan kişisel veriler hukuki olarak da korunmaktadır.
Bu kapsamda aşağıda belirtildiği şekilde kişisel veri aktarımları gerçekleştirilmektedir.
Müşteri ve Çevrimiçi Müşteriye ilişkin bilgiler; Müşteriye ait faturanın yazılı ortamda hazırlanması veya e-faturasının hazırlanarak elektronik olarak gönderilmesi için fatura/e-fatura entegratörü ile fatura bilgileri paylaşılmakta; Hukuki, finansal ve operasyonel süreçlerin yürütülmesi amacıyla çalışmakta olduğumuz avukatlar ve YMM’ler dahil olmak üzere danışmanlık aldığımız üçüncü kişiler ile paylaşılmaktadır.
Şirket, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli özeni göstermekte ve gerekli teknik ve idari tedbirleri almaktadır. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, kişisel verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için aşağıda belirtilen önlemleri alır.
Anti-Virüs: Şirket’in bilgi teknolojileri altyapısında bulunan tüm bilgisayar ve sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.
Firewall: Şirket sunucularını barındıran Data Center ve Felaket Kurtarma Merkezleri periyodik olarak güncellenen yazılım yüklü Firewall tarafından korunmaktadır. Yeni nesil firewalllar tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.
VPN: Tedarikçiler, Şirket sunucu ya da sistemlerine Firewall üzerinde tanımlı bulunan SSL-VPN aracılığı ile erişim sağlayabilmektedirler. Her bir tedarikçi için ayrı SSL-VPN tanımı yapılmış olup, yapılan tanımlama ile tedarikçi sadece kullanması gereken ya da yetkilendirmesi yapılan sistemlere erişim sağlamaktadır.
Kullanıcı Tanımlamaları ve Yetki Matrisi: Şirket çalışanlarının, Şirket sistemlerindeki yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda yetkiler derhal sonlandırılmaktadır.
Bilgi güvenliği Tehdit ve Olay Yönetimi: Şirket sunucularında ve Firewallarında meydana gelen ihlaller veya tespit edilen riskler “Bilgi Güvenliği Tehdit ve Olay Yönetimi” sistemine aktarılmaktadır. Bu sistem güvenlik tehdidi oluştuğunda sorumlu personelleri uyarmakta ve ivedi bir şekilde tehdide cevap verilmesi imkânı sağlamaktadır.
Sızma Testi: Periyodik olarak Şirket sistemindeki sunuculara, bilgisayarlarına sızma testi manuel olarak tedarikçi bir firma tarafından yapılmaktadır. Bu test sonucunda oluşan güvenlik açıkları kapatılarak, ilgili güvenlik açıklarının kapatıldığına dair doğrulama testi yapılmaktadır. Ayrıca Bilgi Güvenliği Tehdit ve Olay Yönetimi sistemi tarafından da otomatik olarak sızma testi yapılmaktadır.
Bilgi Güvenliği Yönetim Sistemi (“BYGS”): Şirket bünyesinde oluşturulan BGYS toplantılarında kontrol forumda yer alan başlıklar aylık olarak Bilgi Teknolojileri Direktörü ve CFO tarafından denetlenmektedir. Cobit standartlarında ve GV’nin denetim standartlarına uyumlu olarak oluşturulan denetim listesi periyodik olarak kontrol edilmektedir.
Çalışanlara Eğitim Verilmesi ve Farkındalığın Arttırılması: Şirket çalışanlarının çeşitli bilgi güvenliği ihlallerine karşı farkındalıklarını artırmak ve bilgi ihlali olaylarında insan faktörünün etkisini en aza indirmek için çalışanlara düzenli aralıklarla bilgi güvenliği hususunda hatırlatmalar yapılarak eğitimler verilmektedir. Şirket sistem kullanıcılarının farkındalığını artırmak için düzenli olarak kullanıcılara gönderilmektedir. Çıkan sonuçlara göre kullanıcılara gerekirse tekrar hatırlatma ve uyarı yapılmaktadır.
Temiz Masa Prensibi: Şirket çalışanları, şirket iç kuralları uyarınca temiz masa prensibine uymakla yükümlüdür.
Diğer: Şirket web sitemizde kişisel verilerin alındığı tüm alanlar SSL ile korunmaktadır.
Fiziki Güvenlik: Kağıt ortamındaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlamaktayız.
Çerezler: Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinir.
İhlal Bildirimi: Şirket tarafından gerekli teknik ve idari bilgi güvenliği tedbirlerinin alınmasına rağmen, Şirket tarafından işletilen online platformlara veya Şirket sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, Şirket bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir ve ihlalin sonuçlarını en aza indirmek için gerekli önlemleri alır.
Şirket, işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak muhafaza eder. Bu süreler aşağıdaki tabloda belirtilmiştir:
Kişisel Veri Türü |
Saklama Süresi |
Hukuki Dayanağı |
Müşterilere İlişkin Kişisel Veriler |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl; |
6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun, |
İş Çözüm Ortağı / Tedarikçilere veya İş Ortağı / Tedarikçi Yetkililerine İlişkin Kişisel Veriler |
Hukuki ilişkinin sona ermesinden itibaren 10 yıl |
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
İş Başvurusu Sırasında Alınan CV ve Özlük Bilgileri |
İş başvurusunun yapıldığı tarihten itibaren 2 yıl |
Geçmişte Başvuran Adaylar ile Yeni Pozisyonlar Hakkında İletişime Geçilmesi |
Personele Ait Kişisel Veriler (Kimlik, İletişim, Özlük Bilgileri, Hukuki İşlem Verileri, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Fiziksel Mekân Güvenliği) |
Özlük Bilgileri personelin yaşamı boyunca, diğer veriler hukuki ilişkinin sona ermesinden itibaren 10 yıl, |
4857 Sayılı Kanun, 6698 s. Kanun, Şirket’in meşru menfaatleri |
Personele Ait Özel Nitelikli Kişisel Veriler (Ceza Mahkumiyeti ve Sağlık Verileri) |
Sağlık Verileri 15 yıl, Ceza Mahkumiyeti hukuki ilişkinin sona ermesinden itibaren 10 yıl |
6331 Sayılı Kanun, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği, Şirket’in meşru menfaatleri |
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları) |
3 ay |
İlgili Mevzuat Gereği ve Fiziki Güvenliğin Sağlanması |
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler |
2 yıl |
5651 Sayılı Kanun |
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar |
10 yıl |
4857 Sayılı Kanun, 6098 Sayılı Kanun |
Şirket, iş süreçleri kapsamında fiziki, elektronik, web sitesi, e-posta gibi kanallardan toplayarak işlediği kişisel verileri, Kanun’un 7. ve 17. maddeleri ve Türk Ceza Kanunu Madde 138 uyarınca, ilgili kanunların veya ikincil mevzuatın öngördüğü süreler ve/veya işleme amacının gerekli kıldığı süreler boyunca saklamaktadır. Bu sürelerin sona ermesi durumunda ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi uyarınca silmekte, yok etmekte veya anonim hale getirmektedir. Şirket tarafından periyodik imha süresi 6 ay olarak belirlenmiştir.
Şirket tarafından kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini; kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir. Kişisel verilerin anonim hale getirilmesi ise, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Şirket, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında silme, yok etme ve anonim hale getirmeye ilişkin yöntemleri ve aldığı teknik ve idari tedbirleri ayrıntılı olarak açıklamaktadır. Kişisel Verilerin Saklanması ve İmhası Politikası’na [*link yerleştiriniz*] internet adresi üzerinden erişebilirsiniz.
Kişisel veri sahibi ilgili kişiler, Kanun’un 11. maddesi uyarınca aşağıda sayılan haklara sahiptir:
Kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla; [www.sunprefabrik.com.tr] internet sitesinden erişebileceğiniz “Başvuru Formu”nu doldurup;