f
Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri gibi bilgiler, kişisel veri olarak nitelendirilmektedir. Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu gerekçelerle kanun koyucu kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesini gerekli görmüştür. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir.
Anayasamızın 20’nci maddesinde yapılan düzenlemeyle bir Anayasal hak olan kişisel verilerin korunması, temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Buna bağlı olarak kişisel verilerin korunması özel kanunlarla da düzenlenmiş olup, ATA OTOMOTİV TİCARET A.Ş.’nin (Şirket, ATA OTOMOTİV veya “veri sorumlusu” olarak anılacaktır.) kurumsal olarak gözettiği en önemli yaklaşımları arasındadır. Buna göre şirketimiz kişisel verilerin korunmasına gerekli özeni göstermekte ve bunu KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA BİR ŞİRKET POLİTİKASI haline getirmektedir. Buna bağlı olarak müşterilerinin, çalışanlarının, çalışan adaylarının, ziyaretçilerinin kişisel verilerinin gizlilik haklarına ve bilgilerinin korunmasına büyük önem vermekte, bu konuda tüm yasal düzenlemelere uyumlu hareket etmekte ve aşağıda detayları açıklanan esasları bu politika kapsamında uygulamaktadır.
Kişisel Verilerin Korunması ve İşlenmesi Hakkındaki işbu aydınlatma metninin amacı, kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili yasal düzenlemeler öncelikli uygulama alanı olacak şekilde Kanun’un 12’nci maddesine göre kişisel verilerin hukuka aykırı olarak açıklanmasını, kişisel verilere hukuka aykırı olarak erişimini, aktarılmasını veya herhangi bir şekilde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerin alındığına, bu kapsamda Veri Sorumlusu sıfatıyla Şirketimizin, Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanmış ve/veya yayımlanacak olan mevzuata uygun olarak ilgili kişinin kişisel verilerinin korunması için en üst seviyede gerekli güvenlik kriterlerini sağlamaya yönelik idari ve teknik tedbirleri almakta, denetimleri yapmakta veya yaptırmakta olduğuna dair, Kanun’un 10’uncu maddesine göre aydınlatma yükümlülüğünün yerine getirilmesi kapsamında ilgili kişinin bilgilendirilmesidir.
Bu amacın gerçekleştirilebilmesi için ilgili kişilerin (faaliyeti kapsamında şirketimizden hizmet alanlar, çalışanlar, çalışan adayları, ziyaretçiler ve faaliyeti kapsamında şirketimizle hizmet sağlayıcı olarak ilişkide bulunan üçüncü kişilere ve çalışanlarına ait kişisel veriler) kişisel verileri aşağıda detayları açıklanan kapsam ve koşullarda işlenmektedir. Veri Sorumlusu sıfatıyla Kanun kapsamında bütün sorumluluklarımızı bu politikanın uygulanması kapsamında yerine getiriyoruz.
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
h) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
j) Yönetmelik :“Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik”
Ayrıca;
k) 5651 sayılı Kanun: İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun,
l) Bilgi: Verilerin anlam kazanmış biçimini,
m) Erişim: Bir internet ortamına bağlanarak kullanım olanağı kazanılmasını,
n) İnternet ortamı: Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortamı,
o) Veri: Bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri,
ifade eder.
TEMEL İLKELER-SORUMLULUKLAR
Kişisel veriler, ancak 6698 sayılı Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenebilir. Buna göre veri sorumlusu olarak ATA OTOMOTİV;
VERBİS kaydına göre veya Mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri siler, yok eder veya anonim hale getirir.
KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kanunun 5’inci maddesine göre kişisel veriler ilgili kişinin açık rızası (belirli bir konuya ilişkin olan, bilgilendirilmeye dayalı olarak özgür iradeyle açıklanan) olmaksızın işlenemez. Buna bağlı olarak öncelikle ilgili kişi/veri sahibi aydınlatılmalıdır.
Aydınlatma ne zaman ve nasıl yapılmalıdır?
İlgili kişi/veri sahibinin kişisel verisini işlemek için Kanuna göre açık rızasının alınması gerekiyorsa, rızası alınmadan önce kişi Kanunda öngörülen esaslara göre aydınlatılmalıdır. Aydınlatma sonrasında kişinin açık rızasının alınamaması halinde, işlenmesi düşünülen veriye ilişkin faaliyet Kanunun 5’inci maddesinde sayılan ve açık rıza aranmaksızın veri işlenmesi mümkün olan iş veya işlemlerden değilse kişisel veri işlenmemelidir. Bu durumda açık rıza alınamayan iş veya işlemin varsa bir sonraki aşamasına ilişkin ürün ve/veya hizmet temininin sağlanamayabileceği hususu da ilgili kişiye belirtilmelidir.
Aşağıda Kanunun 5’inci maddesine göre tahdidi olarak sayılan ve veri işleme şartının mevcudiyeti kapsamında kişiden veri işlenmesi için açık rıza alınması gerekmeyen durumlarda ise aydınlatma yine veri işlenmeye başlamadan önce yapılmalı ve hangi verilerin neden işleneceği bu madde kapsamına uygun olarak açıklanmalıdır.
Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
Yukarıda sayılan durumlar haricinde ve/veya her hal ve durumda özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
Bu aydınlatma ile tarafımızdan işletilmekte olan www.ataotomotiv.com.tr www.atacitroen.com – www.atasubaru.com – www.atakosk.com.tr ve www.satbize.com internet sitesinin/sitelerinin (Site) işletilmesi sırasında Site ziyaretçilerine (Veri Sahibi) çerezlerin kullanımı ile elde edilen kişisel verilerin işlenmesine ilişkin olarak bilgi verilmesi ve işbu metinde sitemizde hangi amaçlarla hangi tür çerezlerin kullanıldığını ve bu çerezlerin nasıl kontrol edilebileceğini size açıklamak amaçlanmıştır.
ATA OTOMOTİV bina ve tesislerinde bulunduğunuz süre boyunca talep eden ziyaretçilerimize/misafirlerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş ilgili mevzuata göre zorunlu olarak kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtlara yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve kayıtları hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
Şirketimiz İnternet sitesi girişinde çerezlerin kullanımına ilişkin onay bilgisi yasal zorunluluk olarak tüm kullanıcılardan alınmaktadır. Şirketimizin bu faaliyetleri nedeniyle kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar internet sitemizden erişilebilecek olan işbu KVKK metinleri içerisinde yer almaktadır.
İnternet sitelerimizi ziyaretleriniz sırasında deneyiminizi geliştirmek, kolaylaştırmak, sitenin doğru ve verimli çalışmasını sağlamak amacıyla Bilgi Teknolojileri dahilinde bazı teknolojilerden (çerezler-cookies) faydalanmak, kullanmak gerekmektedir. Çerezler, tarayıcınız tarafından bilgisayarınızın sabit diskinde saklanan küçük bilgiler olarak tanımlanabilir. Çerezler; kullanım ömrü, kullanım amacı, çerezin sahibi veya çerez yerleştiren tarafa göre çeşitli tasniflere tabi tutulur.
Sitemizde kullanılan çerezler
Zorunlu, fonksiyonel ve/veya analitik çerezler hiçbir hal ve şartta kimliğinizi tanımlayabilecek verileri toplamaz, saklamaz, işlemeye yol açmaz; bu nitelikleri nedeniyle KİŞİSEL VERİ olarak nitelendirilemez. Bilgisayarınıza zarar vermez, virüs barındırmaz. Ziyaretçiler tarafından sitenin nasıl kullanıldığını anlamayı sağlar, istatistik verileri toplar ve bu veriler doğrultusunda içerik geliştirilmesine yardımcı olur. Gelecekteki olası ziyaretlerde faaliyetleri hızlandırmayı sağlar. Site ara yüzlerinin ve özelliklerinin olması gerektiği gibi kullanılması açısından zorunludur.
Reklamları kişiselleştirmek ve site trafiğini test ve analiz etmek amacıyla, kişiye bağlı temel hak ve özgürlüklerinize zarar vermemek için gerekli hukuki bildirimlere bağlı taahhütleri alınmış olarak meşru menfaatler kapsamında reklam çerezleri kullanılabilmektedir.
Çerez tercihlerinizi yönetebilme
Çerezlerin kullanımına yada kullanılmamasına ilişkin tercihlerinizi değiştirmek; çerezleri engellemek veya silmek için tarayıcınızın ayarlarını değiştirmek yeterli olacaktır. Hemen tüm tarayıcılarda sizlere çerezleri yönetme kapsamında uyarı seçenekleri sunulur. Bu kapsamda daha önce tarayıcınıza kaydedilmiş çerezlerin kabul edilmesi, reddedilmesi, sadece belli türdeki çerezlerin kabul edilmesi, bir sitenin bilgisayarınıza/cihazınıza çerez depolamayı talep etmesi halinde uyarı alınması ve çerezlerin silinmesi mümkündür. Çerezleri reddetme, devre dışı bırakma seçenekleri halinde tercihlerinizi sizin ayarlamanız gerekeceği gibi, ilgili sitenin bazı özellikleri ve hizmetlerinin de düzgün, beklendiği şekilde çalışmaması da söz konusu olabilir.
Bu teknolojilerin kullanımı başta 6698 sayılı “Kişisel Verilerin Korunması Kanunu” ve 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” olmak üzere mevzuata uygun şekilde gerçekleştirilmektedir. Veri Sahibi, herhangi bir kişisel verisinin Şirket tarafından kullanılmaması yönünde bir tercihte/talepte bulunması halinde Site’nin işleyişinden tam olarak faydalanamayabileceğini kabul ile bu kapsamda doğacak her türlü sorumluluğun kendisine ait olacağını beyan eder.
ATA OTOMOTİV olarak sitemizde kullandığımız çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya sitemize yeni çerezler ekleyebiliriz. Dolayısıyla iş bu aydınlatma metninin hükümlerini dilediğimiz zaman değiştirme hakkını saklı tutuyoruz. Güncel aydınlatma metni üzerinde gerçekleştirilmiş olan her türlü değişiklik sitede veya kamuya açık herhangi bir mecrada yayınlanmakla birlikte yürürlük kazanacaktır. Son güncelleme tarihini metnin sonunda bulabilirsiniz.
ATA OTOMOTİV tarafından gerek işyeri, çalışan, müşteri güvenliğinin sağlanması amacıyla ve gerekse kamu düzeni açısından güvenliğe yönelik öngörülerle işbu metinde belirtilen amaçlarla, ATA OTOMOTİV plaza ve binalarında, tesislerinde güvenlik kameralarıyla izleme ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Bu faaliyetler ile kişisel verilerin işlenmesi söz konusudur. Şirketimiz tarafından Kanun’un 12’nci maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmayı, güvenilirliğini sağlamayı, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamayı ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumayı amaçlamaktadır. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmekte ve taahhüt edilen süresi boyunca saklanmaktadır.
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun” ve ilgili mevzuata uygun olarak sürdürülmektedir. Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir. Tuvaletler, soyunma-giyinme kabinleri gibi yerlerde hiçbir şekilde izleme yapılmamaktadır
Yukarıdaki açıklamalar kapsamında ATA OTOMOTİV’de kişisel verileriniz Kanunun 5’inci ve 6’ncı maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde aşağıda belirtildiği şekilde gerçekleştirilecektir;
KİŞİSEL VERİ İŞLEME ŞARTLARI
Çalışan-çalışan adayı verileri:
Kanunlarda Açıkça Öngörülmesi, Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi, Bir Sözleşmenin (İş) Kurulması veya İfasıyla Doğrudan İlgili Olması, Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
İş başvurusu aşamasından başlamak suretiyle işe kabul halinde işe başlama ve çalışma hayatı ile ilgili zorunlu yasal girişlerin yapılması, sürdürülmesi ve gerektiğinde sona erdirilmesi amacıyla ayrıca açık rıza alınmasına gerek olmaksızın kişisel veri işlenebilmektedir.
Çalışan adayının işe kabul edilmemesi yada kendisinin başvurusundan vazgeçmesi halinde, çalışan adayına ait bilgiler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması kaydıyla ATA OTOMOTİV’in VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.
Müşteri, Üretici, Distribütör firma, Konaklama verileri:
Bir Sözleşmenin (Satış yada Servis Hizmeti gibi) Kurulması veya İfasıyla Doğrudan İlgili Olması, Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
ATA OTOMOTİV, HYUNDAİ marka araçların satış ve servis yetkili bayii olarak faaliyet göstermektedir. Şirketimiz, ayrıca aynı ticaret unvanı ile şube adresinde CİTROEN-SUBARU marka araçların satış ve servis yetkili bayii, INFINITI marka araçların yetkili servisi olarak ve yine aynı ticaret unvanı ile şube adresinde ATAKÖŞK OTEL olarak faaliyet göstermektedir. Dolayısıyla, işbu aydınlatma metni söz konusu şube adreslerindeki faaliyetler ve verilen hizmetler için de geçerli olup, yazılı bilgilendirme ve işlem onamı alınması amacıyla ayrıca açık rıza alınmasına gerek olmaksızın kişisel veri işlenebilmektedir.
Özel nitelikli kişisel veriler:
Özel nitelikli kişisel veriler veri sorumlusu tarafından, işbu politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği usul ve esaslar da dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
a.Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler: kanunlarda açıkça öngörülen hâllerde veri sahibinin açık rızası aranmaksızın işlenebilir. Bunun dışındaki her hal ve durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
b.Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler: ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikteki kişisel verileriniz arasında sayılan, sağlık ve cinsel hayat dışındaki kişisel verileriniz, ancak kanunlarda öngörülen hâllerde, açık rızanız aranmaksızın işlenebilecek, belirtilen gerçek veya tüzel kişilere aktarılabilecektir. Sağlık ve cinsel hayata ilişkin kişisel verileriniz ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu yanında 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 21.06.2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik ve ilgili diğer mevzuatta yer alan hukuki yükümlülüklerimizi yerine getirmek amacıyla açık rızanız aranmaksızın yukarıda sayılan gerçek veya tüzel kişilere aktarılabilecektir. Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık kayıtları da bu kapsamdadır.
Bunun dışındaki her hal ve durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Söz konusu kişisel veriler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde ATA OTOMOTİV’in VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.
Ziyaretçi verileri:
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
ATA OTOMOTİV tarafından gerek işyeri, çalışan, müşteri güvenliğinin sağlanması amacıyla ve gerekse kamu düzeni açısından güvenliğe yönelik öngörülerle işbu metinde belirtilen amaçlarla, ayrıca açık rıza alınmasına gerek olmaksızın ATA OTOMOTİV plaza ve binalarında, tesislerinde güvenlik kameralarıyla izleme ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Kamera kaydı alındığına ilişkin görsel uyarılar uygun ebatlarda, yeteri kadar sayıda ve görünecek yerlerde asılmalıdır.
Söz konusu kişisel veriler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde ATA OTOMOTİV’in VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.
KİŞİSEL VERİ İŞLEME AMAÇLARI
Kanunun 8’inci ve 9’uncu maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmesi koşuluyla ATA OTOMOTİV tarafından kişisel veri aktarımı gerçekleştirilebilir. Bu kapsamda kişisel verilerin üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişimine açılması söz konusu olabilir. Toplanan kişisel verileriniz; Kanun ve diğer ilgili mevzuat kapsamında yer alan temel ilkelere uygun olarak ve Kanunun 8’inci ve 9’uncu maddelerinde belirtilen kişisel veri işleme şartları ve amaçlarına uygun olacak şekilde ATA OTOMOTİV tarafından aşağıda yer verilen amaçlarla iş ortaklarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına ve diğer* (EFE Koleji – Hünkar Sigorta – satbize.com) gibi gerçek yada tüzel kişilere ve uygulamalara aktarılabilmektedir.
Amacı doğrultusunda işlenmesi halinde veriler aşağıdaki durumlarda aktarılabilir:
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan birinin ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemlerle gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir:
Buna göre:
gibi amaçlarından biri yada bir kaçı kapsamında işlenen kişisel verilerin aktarımı söz konusu olabilecektir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunun 8’inci maddesine göre ilgili kişinin açık rızası olmaksızın aktarılamaz.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kanun’un 9’uncu maddesine göre; Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu hükümlere göre Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (gerçek ve/veya tüzel üçüncü kişilere, resmi ve özel kurum/kuruluşlara) Kanun’un 8’inci maddesinde öngörülen düzenlemelere uygun olarak yurt dışına aktarabilir.
Kanunun 7’nci maddesine göre:
(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Söz konusu, “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK” 28 Ekim 2017 tarihli Resmî Gazetede yayımlanmış ve 01/01/2018 tarihinden itibaren yürürlüğe girmiştir.
VERİ SORUMLUSU
ATA OTOMOTİV TİCARET A.Ş. Veri Sorumlusu sıfatıyla “Mevlana Bulvarı (Konya Yolu) No:148 Çukurambar/ANKARA” adresinde HYUNDAI marka araçların satış ve servis yetkili bayii olarak faaliyet göstermektedir. Şirketimiz 151562 sicil numarası ile Ankara Ticaret Sicili Müdürlüğü’ne ve 0920126579 vergi numarası ile BAŞKENT Vergi Dairesi’ne kayıtlı olup, MERSİS Numarası: 00 92 0126579 000 12’dir. Web adresimiz: www.ataotomotiv.com.tr dir.
Şirketimiz, ayrıca aynı ticaret unvanı ile “Mevlana Bulvarı (Konya Yolu) No:108 Çukurambar/ANKARA” şube adresinde CİTROEN-SUBARU marka araçların satış ve servis yetkili bayii, INFINITI marka araçların yetkili servisi olarak ve yine aynı ticaret unvanı ile “Mevlana Bulvarı (Konya Yolu) No:148 Çukurambar/ANKARA” şube adresinde ATAKÖŞK OTEL olarak faaliyet göstermektedir. Ayrıca, www.satbize.com uygulaması da şirketimiz hizmetidir. Dolayısıyla, işbu aydınlatma metni söz konusu şube adreslerindeki faaliyetler ve verilen hizmetler için de geçerli olup, www.atacitroen.com – www.atasubaru.com www.atakosk.com.tr ve ayrıca yine şirketimiz hizmeti olarak www.satbize.com web adreslerinden de aynı bilgilendirmelere ulaşılabilecektir.
ATA OTOMOTİV, halen güncel hükümleri içermekte olan işbu aydınlatma metni hükümlerini yasal mevzuata uygun olacak şekilde dilediği zaman internet sayfası üzerinden yayımlamak suretiyle güncelleyebilir ve değiştirebilir. Yapılan güncelleme ve değişiklikler yayınlandığı tarihten itibaren geçerli olacaktır.
Avrupa Birliği vatandaşı ve diğer yabancı ülke vatandaşı müşterilerimiz için bilgilendirme ve aydınlatma, talebi halinde metnin İngilizce tercümesi veya tercüman yardımıyla yapılabilecektir.
KVKK 11’inci maddesine göre (gerçek kişi olmak kaydıyla) herkes veri sahibi/ilgili kişi sıfatıyla herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
BAŞVURU VE ŞİKÂYET HAKKI
Veri sorumlusuna başvuru:
Kanunun 13’üncü maddesine göre İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri, yukarıda (Kişisel Veri Sahibinin Hakları) başlığı altında sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerden tercih edeceği şekilde Şirketimize iletebilecektir. Bu doğrultuda www.ataotomotiv.com.tr/KVK-Basvuru-Formu.pdf adresinden ulaşılabilecek “ATA OTOMOTİV_Veri Sahibi Başvuru Formu”ndan yararlanılabilecektir.
Kurula şikâyet:
Kanunun 14’üncü maddesine göre Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde;
Şikâyet üzerine veya resen incelemenin usul ve esasları:
Kanunun 15’inci maddesine göre Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.
Kanunun 12’nci maddesine göre Veri Sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Buna göre;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak alınan idari tedbirler şu şekildedir:
*İnsan faktörünün olduğu her işte veri güvenliğinde en temel tedbirin empati yapmak olacağı bilinci çalışanlara aşılanmaktadır.
*Çalışanların teknik bilgi/becerilerinin geliştirilmesi sağlanmaktadır.
*Kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve yürürlükteki ilgili mevzuat hakkında eğitimler verilmektedir.
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak alınan teknik tedbirler şu şekildedir:
Bunların yanında Kurul’un yayınladığı tavsiye kararları da göz önünde bulundurularak teknik ve maddi imkanlar elverdiği ölçüde:
Çift kademeli kimlik doğrulama (two-factor authentication) sistemi kurulması,
çalışmaları da devam etmektedir.
Böyle bir durumun söz konusu olması halinde yukarıda belirtilen idari ve teknik tedbirlerin kendi adına kişisel veri işleyecek gerçek veya tüzel kişi tarafından da aynı şekilde alınmasını sağlayacak hukuki düzenlemeler imza altına alınacak, takibi, denetlemesi ve güncellenmesi sağlanacaktır.
Bu zorunluluk kapsamında rutin ve rastgele denetim faaliyetleri yürütülmekte olup, öncelikle Veri Sorumlusu İrtibat Kişisi ve Bilgi İşlem Sorumlusu yetki ve kontrolünde iç denetim birimleri oluşturulmuştur. Denetim birimlerinin belli periyotlarda şirket yönetimine raporlama yapmaları sağlanmıştır. Gerekli olması, gerekli görülmesi halinde bağımsız denetim kuruluşlarından da hizmet alınması öngörülmektedir.
Kanunun bu emredici hükmünün yerine getirilmesine yönelik bilgilendirme ilgili kişiler nezdinde yapılmış, gereken hususlar hukuki düzenleme ile hüküm altına alınmıştır.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
Bu madde kapsamında herhangi bir veri ihlalinin tespiti halinde durum Kanunda belirlenen yöntemlere uygun olarak derhal ilgili kişiye ve Kurula bildirilecek, takibi sağlanacaktır.
VERİ SORUMLULARI SİCİLİ
Kanunun 16’ncı maddesine göre:
(1)Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2)Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3)Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:
a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Şirketimiz Kurulca belirlenen kriterler doğrultusunda Veri Sorumlusu sıfatına haiz olmakla, süresinde ve yukarıda belirtilen hususları içeren bir bildirimle Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmiştir.
VERİ KATEGORİSİ |
VERİ KONUSU KİŞİ GRUBU |
1.KimlikAd soyad, Anne – baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b |
|
2.İletişimAdres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b |
|
3.LokasyonBulunduğu yerin konum bilgileri v.b. |
|
4.ÖzlükBordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b. |
|
5.Hukuki İşlemAdli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b. |
|
6.Müşteri İşlemÇağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b. |
|
7.Fiziksel Mekan GüvenliğiÇalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b. |
|
8.İşlem GüvenliğiIP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b. |
|
9.Risk YönetimiTicari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b. |
|
10.FinansBilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b. |
|
11.Mesleki DeneyimDiploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b. |
|
12.PazarlamaAlışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b. |
|
13.Görsel ve İşitsel KayıtlarGörsel ve İşitsel kayıtlar v.b. |
|
21.Sağlık BilgileriEngellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b. |
|
23.Ceza Mahkumiyeti ve Güvenlik TedbirleriCeza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b. |
|
26.DiğerPlaka, trafik sigortası poliçe bilgileri v.b. |
|
b) Kişisel verilerin hangi amaçla işleneceği.
İşbu metnin KİŞİSEL VERİLERİN İŞLENMESİ başlığı altında ayrıntılı olarak açıklanmıştır.
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Veri Sorumlusunun sakladığı verileri aktarım yapabileceği alıcı ve/veya alıcı grupları aşağıda listelenmiştir.
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Veri Sorumlusu olarak halen sadece üretici firmaya aktarımı olmak kaydıyla distribütör ile paylaşılması zorunlu olan veri nedeniyle kişisel verinin yabancı ülkeye aktarımı öngörülmektedir.
e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
İşbu metnin VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER başlığı altında ayrıntılı olarak açıklanmıştır.
f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Söz konusu kişisel verilerin işlendikleri amaç için gerekli olan azami süre, yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde ATA OTOMOTİV’in VERBİS kaydında öngörülen 10 yıldır.
(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.
Yönetmeliğin 5’inci maddesine göre:
(1) Kanunun 16’ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.
Kişisel veri saklama ve imha politikasının kapsamı:
Yönetmeliğin 6’ncı maddesine göre:
Kişisel veri saklama ve imha politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
Buna göre:
Kişisel veriler, veri sorumlusu tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik olmayan ortamlar:
Elektronik ortamlar:
Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları şöyledir:
a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
g) Kurul: Kişisel Verileri Koruma Kurulunu,
ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder. Burada yer almayan tanımlar ve kavramlar için Kanundaki tanımlar geçerlidir.
Veri sorumlusu tarafından; çalışanlar, çalışan adayları, müşteriler, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.
Saklamayı gerektiren hukuki sebepler:
Saklamayı Gerektiren İşleme Amaçları:
ATA OTOMOTİV, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır.
İmhayı Gerektiren Sebepler:
Kişisel veriler:
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
durumlarında,
Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde ATA OTOMOTİV tarafından teknik ve idari tedbirler alınır, takip edilir, gerekiyorsa değiştirilir.
Teknik Tedbirler:
Öncelikle insan kaynağına yatırım hedeflenmekte ve buna göre yetkin, tecrübeli ve kadrolu Bilgi-İşlem uzmanı istihdam edilmektedir.
İdari Tedbirler:
KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Veri Sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel Verilerin Silinmesi:
Kişisel veriler Veri Sorumlusu tarafından/gözetiminde aşağıdaki tabloda belirtilen yöntemlerle silinir.
VERİ KAYIT ORTAMI | AÇIKLAMA |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için bilgi-işlem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar/zamanında yetkili olsa dahi) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Bulut Hizmeti Alınıyorsa Bulut Ortamında Tutulan Kişisel Veriler | Yukarıda belirtilen Veri Kayıt Ortamlarında yer alan kişisel verilerden silinenlerin Bulut Hizmeti alınması ve Ortamda tutulması halinde Bulut Ortamında da yedekleme yapılmaksızın ve geri getirilme yetkisi olmaksızın silinmesi sağlanır. |
Kişisel Verilerin Yok Edilmesi:
Kişisel veriler Veri Sorumlusu tarafından/gözetiminde aşağıdaki tabloda belirtilen yöntemlerle yok edilir.
VERİ KAYIT ORTAMI | AÇIKLAMA |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Kişisel Verilerin Anonim Hale Getirilmesi:
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Bu kapsamda Veri Sorumlusu tarafından Bileşen Çıkarma/Ekleme – Değişken Çıkarma/Ekleme – Genelleştirme – Maskeleme – Veri Türetme gibi, bilinen ve/veya ileride geliştirilecek/ortaya çıkabilecek teknikler uygulanabilir.
Veri Sorumlusu İrtibat Kişisi: Aynı zamanda veri sorumlusu irtibat kişisi olup, tüm çalışanların ATA OTOMOTİV kişisel veri politikası kapsamında aldığı ve/veya ileride uygulamaya alabileceği tüm teknik ve idari tedbirlere uygun hareket etmesini teminden ve denetiminden sorumludur.
Bilgi-İşlem Hizmet Birimi: ATA OTOMOTİV kişisel veri politikası kapsamında uygulamada ihtiyaç duyulan teknik tedbirlerin alınmasından, tedbirlerin denetlenmesinden ve yeni çözümlerin sunulmasından sorumludur.
Çalışanlar: ATA OTOMOTİV kişisel veri politikası kapsamında Şirket bünyesindeki görev tanımlarına ve görevlerine uygun olarak işbu politikanın esaslarına uygun yürütülmesinden, eğitim ve denetim faaliyetlerine katılım göstermekle kişisel gelişimin ve kişisel verilerin korunmasına ilişkin farkındalığın arttırılmasından sorumludur. Böylece kişisel verilere hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi süreçlerinde de aktif olarak rol alırlar.
SAKLAMA VE İMHA SÜRELERİ
Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Sorumlusu tarafından güncellemeler yapılabilir. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Sorumlusu tarafından yerine getirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler Veri Sorumlusu tarafından kayıt altına alınır. Bu kayıtlar, ilgili hukuki yükümlülükler kapsamında belirtilen sürede saklanır.
Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri:
“Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmelı̇k” 12’nci maddesine göre:
İlgili kişi, Kanunun 13’üncü maddesine istinaden ATA OTOMOTİV’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa: veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa; bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Saklama ve imha sürelerini gösteren tablo:
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
Müşteri Kayıtları/Servis KayıtlarıÜretici/Distribütör Kayıtları | 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Otel Kayıtları | 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan/Diğer Mahkeme/İcra Kayıtları | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Muhasebe ve Vergi Kayıtları | 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmeler | Sözleşmenin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Kanunu Kapsamında Saklanan Çalışan Şahsi Sicil Dosyasına İlişkin Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Adayları Kayıtları | Başvuru Tarihinden İtibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Kanunu Kapsamında Saklanan Diğer Veriler | İş İlişkisinin sona ermesinden itibaren 5 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sosyal Güvenlik Mevzuatı kapsamında tutulan veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hizmet Sağlayıcılara İlişkin Kişisel Veriler | İş İlişkisinin sona ermesinden itibaren 10 Yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerine İlişkin Kayıtlar | Faaliyetin sona ermesini takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İç Yazışmalar/E-mail Yazışmaları | 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıt Takibine İlişkin Veriler | 10 YIL | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera Kayıtları | 1 AY | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
“Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmeliğin” 11’inci maddesi gereğince ATA OTOMOTİV, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, ATA OTOMOTİV’de her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Buna bağlı olarak kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.
Politika’nın Yayınlanması ve Saklanması:
Bu doküman, ıslak imza içermesinin gerektiği hallerde basılı kâğıtta, aksi Şirket yönetimi tarafından kararlaştırılmadığı sürece Veri Sorumlusu irtibat kişisi imza yetkilisi olacak şekilde ıslak imzalı ve Veri Sorumlusunun internet sayfasında olmak üzere iki farklı ortamda yayımlanır. İlgili kişiler için internet sayfasından ulaşabilecek şekilde kamuya açıklanır. Islak imzalı ve güncel hali işyerinde Veri Sorumlusu irtibat kişisi tarafından tutulması zorunlu KVKK dosyasında saklanır.
Politika’nın Güncellenmesi
Politika, Yasal ve teknik gereklilikler kapsamında ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. 21.03.2022 tarihli revizyon ile bu versiyonu metnin güncel halidir.
Veri Sorumlusu
ATA OTOMOTİV TİCARET A.Ş.