Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası

Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası

TARKAN ARAÇ FİLO KİRALAMA OTOMOTİV SANAYİ VE TİCARET A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHA POLİTİKASI

1. KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHA POLİTİKASININ AMACI KAPSAMI VE YÜRÜRLÜĞÜNE İLİŞKİN HUSUSLAR

 

1. 1. GİRİŞ

Kişisel verilerin korunması Tarkan Araç Filo Kiralama Otomotiv Sanayi ve Ticaret A.Ş. (“Şirketimiz”) için büyük hassasiyet arz etmekte olup şirketimizin öncelikleri arasındadır. Bu konunun en önemli kısmı ise işbu Politika ile yönetilen Çalışanlarımızın, Çalışmak için başvuran adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin ve Üçüncü Kişilerin kişisel verilerinin korunması oluşturmaktadır. Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin ne amaçla işlendiği, Şirketimizce nasıl korunduğu ve yasadan kaynaklı haklarınıza ilişkin detaylı açıklamalarda bulunulacaktır.

1.2. POLİTİKA’NIN AMACI

Bu Politikanın temel amacı, Şirketimiz tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamına uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak ve bu kapsamda kişileri bilgilendirerek şeffaflığı ve denetlenebilirliği sağlamaktır.

1.3. KAPSAMI

Bu Politika; Çalışanlarımız, Çalışmak için başvuran adaylarımızın, eski çalışanlarımız, Şirket Hissedarları, Şirket Yetkilileri, Ziyaretçilerimiz, ürün veya hizmet alan kişi/kişiler ve Üçüncü Kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

1.4. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel veriler 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenmekte ve korunmaktadır. Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirketimiz uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Şirketimiz, KVK Kanunu’nda öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.

Politika Şirketimizin internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

1. KİŞİSEL VERİLERİN ŞİRKETİMİZİN TARAFINDAN İŞLENME AMAÇLARI

Şirketimiz KVK Kanunu’nun 5. maddesinin 2. fıkrasında  belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. 

Şirketimiz, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:

 Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası

 Etkinlik yönetimi

 İş ortakları, müşteriler veya tedarikçilerle olan ilişkilerin yönetimi

 Şirketimiz personel temin süreçlerinin yürütülmesi (Çalışmak için başvuran adayların kişisel verilerinin işlenmesine ilişkin olarak )

 Şirketimiz finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi

 Şirketimiz hukuk işlerinin icrası/takibi

 Kurumsal iletişim faaliyetlerinin planlanması ve icrası

 Kurumsal yönetim faaliyetlerinin icrası

 Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi

 Talep ve şikayet yönetimi

 Yatırımcı ilişkilerinin yönetilmesi

 Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi

• Ziyaretçi kayıtlarının oluşturulması ve takibi

• Araç kiralama, yeni ve 2. El araç alım-satım sözleşmelerinin yapılması ve Müşteri/ aday müşteri tanımlaması,

• Kefil işlemleri,

• Talep/şikayet süreçleri yönetimi,

• Çek sorgulamalaeı ve müşteriye ödeme hatırlatmaları yapılması,

• Çağrı merkezi hizmeti verilmesi,

• Yedek araç/muadil araç temini,

• Lastik değiştirme, servis bakım ve çekici hizmetinin verilmesi,

• Kazalarla ilişkili bilgiler,

• Araç teslim işlemleri,

• Ziyaretçilerin ve müşterilein internete bağlanması,

• Müşteri ses kayıtlarının alınması,

• Bakım, onarım, hasar takibi, sigorta işlemleri, yol yardım vb. fakat bunlarla sınırlı olmamak kaydı ile satış sonrası hizmetlerin yerine getirilmesi,

• Vergi borcu işlemleri,

• Araç iade işlemleri,

• Teklif verilmesi ve hizmet karşılığı fatura tanzimi

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirketimiz

tarafından açık rızanız temin edilmektedir.

1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Şirketimiz, 6698 sayılı Kişisel Verilerin Korunması Kanunu 12. Maddesinde işaret edildiği üzere, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.

Şirketimizin istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, müşteri hizmetleri, tüketici hakları ve diğer imkânlardan istifade edilebilmesi ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, Şirketimizin güvenliğinin sağlanması veya Şirketimizin meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler ilgili sistemlere işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm veriler Şirket’in merkezinde bulunan serverına kaydedilmektedir.

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

1. 1. YASA KAPSAMINDA KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için çeşitli teknik ve idari tedbirler almaktadır. Bu kapsamda öncelikle;

• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir. Gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.

• Şirketimizin iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVK Kanunu’nun aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.

• Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketimizin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.

• Şirketimiz bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir. Teknik konularda bilgili personel istihdam edilmektedir.

• Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.

3.2. YASA KAPSAMINDA KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlara göre teknik ve idari tedbirler almaktadır.

• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.

• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.

• Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik

çözüm üretilmektedir.

• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

• Teknik konularda bilgili personel istihdam edilmektedir.

• Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.

• Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

• Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

3.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması

Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirleri almaktadır. Bu amaçla;

• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmakta olup sistemler prosedürlere göre yenileme ve güçlendirme çalışmaları devam etmektedir. Antivirüs ve FireWall koruma protokolleri işletilmektedir.

• Teknik konularda uzman personel istihdam edilmektedir.

• Saklanma alanlarına yönelik teknik güvenlik sistemleri ve alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

 

4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

4.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

• Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.

• Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

• Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

• Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

4.2. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirketimiz, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.

4.3 KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:

• Kişisel veri sahibinin açık rızası var ise,

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,

• Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,

• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

5.1. KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde KVK Kanunu’nun 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

• Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

• Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.

• Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

• Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin

Taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

• Şirketimizin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimiz veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

• Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

• Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir.

• Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri verileri işlenebilecektir.

1. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME

Şirketimiz tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.

Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirketimiz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.

6.1. TARKAN OTOMOTİV BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ

Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Şirketimiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirketimiz, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

6.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı

Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

6.1.2. Kamera ile İzleme Faaliyetinin Duyurulması

Şirketimiz tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Şirketimiz, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır.

Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır. Şirketimiz tarafından kamera ile izleme faaliyetine yönelik olarak; Şirketimiz internet sitesinde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır.

6.1.3. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık

Şirketimiz, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

Şirketimiz tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politikada sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

Tarkan Otomotiv, bu madde kapsamında kişisel verileri aşağıdaki amaçlar doğrultusunda işlemektedir. Bu amaçlar;

• Şirket içi güvenliğin sağlanması, bina ve tesislerin yapılan girişlerin kontrol edilebilmesi,

• Verimliliğinin arttırılması,

• Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki, ticari, teknik güvenliğinin sağlanması,

• İş ilişkisinin ispatlanması, iş sağlığı ve güvenliği esaslarının uygulanabilmesi, kanunlardan doğan yükümlülüklerin yerine getirilmesi, çalışma koşullarının belirlenmesi ‘dir. 

6.1.4. Elde Edilen Verilerin Güvenliğinin Sağlanması

Şirketimiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

6.1.5. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi

Şirketimizin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politikanın Kişisel Verilerin Saklanma Süreleri isimli 7. maddesinde yer verilmiştir.

6.1.6. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda şirketimiz çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

6.2. TARKAN OTOMOTİV BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ

Şirketimiz tarafından; güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirketimiz binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirketimiz nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

1. KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİNE İLİŞKİN HUHUSLAR

7.1 KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRESİ

Şirketimiz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirketimizin o veriyi işlerken yürütülen faaliyet ile bağlı çeşitli amaçlarla işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Şirket tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinden ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

7.2 KİŞİSEL VERİLERİN SİLİNMESİ VE YOK EDİLMESİ TEKNİKLERİ

Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

• Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

• Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

• Uzman Tarafından Güvenli Olarak Silme

Şirketimiz bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

1. 1. KİŞİSEL VERİLERİ ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Şirketimiz tarafından;

• Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

• Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle İlişkilendirilemeyecek hale getirilmektedir.

• Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

1. ŞİRKETİMİZ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.

Şirketimiz KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak aşağıda sıralanan kişilere belirtilen amaçlarla veri aktarılabilir:

• Şirketimiz tedarikçilerine ve iş ortaklarına; Şirketimiz ticari faaliyetlerini yürütürken sözleşme temelli olarak Şirketimize hizmet sunan taraflar tedarikçi olarak tanımlamaktadır. Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin tarafımıza sunulmasını sağlamak amacıyla sınırlı olarak veri aktarımı yapılabilmektedir.

• Şirketimiz hissedarlarına; İlgili mevzuat hükümlerine göre Tarkan Otomotiv’in şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak veri aktarımı yapılabilmektedir.

• Şirketimiz yetkililerine ve finans birimlerine; İlgili mevzuat hükümlerine göre Tarkan Otomotiv’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak veri aktarımı yapılabilmektedir.

• Yurt içi ve yurt dışı bulut hizmeti sağlayıcıları; ilgili mevzuat hükümlerine göre bu hizmeti veren kişi/kuruluşlara yürütülen faaliyetlerin amaçlarıyla sınırlı olarak veri aktarımı yapılabilmektedir.

• Tarkan Otomotiv bayileri, sigorta şirketleri, bankalar/finansman yetkililerine; Tarkan Otomotiv araç kiralama ve araç alım-satım işleri ilgili olarak İlgili mevzuat hükümlerine göre yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak kredi işlemleri, tahsilat, uygunluk vb. sebeplerle veri aktarımı yapılabilmektedir.

• Araç kiralama süresi boyunca veya araç satış sonrası hizmetlerin gerçekleştirilmesi için servisler ve anlaşmalı kurumlar, yol yardım hizmeti veren kuruluşlar; İlgili mevzuat hükümlerine göre Tarkan Otomotiv’in bu faaliyetlerine ilişkin yükümlülüklerini sürdürmek veya müşteri taleplerini karşılamak amacıyla sınırlı olarak veri aktarımı yapılabilmektedir.

• Hukuken Yetkili kamu kurum ve kuruluşlarına; İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak veri aktarımı yapılabilmektedir.

1. KİŞİSEL VERİ SAHİBİNİN HAKLARI

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

• Kişisel veri işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

9.1. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda yukarıda sayılan haklarını ileri süremezler:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. madde, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. madde ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddeleri aşağıdaki hâllerde uygulanmaz:

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

9.2. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

Yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespit edici gerekli bilgiler ile KVK Kanunu’nun 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi info@tarkanotomotiv.com mail adresimize veya Kayışdağı Mah.Kayışdağı Cad.No:167/C ATAŞEHİR / İSTANBUL adresine kimliğinizi tespit edici belgeler ile bizzat elden iletebilir, noter kanalıyla veya KVK Kanunu’nda belirtilen diğer yöntemler ile iletebilirsiniz.

9.3. KİŞİSEL VERİ SAHİBİNİN KVK KURULU’NA ŞİKÂYETTE BULUNMA HAKKI

Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

9.4 ŞİRKETİMİZİN BAŞVURULARA CEVAP VERME USULÜ VE SÜRESİ

Kişisel veri sahibinin, usule uygun olarak talebini şirketimize iletmesi durumunda Şirketimiz talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirketimiz tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

9.6 ŞİRKETİMİZ’İN BAŞVURUDA BULUNAN KİŞİSEL VERİ SAHİBİNDEN TALEP EDEBİLECEĞİ BİLGİLER

Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

9.7 ŞİRKETİMİZ’İN KİŞİSEL VERİ SAHİBİNİN BAŞVURUSUNU REDDETME HAKKI

Şirketimiz aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

(1) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

(2) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(5) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

(6) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

(7) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

(8) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

(9) Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması

(10) Talep edilen bilginin kamuya açık bir bilgi olması.

1. POLİTİKANIN YÜRÜRLÜĞE SOKULMASIİ İHLALİ DURUMLARI VE YAPTIRIMLAR

• İşbu Politika Şirketimiz tarafından 30.06.2020 tarihinde düzenlenmiş olup tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.

• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.

• Politikaya aykırı davranan çalışan hakkında, Muhasebe tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

EK-1 Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo

Kişisel veriler politika'nın 7.1. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir :

Süreç	Saklama Süresi	İmha Süresi
İş Kanunu kapsamında saklanılan veriler (örn.maaş bordrosu, tazminat, fazla mesai, performans kayıtları vs.)	İş ilişkisinin sona ermesine müteakip 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.)	İş ilişkisinin sona ermesine müteakip 15 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
SGK mevzuatı kapsamında tutulan veriler	İş ilişkisinin sona ermesine müteakip 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dökümanlar	İş ilişkisinin sona ermesine müteakip 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Sair ilgili mevzuat gereği toplanan veriler	İlgili mevzuatta öngörülen süre kadar	Saklama süresinin bitimini takiben 180 gün içerisinde
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması	Dava zaman aşımı müddetince	Saklama süresinin bitimini takiben 180 gün içerisinde
Müşteri verileri	Kayıt altına alınmasına müteakip 10 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Güvenlik görevlisi tarafından alınan ziyaret verileri kaydı	Veri kaydından itibaren 1 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Çalışan adaylarından alınan kişisel veriler	Veri kaydından itibaren 1 yıl	Saklama süresinin bitimini takiben 180 gün içerisinde
Kamera kayıtları	Veri kaydından itibaren 15 gün	Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.