APEAS GRUP
(APEAS MÜH. İNŞ. TAAH. VE DIŞ TİC. A.Ş. - ALTINEL TASARİM SAN. TİC. LTD .ŞTİ.)
ÇALIŞAN ADAYI VE ÇALIŞANLAR KİŞİSEL VERİLERİN İŞLENMESİ VE İMHA POLİTİKASI

Doküman İsmi: APEAS GRUP Kişisel Verilerin Korunması, İşlenmesi ve İmha Politikası ( ÇALIŞAN ve ÇALIŞAN ADAYI )
Hazırlayan: APEAS GRUP Kişisel Verilerin Korunması Komitesi
Feyyaz DUMAN / Murat EVİREN / Didem ÖZKAN / Ersin ÖZEN / İsmail SARIKAYA
Onaylayan: Murat CANLI
Versiyon: 1.0
Yürürlük Tarihi: 15-08-2020
  1. BÖLÜM – GİRİŞ
    1. Giriş
    2. Amaç
    3. Kapsam
    4. Politika’ nın ve İlgili Mevzuatın Uygulanması
    5. Tanımlar
  2. ÇALIŞAN ADAYLARI VE ÇALIŞANLARIN KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
    1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
    2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
    3. Belirli, Açık ve Meşru Amaçlarla İşleme
    4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
    5. Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
  3. BÖLÜM 3 – İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI
    1. İş İlanı Verme ve Başvuru Süreci Yöntemi
    2. Özel Nitelikli Kişisel Verilerin İşlenmesi
    3. Mülakat Süreci
    4. Adayların Kişisel Verilerinin Saklanması ve Güvenliği
    5. İşe Alım Sürecine ilişkin Kişisel Verilerin Saklanma Süresi
    6. İşe Alım sürecinin Sonlandırılması Süreci
  4. BÖLÜM-ÇALIŞAN VERİLERİNİN İŞLENMESİ
    1. Çalışanların Kişisel Verilerinin İşlenme Şartları
    2. Çalışanların Özel Nitelikli Kişisel Verilerinin İşlenmesi
    3. Çalışanların Sağlık Verilerinin İşlenmesi
  5. BÖLÜM –ÇALIŞAN VERİLERİNİN İŞLENME AMAÇLARI
    1. Çalışanların Kişisel Verilerinin İşlendiği Özel Durumlar
    2. Çalışanların İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine İlişkin Kişisel Verilerin İşlenmesi
      1. Elektronik Haberleşme Araçlarının Kullanımına İlişkin Politika Belirlenmesi
      2. Kurumsal Elektronik Posta Kullanımına İlişkin Kişisel Verilerinin
      3. İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi
      4. Elektronik Haberleşme İşlemlerine İlişkin İşlenen Kişisel Verilerin Saklama Süresi
    3. İş Yerinde Güvenlik Kamerası Uygulaması
    4. Şirket Tarafından Sağlanan Araçların Takibi
  6. BÖLÜM – ÇALIŞANLARIN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI
    1. Çalışanların Kanuni Hakları
    2. Çalışanların Kanuni Haklarını Kullanmalarına ilişkin Esaslar
  7. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI
    1. Kişisel Veri Paylaşımına İlişkin Genel Kurallar
    2. Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma
    3. Kişisel Verilerin Yayınlanması
  8. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ
  9. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI
  10. BÖLÜM – KİŞİSEL VERİLERİN GÜVENLİĞİ
  11. BÖLÜM – ÇALIŞANLARIN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ
    1. Kişisel Veri İşleyen Çalışanlara Dair Yapılacak Düzenlemelerin Belirlenmesi
    2. Kişisel Veri İşleyen Çalışanların Elde Edilen Kişisel Verileri Başka Amaçlarla Kullanılması Konusunda Bilgilendirilmesi
    3. Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Bilgilere Karşı Çalışanlara Savunma Hakkı Verilmesi
  12. BÖLÜM –ORTAMLAR VE GÜVENLİK TEDBİRLERİ
    1. Kişisel Verilerin Saklanma Ortamları
    2. Ortamların Güvenliğinin Sağlanması
    3. Teknik Tedbirler
    4. İdari Tedbirler
    5. Şirket İçi Denetim
  13. VERİ SİCİLİNE KAYDOLUNMASI
  14. KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME
    1. Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri
    2. Kişisel Verileri Anonim Hale Getirme Teknikleri
  15. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ
  16. KİŞİSEL VERİLERİN PERİYODİK İMHA SÜRESİ
  17. KİŞİSEL VERİ KATEGORİZASYONU
  18. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
  19. POLİTİKA’NIN GÜNCELLENME PERİYODU
  20. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
  21. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ VE YÜKÜMLÜLÜKLER
    1. Komitenin görevleri
  22. EK 1 KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI
 
1. BÖLÜM – GİRİŞ

1.1 Giriş

Kişisel verilerin korunması APEAS Grup’un en önemli öncelikleri arasında olup, Şirketimiz bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayreti göstermektedir. Bu konunun en önemli ayağını ise APEAS GRUP Kişisel Verilerin Korunması, İşlenmesi ve İmha Politikası (“Politika”) oluşturmaktadır.Anayasa’nın 20’nci maddesi hükmüne göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.Bir Anayasal hak olan kişisel verilerin korunması konusunda, APEAS Kişisel Veri Komitesi işbu Politika ile yönetilen; çalışanların, çalışan adaylarının, APEAS emeklilerinin, APEAS eski çalışanlarının, kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.

1.2 Amaç

İşbu Politika’ da APEAS çalışanlarının ve çalışan adaylarının kişisel verileri işlenirken APEAS GRUP’un hangi kurallara uyması gerektiği düzenlenmektedir. Dolayısıyla işbu Politika’ nın amacı, kişisel verilerin hukuka uygun şekilde işlenmesinin sağlanmasıdır.

1.3 Kapsam İlgili Mevzuat Açısından

Anayasa’nın 20. maddesinde düzenlenmiş olan “Özel Hayatın Gizliliği ve Korunması” düzenlemesi ve bu düzenleme de esas alınarak kanunlaştırılan KVKK ile ikincil mevzuat esas alınarak Politika’nın kapsamı belirlenmiştir. Uygulanacak Kişiler Açısından Politika; APEAS çalışanları ve çalışan adaylarının APEAS tarafından tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.Şirketin kişisel verilerinin işlenmesinden sorumlu birimleri, işbu Politika ’nın icra edilmesinde en önemli rolü üstleneceklerdir. Sorumlu birimler bu Politika’ nın icrası kapsamında şirketimizin kendi içinde oluşturduğu Kişisel Verilerin Korunması Komitesi’nden (“KVK Komitesi”) veya bu konuda görevlendirdikleri sorumlu kişi veya kişilerden destek alacaklardır.

1.4 Politika’ nın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

1.5 Tanımlar

Alıcı Grubu:Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza:Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan APEAS GRUP çalışanları
İlgili kişi:Kişisel verisi işlenen gerçek kişiyi,
İmha:Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun:07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Yönetmelik:28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini
Kurum Kişisel Verileri Koruma Kurumunu
Kurul:Kişisel Verileri Koruma Kurulunu
Kayıt ortamı:Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri:Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri
Kişisel Verilerin İşlenmesi ve Korunması Politikası:“www.apeas.net adresinden ulaşılabilecek, APEAS GRUP elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı,
Veri kayıt sistemi:Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri işleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi
Sicil Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini;
Politika Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
İfade eder. Bu Politika’ da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.
 
2. ÇALIŞAN ADAYLARI VE ÇALIŞANLARIN KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

2.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.

2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Çalışan Adayları’ nın meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Şirket bünyesinde oluşturulur.

2.3 Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler açık ve kesin veri işleme amaçlarına dayalı olarak işlenmektedir. Kişisel veriler sadece bu amaçlar için gerekli olduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulur.

2.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

2.5 Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirket kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Şirketimizin bu yönde uyguladığı politika esaslarına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 
3. BÖLÜM – İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI

3.1 İş İlanı Verme ve Başvuru Süreci Yöntemi

Şirket, açık pozisyonlar için işe alım sürecini iş ilanıyla (internet sitesi, gazete ilanı, istihdam veya danışmanlık şirketleri aracılığıyla veya benzeri yöntemlerle) başlatabilir veya kendilerine iletilen özgeçmişleri değerlendirebilirler.  Şirket adayların kişisel verilerini hukuka uygun bir şekilde işlemeye ve bilgilendirme yükümlülüklerini yerine getirmeye özen gösterir. Bu kapsamda her bir iş ilanında veya başvuru formunda Şirketin unvanı ve iletişim bilgileri açıkça belirtilir.

Şirket, istihdam veya danışmanlık şirketi aracılığıyla işe alım sürecini başlatmışsa, istihdam veya danışmanlık şirketi tarafından toplanan kişisel verilerin nasıl kullanılacağının ve paylaşacağının belirtilmiş olmasını sağlamaya yönelik önlemleri alır.

Şirket, kişisel veri sahibini bilgilendirme yükümlülüğünün yerine getirebilmesi için toplanan kişisel verilerin hangi amaçla toplandığı hususunda adayları bilgilendirir. Toplanan kişisel verilerin, aday tarafından başvurulan pozisyon dışında, başka bir pozisyon veya amaç için kullanılması veya paylaşılması öngörülüyorsa, bu kullanım ve paylaşım amaçları açıkça belirtilir.

İşe alım sürecinde kişisel verilerin toplanması için yöneltilen sorular ile kişisel veri toplamak amacıyla hazırlanan formlar her açık pozisyon türüne göre değerlendirilir ve gereksiz kişisel veri toplanmasının önüne geçecek önlemler alınır (örneğin; adayların adı, soyadı, adresi, doğum tarihi, e-posta adresi, iş deneyimi ve eğitimi hakkında sorular sorulabilir).

Adayın başvurduğu işin niteliğine göre daha kapsamlı kişisel veri işlenmesi gerekli olabilir.  Ancak, söz konusu kişisel veriler işin niteliğine uygun olmalıdır. İşin niteliği gereği talep edilen kişisel veriler sadece ilgili pozisyon için geçerli olmalıdır.

3.2 Özel Nitelikli Kişisel Verilerin İşlenmesi

Çalışan adayların ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı ve ceza mahkumiyeti ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Şirket tarafından, kanuni zorunluluk veya işin niteliği gereği olanlar hariç, işe alım kararı vermek amacıyla özel nitelikli kişisel veriler baz alınarak ayrımcılık yapılamaz veya bu amaçlarla işe alım sürecinde özel nitelikli kişisel veriler işlenemez.

İşin niteliği veya kanuni zorunluluk nedeniyle özel nitelikli kişisel verilerin işlenmesi gerekiyorsa, ancak bu kapsama uygun düşen özel nitelikli kişisel veriler, mümkün olduğunca sınırlı olarak işlenebilir. Böyle bir durumda, işlenecek özel nitelikli kişisel verileri talep etme nedeni ve kullanım amacı hakkında başvuru formuyla veya ayrı bir açıklayıcı not ile aday bilgilendirilir. Talep edilmesi gereken özel nitelikli kişisel veriler, adaydan ilerleyen aşamalarda toplanabilir nitelikte ise, bu veriler işe alım sürecinin ilk aşamasında istenemez.

3.3 Mülakat Süreci

Şirket; adaylar ile video konferans, telefon gibi araçlarla veya yüz yüze mülakat gerçekleştirebilirler.  Şirket mülakatı gerçekleştiren çalışanlarını, mülakat sırasında toplanan kişisel verilerin nasıl kayıt altına alınacağı ve muhafaza edileceği hakkında bilgilendirir. Görüşmeyi yapan ilgili kişilerin mülakat sırasında kayıt altına aldıkları kişisel veriler hakkında, ilgili aday, kişisel verilerine ilişkin kanuni haklarını kullanmayı talep ederse; bu talep Şirket tarafından en geç 30 gün içerisinde cevaplandırılır. Şirket, görüşmeyi gerçekleştirecek olan çalışanlarını bu konu hakkında bilgilendirir ve aday tarafından ileri sürülebilecek kanuni hak kullanım taleplerinin kullanılması için gerekli önlemleri alır.

3.4 Adayların Kişisel Verilerinin Saklanması ve Güvenliği

İşe alım sürecinde Şirket, çalışanların kişisel verilerinin korunmasına ilişkin gösterdiği özeni aynı şekilde işe başvuran adaylara da gösterir. Bu kapsamda özellikle aşağıdaki önlemler alınır:

      • Başvurular dijital ortamda iletiliyor ise, Topluluk Şirketlerimizin güvenli bir sistem kurması gerekir. Elektronik ortamda iletilen başvurular sadece işe alım sürecinden sorumlu olan kişiler tarafından erişilebilen dizin veya sistemlere kaydedilir.
      • Başvurular posta veya faks aracılığıyla iletiliyor ise, insan kaynaklarından sorumlu yetkili kişiye başvuruların iletilmesi sağlanır. Elde edilen fiziki belgelerin güvenliği sağlanır.

Şirket adayların kişisel verilerine erişimi, işe alım süreçlerini yürütmekle görevli olan kişilerle sınırlar. Söz konusu kişiler, adaylara ait kişisel verilerin işlenmesi ile alınacak güvenlik önlemleri hakkında düzenli aralıklarla bilgilendirilir.

3.5 İşe Alım Sürecine ilişkin Kişisel Verilerin Saklanma Süresi

Şirket işe alım sürecine ilişkin kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini engellemek adına her türlü teknik, idari ve hukuki tedbiri alır. Şirket işe alım sürecine ilişkin adayın kişisel verilerini, bu verilerin işlenme amaçlarına uygun olan bir süre boyunca saklar. İş hukuku ve diğer ilgili düzenlemelere uyumlu olarak, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, kişisel veriler, Şirket tarafından veya adayın talebi üzerine silinir, yok edilir veya anonim hale getirilir.

Geçerli bir sebep olmadığı takdirde (muhtemel uyuşmazlıkların çözümü gibi), Şirket ilgili kişisel verileri işe alım sürecinden dolayı doğabilecek taleplerin zamanaşımı süresi bitiminden sonra muhafaza etmez, ilgili zamanaşımı süresinin bitiminden itibaren adayın kişisel verileri anonimleştirilerek saklanmaya devam edilebilir.

İşe alım sürecinde adayın durumu hakkında araştırma yapılmış veya herhangi bir şekilde üçüncü kişilerden veri temin edilmiş ise, üçüncü kişilerden elde edilen bilgiler en kısa sürede silinir. Şirket araştırma yapılıp yapılmadığını, araştırmanın sonucunu ve adayın işe alınıp alınmadığını belirterek araştırmanın sonuçlarını saklayabilir.

3.6 İşe Alım sürecinin Sonlandırılması Süreci

Şirket, açık pozisyona kabul edilen başarılı adayların özlük dosyalarına, adaylık süreci boyunca elde edilen kişisel verilerden hangi verilerin aktarılacağını özenle belirler. İş ilişkisi ve özlük dosyasının kapsamı gereği gerekli olmayan kişisel veriler yeni çalışanın özlük dosyasına aktarılmaz. Şirket, başarıyla sonuçlanmayan başvuruları ileride açılabilecek pozisyonlar için değerlendirmek isterse, kayıtlarda adayların kişisel verilerini tutabilir. Bu amaçla kişisel veri tutulacaksa; iş başvuru formunda veya ek açıklayıcı belgelerde şirketin adayları bu konuda bilgilendirmeleri ve talep etmeleri durumunda bilgilerin kayıtlardan silinebileceğini belirtmesi gerekmektedir.

 
4. BÖLÜM-ÇALIŞAN VERİLERİNİN İŞLENMESİ

4.1 Çalışanların Kişisel Verilerinin İşlenme Şartları

Şirket, işlediği kişisel verileri değerlendirerek, KVK Kanunu’nda yer alan şartlardan en az birisine dayalı olarak bu verileri işlerler. Bu şartlar;

    1. Çalışanın açık rızasının olması,
    2. Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
    3. Fiili imkansızlık sebebiyle çalışanın açık rızasının alınamaması,
    4. Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
    5. APEAS ’ın hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
    6. Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
    7. Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
    8. Meşru menfaate dayalı olarak verilerin işlenmesidir.

Bu şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir.

Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır.

Şirket, kişisel verilerinin saklanması, kullanılması ve paylaşılmasına ilişkin olarak çalışanların bilgilendirilmesi konusunda, kendilerine özgü şartlara göre en faydalı yöntemi tespit eder ve uygular.

Şirket, çalışanlarını; kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir.

Çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi şirket tarafından denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır. Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir, yok edilir ya da anonimleştirilir.

Şirket, çalışanların kişisel verilerinin güncelliğini sağlamak adına da gerekli önlemleri alır. Bu kapsamda özellikle aşağıda hususlara dikkat edilir:

    • Çalışanların, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.
    • Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.
    • Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili çalışanın kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
    • Çalışanların değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
    • Çalışanların değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık çalışmaları ile ilgili insan kaynakları personeli tarafından aktif takip yapılır.

Yukarıda açıklanan yöntem haricinde şirket; kendine özgü koşullara göre çalışanların işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.

4.2 Çalışanların Özel Nitelikli Kişisel Verilerinin İşlenmesi

Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ilgili veriler ile biyometrik ve genetik verilerdir.

Şirket, sağlık verilerini, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebilir:

    • Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda öngörülen hallerde,
    • Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.

4.3 Çalışanların Sağlık Verilerinin İşlenmesi

Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta çalışanların kaza ve hastalık raporları olmak üzere çalışanların sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışanların sağlık verilerini işleyecek veya işlemeye yetkilendirecek şirket çalışanlarının ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır. Çalışanın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir.

Şirket, çalışanlara, sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.

Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate alınarak ve bu yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür.

Şirket, çalışanların sağlık verileri ile ilgilenen kişilerin yukarıdaki durumlar hakkında bilgilendirilmesini ve eğitilmesini düzenli aralıklarla sağlar. Çalışanların sağlık verileri diğer çalışanların erişimine açılmaz. Ancak hukuken Şirketi’nin meşru menfaatleri gereği bir işin ve bu işle ilgili olarak da bu verilerin işlenmesi zorunlu ise; bu işle görevli olan personelin işin gereğini yerine getirmekle sınırlı olmak kaydıyla bu kişisel verileri işlemeleri için gerekli idari ve teknik tedbirler alınarak kendilerine erişim hakkı sağlanır.

Yöneticilerin kendi yönetimsel rollerini yerine getirebilmeleri açısından zorunlu olarak bilmeleri gereken sağlık verileri, yöneticilere açıklanabilir.  Şirket yöneticileri, sağlık verilerinin hassasiyeti ve bu verilerin KVK Kanunu’ndaki işleme şartları konusunda, sağlık verileri kendileriyle paylaşılmadan önce bilgilendirir. Şirket, sağlık testlerinin yapılacağı yerlere, testlerin niteliğine, test sonucu elde edilen verilerin nasıl kullanılacağı ve korunacağına ilişkin şartları belirler. Bu şartlar hakkında çalışanları bilgilendirmeye özen gösterir.

Şirket, iş sağlığı ve güvenliği programı kapsamında tıbbi muayene ve testler aracılığıyla çalışanlara ait sağlık verilerini toplayabilir. Yasal mevzuata göre zorunlu muayene ve testler dışında kalan muayene ve testlere katılmak, çalışanın kendi seçimine bırakılır.  Şirket, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.

Şirket, sağlık kontrollerinin ve testlerin hangi amaçla gerçekleştirildiği konusunda çalışanları açıkça bilgilendirir. Şirket hiçbir şekilde çalışandan gizli bir şekilde ona ait biyometrik /genetik numunelerini (parmak izi, saç teli vs.) toplayamaz. Kanuni sebeplere dayalı olarak gerçekleştirilen faaliyetler istisna oluşturur.

 
5. BÖLÜM –ÇALIŞAN VERİLERİNİN İŞLENME AMAÇLARI
APES, KVKK m. 4’teki temel ilkelere ve bu Politika’ da belirlenen esaslara uygun olarak kişisel verileri işlemektedir. KVKK’ nın 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
  • Kişisel verilerin işlenmesine ilişkin Şirket’in ilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin işlenmesinin Şirket’ in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin kişisel veri sahibi tarafından alenileştirilmiş olması şartıyla; veri sahibinin alenileştirme amacıyla sınırlı bir şekilde şirket tarafından amaca uygun, sınırlı ve süreli işlenmesi,
  • Kişisel verilerin şirket tarafından işlenmesinin APEAS’ ın  veya veri sahiplerinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
  • Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Yukarıda belirtilen şartların bulunmaması halinde, Şirket  kişisel veri işleme faaliyetinde bulunmak için kişisel veri sahiplerinin açık rızalarına başvurmaktadır. Bu çerçevede; Şirket kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla işleyebilmektedir:
  • Şirketin insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi amacı doğrultusunda; çalışanların ve çalışan adayları ile işbirliği içerisinde olduğumuz kuruluşların çalışanlarının iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • Şirket personel temin süreçlerinin yürütülmesi ve çalışanlarının performans değerlendirme kriterlerinin belirlenmesi, takibi ve icrası,
  • Şirketin çalışanlarına sağlanan yan hakların ve menfaatlerin planlanması ve takibi
  • Şirketleri çalışanlarının ücret yönetimi ve prim süreçlerinin planlanması ve icrası,
  • Şirket çalışanlarının yetenek – kariyer gelişimi faaliyetlerinin planlanması ve icrası,
  • Şirket çalışanlarına yönelik kurumsal iletişim ve/veya çalışanların katılım sağladığı kurumsal sosyal sorumluluk ve/veya sivil toplum kuruluşları faaliyetlerinin planlanması ve/veya icrası
  • Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası,
  • Şirket memnuniyet ve/veya bağlılık süreçlerinin planlanması ve icrası,
  • Topluluk Şirketleri’nin, Toplu İş Sözleşmesi süreçlerine destek olunması,
  • Şirket üst düzey yöneticilerinin atama, terfi ve işten ayrılma kararlarının uygulanması ve ilgili duyuruların yapılması,
  • Şirket’in tabi olduğu mevzuata uyum konusunda destek olunması,
  • Şirket faaliyetlerinin Şirket politikalarına ve ilgili mevzuata uygun olarak yürütülmesi konusunda denetim faaliyetlerinin yürütülmesi,
  • SEÇ-G/HSSE vb. acil durum yönetimi süreçlerinin planlanması ve icrası,
  • İş sağlığı ve/veya güvenliği süreçlerinin planlanması ve/veya icrası,
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuk işlerinin takibi,
 

5.1 Çalışanların Kişisel Verilerinin İşlendiği Özel Durumlar

Özel sağlık sigortası, hayat sigortası, ferdi kaza sigortası, şirket aracı, bireysel emeklilik, esnek yan fayda programı ya da benzeri faydalar bu başlık altında yan haklar ve menfaatler olarak adlandırılır. Şirket, çalışanların kişisel verilerinin çalışanlara yan haklar ve menfaatler sağlamak için hizmet alınan üçüncü kişilerle paylaşılmasında, asgari düzeyde veri paylaşmaya özen gösterir. Bahsi geçen üçüncü kişilerle sadece, ilgili yan hak ve menfaatin sağlanması için zorunlu olan kişisel veriler paylaşılır. Ayrıca, bu kapsamda toplanan kişisel verilerin başka bir amaçla kullanılmaması için gerekli tedbirler alınır.  Hizmet alınan üçüncü kişilerle paylaşılacak kişisel verilerin özel nitelikli kişisel veri olup olmadıkları paylaşımdan önce değerlendirilir.

Hizmet alınan üçüncü kişiler ile yapılacak kişisel veri paylaşımları hakkında Çalışanların bilgilendirilmesi sağlanır. Bu kapsamda, çalışanların hangi kişisel verilerinin paylaşıldığı ve bunların ne amaçla kullanılacağı çalışana açıklanır.

5.2 Çalışanların İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine İlişkin Kişisel Verilerin İşlenmesi

5.2.1 Elektronik Haberleşme Araçlarının Kullanımına İlişkin Politika Belirlenmesi

Şirket tarafından çalışanlara sunulan telefon, faks, e-posta, laptop, internet ve benzeri elektronik haberleşme araç ve vasıtalarının denetlenmesi söz konusu ise, bu elektronik haberleşme araç ve vasıtalarının kullanımına ilişkin politika belirlenerek çalışanların bilgisine sunulur. Bu politika içerisinde, çalışanların belirlenen kurallara aykırı davranması halinde uygulanacak yaptırımlara da yer verilir. Elektronik haberleşme araçlarının kullanımına ilişkin mevcut politikalar var ise, bu politikaların kişisel verilerin korunması mevzuatı ile diğer ilgili mevzuata uyumluluğu değerlendirilir; politikalar kişisel verilerin korunması mevzuatına uyumlu olacak şekilde revize edilir.   Şirket elektronik haberleşme araçlarının şahsi kullanımı konusunda kendi politikasını belirler.  Elektronik haberleşme araçlarının şahsi amaçlarla kullanıma izin verilmesi halinde, izin verilen şahsi kullanım sınırları belirlenir ve çalışana bu sınırlar bildirilir.  Çalışanların, işle ilgili haberleşme içeriklerinin her zaman denetlenebileceğinin farkında olmaları ve bu konuda bilgilendirilmeleri sağlanır.

5.2.2 Kurumsal Elektronik Posta Kullanımına İlişkin Kişisel Verilerinin İşlenmesi

Şirket, çalışanların kurumsal e-postalarının kullanımına yönelik faaliyetleriyle alakalı kişisel verilerini işleyebilir. Bu kişisel veri işleme faaliyetlerinin kapsamı ve amacı konusunda çalışanların açık bir şekilde bilgilendirilmesi esastır. Buna ilaveten bu kişisel veri işleme faaliyetlerinin hukuki niteliği ve kapsamı konusunda mutlaka hukuki değerlendirme yapılır.

5.2.3 İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi

Şirket, işyerindeki internet kullanımına ilişkin sınırlamalar getirebilir ve bu sınırlamalara uyulup uyulmadığını denetleyebilir.  İnternet kullanımına ilişkin kişisel verilerin işlenmesinde, Şirket, bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetleri hakkında çalışanlarını açık bir şekilde bilgilendirir.   Hukuki bir yükümlülüğün yerine getirilmesi için internet kullanımının izlenmesi gerekmekte ise veya ilgili veri işleme KVK Kanunu’nda belirtilen şartlardan bir başkasını karşılıyor ise, çalışanlardan ayrıca açık rıza alınması gerekmez. Ancak bu kişisel verilerin KVK Kanunu’nda belirtilen kişisel veri sahibinin rızasına tabi olmayan kişisel veri işleme şartlarına dayalı amaçlar dışında işlenmesi durumunda ayrıca çalışandan açık rıza alınır.

5.2.4 Elektronik Haberleşme İşlemlerine İlişkin İşlenen Kişisel Verilerin Saklama Süresi

Şirket, çalışanların iş faaliyetleriyle bağlantılı gerçekleştirdiği elektronik haberleşme işlemlerine ilişkin kişisel verilerinden hangilerinin saklanacağı ve bu bilgilerin saklanma süresine ilişkin prosedürlerini belirler. Mevzuattan kaynaklanan başka bir yükümlülük mevcut değilse, bu Politika’ da belirtilen amaçlarla işlenen kişisel veriler, iş sözleşmesi süresi boyunca ve sözleşmenin bitiminden itibaren gerçekleştirilen faaliyetin niteliğine göre ortaya çıkabilecek hukuki uyuşmazlığın gerektirdiği zamanaşımı süresi boyunca saklanabilir. Bu verilerin saklanmasına izin veren hukuki düzenlemeler dikkate alınarak verilerin saklanma süresi gözden geçirilir. Bu süre istisnai durumların varlığı halinde uzatılabilir. Sürenin uzatılması halinde çalışanlar süre uzatımına, gerekçeye ve saklanan kişisel veri tiplerine ilişkin bilgilendirilir.

5.3 İş Yerinde Güvenlik Kamerası Uygulaması

Şirket, işyerinin güvenliğini sağlamak amacıyla çeşitli noktalara güvenlik kameraları yerleştirebilmektedir. Bu güvenlik kameralarının görüntü alanlarının tüm işyerini değil; sadece özel risk taşıyan alanları, giriş – çıkış ve benzeri alanları kapsamasına özen gösterilir.

Şirket, çalışanları güvenlik kamerası ile çekim yapılan, güvenlik kameraları ile izlenen alanlar ve izlemenin amaçları hakkında bilgilendirmeye özen gösterir.

5.4 Şirket Tarafından Sağlanan Araçların Takibi

Şirket tarafından çalışanlara araç tahsis edildiği durumlarda; tahsis edilen araçların kat edilen mesafenin belirlenmesi, akaryakıt kullanımı ölçümü, konum verisinin alınması ve benzeri amaçlarla takibi yapılabilir. Bu takip ile ilgili çalışanlar önceden bilgilendirilir.

6. BÖLÜM – ÇALIŞANLARIN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI

6.1 Çalışanların Kanuni Hakları

Çalışanlarımız aşağıda yer alan haklara sahiptirler:

    • Kişisel veri işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

6.2 Çalışanların Kanuni Haklarını Kullanmalarına ilişkin Esaslar

Şirket çalışanların kanuni haklarını kullanabilmelerini, gerekli başvuruların yapılabilmesini ve yapacakları başvurulara en geç 30 gün içerisinde cevap verilmesini sağlayacak her türlü idari, hukuki ve teknik önlemleri alır ve ilgili süreçleri tasarlayarak bu konuda çalışanları bilgilendirirler.

Şirket tarafından kanuni haklarını kullanan çalışanlara verilecek cevaplarda üçüncü kişilerin kişisel verilerinin ifşa edilmemesi için gereken her türlü özen gösterilir.

7. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI

7.1 Kişisel Veri Paylaşımına İlişkin Genel Kurallar

Şirketlerimiz, çalışanların kişisel verilerinin paylaşımına ilişkin iç prosedürlerini belirler. Veri paylaşım taleplerinin bu konuda yetkin çalışanlarca cevaplanması sağlanır.

Şirket dışından gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta şirketi talepleri gibi) gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır. Şirket dışından gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.

Çalışanların kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin yurtdışına aktarılmasına ilişkin her türlü idari, hukuki ve teknik önlem alınır.

Çalışanların kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki yükümlülüğün kapsamına uygun şekilde kişisel veri paylaşımı yapılabilir.

Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla; çalışanların kişisel verileri ancak aşağıdaki şartlardan birisinin varlığı halinde üçüncü kişilere aktarılabilir:

    • Veri sahibinin açık rızasının olması,
    • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
    • Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa;
    • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
    • Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise,
    • Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
    • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
    • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

7.2 Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma

Çalışanların kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının KVK Kanunu’nda yer alan şartlardan birisine dayalı olması aranır.

Çalışanların, daha önce bilgilendirilmemiş ise, en geç paylaşım anında bu paylaşım ile ilgili olarak bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı niteliği taşıyorsa ilgili çalışan konuya ilişkin bilgilendirilmez.

Rutin olarak gerçekleştirilmeyen çalışanların kişisel verilerinin şirket dışı paylaşım talepleri ve bu kapsamda yapılan paylaşımlar Şirket tarafından kayıt altına alınabilir. Bu kapsamda asgari olarak paylaşıma onay veren kişi, paylaşım talebinde bulunan kişi, paylaşım gerekçesi, paylaşım tarih ve saati ile paylaşılan veri tipleri kayıt altına alınır. Bu kayıtların düzenli olarak kontrol edilmesi ve incelenmesi sağlanır.

7.3 Kişisel Verilerin Yayınlanması

Şirket, çalışanların kişisel verilerini ancak aşağıdaki şartlara dikkat ederek yayınlayabilirler:

    • Kişisel verilerin yayınlanması için hukuki bir hak veya yükümlülük bulunması veya çalışanın yayınlama için açık rıza vermiş olması,
    • Kişisel verilerin açıkça elverişsiz olmaması,

Şirket, kişisel verilerin yayınlanması neticesinde elde edilecek faydalar ile çalışanların gizliliğinin korunacağına ilişkin beklentileri dengeleyici bir yaklaşım ile hareket ederler. Yıllık raporlar, yayınlar ya da internet siteleri gibi mecralarda bazı çalışanların isimlerinin ve diğer kişisel verilerin yayınlanması halinde, bu durumlar özel olarak değerlendirilir ve açık rıza alınması gereksinimi olup olmadığı belirlenir. Açık rıza alınması gerektiğine kanaat getirilmesi halinde ilgili çalışanların açık rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel veri tipleri tek tek çalışana bildirilir.

 
8. BÖLÜM – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ
Şirket, çalışanların kişisel verilerini işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Bu konu ile ilgili ayrıntılı tabloya işbu Politika’ nın Bölüm 15   ( Kişisel verilerin saklanma ve İmha Süreleri dokümanından ulaşılması mümkündür.)
 
9. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI
Şirket, çalışanların kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar kullanabilirler. ancak dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri almak zorundadır:
  • Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarının kontrol edilmesi,
  • Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,
  • Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar da içeren sözleşme yapılması,
  • Kişisel verilerin yurtdışındaki dış hizmet sağlayıcılarına gönderilmesi halinde gerekli hukuki, idari ve teknik önlemlerin alınması.
 
10. BÖLÜM – KİŞİSEL VERİLERİN GÜVENLİĞİ
Çalışan verilerinin güvenliğini sağlamak için Şirket gereken tüm makul önlemleri alır. Alınan önlemler yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır. Şirket, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin eder. Çalışanların bu kapsamda kişisel veri işleme faaliyetinden sorumlu olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda şirket, mevcut durumda bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırır veya sınırlar. Çalışanların kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri alınır. Bu kapsamda ayrıca erişim yetkili kişilerin gereksiz yere geniş yetki sahibi olması engellenir. Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilir ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulur. Çalışanların kişisel verilerine erişimi olan diğer çalışanların gerekli güvenlik kontrollerinden geçirilmeleri esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır. Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanır.
 
11. BÖLÜM – ÇALIŞANLARIN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ
Bu bölüm altında çalışanların Şirketimiz faaliyetlerinin yürütülmesi esnasında gerçekleştirdikleri işlemler özelinde, hangi kişisel verilerinin işlenebileceğine ilişkin (iletişim, araç kullanımı vb.) hususlar ile bu konuda şirket tarafından uyulması gereken esaslar detaylandırılmaktadır.

11.1 Kişisel Veri İşleyen Çalışanlara Dair Yapılacak Düzenlemelerin Belirlenmesi

Şirket, çalışanların hangi iş faaliyetleri özelinde ve hangi amaçlarla kişisel verilerini işlediklerini (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi) tespit eder ve kişisel verilerin işlenme amaçları ile sağlanmak istenen sonuca uygun olacak kişisel veri işleme yöntemlerini belirlerler.

Şirket çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme amaçlarının veya yöntemlerinin kişisel verilerin korunması kanunu ve kurallarına uygunluğunu sağlar.

Şirket, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetlerinde görevli çalışanlarını kişisel verilerin korunması ve konuya ilişkin diğer mevzuat, ilgili mevzuat kapsamında dikkat edilmesi gereken hususlar ve şirketin mevzuattan kaynaklanan yükümlülükleri konusunda bilgilendirilir. Bu faaliyetler neticesinde elde edilen kişisel verilere erişimi olan çalışanlar ile yapılan sözleşmelere ilave gizlilik ve güvenlik yükümlülükleri eklenir veya bu kişiler tarafından gizlilik politikaları/taahhütnameleri imzalanması sağlanır.

Ayrıca; çalışanların iş saatleri içerisinde iş ve işyeri kurallarına uygun davranılıp davranılmadığının ve çalışanın görevlerini gereği gibi yerine getirip getirmediğinin tespiti ve işyeri ortamında huzur ve düzeni bozacak hareketler yapılıp yapılmadığının takibi ve benzeri amaçlarla çalışanın kişisel verilerini işlemekteyse ilgili çalışanları açıkça ve detaylı olarak bilgilendirmesi gerekir.  Çalışanların kendi iş faaliyetleriyle ilgili işvereni tarafından hangi kişisel veri işleme faaliyetleri yürüttüğünden haberdar edilmeleri ve farkındalık oluşması için Şirket nezdinde, çalışma ortamının doğasına uygun olarak uyarılar yerleştirilir.

Kişisel Veri İşleyen Çalışanların Elde Edilen Kişisel Verileri Başka Amaçlarla Kullanılması Konusunda Bilgilendirilmesi

Çalışanların iş faaliyetleriyle ilişkili işlenen kişisel verileri, KVK Kanunu’nun 5. maddesinde belirtilen şartlara ve 4. maddesinde öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun başka amaçlar için de işlenebilir. Bu amaçların neler olduğu konusunda da çalışanlar, uygun usullerle Şirket tarafından bilgilendirilir.

Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Bilgilere Karşı Çalışanlara Savunma Hakkı Verilmesi

Çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan aleyhinde şikayet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilir.

 
12. BÖLÜM –ORTAMLAR VE GÜVENLİK TEDBİRLERİ

12.1 Kişisel Verilerin Saklanma Ortamları

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’ na ve işbu Kişisel Veri Saklama ve İmha Politikası ’na uygun olarak işlemek ve korumaktadır.

a) Fiziksel Ortamlar:Verilerin kağıt üzerine basılarak tutulduğu ortamlardır. Birim Dolapları, Arşivde, Manuel veri kayıt sistemleri (Ziyaretçi giriş kayıt defteri vb.)
b) Elektronik ortamlar:APEAS bünyesinde yer alan sunucular,( etki alanı, yedekleme, e-posta veri tabanı, web, dosya paylaşımı vb.) , Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) , Kişisel bilgisayarlar (Masaüstü, dizüstü) , Mobil cihazlar (telefon, tablet vb.) , Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi

 12.2 Ortamların Güvenliğinin Sağlanması

APEAS, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

12.2.1 Teknik Tedbirler

APEAS, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:

    • Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
    • Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
    • Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
    • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
    • APEAS bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.

12.2.2 İdari Tedbirler

APEAS, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:

    • Kişisel Verilerin korunmasına ilişkin mevzuata etkin uyum sağlamak amacıyla nihai sorumluluk Yönetim Kurulu’nda olmak üzere Yönetim Kurulu tarafından Kişisel Veri Komitesinin kurulması sağlanmıştır.
    • Kişisel verilere erişimi olan tüm APEAS çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılması ve çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmiştir.
    • Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
    • Veri minimizasyonunun sağlanmıştır.
    • Veri saklama sürelerinin tespit edilmiş ve uygulanmaktadır.
    • APEAS’ ın iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi sağlanmıştır.

12.2.3 Şirket İçi Denetim

APEAS,  Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.

Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.

Denetim sırasında ya da sair bir şekilde APEAS sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, APEAS bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

 
13. VERİ SİCİLİNE KAYDOLUNMASI
Kişisel verilere erişim, işlenme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalı, aynı zamanda çalışanların, görevlerinin gerektirmediği kişisel verilere erişimleri engellenmelidir. APEAS   Kurul tarafından ilan edilecek süre içinde, KVKK’ da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ ne kayıt yükümlülüğünü yerine getirir. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):
  1. Veri sorumlusu olarak APEAS GRUP’a ait bilgiler,
  2. APEAS GRUP’un temsilcilerine ait Kimlik ve adres bilgileri
  3. Kişisel verilerin hangi amaçla işleneceği,
  4. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  5. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  6. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  7. Kişisel veri güvenliğine ilişkin alınan tedbirler,
  8. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
 
14. KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME
APEAS, KVKK ve ilgili mevzuat hükümlerine uygun işlediği ve işbu Politika ’da detaylı kategorize etmiş olduğu kişisel verileri, bunların işlenmesini gerektiren sebeplerin ortadan kalkmasından itibaren Politika ’daki sürelere uygun olarak imha edecek veya anonimleştirecektir.  TCK m. 138 ve KVKK m. 7 hükümlerinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde APEAS’ ın kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir. Bu kapsamda, APEAS ilgili yükümlülüğünü yerine getirmek üzere APEAS bünyesinde Kişisel Veri Komitesi’ni oluşturmuş, gerekli teknik ve idari tedbirleri almıştır. Zaman içinde bu konuda gerekli güncellemeler ve işleyiş mekanizmaları geliştirilecek olup, bu yükümlüklerine uygun davranmak üzere ilgili iş birimleri devamlı eğitilmektedir. Yine farklı görevlendirmeler ve eğitimlerle APEAS bünyesinde kişisel veri kültürünün daha da yerleşmesi için iş birimlerinin farkındalıkları artırılmaktadır. İşbu Politika’ nın “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun olarak kişisel veriler tutulur. Bu sürelerin geçmesiyle birlikte kişisel veriler aşağıda açıklanan usullerle veya ikincil mevzuat ve KVK Kurulu’nun belirleyeceği diğer usullerle kademeli olarak imha edilir veya anonim hale getirilir. APEAS Kişisel Veri Komitesi silme, yok etme ve anonomileştirme ile ilgili gerekli görevlendirmeleri ve çalışmaları yürütür. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme sebeplerini ortadan kaldıran KVKK m. 5 ve 6. madde hükümleri ve bu hususta yayımlanacak Yönetmelik hükümleri doğrultusunda özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir:
  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • ilgili kişinin, Kanun’un 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’ da öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurula şikayette bulunulması ve bu talebin KVK Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • KVKK ’nın 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
Bu hallerde kişisel veriler, APEAS tarafından kanuni ve hukuki sorumlulukları doğrultusunda resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

14.1 Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri

APEAS, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiş hallerin ortaya çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler veya yok eder. APEAS tarafından kullanılabilecek silme veya yok etme tekniklerinin bir kısmı aşağıda sıralanmaktadır:

1. Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

2. Karartma Yöntemi ile Yok etme

Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanarak silecektir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

3. Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak/erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Merkezi sunucuda bulunan ofis dosyaları silinirken, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. APEAS anılan işlemi gerçekleştirirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edecektir.

4. Uzman Tarafından Güvenli Olarak Silme

APEAS, bazı durumlarda kendi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak/erişilemeyecek biçimde güvenli olarak silinir ve yok edilir.

14.2 Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. APEAS hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVKK 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVKK kapsamı dışında olacağından işbu Politika ’da düzenlenen haklar bu veriler için geçerli olmayacaktır. APEAS tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No, plaka vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkansız hale geldiği bir veri setine dönüştürülmesi.

Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

Genelleştirme

İlgili veriyi özel bir değerden, daha genel bir değere çevirme yöntemiyle kişisel verilerin anonimleştirilmesidir.  Örneğin, il bilgisinin önemli olduğu bir plaka bilgisinde rakam kısmının daha genel bir veri kümesi olan 0000’a taşınması genelleştirme yaklaşımıyla veri kümesi üzerinde anonimlik sağlanabilir.

Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

Veri Karması

Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.

 
15. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ
SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ
Personel özlük dosyasıİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanmasıİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
İşe alımİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Bordrolamaİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Personel özel sağlık ve ferdi kaza sigorta poliçeleri1 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Çalışanlara araç tahsis edilmesi1 yılSaklama süresinin bitimini takiben 180 gün içerisinde
İş sağlığı ve güvenliği uygulamalarıİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Kayıt/Takip/Log Sistemleri2 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Güvenlik kamera görüntüleriGörüntünün alındığı tarihten itibaren 1 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Ödeme işlemleriİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Personel Finansman Süreçleriİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazasıİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Talep / Şikâyet BilgileriKaydın alınmasından itibaren 5 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Kaza Raporlama10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Toplantı notlarının, katılımcılar ile paylaşılması10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Her türlü doküman dosyalanması10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Eğitim kayıtlarının dosyalanması10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
 
16. KİŞİSEL VERİLERİN PERİYODİK İMHA SÜRESİ Kanunun ilgili yönetmeliğinin 11.maddesi gereği Şirket periyodik imha süresini 6 ay olarak belirlemiştir.
 
17. KİŞİSEL VERİ KATEGORİZASYONU 
KİŞİSEL VERİVERİ İÇERİĞİ
Kimlik VerisiAd, soyadı, doğum tarihi, doğduğu ülke, doğduğu şehir, cinsiyet, medeni durumu, nüfus cüzdanı/resmi kimlik belgesi içerik bilgileri (TCKN, seri numarası, cüzdan numarası, baba adı, anne adı, doğum yeri, il, ilçe, mahalle, cilt numarası, aile sıra numarası, sıra numarası, hane numarası, sayfa numarası, kayıt numarası, verildiği yer, veriliş nedeni, veriliş tarihi, önceki soyadı), nüfus cüzdanı/resmi kimlik belgesi sureti
İletişim VerisiTelefon numarası, açık adres bilgisi, e-posta adresi, şirket içi iletişim bilgileri (dâhili telefon numarası, kurumsal e-posta adresi, şirket cep telefonu)
Finansal VeriFinansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı
Özel Nitelikli Kişisel VeriAdli sicil kaydı gereği eski hükümlü olma durumu/sabıka kaydı, sakatlık durumu/tanımı/yüzdesi, dini, sağlık verisi, kan grubu, özel sağlık sigortası poliçesi, sağlık raporları, işe giriş sağlık raporu, işyeri hekiminin imzalattığı işe giriş ve periyodik muayene formları, hamilelik durumu, hamilelik raporu, sağlık ve doğum izin bilgileri,
Eğitim VerisiÖğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar
Görsel VeriGerçek kişiye ait fotoğraf, kamera kayıtları
Çalışan Performans VerisiEğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, imzalı eğitim katılım formu, imzalı eğitim değerlendirme formu
Aile ve Yakını VerisiEvlilik cüzdanı, eş ve çocuklarının adı soyadı, T.C. Kimlik numarası, cinsiyeti, doğum tarihi, telefon numarası, yakınlarının adı soyadı ve telefon numarası
Çalışma VerisiKişi Güvenlik Belgesi numarası, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik numarası, vergi dairesi numarası, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün
İzin Verisiİzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, izne çıkış/dönüş tarihi, izine çıkış nedeni
DiğerAskerlik tecili, askerlik terhis belgesi, araç plakası, ehliyet sureti, internet erişim logları
 
18. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Şirket dosyasında saklanır.
 
19. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
 
20. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
İşbu Politika ’nın yürürlük tarihi 15-08-2020  dir. İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde www.apeas.net internet  adresi üzerinden veya sair kanallardan bildirilecektir. Politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’ nın ıslak imzalı eski nüshaları şirket tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile şirket tarafından saklanır.
 
21. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ VE YÜKÜMLÜLÜKLER
APEAS GRUP bünyesinde işbu Politika ve bu Politika ’ya bağlı ve ilişkili diğer politikaları, prosedürleri ve uygulama rehberlerini yönetmek üzere, Şirket üst yönetiminin kararı gereğince “Kişisel Veri Komitesi” oluşturulmuştur. Komite aşağıda unvanı, iş birimindeki görevi ve görev tanımı bulunan kişilerden oluşmakta olup, Komite’nin görevleri genel olarak aşağıdaki gibidir
BİRİMSORUMLUGÖREV TANIMI
Komite Başkanı  Feyyaz DUMANKomitenin toplanması, politikaların uygulanması ve yürütülmesi, sekreterya hizmetlerinin gerçekleştirilmesi ve sürece ilişkin Yönetim Kurulunun Bilgilendirilmesi, Kişisel Verilerin Korunması Kurulu ile ilişkilerin takibi, Kurul Kararlarının takibi, uygulanması ve süreçlerin yönetimi. Şirketin Kurul nezdindeki temsili.
Bilgi İşlem (IT&S) Sorumlusu  Murat EVİRENBilgi işlem sistemlerinin oluşturulması, takibi, uygulanması, imha ve anonim hale getirilmesi, yurt içinde ve yurt dışına aktarılması için gerekli mekanizmaların oluşturulması, verilerin güvenliğinin sağlanması, veri güvenliği sağlayan sistemler önermesi, uygulaması.
İnsan Kaynakları Sorumlusu  Didem ÖZKANİnsan Kaynakları işlerinin yürütülmesi, planlanması
Komite Üyeleri  İsmail SARIKAYA Ersin ÖZENAşağıda belirtilmiştir.

21.1 Komitenin görevleri:

    1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak,
    2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst Yönetim Kurulu’nun onayına sunmak
    3. APEAS GRUP kişisel veri koruma kültürünün daha da gelişmesi için çalışmalar yürütmek, Yönetim Kurulu’nun onayı doğrultusunda notlar, broşürler hazırlamak,
    4. KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
    5. Kişisel verilerin korunması ve işlenmesi konusunda APEAS GRUP içerisinde ve APEAS GRUP  iş ortakları nezdinde farkındalığı arttırmak,
    6. APEAS GRUP’un kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayına sunmak
    7. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip ederek APEAS GRUP için hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
    8. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek
    9. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak
    10. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek
    11. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak APEAS GRUP içinde yapılması gerekenler konusunda Yönetim Kurulu’na tavsiyelerde bulunmak,
    12. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
    13. APEAS GRUP  Yönetim Kurulu’nun kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
 
EK 1 KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI 
VERİ AKTARIMI YAPILACAK KİŞİLERTANIMIVERİ AKTARIM AMACI
İş OrtağıAPEAS GRUP ’un ticari faaliyetlerini yürütürken bizzat şirket ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. Bankalar, Sigorta şirketleri vbİş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
TedarikçiAPEAS GRUP ’un ticari faaliyetlerini yürütürken APEAS GRUP ’un emir ve talimatlarına uygun olarak sözleşme temelli olarak APEAS GRUP’ a hizmet sunan tarafları tanımlamaktadır.APEAS GRUP ’un tedarikçiden dış kaynaklı olarak temin ettiği ve şirketin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirkete sunulmasını sağlamak amacıyla sınırlı olarak.
Kanunen Yetkili Kamu Kurum ve Kuruluşlarıİlgili mevzuat hükümlerine göre APEAS GRUP’tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarıİlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Kanunen Yetkili Özel Hukuk Kişileriİlgili mevzuat hükümlerine göre APEAS GRUP’tan bilgi ve belge almaya yetkili özel hukuk kişileriİlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak