Kişisel Verilerin Korunması ve İşlenmesi Politikası

1. GİRİŞ

Veri sorumlusu olarak GÜNEŞ Özel İstihdam Hizmetleri İnsan Kaynakları Danışmanlığı ve Eğitim Ltd. Şti (“GÜNEŞ ” veya "Şirket”) için müşterileri, çalışanları, iş arayanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması, büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve GÜNEŞ bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye; müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş arayanların, işbirliği içinde olduğumuz kurum çalışanlarınınve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.

Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için GÜNEŞ tarafından gereken idari ve teknik tedbirler alınmaktadır.

Bu Politika’da kişisel verilerin işlenmesi süreçleri için GÜNEŞ ’in benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:

  • Kişisel verilerin rıza kapsamında işlenmesi,
  • Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma,
  • Kişisel verilerin korunması için gerekli tedbirleri alma,
  • Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
  • Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi

2. POLİTİKA’NIN AMACI

Bu Politikanın temel amacı, GÜNEŞ tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimizi, çalışanlarımızı, çalışan adaylarımızı, ziyaretçilerimizi, iş arayanları, işbirliği içinde olduğumuz kurumların hissedar ve çalışanlarını ve üçüncü kişileri bilgilendirerek şeffaflık sağlamaktır.

3. POLİTİKA’NIN KAPSAMI

Bu Politika; müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

 İşbu Politika’nın kapsamı dahilinde kişisel verileri işlenen veri sahipleri aşağıdaki şekilde kategorize edilmiştir.

Çalışan Adayı

Şirket’e iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Şirket’e erişilebilir kılan gerçek kişiler

Çalışan

Şirket ile iş ilişkisi devam eden kişiler

Eski Çalışan

 

Şirketi ile iş ilişkisi sona eren eski çalışanlar

Ziyaretçiler

Şirket’in fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

Stajyer Adayı

Şirket’e staj yapmak üzere başvuruda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Şirket’e erişilebilir kılan gerçek kişiler

Stajyer

Şirket ile staj ilişkisi devam eden kişiler

Hizmet Alan Kişi

Şirket’ten hizmet alımı gerçekleştiren ve bu amaçla kişisel verileri temin edilen kişi

Tedarikçi Yetkilisi

Şirket’in ürün/hizmettedarik ettiği gerçek kişi şahıs işletmeleri ya da tüzel kişilerin imza yetkilisi olan kişiler

Tedarikçi Çalışanı

Şirket’in ürün/hizmet tedarik ettiği tedarikçilerindeçalışan kişiler

Potansiyel Ürün veya Hizmet Alıcısı

Şirket’in potansiyel müşterisi olan kişiler, müşteri adayları

Müşteri Yetkilisi

Şirket’in hizmet satışı gerçekleştirdiği gerçek kişi şahıs işletmeleri ya da tüzel kişilerin imza yetkilisi olan kişiler

Müşteri Çalışanı

Şirket’in hizmet satışı gerçekleştirdiği müşterilerinde çalışan kişiler

Üçüncü Kişiler

Politikada tanımlanmamış olmasına rağmen işbu Politika çerçevesinde kişisel verileri işlenen kefil, aile bireyleri vb. dahil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler

4. POLİTİKA’NIN YÜRÜRLÜĞÜ

GÜNEŞ tarafından düzenlenen bu Politika 01.01.2020 tarihinde yürürlüğe konulmuştur. Bu Politika, GÜNEŞ ’in internet sitesinde (www.gunesinsankaynaklari.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

GÜNEŞ; KVKK’nın 12.maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

5.1Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Hukuka Aykırı Erişimi Engellemek İçin Alınan Teknik Tedbirler

Şirket kişisel verilerinizi korumak amacıyla her türlü teknik, teknolojik güvenlik önlemlerini almış olup olası risklere karşı kişisel verilerinizi koruma altına almıştır.

Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar bulunmaktadır. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda çalışanlardan gerekli taahhütler alınmaktadır ve çalışanlara yönelik işyerinde uyulacak kuralları içerir güvenlik politikaları yayınlanmaktadır. Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Hukuka Aykırı Erişimi Engellemek İçin Alınan İdari ve Teknik Tedbirler:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

5.2.Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

İşlenen kişisel verilerin alınan gerekli güvenlik önlemlerine karşın kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu öğrendiği tarihten itibaren 72 saat içerisinde ilgili veri sahibine bildirecektir. Bu doğrultuda Şirketimiz tarafından Kişisel Veri Açığı ve Bildirim Prosedürü oluşturulmuştur.

6. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE TALEPLERİ

GÜNEŞ, KVK Kanunun 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, Politikanın eki mahiyetindeki Kişisel Veri Başvuru ve Yanıt Prosedürü ve kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. Kişisel veri sahiplerinin haklarına ilişkin talepleri ile ilgili detaylı açıklama aşağıda, bu politikanın 20. maddesinde yapılmıştır.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. GÜNEŞ tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, GÜNEŞ tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve GÜNEŞ bünyesinde gerekli denetimler sağlanmaktadır.

8. GÜNEŞ ÇALIŞANLARININ KİŞİSEL VERİLERİNİN KORUNMASI VE İŞLENMESİ KONUSUNDA EĞİTİMLERİ

GÜNEŞ, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına gerekli eğitimlerin düzenlenmesini sağlamaktadır.

9. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

KVKK’nın 3. maddesi uyarınca, kişisel verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesi kapsamına girmektedir.

Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  1. Hukuka ve dürüstlük kurallarına uygun olma

Şirketimiz, Anayasa başta olmak üzere, KVK Kanunu ve ilgili mevzuata uygun olarak, kişisel verileri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun olarak yürütür.

  1. Doğru ve gerektiğinde güncel olma

Şirketimiz tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik her türlü idari ve teknik tedbirler alınmaktadır.

  1. Belirli, açık ve meşru amaçlar için işlenme

Şirketimiz, kişisel verilerin işlenmesi faaliyetine başlamadan önce kişisel veri işlemeye yönelik meşru amacını aydınlatma metinleri çerçevesinde açık ve kesin olarak belirlemektedir.

  1. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Şirketimiz tarafından kişisel veriler belirlenen amaçların gerçekleştirilebilmesi için gerektiği kadar işlenmektedir. Sonradan kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.

  1. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Şirketimiz, kişisel verileri, KVK Kanunu ve ilgili mevzuatta öngörülen veya veri işleme faaliyetine ilişkin amaçların gerektirdiği süre ile sınırlı olarak saklamaktadır.

10. TEDARİKÇİ VE HİZMET ALINAN FİRMALAR TARAFINDAN TOPLANAN VERİLERİN GÜNEŞ TARAFINDAN İŞLENMESİ

GÜNEŞ faaliyetleri kapsamında tedarikçi ve diğer hizmet sektöründeki firmalar ile iş/sözleşme ilişkisi içine girmekte ve hizmetlerini bu kişiler aracılığıyla yürütmektedir. Bu kapsamda GÜNEŞ tedarikçi ve hizmet aldığı firmalardan kişisel veriler, kişilerden aydınlatma yükümlülüğü yerine getirilerek ve rıza alınarak temin edilmekte ve GÜNEŞ ’e aktarılmaktadır. İşin yürütülebilmesi amacıyla bu veriler GÜNEŞ tarafından işlenebilmektedir. GÜNEŞ ile tedarikçi ve hizmet aldığı firmalar arasındaki kişisel veri paylaşımına dair ilişki KVK Kanunu kapsamında veri işleyenden veri sorumlusuna kişisel veri aktarımı şeklinde gerçekleşmesi durumunda, ilgili ilgili kişinin kişisel verisini toplama aşamasında, kişiyi, bu kişisel verilerin GÜNEŞ ’e gönderilebileceği konusunda aydınlatır.

11. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

GÜNEŞ; KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda GÜNEŞ, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda ofis ve fiziksel alanlarında çalışan, aday, tedarikçi ve müşterilerinin kolayca görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiştir. GÜNEŞ web sitelerinde bu politika ile birlikte Aydınlatma metinlerini, çerez politikası, başvuru formu ve bu politikaya bağlı gerekli yönetmelikleri yayınlanmıştır.

12. KİŞİSEL VERİLERİN AKTARILMASI

GÜNEŞ, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:

  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • GÜNEŞ ’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, GÜNEŞ ’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

 

13. GÜNEŞ  KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI

GÜNEŞ nezdinde, GÜNEŞ ’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen tüm yükümlülüklere uyularak ve işbu Politika kapsamındaki kişisel veri sahiplerine (Müşteriler, çalışanlar, ziyaretçiler, üçüncü kişiler, çalışan adayları, iş arayanlar, işbirliği içinde olduğumuz kurumların çalışanları) sınırlı olarak ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

14. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

GÜNEŞ, KVK Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaç ve koşullar şunlardır:

  • Özel İstihdam Hizmetlerinin Yürütülmesi
  • Eğitim Hizmetlerinin Yürütülmesi
  • Danışmanlık Hizmetlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  • Eğitim Faaliyetlerinin Yürütülmesi
  • Erişim Yetkilerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • İletişim Faaliyetlerinin Yürütülmesi
  • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
  • Stajyerler İçin Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Taşınır Mal Ve Kaynakların Güvenliğinin Temini
  • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  • Yönetim Faaliyetlerinin Yürütülmesi
  • Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

15. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Şirketimiz kişisel verilerin saklanması için ilgili mevzuatta bir süre öngörülüp öngörülmediğini tespit eder. İlgili mevzuatta bir süre öngörülmüşse bu süreye riayet eder; bir sürenin öngörülmemiş olması takdirde kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verilerin işlenme amacı sona ermiş ve ilgili mevzuat ve/veya Şirketimizin belirlediği saklama sürelerinin sonuna gelinmişse yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilecektir. İleride kullanılabilme ihtimaline dayanılarak Şirketimiz tarafından kişisel veriler saklanmamaktadır.

16. GÜNEŞ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Kişisel veri aktarımlarında uygulanacak usul ve esaslar KVKK’nın 8. ve 9. maddelerinde düzenlenmiş olup kişisel veri sahibinin kişisel verileri ve özel nitelikli kişisel verileri yurtiçi ve yurtdışındaki üçüncü kişilere aktarılabilmektedir. Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemlerde dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,

• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

• Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,

• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncükişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,

• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleriiçin kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,

• Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukukigeçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünükoruması için zorunlu olması.

Şirketimiz tarafından kişisel verileriniz, kanunlarda açıkça öngörülmesi ve hukuki yükümlülüklerin yerine getirilmesi amacıyla Yetkili Kamu Kurum ve Kuruluşlarına, Şirket’in ticari faaliyetlerini yürütmesi için Şirket’in altyapı sağlayıcıları, eğitmenleri, hizmet aldığı üçüncü kişiler, seyahat acenteleri, e-arşiv ve e-fatura hizmeti veren tüzel kişiler, e-arşiv hizmeti veren tüzel kişiler, internet sitelerimiz için alınan sunucu hizmeti, sigorta şirketleri, bankalar/finansman şirketleri, alacakların tahsili amacıyla tahsil alacak şirketleri, işyeri hekimi, vekalet ilişkisi içerisinde olduğumuz gerçek ve tüzel kişiler ile paylaşılabilecektir.

Ancak, her halükarda KVKK’da sayılan istisna haller hariç olmak üzere kişisel veriler kişisel veri sahibinin açık rızası olmaksızın aktarılamaz. Bu nedenle Şirketimiz tarafından kişisel veri sahibinin açık rızasına tabi bir veri aktarımı mevcut olduğu durumlarda kişisel veri sahibinin açık rızası olmaksızın kişisel veriler üçüncü kişilere aktarılmamakta, herhangi bir şekilde paylaşılmamaktadır.

17. KİŞİSEL VERİLERİN İŞLENMESİ

17.1. Kişisel Verilerin İşlenmesi

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca biridir. Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

İşlenme Şartları

Kapsamı

Örnek

Kanun Hükmü

Vergi Mevzuatı, İş Mevzuatı,Ticaret Mevzuatı vb.

Çalışana ait özlük bilgilerinin mevzuat gereği tutulması gerekir.

Sözleşmenin İfası

İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb.

Teslimat yapılması için şirketin

adres bilgilerinin kaydedilmesi.

Fiili İmkânsızlık

Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi.

Bilinci kapalı kişinin iletişim veya adres bilgisi. Kaçırılan bir kişinin konum bilgisi.

Veri Sorumlusunun Hukuki Sorumluluğu

Mali Denetimler, Güvenlik Mevzuatı,

Bankacılık, Enerji, Sermaye Piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması.

Sektör Odaklı Regülâsyonlarla Uyum.

Aleniyet Kazandırma

İlgili kişinin kendisine ait bilgileri umumun bilgisine sunması.

Kişinin, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi.

Hakkın Tesisi, Korunması, Kullanılması

Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler.

İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.

Meşru Menfaat

Veri sahibinin temel haklarına zarar gelmemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenebilir.

Çalışan bağlılığını artıran ödül ve primler uygulanması amacıyla veri işlenmesi.

18. GÜNEŞ OFİS, BİNA VE FİZİKSEL YERLEŞKELERİNDEKİ GİRİŞLERİ İLE BU ALANLAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

GÜNEŞ tarafından güvenliğin sağlanması amacıyla, GÜNEŞofis, bina ve fiziksel yerleşkelerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle GÜNEŞ tarafından kişisel veri işleme faaliyeti yapılmaktadır.

GÜNEŞ, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. GÜNEŞ tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

18.1. GÜNEŞ Ofis, Bina ve Fiziksel Yerleşkelerinde Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

GÜNEŞ tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, GÜNEŞofis, binave fiziksel yerleşkelerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak GÜNEŞ binalarına gelen kişilerin kimlik verileri elde edilirken ya da GÜNEŞ nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

18.2. GÜNEŞ Ofis, Bina ve Fiziksel YerleşkelerindeZiyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması

GÜNEŞ tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, ofis, binave fiziksel yerleşkeleri içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya GÜNEŞ içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.

19. KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI

Türk Ceza Kanunu’nun 138. maddesinde, KVK Kanunu’nun 7. maddesinde ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde GÜNEŞ’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. GÜNEŞ bu konuda yönetmelik hükümlerine göre bir prosedür oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha etmektedir. Bu yönetmelik uyarınca GÜNEŞ tarafından periyodik olarak imha edilmektedir.

20. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI

GÜNEŞ, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.GÜNEŞ, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

20.1. Veri Sahibinin Hakları ve Bu Haklarını Kullanması

20.1.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

a. Kişisel veri işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,

h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

20.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda 20.1.1.’de sayılan haklarını ileri süremezler:

a. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

b. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

d. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 20.1.1.’de sayılan diğer haklarını ileri süremezler:

a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

b. Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

20.1.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Veri Sahibi Başvuru Formu’nu doldurup imzalayarak GÜNEŞ ’e ücretsiz olarak iletebileceklerdir.

KVKK ’da belirtilen haklarınızı kullanmak için www.gunesinsankaynaklari.com adresinde bulunan Veri Sahibi Başvuru Formu’nun doldurulduktan sonra Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde Barış Mahallesi İzmir Yolu Caddesi No:190/14 Kaya İş Merkezi Nilüfer / BURSA / TÜRKİYE adresine yazılı olarak iletmek suretiyle kullanılabilir. Başvurular Türkçe yapılmalıdır.

Yukarıda sayılan başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru Usulleri Hakkında Tebliğ uyarınca başvuruda, ilgili kişinin;

a) Ad, soyad ve başvuru yazılı ise imza,

b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

d) Talep konusu,

bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir. Başvuru formu doldurmadan yapılacak başvurularda burada sayılan hususların eksiksiz olarak GÜNEŞ ’a iletilmesi gerekmektedir.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

21. GÜNEŞ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

GÜNEŞ,  işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu Kişisel verilerin korunması ve işlenmesi konusunda kaleme alınmış/alınacak temel politika, prosedür ve talimatlar bu Politika ile ilişkilendirilmiştir. Bu politika, prosedür ve talimatların GÜNEŞ  ‘in diğer alanlarda yürüttüğü temel süreçleri ile de bağı kurularak, GÜNEŞ benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında uyum sağlanmaktadır.

22. GÜNEŞ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

GÜNEŞ tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Politikası'nın yürürlüğünü sağlamak için yönetim yapısı ve sistematiği kurulmuştur.

İşbu Politika, gerekli görüldüğü hallerde Şirket tarafından revize edilebilir. Revizyonun söz konusu olduğu hallerde, Politikanın en güncel haline Şirket’in internet sitesinde yer verilecektir.

Revizyon Tarihi: 01.01.2020

GÜNEŞ Özel İstihdam Hizmetleri İnsan Kaynakları Danışmanlığı ve Eğitim Ltd. Şti (Veri Sorumlusu)

Barış Mahallesi İzmir Yolu Caddesi No:190/14 Kaya İş Merkezi Nilüfer / BURSA / TÜRKİYE

MersisNo : 0434106286500001

EK-1 TANIMLAR

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme : Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Başvuru Formu : Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”.

Çalışan Adayı : GÜNEŞ’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini açmış olan gerçek kişiler.

İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve YetkilileriGÜNEŞ’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.

İş Ortağı : GÜNEŞ’in ticari faaliyetlerini yürütürken bizzat veya Grup Şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi. Örneğin; müşteri, personel,

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.

Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Tedarikçi : GÜNEŞ’in ticari faaliyetlerini yürütürken GÜNEŞ ’in emir ve talimatlarına uygun, sözleşme temelli olarak GÜNEŞ ’e hizmet sunan taraflar.

Üçüncü Kişi : Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişiler (Örn. Aile bireyleri, eski çalışanlar).

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. Örneğin, tedarikçiler, hukuk müşavirleri, GÜNEŞ ’in verilerini tutan bulut bilişim firması,

Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi. Bu politika kapsamında GÜNEŞ Özel İstihdam Hizmetleri İnsan Kaynakları Danışmanlığı ve Eğitim Ltd. Şti veri sorumlusudur.

Verilerin Silinmesi : Şirket içindeki tüm ilgili kullanıcıların, kişisel veriye erişimin engellenecek şekilde şifrelenmesi ve sadece veri koruma sorumlusunun bu şifreye sahip olması durumunu ifade etmektedir.

Verilerin Yok edilmesi : Kişisel verinin bir daha geri döndürülemeyecek bir biçimde fiziksel olarak veya teknolojik yöntemlerle tamamen ortadan kaldırılması durumunu ifade etmektedir.

Ziyaretçi: GÜNEŞ ’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.