Kişisel Verilerin Korunması Ve İşlenmesine İlişkin Prosedür

Kişisel Verilerin Korunması Ve İşlenmesine İlişkin Prosedür

1. AMAÇ

Parkkonak İnşaat Anonim Şirketi (“Şirketimiz” veya “Parkkonak”) olarak faaliyetlerimiz kapsamında işlemekte olduğumuz, çalışanlarımız, stajyerlerimiz, şirket yetkililerimiz, temsilcilerimiz, çalışan ve stajyer adaylarımız, Şirket ve internet sitesi ziyaretçilerimiz,  müşterilerimiz, dış hizmet sağlayıcılarımız, tedarikçilerimiz, tüm iş ortaklarımızın irtibat kişileri, şirket pay sahipleri, yöneticileri ve sair üçüncü kişilere ait kişisel verilerin korunmasına hassasiyetle yaklaşmaktayız.

Bu nedenle, faaliyetlerimiz kapsamındaki kişisel veri işleme süreçleri, Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun olarak hazırlanan işbu Parkkonak Kişisel Verilerin Korunması ve İşlenmesi Prosedürü’nde (“Prosedür”) yer alan usul ve esaslara uygun şekilde gerçekleştirilecektir.

İşbu Prosedür, faaliyetlerimiz sırasında elde edilen kişisel verilerin KVKK’da anılan ilkeler çerçevesinde işlenmesine dair izlediğimiz yöntemleri açıklamaktadır.

2. KAPSAM

KVKK ve ilgili mevzuat uyarınca, Parkkonak tarafından gerçekleştirilen tüm kişisel veri işleme süreçleri işbu Prosedür’ün kapsamındadır.

3. TANIM VE KISALTMALAR

İşbu Prosedür kapsamında;

  • Parkkonak veya Şirket: Parkkonak İnşaat Anonim Şirketi’ni
  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onayı,
  • Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
  • Çalışan: Parkkonak personelini,
  • Çalışan Adayı: Parkkonak’a iş başvurusunda bulunmuş olan kişileri,
  • İlgili Kişi (kişisel veri sahibi): Kişisel verisi işlenen gerçek kişileri,
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • Veri İşleyen: Veri Sorumlusu’nun verdiği yetkiye dayanarak Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
  • KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,
  • KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu,
  • KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Korunması Kanunu’nu ve
  • Prosedür: Parkkonak Kişisel Verilerin Korunması ve İşlenmesi Prosedürü’nü

ifade eder.

4. ROL VE SORUMLULUKLAR

4.1 Yönetim Kurulu
Yönetim Kurulu, Politika’ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.

4.2 Operasyon Yönetimi
İşbu politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden sorumludur. Bu poitikayı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir. Hazırlanan dökümanların şirket içinde ve internet sitesinde yayımlanması Operasyon Yönetimi sorumluluğundadır.

4.3 Tüm Çalışanlar
Şirketimizin tüm çalışanları, KVK Politikalarına hâkim olmakla ve bunların içeriğinde yer alan kuralları uygulamakla yükümlüdür. Bu bağlamda Şirketimizin tüm çalışanları, KVK Operasyon Yönetimi ve İrtibat Kişisi ile uyumlu bir çalışma sürdürür, KVK Politikasını iyileştirmeye yönelik geri bildirimler yapar ve işbirliği içerisinde hareket eder. KVK Politika ve Prosedürleri’ne aykırılık halinde, İş Kanunu ve ilgili yasalar çerçevesinde gerekli yasal yollara başvurulacaktır.

5. HUKUKİ YÜKÜMLÜLÜKLER

Veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamındaki hukuki yükümlülüklerimiz aşağıda sıralanmaktadır.

5.1 Aydınlatma yükümlülüğümüz

Veri sorumlusu olarak kişisel verileri elde ederken;

●   Kişisel verilerinizin hangi amaçla işleneceği,

●   Kimliğimiz, varsa temsilcimizin kimliğine ilişkin bilgiler,

●   İşlenen kişisel verilerinizin kimlere ve hangi amaçla aktarılabileceği,

●   Verileri elde etme yöntemimiz ve hukuki sebebi ve

●   Kanundan doğan haklar

hususlarında ilgili kişiyi aydınlatma yükümlülüğümüz bulunmaktadır.

Söz konusu aydınlatma metinlerinin ilgili kişiler açısından anlaşılır ve kolay erişilebilir olmasına özen gösterilecektir.

Söz konusu aydınlatma yükümlülüğümüz gereği, ilgili kişileri bilgilendirmek üzere hazırlanan aydınlatma metinleri, yeni bir veri işleme sürecinin gündeme gelmesi halinde güncellenecektir.

5.2 Veri güvenliğini sağlama yükümlülüğümüz

Veri sorumlusu olarak uhdemizde bulunan kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almakla yükümlüyüz. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler işbu Prosedür’ün 11. bölümünde detaylandırılmaktadır.

6. KİŞİSEL VERİLERİN SINIFLANDIRILMASI

6.1 Kişisel Veriler

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Bu bağlamda kişiyle ilişkilendirildiği takdirde kişinin kimliğini belirlemeye yarayan her türlü bilgi kişisel bilgi olarak kabul edilecektir.

Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler KVKK’nın kapsamı dışında bırakılmıştır. Bu nedenle işbu Prosedür tüzel kişilere ait verilere uygulanmaz.

6.2 Özel Nitelikli Kişisel Veriler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

7. KİŞİSEL VERİLERİN İŞLENMESİ

7.1 Kişisel Verileri İşleme İlkelerimiz

Kişisel veriler aşağıdaki ilkelere uygun şekilde işlenecektir:

7.1.1 Hukuka ve dürüstlük kurallarına uygun işleme

Kişisel veriler, dürüstlük kurallarına uygun, şeffaf yöntemlerle ve aydınlatma yükümlülüğümüz çerçevesinde işlenecektir.

7.1.2 Kişisel verilerin doğruluğunu ve gerektiğinde güncel olmasını sağlama

İşlenen verilerin doğru ve güncel olmasını sağlamak için ilgili kişiye kişisel verilerini güncellemesi ve var ise işlenen verilerindeki hataları düzeltmesi için başvuruda bulunma olanağı sunulacaktır.

7.1.3 Belirli, açık ve meşru amaçlarla işleme

Kişisel veriler, kapsamı ve içeriği açıkça belirlenmiş faaliyetlerimizi mevzuata uygun olarak ve hayatın olağan akışının gerektirdiği çerçevede sürdürmek için belirlenen meşru amaçlarımız dâhilinde işlenecektir.

7.1.4 Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması

Kişisel veriler, belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenecektir.

Hedeflenen amacın gerçekleşmesi ile ilgili olmayan veya amacın gerçekleşmesi için işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılacaktır. Elde edilen kişisel verilerin, halihazırdaki veri işleme amaçlarından başka amaçlarla kullanılma ihtiyacının doğması halinde, tekrardan yeni bir veri işleme süreci gündeme gelecek ve söz konusu süreç, veri işlemeye ilk kez başlanıyor gibi KVKK’da öngörülen işleme şartları kapsamında gerçekleştirilecektir.

7.1.5 Kişisel verilerin kanuni düzenlemelerde öngörülen veya meşru menfaatlerimizin gerektirdiği süreler boyunca saklanması

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel veriler ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süreler boyunca saklanacaktır.

Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel veriler, Parkkonak Veri Saklama ve İmha Politikası uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir. 

7.2 Kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi

7.2.1 Kişisel verilerin açık rıza alınması yoluyla işlenmesi

Mevzuat gereği, kişisel veriler, işbu Prosedür’ün 7.2.2. maddesinde anılan hukuka uygunluk nedenlerinin bulunmaması halinde, ilgili kişinin açık rızası olmaksızın işlenemez. Açık rıza, KVKK’ da “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. İşlenen verilerin özel nitelikli kişisel veri olması durumunda ise işbu Prosedür’ün 7.2.3. maddesinde yer alan açıklamalar geçerli olacaktır.  

7.2.2 Kişisel verilerin işlenmesinde açık rızanın aranmadığı haller

Aşağıda sayılan hallerde kişisel veriler açık rıza aranmaksızın işlenebilecektir:

  • Kanunlarda açıkça öngörülmesi

İlgili kişinin kişisel verileri, kanunlarda açıkça öngörüldüğü hallerde hukuka uygun olarak işlenebilecektir (Örneğin, çalışana ait özlük bilgilerinin kanun gereği tutulması).

  • Fiilî imkânsızlık sebebiyle ilgilinin açık rızasının alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerin işlenmesinin zorunlu olması durumunda kişisel veriler açık rıza olmaksızın işlenebilecektir (Örneğin, kaçırılan ya da kayıp kişinin konum bilgisi).

  • Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde açık rıza alınmaksızın kişisel verilerin işlenmesi mümkündür (Örneğin, teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi).

  • Bir hukuki yükümlülüğün yerine getirilebilmesi için zorunlu olması

Bir hukuki yükümlülüğün yerine getirilebilmesi için işlenmesi zorunlu olan kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenebilecektir (Örneğin, çalışanın sigorta girişinin yapılması).

  • İlgili Kişi’nin kendisi tarafından alenileştirilmiş olması

İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel veriler açık rıza aranmaksızın işlenebilecektir (Örneğin, iş teklifleri için kişinin iletişim bilgilerini LinkedIn üzerinden yayınlaması).

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler açık rıza aranmaksızın işlenebilecektir (Örneğin, işten ayrılan bir çalışana ait gerekli bilgilerin dava zamanaşımı boyunca saklanması).

  • Meşru menfaatler kapsamında veri işlemenin zorunlu olması

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Parkkonak’ın meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da kişisel veriler açık rıza aranmaksızın işlenebilecektir. (Örneğin, çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verileri açık rıza aranmaksızın işlenebilecektir.)

7.2.3 Özel nitelikli kişisel verilerin işlenmesi

Özel nitelikli kişisel veriler (sağlık ve cinsel hayata ilişkin veriler hariç), KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınarak, ilgili kişinin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde işlenecektir.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir.

7.2.4 İnsan kaynakları ve istihdam amaçlarıyla elde edilen kişisel verilerin işlenmesi

İşe alım süreçlerinde özgeçmiş veya başvuru mektupları vasıtasıyla Parkkonak ile paylaşılan kişisel veriler iş başvurusunun incelenmesi amacıyla işlenmektedir ve adayın açık rızasının bulunması halinde Parkkonak bünyesinde gelecekte açılacak pozisyonlarda değerlendirilmesi amacıyla gerekli süre boyunca güvenli alanlarda saklanacaktır. Çalışan adayının paylaştığı kişisel verilerin işlenmesi işbu Prosedür’de belirtilen ilke ve kurallar uyarınca gerçekleştirilecektir.

Çalışan ve stajyer adaylarına ait kişisel veriler:

  • Çalışan adayının açık pozisyona uygunluğunu değerlendirmek,
  • Çalışan adayının vermiş olduğu bilgi ve belgelerin doğruluğunu teyit etmek veya çalışan adayı hakkında araştırma yapmak,
  • Başvurusu ile alakalı olarak çalışan adayı ile iletişime geçmek,
  • Hukuki yükümlülükleri veya yetkili kurum veya kuruluşların taleplerini karşılamak,
  • İnsan Kaynakları Politikamızı geliştirmek,
  • İnsan Kaynakları faaliyetleri kapsamında gerçekleştirilen eğitim, oryantasyon, araç ve cihaz tahsisi, performans değerlendirme, işten ayrılma gibi süreçlerin yönetimini sağlamak,
  • Şirket sistemlerine girişlerinin sağlanması için çalışanların kullanıcı hesaplarının oluşturulması,
  • Parkkonak’ın kanundan kaynaklanan işi gözetim hakkı ile iş sağlığı ve güvenliğini sağlamaya yönelik yükümlülüklerin yerine getirebilmesi

amaçlarıyla aşağıdaki araç ve yöntemlerle elde edilebilmektedir:

  • Yazılı, elektronik ortamda temin edilen başvuru formu,
  • Çalışan adaylarının Parkkonak’a elektronik posta, posta vb. yöntemlerle iletmiş oldukları özgeçmişler,
  • İstihdam veya danışmanlık şirketleri,
  • Üniversiteler,
  • Mülakat esnasında,
  • Çalışan adayı tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ve araştırmalar,
  • İşe alım testleri
  • Şirket içi süreçlerin yönetimi kapsamında kullanılan formlar.

Çalışanlarımız ve çalışan adayları kişisel verilerinin işlenmesine ilişkin kurallarla alakalı olarak Çalışanlara Yönelik Aydınlatma Beyanı ve Çalışan Adaylarına Yönelik Aydınlatma Beyanı aracılığıyla detaylı şekilde bilgilendirilmektedirler.

İlgili faaliyetler kapsamında yeni bir işleme sürecinin gündeme gelmesi halinde, işlenecek veri kategorisine göre İşbu Prosedür’ün 7.2. maddesinde anılan işleme şartları uyarınca, kullanılan aydınlatma metinleri güncellenecek ve söz konusu işleme şartları uyarınca ilgili kişiden açık rıza alınması gereken hallerde, KVKK ve ilgili mevzuata uygun olarak hazırlanan muvafakatnameler aracılığıyla ilgili veri işleme faaliyetine ilişkin açık rızalar alınacaktır.

7.2.4.1 18 yaşın altındaki stajyer adaylarına ait kişisel verilerin işlenmesi

Şirketimiz’e staj için başvuruda bulunan 18 yaşın altındaki adaylara ait kişisel verilerin, başvurularının değerlendirilmesi ve başvurunun olumlu sonuçlandırılması halinde staj süresi boyunca, işlenmesi kapsamında işbu Prosedür’ün 5.1. maddesinde anılan aydınlatma yükümlülüğümüz gerek adaya gerekse de adayın velisi/yasal temsilcisine karşı yerine getirilecektir. Buna ek olarak 7.2.1. maddede anılan açık rıza adayın velisi/yasal temsilcisinden alınacaktır.

7.2.4.2 18 yaşın altındaki stajyer adaylarının kişisel verileri üzerindeki hakları

İşbu Prosedür’ün 12. maddesi altında düzenlenen ilgili kişiye ait haklar, Parkkonak İlgili Kişi Başvuru ve Taleplerin Yönetimi Prosedürü’nde yer alan usul ve esaslar uyarınca, adayın velisi/yasal temsilcisi aracılığıyla kullanılabilecektir.

Söz konusu başvuruyu gerçekleştiren veli veya yasal temsilci, başvurularına kanuni temsilcilik sıfatlarını kanıtlayacak nitelikte belgeler (ör. çocuğun nüfus cüzdanı fotokopisi, vesayet kararı vb.) eklemelidir.

8. KİŞİSEL VERİLERİN AKTARILMASI

8.1 Kişisel verilerin yurt içine aktarımı

Özel nitelikli kişisel verilerin haricindeki kişisel veriler işbu Prosedür’ün 7.2.2. maddesinde anılan hukuka uygunluk nedenlerinin varlığı halinde ilgili kişinin açık rızası aranmaksızın, söz konusu hallerin mevcut olmadığı durumlarda ise ilgili kişinin aktarıma ilişkin açık rızası alınarak aktarılacaktır.

Özel nitelikli kişisel veriler ise işbu Prosedür’ün 7.2.3. maddesinde öngörülen ve işlemeyi mümkün kılan hallerin varlığı halinde aktarılabilecektir. 

8.1.1 Kişisel verilerin yurt dışına aktarımı

Kişisel veriler kural olarak İlgili Kişi’nin açık rızası olmaksızın yurt dışına aktarılamaz. Bununla birlikte, özel nitelikli kişisel veriler için işbu Prosedür’ ün 7.2.3. maddesinde yer alan, diğer kişisel veriler için ise Prosedür’ün 7.2.2. maddesinde anılan hukuka uygunluk nedenlerinden birisinin varlığı halinde, yurt dışında bulunan üçüncü kişilerin;

  • KVK Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması veya
  • Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması

koşuluyla kişisel veriler açık rıza olmaksızın yurt dışına aktarılabilecektir.

9. KİŞİSEL VERİLERİN SAKLANMASI

9.1 Kişisel verilerin mevzuatta öngörülen süre veya işlendikleri amaç için gerekli olan süre kadar saklanması

Kişisel verileriniz mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca ve Parkkonak Kişisel Veri Saklama ve İmha Politikası kapsamında saklanacaktır.

Bu anlamda kişisel veri işleme gerektiren süreçler kapsamında, faaliyeti gerçekleştiren birim tarafından işlenen kişisel veri için bir saklama süresi belirlenecektir.

Kişisel verilerin birden fazla amaç ile işlenmesi halinde, kişisel verilerin işleme amaçlarının hepsinin ortadan kalkması veya ilgili kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler silinir, yok edilir veya anonim hale getirilerek saklanır. Silme, yok etme veya anonim hale getirme hususlarında mevzuat hükümleri ve KVK Kurulu kararlarına uyulur.

10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kişisel veriler,

  • İşleme amaçlarımızın tamamen sona ermesi veya
  • İlgili kişinin talebi halinde, mevzuatta bir engel olmaması durumunda silinir, yok edilir veya anonim hale getirilir.

Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat hükümleri saklı kalmak kaydıyla Parkkonak Kişisel Veri Saklama ve İmha Politikası kapsamında gerçekleştirilecektir.

Parkkonak, aksi Kurul tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde ise uygun yöntem gerekçesi açıklanarak seçilecektir.

11. KİŞİSEL VERİLERİN GÜVENLİĞİ

11.1 Kişisel verilerin güvenliğine ilişkin yükümlülüklerimiz

Parkkonak olarak;

●    Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

●    Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve

●    Kişisel verilerin hukuka uygun olarak saklanmasını sağlamak

için teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler almakla yükümlüyüz.

Bu kapsamda, Parkkonak olarak aldığımız tedbirler işbu Prosedür’ün 11.1.1 ve 11.1.2 maddelerinde sıralanmaktadır:

11.1.1 Teknik Tedbirler

  • Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasına yönelik güvenlik duvarı ve ağ geçidinin sağlanması,
  • Kullanılan her türlü yazılım ve donanımın belirli periyodlar halinde yapılandırma işlemlerine tabi tutulması,
  • Kişisel veri içeren sistemlere erişimin politika ve prosedürler vasıtasıyla sınırlandırılması,
  • Kötü amaçlı yazılımlardan korunmak için bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden ürünlerin kullanılması,
  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
  • Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
  • Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
  • Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
  • Çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
  • Kişisel veri içeren ortamların güvenliğinin sağlanması,
  • Kullanılan bulut sisteminde hizmet sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterliliği ve uygunluğunun değerlendirilmesi,
  • Bilgi teknolojileri sistemleri tedariki, geliştirme ve bakımına özen gösterilmesi.

11.1.2 İdari Tedbirler

  • İşlenen tüm kişisel verilerin neler olduğunu ve bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenmesi,
  • Kişisel veri güvenliğine zarar verebilecek saldırılar sonucunda, çalışanların ilk müdahaleyi yapmasını sağlamaya yönelik farkındalık eğitimleri verilmesi,
  • Kişisel verilerin işlenmesine yönelik olası risklerin önceden belirlenebilmesi ve istikrarlı bir şekilde önlem alınabilmesine yönelik Şirket politika ve prosedürlerin belirlenmesi,
  • Kişisel verilerin doğru ve güncelliğinden emin olarak, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi,
  • Parkkonak’ın veri sorumlusu sıfatını haiz olduğu veri işleme faaliyetlerinde başka bir veri işleyenin bulunması halinde bu kişiler tarafından en az Parkkonak tarafından sağlanan güvenlik seviyesinin sağlandığından emin olunması.

11.1.3 Çalışanlara ilişkin sorumluluklar

Şirket faaliyetleri kapsamında gerçekleştirilen veri işleme faaliyetlerinde veri işleyen sıfatını haiz Parkkonak çalışanları söz konusu kişisel veri işleme süreçlerinde, İşbu Prosedür’de anılan usul ve esaslar kapsamında aşağıda anılan hususlara dikkat etmekle yükümlüdürler:

  • Kişisel veriye erişimi bulunan bütün çalışanlar işbu Prosedür ve ilgili diğer prosedürler kapsamında belirtilen usul ve esaslara uygun hareket etmelidir.  
  • Çalışanlar, KVKK’da belirtilen kişisel verilerin korunması ilkelerine uygun veri işleme faaliyetinde bulunmalıdır. 
  • Çalışanlar, ilgili kişinin kişisel verilerini elde ederken,
    • Kişisel verilerin hangi amaçla işleneceği,
    • Veri sorumlusu ve varsa temsilcisinin kimliğine ilişkin bilgiler,
    • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
    • Verileri elde etme yöntemi ve hukuki sebebi ve
    • Kanundan doğan haklar

hususlarında ilgili kişiye aydınlatma yapıldığından emin olmalıdır.

  • Çalışanlar, açık rıza gerekmeksizin kişisel verilerin işlenmesi hallerinden biri söz konusu değilse, ilgili kişinin kişisel verilerini işlemeden önce açık rızasının alındığından emin olmalıdır.
  • Çalışanlar, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için her türlü teknik ve idari tedbirleri almalıdır.
  • Çalışanlar, veri aktarımının aktarım amacına uygun ve amacını aşmayacak şekilde yapılmasını sağlamalıdır.  
  • Çalışanlar, veri aktarımı sırasında kişisel verilerin yetkisiz kişiler tarafından erişilmediğinden emin olmalıdır.
  • Çalışanlar, veri işleme faaliyetini gerekli kılan amaçlar kapsamında ve bunların sınırları aşılmadan veri işleme faaliyetinde bulunmalıdır.
  • Çalışanlar bir kişisel veri ihlalinin farkına varması durumunda, şirket içindeki yetkili kişileri derhal bilgilendirmelidir.

12. İLGİLİ KİŞİ’NİN HAKLARI

İlgili kişi, KVKK’nın 11. maddesi uyarınca Şirketimize aşağıdaki konulara ilişkin başvuru ve taleplerini yöneltme hakkına sahiptir:

  • Kişisel verilerinin Şirketimiz tarafından işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verisinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verisinin silinmesi, yok edilme veya anonim hale getirilmesini isteme,
  • 4 ve 5. işlemlerin, kişisel verisinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Anılan haklara ilişkin ilgili kişi tarafından Şirket’e yönlendirilen başvuru ve taleplere ilişkin süreçler Parkkonak İlgili Kişi Başvuru ve Talepleri Yönetimi Prosedürü’nde yer alan usul ve esaslar uyarınca gerçekleştirilecektir.

13. PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI

İşbu Prosedür basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır.

Islak imzalı nüshalar ve kontrollü kopyalar Operasyon Yönetimi’nde saklanır ve gerektiğinde Yönetim Kurulunun yazılı onayı ile Operasyon Yönetimi tarafından imha edilir.

14. GÜNCELLEME SIKLIĞI

İşbu Prosedür herhangi bir bildirimde bulunmaksızın yılda en az bir kez gözden geçirilir ve ihtiyaç halinde güncellenir.

15. YÜRÜRLÜK

İşbu Prosedür, Parkkonak İnşaat A.Ş. internet sitesinde  ( www.parkkonak.com.tr/ ) yayımlanmasının ardından yürürlüğe girmiş kabul edilir.