DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. (“Firma”) kişisel verilerin korunması hakkını güvence altında tutabilmek için, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. Kişisel verilerin Korunması, Saklanması, İşlenmesi ve İmhası politikası (“Politika”), DNS tarafından KVK mevzuatına uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına, saklanmasına ve imhasına yönelik uygulanan yöntem ve esasları açıklamak, bu kapsamda DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, müşteriler, potansiyel müşteriler, şirket hissedarları, şirket yetkilileri, ve diğer üçüncü kişilere ait kişisel verilerin gerçekleştirilmekte olan işleme, saklama, koruma ve imha faaliyetlerine ilişkin iş ve işlemler konusunda bilgilendirilerek şeffaflığı sağlamak amacıyla hazırlanmıştır.
Bu politika, kişisel verilere ilişkin mevzuat çerçevesinde kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasa’da KVK kanun ve yönetmeliklerinde öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması amaçlanarak hazırlanmış olup; çalışanlarımızın, potansiyel dahil tüm müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, tedarikçilerimizin ve işbirliği içinde olduğumuz diğer firmaların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Politika, aşağıdaki ilgili mevzuat tarafından ortaya konulan kuralların DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
• Veri Sorumluluğu Sicil Yönetmeliği
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ
• Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ
• Kurul Kararları
| Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ |
10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete ‘de yayımlanarak
yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde
Uyulacak Usul ve Esaslar Hakkında Tebliğ |
| Çalışan Adayı | Şirket ’e CV göndererek, bizzat iş başvuru formu doldurarak veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade etmektedir. |
| Çalışan | DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. Çalışanları |
| EBYS | Elektronik Belge Yönetim Sistemi |
| Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. |
| Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
| Hizmet Sağlayıcı | DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. . ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
| İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu
organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| İş Ortağı | DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. . ’nin ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar. |
| Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
| Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri
işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
| Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
|
Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik |
21.06.2019 tarihli ve 30808 sayılı Resmi Gazete’ de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik |
| Kurul | Kişisel Verileri Koruma Kurulu |
| Müşteri | DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. sunduğu ürün ve hizmetlerden yararlanan gerçek kişiler |
| Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf
ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
| Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması durumunda kişisel verileri saklama ve imha
politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
| Politika | Kişisel verilerin Korunması, Saklanması, İşlenmesi ve İmhası politikası |
| Potansiyel Müşteriler | Şirket’in sunduğu ürün ve hizmetleri kullanma ilgisini gösteren, müşteriye dönüşme potansiyeli olan gerçek kişiler |
| Şirket/Firma | DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. |
| Tedarikçi | Şirkete mal ve hizmet sunan taraflar. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
| Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
|
Veri Sorumluları Sicil Bilgi Sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer
işlemlerde kullanacakları, internet üzerinden erişilebilen,
Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
| VERBİS | Veri Sorumluları Sicil Bilgi Sistemi |
| Veri Sahibi Başvuru Formu | Veri sahiplerinin, KVK Kanunu'nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu |
| Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Şirketimizin tüm bölüm ve çalışanları, sorumlu bölümlerce bu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, bölüm çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Aşağıda verilmiştir.
| Unvan | Birim | Görev |
|---|---|---|
|
Veri sorumlusu(KVK Komite başkanı) |
Genel Müdürlük | Çalışanların yasaya ve politikalara kaya uygun hareket etmesinin sağlanması ve gerekli altyapının oluşturulmasından |
| Kvk Temsilcisi | Genel Müdürlük | Kişisel verilerin korunması kanununun uygulanmasından sorumlu |
| İK yöneticisi | İK Birimi |
IK süreçlerinin kanuna uygun yürütülmesi Politikaların’nın
hazırlanması, geliştirilmesi, yürütülmesi, güncellenmesinden sorumludur |
| Yönetim Sistemi Temsilcisi | Kalite Birimi |
Politikaların’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili
ortamlarda yayınlanması ve güncellenmesinden sorumludur |
| IT sorumlusu | IT Birimi | Bilgi Teknolojileri ve veri güvenliğinden politikaların uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından |
|
Her Birim/Bölüm Amiri/ Sorumlusu |
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. | |
|
Veri işleyen çalışanlar(Envanterde belirlenmiştir.) |
Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. kişisel verileri Kanun ve ilgili diğer düzenlemelerde öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, Şirket tarafından kişisel veriler işlenirken Kanunda yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. kişisel verilerin işlenmesinde hukukun genel ilkeleri, uluslararası sözleşmeler, Anayasa, başta Kişisel Verilerin Korunması Kanunu olmak üzere diğer tüm kanunlar ve ikincil düzenlemelerle dürüstlük kuralına uygun hareket etmektedir
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. .tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine kişisel verilerinin güncellenmesi konusunda gerekli imkânlar tanınmaktadır. Şirketimiz bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmuştur. Kişisel Veri Sahipleri Politika EK-2 de belirtilmiştir.
Veri işleme DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından yalnızca açık ve kesin olarak belirlenen meşru amaçlarla, kişisel veri işleme faaliyeti başlamadan önce belirlenmiş olan açık ve hukuka uygun amaçlar dahilinde yürütülmektedir. Bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Şirket yalnızca veri sahipleriyle kurulan ilişki ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. kişisel verileri faaliyetlerinin yürütülmesi için gerekli olan amaçlar dahilinde ve belirlenen amaçların gerçekleştirilebilmesine elverişli olarak işlemektedir. Bu sebeple Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve Kişisel Verilerin Saklaması ve İmha Politikasında belirtilen süre kadar saklamaktadır. Şirket, kişisel veri envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri kullanılarak silinmekte, yok edilmekte veya anonimleştirilmektedir. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı Kanunun 5nci maddesinde sayılmış olan ve aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, bu Politikanın (Özel Nitelikli Kişisel Verilerin İşlenmesi) bölümü içerisinde yer alan şartlar uygulanacaktır.
Kişisel verilerin işlenmesinin asıl şartı veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak özgür iradeyle onay vermesidir.
Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunlarda, yönetmeliklerde ve diğer düzenlemelerde kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. Örnek: Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik m.5
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: Baygınlık geçiren müşterinin kan grubu bilgisinin arkadaşları tarafından doktorlara verilmesi ya da Şirketimiz sınırları içinde rahatsızlık geçiren ziyaretçinin revire kaldırılması ve iletişim bilgilerinin kaydedilmesi.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, kişisel veriler, ilgili kişinin açık rızası olmaksızın da işlenebilecektir. Örnek; Şirketimiz ürünlerini satın alan müşterinin fatura bilgilerinin alınması ya da ürün satılan müşteriye satılan ürünün gönderilebilmesi için iletişim bilgilerinin işlenmesi.
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun.
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler sadece alenileştirme amacıyla sınırlı olarak işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek: İşverene karşı dava açan iş sözleşmesi feshedilen eski çalışanın kişisel verilerinin dava sırasında işlenmesi.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir. Örnek: Ziyaretçi kayıtları tutulması ve kamera kaydı alınması.
Çalışanlara/stajyerlere ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Şirket tarafından belirlenen başka amaçlarla işlenebilmesi için, halihazırda Şirket çalışanı bulunan kişilere “Gizlilik Taahhütnamesi”nin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir.
Halihazırda Şirket çalışanı/stajyeri durumunda bulunmayan, işe alım/stajyer kabulü süreci olumlu şekilde tamamlanacak olan kişilere ilişkin kişisel verilerin işlenebilmesi için, ilgili kişiye imzalatılacak olan ve İş Sözleşmesine Kişisel Veri Koruma Maddesi”nin eklenmesi ile revize edilen iş sözleşmesinin bu haliyle imzalanması suretiyle aydınlatma yükümlülüğü yerine getirilecektir.
Çalışan adayları iş başvuru formunda, ve internet ortamındaki iş başvurusu bölümünde bulunan aydınlatma metinleri ile aydınlatılmaktadır.
DNS’ye ait internet sitelerinin bazılarında, bu siteleri ziyaret eden kişilerin bilgileri teknik vasıtlar ( cookies gibi) ya da üyelik aşamasında ziyaretçi tarafından paylaşılması sureti ile kaydedilebilmektedir.. Bu konuda bir değişiklik olduğunda site ziyaretçileri aşağıdaki şekilde bilgilendirilebilir:
“Sitemizi ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Kurabiyeler-cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir. DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar “DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. İnternet Sitesi Aydınlatma ” metinleri içerisinde yer almaktadır. https://www.dnsins.com/#kvkk ”
Web sitesinde Çerez kullanımından kaçınma hakkı, Çerez kullanımını devre dışı bırakma
Web sitesinde Çerez kullanmak istemiyen ziyaretçiler, Aydınlatma metinlerinde“Öncelikle tarayıcınızda Çerez kullanımını devre dışı bırakmanız, ardından bu web sitesiyle ilişkili olarak tarayıcınızda kaydedilmiş Çerezleri silmeniz gerekmektedir. Çerezlerin kullanımını önlemek için bu seçeneği istediğiniz zaman kullanabilirsiniz. Yukarıda belirtilen adımları izleyerek istediğiniz bir anda tarayıcınızın ayarlarını değiştirip bu web sitesinde kullanılan Çerezleri kısıtlayabilir, engelleyebilir ya da silebilirsiniz. Her tarayıcıda ayarlar farklı olsa da, Çerezler genellikle "Tercihler" ya da "Araçlar" menüsünde yer alır. Tarayıcınızda Çerezleri ayarlamak hakkında daha fazla bilgi için tarayıcının "Yardım" menüsüne bakın”
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından, Kanunda “özel nitelikli kişisel veri” olarak belirlenen kişisel verilerin işlenmesinde ve korunması için idari-teknik tedbirlerin alınmasında Kanunda ve 2018/10 sayılı Kurul Kararında öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. özel nitelikli kişisel verileri ancak veri sahiplerinin açık rızasını temin etmek suretiyle işlemektedir Kişisel veri sahibinin açık rıza vermesi haricinde özel nitelikli kişisel veri işleme faaliyetinin dayanağı Kanunun 6nci maddesinde sayılmış olan aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
Kanunun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kanuna uygun bir biçimde Şirket tarafından; özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
• Kişisel veri sahibinin açık rızası olması halinde,
• Kişisel veri sahibinin açık rızası yok ise; Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
• Görevlerinin bir gereği olarak ve görevleri esnasında Şirket adına Özel Nitelikli Kişisel Veri işlemekte olan çalışanlara işbu politikanın diğer maddelerinde sözü edilen hususları gözetmelerinin yanı sıra Veri Koruma Mevzuatı uyarınca GizlilikTaahhütnamesi imzalamaları gerekmektedir.
Anayasa’nın 20. maddesine göre, herkesin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkı vardır. Bu yükümlülük, kişisel verilerin ilgili kişiden elde edilmesi halinde elde etme anında, veri doğrudan veri sahibinden elde edilmiyor ise makul süre içinde ve her halükârda en geç ilk iletişim anında yerine getirilmektedir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. Kanun’un 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun olarak uygun olarak şekilde kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri aydınlatma metinleri ve levhaları vasıtasıyla (çalışan/stajyer, çalışan adayı,tedarikçi, ziyaretçi, internet sitesi ziyaretçisi vb.) bilgilendirmektedir.
Öte yandan, Kanunun 28/1 maddesinde sayılan ve Kanunun uygulama alanının dışında tutulması nedeniyle aşağıda sayılan durumlarda Şirket’in aydınlatma yükümlülüğü bulunmamaktadır.
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Bununla beraber, Kanunun 28/2 maddesi çerçevesince, Şirketin aydınlatma yükümlülüğü aşağıdaki hallerde de uygulama alanı bulmayacaktır.
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması
• Özel nitelikli kişisel very sahibinin aydınlatılması yükümlülüğü, kişisel verilerin ilgili kişiden elde edilmesi halinde elde etme anında, veri doğrudan veri sahibinden elde edilmiyor ise makul süre içinde ve her halükârda en geç ilk iletişim anında yerine getirilmektedir.
• DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. Kanun’un 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun olarak uygun olarak şekilde özel nitelikli kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, özel nitelikli kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. . Kanununun 10. maddesine uygun olarak kişisel verileri iş süreçlerinin gerektirmesi halinde kişisel verileri aşağıda sıralanan paydaşlara aktarılabilir.
Sözleşme İlişkisine bağlı olarak Veri İşleyenlere,
Kargo Şirketlerine
Ödeme Şirketlerine,
İş ortaklarına,
Banka ve sigorta şirketlerine Seyahat acentalarına,
Çalışanlara iş sağlığı ve güvenliği ile sağlık hizmeti sağlanan kurum ve kuruluşlara,
Otellere,
Eğitim firmalarına,
Tedarikçilerine ve tedarikçi çalışanlarına,
Hukuken yetkili kamu kurum ve kuruluşlarına,
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından kişisel verinin aktarılmasının şirket süreçleri sırasında gerekmesi halinde kişisel veri sahibinin açık rızasının alınması önceliklidir. Kişisel veri, kişisel veri sahibinin açık rızası olmaması ya da alınamaması halinde aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli idari ve teknik tedbirler ile güvenlik önlemleri alınmak suretiyle üçüncü kişilere aktarılabilecektir.
• Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
• Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
• Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) kişisel veri sahibinin açık rızasının bulunması halinde ya da yukarıda belirtilen şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke) aktarılabilecektir. Şirketimiz bu doğrultuda başta Kanunun 9. maddesinde öngörülen düzenleme olmak üzere diğer tüm düzenlemelere uygun hareket etmektedir.
DNS İNOVASYON SİSTEMLERİ VE TEKNOLOJİ A.Ş. tarafından özel nitelikli kişisel verinin aktarılmasının gerekmesi halinde kişisel veri sahibinin açık rızasının alınması önceliklidir. Kişisel veri, kişisel veri sahibinin açık rızası olmaması ya da alınamaması halinde Şirket tarafından işlenen Özel nitelikli kişisel veriler, bu Politika ’da belirtilen ilkelere uygun olarak ve Kurul’un belirlediği veya belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir.
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile kanunlarda ve diğer düzenlemelerde kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
• Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir.
Özel Nitelikli Kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) kişisel veri sahibinin açık rızasının bulunması halinde ya da yukarıda belirtilen şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun" Bulunduğu Yabancı Ülke) aktarılabilecektir. Şirketimiz bu doğrultuda başta Kanunun 9. maddesinde öngörülen düzenleme olmak üzere diğer tüm düzenlemelere uygun hareket etmektedir.
Görevlerinin bir gereği olarak ve görevleri esnasında, Şirket adına Kişisel Verileri işlerken, çalışanlarımızın işbu politikada yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir:
Kişisel Verilerin Veri Koruma Mevzuatı’na uygun bir şekilde, meşru yollarla ve adil bir biçimde işlenmesi gerekir.
Kişisel Verilerin sadece izin verilen ve açıklanan yasal amaçlar için işlenmesi gerekir.
Veri Sahibine açıklanmayan veya meşru olmayan bir amaç için kesinlikle veri işlenmemesi ve saklanmaması gereklidir.
Kişisel Verilerin işlenme amacı için yeterli olması, bu amaçla ilişkili ve bağlantılı olması ve işlenme amacına kıyasla aşırı miktarda veya sayıda olmaması gerekir.:
Kişisel Verilerin doğru ve gerçek olması ve gerektiğinde güncellenmesi gerekir.
Herhangi bir amaçla işlenen ve kullanılan Kişisel Verilerin bu amaç için gerekli olan süreden daha uzun bir süreyle tutulmaması ve saklanmaması gerekir.
Görevlerinin bir gereği olarak ve görevleri esnasında Şirket adında Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu politikanın diğer maddeleri ve 3.9 maddede sözü edilen hususları gözetmelerinin yanı sıra Veri Koruma Mevzuatı uyarınca Gizlilik Taahhütnamesi’ni imzalamaları ve kurallara uymaları gerekmektedir.
Çalışanlarımız, Veri Koruma Mevzuatı ve bu politika uyarınca belirlenen koşullar haricinde herhangi bir üçüncü kişiye veri transfer etmeyeceklerdir.
Çalışanlarımız, Kişisel Verileri, İlgili Kişi’nin açık rızası bulunmadıkça, ve şirket veri sorumlusndan yazılım izin almadıkça Kişisel Verileri Koruma Kurulu tarafından belirlenecek ve ilan edilecek olan ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışında bir ülkeye transfer etmeyeceklerdir.
Kişisel Veriler, bahsi geçen ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışındaki bir ülkeye, ancak ve sadece ilgili Veri Sahibi tarafından bu transfere açık izin ve rızası verildiği takdirde transfer edilebilecektir.