|
Doküman Adı |
Kurumsal Kişisel Verilerin Korunması Politikası |
|
Doküman İlgisi |
İşbu politika, Yücelen Oto İnş. Makina Sanayi ve Ticaret Limited Şirketi nezdinde kişisel verilerin korunmasına ilişkin süreçlerin düzenlenmesi, bu alandaki temel kuralların belirlenmesi ve uygulanacak usul ve esasların ortaya konulması amacıyla hazırlanmıştır. |
|
Yayınlanma Tarihi |
09.04.2026 |
|
Versiyon No |
1 |
|
Referans |
6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat |
|
Onay Merci |
Müdürler Kurulu |
1. Amaç
İşbu Kurumsal Kişisel Verilerin Korunması Politikası’nın amacı, Yücelen Oto İnş. Makina Sanayi ve Ticaret Limited Şirketi tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun şekilde yürütülmesine ilişkin usul ve esasların belirlenmesi, kişisel verilerin hukuka uygun şekilde işlenmesi, korunması, saklanması ve gerektiğinde imhasına ilişkin temel ilkelerin ortaya konulmasıdır.
Bu politika ile Şirket bünyesinde kişisel verilerin işlenmesi ve korunması konusunda farkındalık oluşturulması, veri güvenliğine ilişkin teknik ve idari tedbirlerin çerçevesinin belirlenmesi, ilgili kişilerin haklarının korunması ve Şirket faaliyetlerinin hukuka uygun biçimde sürdürülmesi amaçlanmaktadır.
2. Hukuki Dayanak
İşbu politika, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere kişisel verilerin korunmasına ilişkin yürürlükte bulunan ilgili mevzuat hükümleri çerçevesinde hazırlanmıştır.
Politika hükümleri; Kanun, ikincil düzenlemeler, Kurul kararları, kişisel verilerin korunmasına ilişkin genel ilkeler ve Şirketin faaliyet alanı dikkate alınarak uygulanır. İlgili mevzuatta meydana gelebilecek değişiklikler doğrultusunda işbu politika gözden geçirilir ve gerekli hâllerde güncellenir.
3. Kapsam
İşbu politika; Şirket tarafından otomatik olan, kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere uygulanır.
Bu politika kapsamında; müşteriler, potansiyel müşteriler, internet sitesi ziyaretçileri, tedarikçiler, iş ortakları, çalışanlar, çalışan adayları, şirket yetkilileri ve Şirket ile herhangi bir surette kişisel veri paylaşan diğer gerçek kişilere ait veriler bakımından uygulanacak temel ilkeler düzenlenmektedir.
4. Tanımlar
İşbu politikada geçen;
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
İşleme: Kişisel veriler üzerinde gerçekleştirilen elde etme, kaydetme, depolama, muhafaza etme, açıklama, aktarma, sınıflandırma, değiştirme, silme, yok etme ve benzeri her türlü işlemi,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişiyi,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
ifade eder.
5. Genel İlkeler
Şirket, kişisel verileri işlerken aşağıdaki ilkelere uygun hareket eder:
Şirket, veri işleme faaliyetlerinde ölçülülük ilkesini esas alır; ihtiyaç duyulmayan kişisel verilerin toplanmaması, gereğinden fazla veri işlenmemesi ve verilere yalnızca gerekli kişilerin erişebilmesi yönünde uygun organizasyon yapısını kurar.
6. Kişisel Verilerin İşlenme Şartları
Şirket, kişisel verileri kural olarak ilgili kişinin açık rızası olmaksızın işlemez. Ancak Kanun’da açıkça öngörülen hâllerde açık rıza aranmaksızın veri işlenebilir.
Bu kapsamda Şirket; kişisel verileri, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ya da veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması gibi hukuki sebeplere dayanarak işleyebilir.
Açık rıza gerektiren veri işleme faaliyetlerinde ise açık rıza, ilgili mevzuata uygun şekilde ayrıca alınır. Açık rızanın belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilmiş olmasına dikkat edilir.
7. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket, özel nitelikli kişisel verilerin işlenmesinde daha yüksek koruma standardı uygular. Özel nitelikli kişisel veriler ancak ilgili mevzuatta öngörülen şartların bulunması hâlinde ve gerekli teknik ve idari tedbirler alınmak suretiyle işlenir.
Özel nitelikli kişisel verilerin işlenmesi gereken durumlarda, bu verilere erişim sınırlandırılır, yetki kontrolleri sıkılaştırılır ve veri güvenliği bakımından ilave önlemler alınır.
8. Kişisel Verilerin Aktarılması
Şirket, kişisel verileri ancak işleme amacıyla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve ilgili mevzuattaki veri işleme ve aktarma şartlarına uygun şekilde üçüncü kişilere aktarır.
Bu kapsamda kişisel veriler; Şirketin ilgili birimlerine ve yetkili personeline, hukuk, muhasebe, mali müşavirlik ve danışmanlık hizmeti alınan kişi ve kuruluşlara, bilgi teknolojileri ve teknik destek hizmeti alınan tedarikçilere, lojistik, sevkiyat, servis, bakım, onarım, yedek parça, satış sonrası destek ve operasyon süreçlerinde görev alan iş ortakları ve çözüm ortaklarına, bankalara, finans kuruluşlarına, sigorta şirketlerine ve kanunen yetkili kamu kurum ve kuruluşları ile yetkili özel kişilere aktarılabilir.
Yurt dışına veri aktarımı gereken hâllerde, ilgili mevzuatta öngörülen güvence ve usuller dikkate alınır.
9. Kişisel Verilerin Toplanma Yöntemleri
Şirket, kişisel verileri; internet sitesi, iletişim formları, servis ve kiralama talep formları, iş başvuru formları, e-posta, telefon, anlık mesajlaşma kanalları, fiziki evraklar, sözleşmeler, teklifler, siparişler, faturalar, sevk ve teslim evrakları, insan kaynakları süreçleri, elektronik sistemler ve sair iletişim araçları vasıtasıyla otomatik, kısmen otomatik veya otomatik olmayan yollarla toplayabilir.
Toplanan kişisel veriler, ilgili süreç bakımından gerekli olan kapsamla sınırlı tutulur.
10. Kişisel Verilerin Saklanması ve İmhası
Şirket, kişisel verileri yalnızca ilgili işleme amacının gerektirdiği süre boyunca ve her hâlükârda tabi olunan mevzuat, zamanaşımı, ispat, vergi, muhasebe, ticari kayıt ve diğer hukuki yükümlülükler çerçevesinde gerekli olan süre kadar muhafaza eder.
Saklama süresi sona eren kişisel veriler, ilgili mevzuata uygun şekilde silinir, yok edilir veya anonim hâle getirilir. Şirket, kişisel verilerin saklanması ve imhasına ilişkin süreçleri, veri kategorisi ve işleme amacına göre iç organizasyonu çerçevesinde takip eder.
11. Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla işin niteliğine uygun teknik ve idari tedbirleri almaya özen gösterir.
Bu kapsamda Şirket tarafından, gerekli olduğu ölçüde;
gibi uygun tedbirler uygulanır.
Şirket, veri güvenliğine ilişkin tedbirleri ihtiyaçlar doğrultusunda gözden geçirir ve günceller.
12. Sorumluluk ve Görev Dağılımı
Şirket, kişisel verilerin korunmasına ilişkin yükümlülüklerin yerine getirilmesinden veri sorumlusu sıfatıyla sorumludur. Bu kapsamda şirket yetkilileri, ilgili birimler, çalışanlar ve hizmet alınan üçüncü kişiler, kişisel verilerin korunmasına ilişkin mevzuat ve şirket içi düzenlemelere uygun hareket etmekle yükümlüdür.
Şirket bünyesinde kişisel veri işleyen tüm birimler, kendi faaliyet alanları kapsamında işlenen kişisel verilerin hukuka uygun şekilde işlenmesi, korunması, güncelliğinin sağlanması ve yetkisiz erişime karşı korunması için gerekli dikkat ve özeni göstermekle yükümlüdür.
Çalışanlar, görevleri kapsamında eriştikleri kişisel verileri yalnızca işin gerektirdiği ölçüde kullanır; yetkisiz kişilere açıklayamaz ve veri güvenliğini tehlikeye düşürecek işlem veya davranışlardan kaçınır.
Şirket adına kişisel veri işleyen üçüncü kişiler ile kurulan ilişkilerde, veri güvenliğine ilişkin yükümlülüklerin sözleşmesel güvence altına alınmasına özen gösterilir.
13. Eğitim, Denetim ve Uyum Süreçleri
Şirket, kişisel verilerin korunmasına ilişkin farkındalığın artırılması amacıyla gerekli gördüğü ölçüde çalışanlarını bilgilendirir ve uygun iç farkındalık faaliyetleri yürütür.
Kişisel veri işleme süreçleri, veri güvenliği tedbirleri ve iç uygulamalar ihtiyaç doğrultusunda gözden geçirilir; gerekli görülen hâllerde iç kontrol ve denetim mekanizmaları işletilir.
Şirket, kişisel verilerin korunmasına ilişkin süreçlerini faaliyet alanı, iş hacmi ve teknik altyapısına uygun şekilde geliştirmeyi ve güncel tutmayı hedefler.
14. İlgili Kişi Hakları ve Başvuru Süreci
İlgili kişiler, 6698 sayılı Kanun’un 11. maddesi kapsamında kişisel verilerine ilişkin olarak; verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işleme amacını öğrenme, verilerin aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme, silinmesini veya yok edilmesini isteme, bu işlemlerin üçüncü kişilere bildirilmesini isteme, yalnızca otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhlerine bir durum ortaya çıkmasına itiraz etme ve kanuna aykırı işleme nedeniyle zarara uğramaları hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Bu kapsamdaki başvurular, Şirket tarafından mevzuata uygun şekilde değerlendirilir. Başvuru yöntemleri, başvuruda bulunması gereken asgari bilgiler ve diğer açıklamalar Veri Sorumlusuna Başvuru Formu’nda ayrıca gösterilir.
15. Kişisel Veri İhlali Yönetimi
Şirket, kişisel verilerin hukuka aykırı olarak elde edilmesi, yetkisiz kişiler tarafından erişilmesi, ifşa edilmesi, kaybolması, zarar görmesi veya başka bir veri güvenliği ihlalinin ortaya çıkması hâlinde, durumu gecikmeksizin değerlendirir ve gerekli iç tedbirleri alır.
İhlalin niteliğine göre zarar azaltıcı önlemler uygulanır, ilgili kayıtlar tutulur ve gerekli olması hâlinde mevzuat kapsamında Kurum’a ve/veya ilgili kişilere bildirim yapılır.
Şirket bünyesinde veri güvenliğini etkileyebilecek herhangi bir durumun fark edilmesi hâlinde, durum yetkili şirket yöneticilerine veya belirlenen sorumlu kişilere derhâl bildirilir.
16. Politikanın Yayımlanması, Güncellenmesi ve Yürürlüğü
İşbu politika, Şirket tarafından uygun görülen mecralarda yayımlanabilir ve gerekli hâllerde güncellenebilir. Mevzuatta değişiklik olması, şirket süreçlerinin değişmesi veya veri işleme faaliyetlerinin farklılaşması hâlinde politika metni gözden geçirilir ve gerekli revizyonlar yapılır.
İşbu Kurumsal Kişisel Verilerin Korunması Politikası, Müdürler Kurulu tarafından onaylandığı ve/veya yayımlandığı tarihte yürürlüğe girer.
Türkçe
English
Pусский