B.M.S. BÜRO MOBİLYALARI SANAYİ A.Ş.

Kişisel Verilerin Korunması Politikası

  1. Amaç

B.M.S. Büro Mobilyaları Sanayi A.Ş. (“BMS”) yönetim kurulu ve yönetimi, kişisel verilerin korunmasına ilişkin olarak Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve sair mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve kişisel verilerini işlediği ilgili kişilerin hak ve özgürlüklerini korumayı taahhüt etmektedir.

Bu doğrultuda BMS, kişisel verilerinin korunması ve işlenmesine ilişkin yasal yükümlülüklerinin yerine getirilmesinde izlenecek usul ve esasların belirlenmesi amacıyla uygulanmak ve geliştirilmek üzere işbu Kişisel Veri Koruma Politikası’nı (“Politika”) benimsemiştir.

Bu Politika ile BMS’nin kişisel verilerin yönetiminde kendi standartlarını oluşturması ve bunları gerçekleştirmesinin sağlanması; bu kapsamda organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, BMS’nin, kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin temel hak ve özgürlüklerinin güvenli bir şekilde korunması hedeflenmektedir.

  1. Tanımlar

Politika’da yer verilen kavramların tanımları aşağıdaki gibidir:

Açık Rıza                                : Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onayı,

Anonim Hale Getirme             : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkilendirilemeyecek hale getirilmesini,

Elektronik Ortam                   : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,

Fiziki Ortam                           : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. ortamları,

İlgili Kişi                                 : Kişisel verisi işlenen gerçek kişileri,

Kişisel Veri                              : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Verilerin İşlenmesi       : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

KVK Kurulu                           : Kişisel Verileri Koruma Kurulunu,

Özel Nitelikli Kişisel Veri        : Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Veri Sorumlusu                       : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,

ifade eder.

  1. Kapsam

3.1 Konu bakımından kapsam

  • Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgiler, bu Politika’nın uygulanması bakımından kişisel veri olarak kabul edilir. Yasal düzenlemelerdeki özel hükümler saklı kalmak üzere, elektronik ya da fiziksel ortamdaki her türlü kişisel verinin korunması, işlenmesi, kullanılması bu Politika’nın konu bakımından kapsamını oluşturmaktadır. BMS, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır.BMS’nin benimsediği prensipler özellikle şunları içermektedir:
    • Bireylerin mahremiyetine ve özel hayatın gizliliğine saygı göstermek,
    • Kişisel verileri yalnızca meşru kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek,
    • Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek,
    • Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda bilgi vermek,
    • Yalnızca kullanım amacı ile ilgili ve kullanım amacına uygun kişisel verileri işlemek,
    • Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
    • Kişisel verileri doğru ve gerektiğinde güncel tutmak,
    • Kişisel verileri yalnızca yasal düzenlemelerin, BMS’nin hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
    • Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
    • Kişisel verileri sıkı bir güvenlik ve gizlilik içinde tutmak,
    • İşbu Politika’nın uygulanmasıyla ilgili özel yetki ve sorumluluklara sahip personeli belirlemek.

    3.2 Kişi bakımından kapsam

    BMS, bir tüzel kişi olarak veri sorumlusu sıfatıyla bu Politikanın kapsamındadır.

    BMS’nin her düzeydeki yöneticileri; hizmet akdi ve diğer özel hukuk sözleşmeleri ile ilişki içinde bulunduğu çalışanları, çalışan adayları; hizmet sağlayıcıları ve aşağıda sayılan diğer 3.kişiler gerçek kişi olarak bu Politikanın kapsamındadır. Bu kişilere ait açıklamalar aşağıda işbu Politika’nın 12. maddesi başlığı altında açıklanmıştır.

     3.3 Zaman bakımından kapsam

    Politika belirli bir süre ile sınırlı olmaksızın yürürlükte kalır. Politika metni internet sayfası oluşturmakla yükümlü olan şirketlerin web sayfalarında yayınlanır. Yasal düzenlemelere ve işleyişe paralel olarak Politika’da değişiklik ve/veya güncelleme yapma hakkı saklıdır.

    1. Hukuki Yükümlülükler

    BMS, veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamındaki hukuki yükümlülükleri aşağıda sıralanmaktadır:

    4.1 Aydınlatma yükümlülüğü

    BMS’nin veri sorumlusu olarak kişisel verileri toplarken;

    • Kişisel verilerin hangi amaçla işleneceği,
    • Şirket’in ticari unvanına ilişkin bilgiler,
    • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
    • Verileri toplama yöntemi ve hukuki sebebi ve
    • İlgili Kişi’nin KVKK’dan doğan hakları hususlarında İlgili Kişi’yi aydınlatma yükümlülüğü bulunmaktadır.

    Şirket bu yükümlülüğünü söz konusu kişisel verileri ilgili kişiden temin eden birim vasıtasıyla yerine getirmelidir. Her birim kendi iş akışındaki kişisel veri toplama kanallarını tespit etmeli ve KVK Komitesi’nin yönlendirmeleri ile aydınlatma noktaları ve metinleri ile ilgili kişileri aydınlatarak; buna uygun süreçler tasarlamalıdır. Şirket’in, Politika’nın anlaşılır ve kolay erişilebilir olmasına özen göstermesi ve kişisel verilerin işlenmesine katılan birimlerin ve çalışanların iş akışına uygun yöntemi tasarlaması gerekir.

    4.2 Veri güvenliğini sağlama yükümlülüğü

    Şirket, veri sorumlusu olarak işlediği kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almalıdır. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler Politika’nın 20. maddesinde detaylı şekilde açıklanmıştır.

    1. Kişisel Verilerin Sınıflandırılması

    5.1 Kişisel veriler

    Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz. BMS web sitesi kapsamında Politika’nın 11. maddesinde belirtilen kişisel veriler işlenmektedir.

    5.2 Özel nitelikli kişisel veriler

    Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Özel nitelikli kişisel veriler de bu Politika hükümlerine tabidir.

    1. Veri Koruma İlkeleri

    Tüm Kişisel Veri işleme faaliyetleri aşağıdaki veri koruma ilkeleriyle uyumlu olarak yapılmalıdır. BMS’nin politika ve prosedürleri bu ilkelerle uyumluluğu sağlamayı amaçlamaktadır:

    • Hukuka ve dürüstlük kurallarına uygun olma

    BMS, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır; diğer bir ifade ile, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder.

    • Doğru ve gerektiğinde güncel olma

    BMS, ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutar. kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynaklar belirlidir, kişisel verilerin toplandığı kaynağın doğru olmasına özen gösterilir, kişisel verilerin doğru olmamasından kaynaklı talepler dikkatle incelenir ve bu kapsamda makul önlemler alınır. Personele ilişkin tutulan verilerin doğruluğu ve güncelliği, ilgili personelin kendi sorumluluğundadır.

    • Belirli, açık ve meşru amaçlar için işlenme

    BMS, veri işleme amaçlarını açık ve kesin olarak belirlemiş olup; bu amaçların meşru olduğunu teyit eder. Kişisel veriler, ilgili kişiye belirtilen amaçlar dışında kullanılmaz.

    • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

    BMS, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olduğunu, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemediğini taahhüt etmektedir.

    • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

    BMS, kişisel verilerin işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesini sağlamak üzere gerekli idari ve teknik tedbirleri alır.

    Buna göre; BMS, ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye uyacak; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklayacaktır. Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecek veya anonim hale getirilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyecektir.

    1. Veri İşleme Amaçları

    BMS bünyesinde kişisel veri işleme amaçları veri koruma ilkelerine uygun bir şekilde belirlenmiş olup; kişisel verilerin belirlenen amaçlar dışında kullanılması ve ayrımcılık yapılması amacıyla işlenmesi kesinlikle yasaktır.

    BMS bünyesinde kişisel verilerin işlenme amaçları şu şekildedir:

    • Acil durum yönetimi süreçlerinin yürütülmesi
    • Bilgi güvenliği süreçlerinin yürütülmesi,
    • Çalışan adayı/stajyer/öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
    • Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
    • Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
    • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
    • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
    • Denetim/etik faaliyetlerinin yürütülmesi,
    • Eğitim faaliyetlerinin yürütülmesi,
    • Faaliyetlerin mevzuata uygun yürütülmesi,
    • Finans ve muhasebe işlerinin yürütülmesi,
    • Fiziksel mekân güvenliğinin temini,
    • Hukuk işlerinin takibi ve yürütülmesi,
    • İletişim faaliyetlerinin yürütülmesi,
    • İnsan Kaynakları süreçlerinin planlanması,
    • İş faaliyetlerinin yürütülmesi/denetimi,
    • İş sağlığı/güvenliği faaliyetlerinin yürütülmesi,
    • İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
    • İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
    • Lojistik faaliyetlerinin yürütülmesi,
    • Mal/hizmet satın alım süreçlerinin yürütülmesi,
    • Mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi,
    • Mal/hizmet satış süreçlerinin yürütülmesi,
    • Mal/Hizmet üretim ve operasyon süreçlerinin yürütülmesi,
    • Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
    • Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
    • Organizasyon ve etkinlik yönetimi,
    • Pazarlama analiz çalışmalarının yürütülmesi,
    • Performans değerlendirme süreçlerinin yürütülmesi,
    • Reklam, kampanya, promosyon süreçlerinin yürütülmesi,
    • Risk yönetimi süreçlerinin yürütülmesi
    • Saklama ve arşiv faaliyetlerinin yürütülmesi,
    • Sözleşme süreçlerinin yürütülmesi,
    • Stratejik planlama faaliyetlerinin yürütülmesi,
    • Talep/ şikayetlerin takibi,
    • Ücret politikasının yürütülmesi,
    • Yatırım süreçlerinin yürütülmesi,
    • Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi,
    • Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi,
    • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
    • Yönetim faaliyetlerinin yürütülmesi,
    • Ziyaretçi kayıtlarının oluşturulması ve takibi,
    • Yasal yükümlülüklerin yerine getirilmesi,
    • Hukuki uyuşmazlıklarda ve ihtilaflarda şirketimizin haklarının savunulması.
    1. Kablosuz Ağa Erişim Kapsamında Toplanan Kişisel Verilerin İşlenmesi

    Şirket içinde kablosuz internet hizmeti verilmekte olup söz konusu hizmet kapsamında BMS, “İnternet Toplu Kullanım Sağlayıcı” olarak tanımlanmaktadır. Mevzuat gereği internet toplu kullanım sağlayıcıları erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak zorundadır.

    BMS bünyesinde bulunan internet hizmetinden faydalanmak isteyen İlgili Kişiler’in, IP adres bilgisi, kullanıma başlama ve bitiş zamanı, MAC adresi, hedef IP adresi, cep telefonu model bilgisi, port bilgisi, ad, soy ad, T.C. kimlik numarası ve cep telefonu numarası bilgileri işlenmektedir.

    Şirket internet sitesinde yer alan çerezler üzerinden kişisel veri toplayabilir, aktarabilir, saklayabilir ve başka şekillerde işleyebilir. BMS’nin internet sitesinde kullanılan çerezlere ilişkin detaylı bilgiyi ve gerekli uyarıları içeren çerez politikası web sitesinde yer almaktadır.

    1. Genel Güvenliğin Sağlanması Kapsamında Kişisel Verilerin İşlenmesi

    Şirket, fiziksel mekân güvenliğinin temini ve faaliyetlerin mevzuata uygun yürütülmesi amaçlarıyla ziyaretçilerin, çalışanların, stajyerlerin, mesleki gözlem yapan kişilerin ve alt yüklenici çalışanlarının kişisel verilerini işleyebilir. Bu kapsamda Şirket tesislerinde bulunan kişilerin kamera görüntülerini CCTV (kapalı devre kamera kayıt sistemleri) vasıtasıyla temin ettiği takdirde, bu kayıtları ilgili mevzuatın öngördüğü süreler boyunca saklar. Şirket, bu veri işleme faaliyetinden kaynaklanan aydınlatma yükümlülüğünün yerine getirilebilmesi için Aydınlatma metni yayımlayabilir veya izlemenin ve kayıt işleminin yapıldığı alanların girişlerine izleme yapılacağına/ziyaretçi kaydı alınacağına ilişkin bildirim yazısı asabilir.

    Veri işleme faaliyetinin KVKK’da belirlenen ilkelerle uyumlu olması için güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınır (örneğin, bina giriş ve çıkışları ve giriş çıkışının kontrollü olması gereken veri odası gibi alanlar). Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlar (örneğin tuvaletler) izlemeye tabi tutulmaz. Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda çalışanının erişimi bulunur.

    1. Veri İşleme Araçları

    Veri işleme araçları fiziksel ya da elektronik kaydetme, muhafaza etme ve işlenmesi için kullanılan fiziksel ortam ve bilgi işlem sistemleridir.

    Bu Politikanın uygulanması bakımından, veri işleme amacı olmaksızın şirketimize fiziki ya da elektronik ortamda iletilen sözleşme, yazışma vb. belgelerde ya da eklerinde yer alan kişisel veri niteliğindeki bilgiler, herhangi bir amaçla asıl belge bütünlüğünden alınarak, ayrılarak fiziki ya da elektronik ortamda bir işleme tabi tutulduğu andan itibaren bu Politika hükümlerine tabi olacaktır.

    1. İşlenen Kişisel Veri Kategorileri
    Kimlik BilgisiNüfus cüzdanı, pasaport, ehliyet olmak üzere kimlik belgelerinde yer alan bilgiler.
    İletişim BilgisiE-mail adresi, cep telefonu numarası, adres
    LokasyonKonum bilgisi
    Özlük BilgisiÇalışanların özlük haklarına ilişkin bilgiler
    Hukuki İşlem BilgisiAdli ve idari makamlarla olan yazışmalar, dava ve icra dosyalarındaki bilgiler.
    Müşteri İşlem BilgisiFatura, senet, çek bilgileri vb
    Fiziksel Mekân GüvenliğiÇalışan ve diğer 3.kişi ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları, kart okuma sistemi aracılığıyla giriş çıkış kayıtları,
    Finansal BilgiVeri sahibinin banka hesap bilgileri vb.
    Mesleki DeneyimGeçmiş çalışma süreci, diploma bilgileri ve gidilen kurslar vb.
    Sağlık BilgisiKişisel sağlık bilgileri ile engellilik durumuna ait bilgiler.
    Ceza Mahkumiyeti ve Güvenlik Tedbirleri BilgisiCeza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler.
    Görsel ve İşitsel KayıtlarDanışma Hattı ve WhatsApp üzerinden yapılan görüşmeler
    İşlem GüvenliğiWeb sitesinin veya (kullanıma alınması planlanan) mobil uygulamanın kullanımı sırasında elde edilecek gezinme bilgileri, IP adresi, tarayıcı bilgileri
    1. Kişisel Veri Sahipleri
    Hissedar/OrtakBMS’nin gerçek kişi hissedarları.
    İş Ortaklarının paydaşı, yetkilisi, çalışanıBMS’nin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin (tedarikçi, hizmet sağlayıcı gibi) paydaşları, yetkilileri ve çalışanları dahil olmak üzere tüm gerçek kişiler
    Şirket yetkilileriBMS’nin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
    ÇalışanlarBMS’nin hizmet akdi ve diğer özel hukuk sözleşmeleri ile çalışan gerçek kişiler.
    Çalışan adayı  BMS’ye herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketlerin incelemesine açmış olan gerçek kişiler
    StajyerBMS bünyesinde stajyer olarak görev yapan gerçek kişiler
    Müşteri            BMS ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın şirketlerin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
    Potansiyel Müşteri            BMS’nin ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş olan gerçek kişiler
    ZiyaretçiBMS’nin fiziksel yerleşkelerine çeşitli amaçlarla giren veya internet sitelerini ya da sosyal medya hesaplarını herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir
    DiğerBMS’ye mesleki gözlem yapmak amacıyla gelen kişiler
    1. Kişisel Veri Aktarımı
    Gerçek kişiler veya özel hukuk tüzel kişileriBMS’nin hukuki ilişki çerçevesinde kişisel veri aktardığı tüm gerçek veya özel hukuk tüzel kişileri.
    İş Ortakları ve TedarikçilerVeri işleme amaçları doğrultusunda kendisinden mal ve hizmet tedarik edilen ya da kendisine mal ve hizmet sunulan 3.kişi konumundaki gerçek ve tüzel kişiler.
    Topluluk şirketleriBMS’nin hukuki ilişki içerisinde bulunduğu topluluk şirketleri.
    Yetkili Kamu Kurum ve Kuruluşlarıİlgili kurum ve kuruluşlar tarafından istenilen bilgi ve belge taleplerinin cevaplanması.
    1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

    Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, kişisel verileri re’sen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. kişisel verilerin silinmesi ile bu veriler hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre; kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

    1. Kişisel Verilerin İşlendikleri Amaçlar İçin Gerekli Olan Azami Süre

    Şirketimizce yürütülen ticari iş ve işlemlerle ilgili olan kişisel veriler, yasal ya da sözleşmesel yükümlülükler daha uzun bir süreyi gerektirmediği sürece, Türk Ticaret Kanunu’nun 82. maddesine uygun olarak prensip olarak 10 yıl süreyle saklanır. 

    Bunun dışındaki iş ve eylemlerde Türk Borçlar Kanunu’nun 146. maddesi ile belirlenen 10 yıllık genel zamanaşımı süresi esas alınır.

    BMS personellerinin kişisel verileri genel zamanaşımı süresi boyunca muhafaza edilmekteyken; özel nitelikli kişisel veri olarak kabul edilen sağlık bilgisi kategorisine giren kişisel verileri ise iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla 15 yıllık süreyle saklanır.

    BMS açık pozisyonlarına başvuru yapan çalışan adaylarına ait kişisel veriler, kişisel verilerin doğru ve güncel olması ilkesi uyarınca 1 yıllık süreyle saklanır.

    Mali, hukuki ya da cezai bir uyuşmazlıkta delil olarak kullanılabilecek kişisel veriler ise, olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla, ilgili yasal düzenlemelerde öngörülen zamanaşımı süreleri gözetilerek muhafaza edilecektir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır.

    1. İmha Süreleri

    Periyodik imha süresi, yılda en az iki kez olmak koşuluyla, 6 ay olarak belirlenmiştir. En geç saklama sürelerinin bitimini takip eden ilk periyodik imha süresinde, imha işlemleri gerçekleştirilecektir.

    1. Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi

    Kişisel veriler, BMS bünyesinde fiziksel olarak ya da web sitesi aracılığıyla elektronik ortamda toplanmakta ve KVKK’nın 4’üncü maddesinde sayılan genel ilkelere uygun olarak ve devamında 5’inci ve 6’ıncı maddelerinde belirtilen kişisel veri işlenme şartları dahilinde bu Politika’nın 7. maddesinde sayılan veri işleme amaçları kapsamında işlenir. Ancak kişisel verilerin işlenmesi için istisna hallerinden birisi söz konusu değil ise ancak; o taktirde İlgili Kişi’den açık rıza alınması yoluna gidilmektedir.

    1. Kişisel Veri Aktarımı

    Şirketimizce toplanan kişisel verilerden, veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınması şartıyla ve ürün ve müşteri bilgileri ile sınırlı olmak koşuluyla iş ortaklarımıza, distribütör, temsilci vb. hukuki ilişkiler kapsamındaki kişi ve kuruluşlara aktarımı mümkündür.

    Kişisel verilerin aktarılmasında KVKK’nın 8. ve 9. Maddesine uygun hareket edilmektedir.

    1. Kişisel Verilerin Güvenliği

    19.1 Kişisel verilerin güvenliğine ilişkin yükümlülükler

    BMS; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak saklanmasını sağlamak için teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler almakla yükümlüdür.

    19.2 Veri güvenliğine ilişkin alınan tedbirler

    BMS, KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel veriler’in hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik ve kişisel verilerin hukuka uygun olarak imha edilmesi için gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

    BMS, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede İlgili Kişi’ye ve İhlal Bildirim Formu kullanılmak suretiyle KVK Kurulu’a bildirilmesini sağlayan sistemi yürütmektedir.

    Bu kapsamda alınan idari ve teknik tedbirler aşağıda belirtilmektedir:

    • Ağ güvenliği sağlanmaktadır.
    • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
    • Anahtar yönetimi uygulanmaktadır.
    • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
    • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
    • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
    • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
    • Çalışanlar için yetki matrisi oluşturulmuştur.
    • Erişim logları düzenli olarak tutulmaktadır.
    • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
    • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
    • Gizlilik taahhütnameleri yapılmaktadır.
    • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
    • Güncel antivirüs sistemleri kullanılmaktadır.
    • Güvenlik duvarları kullanılmaktadır.
    • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
    • Kâğıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
    • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
    • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
    • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
    • Kişisel veri içeren fiziksel ortamların diş risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
    • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
    • Kişisel veriler mümkün olduğunca azaltılmaktadır.
    • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
    • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
    • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
    • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
    • Mevcut risk ve tehditler belirlenmiştir.
    • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
    • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
    • Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
    • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
    • Sızma testi uygulanmaktadır.
    • Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
    • Şifreleme yapılmaktadır.
    • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
    • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
    • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
    • Veri kaybı önleme yazılımları kullanılmaktadır.
    1. Kayıt Ortamları

    Kişisel veri kayıt ortamları fiziki ya da elektronik ortamlar ve kamera kayıtları şeklinde görsel ortamlar olabilmektedir. Bu kapsamda; elektronik ortamlar olarak sunucular (e-posta, veritabanları vb); yazılımlar; bilgi güvenliği cihazları (güvenlik duvarı, antivirüs vb.); kişisel bilgisayarlar (masaüstü, dizüstü); mobil cihazlar (telefon) ve fiziki ortamlar olarak dosyalar, klasörler, kağıt, yazılı, basılı ve görsel ortamlar (kameralar) kişisel verilerin bulunduğu kayıt ortamlarıdır.

    1. Kişisel Verileri İmha Teknikleri

    İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya veri sahibinin talebi üzerine Kanun hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

     

    21.1 Kişisel Verilerin Silinmesi

    Veri Kayıt OrtamıAçıklama
    Sunucularda yer alan kişisel verilerSistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
    Elektronik ortamda yer alan kişisel verilerVeri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
    Fiziksel ortamda yer alan kişisel verilerİlgili birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

    21.2 Kişisel Verilerin Yok Edilmesi

    Veri Kayıt OrtamıAçıklama
    Fiziksel ortamda yer alan kişisel verilerKâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

     21.3 Kişisel Verilerin Anonim Hale Getirilmesi

    Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

    1. İlgili Kişinin Hakları

    Şirket, aydınlatma yükümlülüğü kapsamında İlgili Kişi’yi KVKK’da kendisine tanınan ve aşağıda sıralanmış olan haklar konusunda bilgilendirir ve bu bilgilendirmeye ilişkin gerekli sistem ve alt yapıları kurar. İlgili Kişi’nin kişisel verilerine ilişkin haklarını kullanması için gerekli olan teknik ve idari düzenlemeleri yapar.

    İlgili Kişi, kendisine ait kişisel veriler ile ilgili olarak aşağıda sayılan haklara sahiptir:

    • Kişisel veri işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
    • KVKK m. 7’de (kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin hükümler kapsamında) öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
    • (d) ve (e) bentleri uyarınca yapılan işlemlerin, (kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi kapsamında yapılan işlemler) kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

    Kişisel veri sahipleri kimliğini tespit edici gerekli bilgi ve belgeler ile hangi hakkı kullanmak istediğine dair açıklamalarla BMS’ye başvurma hakkına sahiptir. BMS, talebi niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde makul bir ücret alınabilecektir.

    Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kuruluna şikâyette bulunma hakkı bulunmaktadır.

    1. Politika’nın Yayınlanması ve Saklanması

    Bu Politika, yayımı tarihinde Yönetim Kurulu tarafından onaylanmış ve Genel Müdürün imzası ile yayımlanmıştır.

    1. Politika’nın Güncellenmesi ve Yürürlüğü

    Politika, düzenli olarak gözden geçirilir ve gerekli görülmesi halinde güncellenir. Yapılan her güncelleme yayınlanmasının ardından yürürlüğe girmiş kabul edilir.