KVKK Politikası

İşbu Kişisel Verilerin Korunması Politikasının (“Politika”) temel amacı, Petroyağ (“Şirket”) tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

Bu Politika Şirket tarafından yönetilen tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde, ilgili detaylı veri prosedürleri ile birlikte uygulanmaktadır. 

 

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu

GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi

Veri Sahibi/İlgili Kişi: Şirket ve Şirket’in bağlı iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, iş birliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere kişisel verisi işlenen gerçek kişiler. 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Özel Nitelikli Kişisel Veri: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi

Kişisel Verilerin Silinmesi: kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi: kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

KVK Kurulu/Kurul: Kişisel Verileri Koruma Kurulu

KVK Kurumu/Kurum: Kişisel Verileri Koruma Kurumu

 

Şirket, belirli iş faaliyetleri ve fonksiyonlar ile ilgili olarak kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasını ele alan farklı politikalara da sahiptir. Bu Politika, ek şartlar içermedikçe veya kişisel verilerin korunması için daha yüksek standart talep etmedikçe, Şirket’in işbu farklı politikalarındaki veri koruma şartlarını geçersiz kılmaz.

 

Kişisel verileri işlenmesi ve korunması hakkında yürürlükteki ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacak; ilgili mevzuat ile işbu Politikanın hükümleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak geçerli olacaktır. 

 

İşbu Politika, kişisel verilerin korunması için KVKK ve ilgili sair mevzuat hükümlerinde öngörülen kural ve prosedürlere göre oluşturulmuştur. Bu anlamda, Veri Sorumlusu da KVKK uyarınca: kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesini önlemek ile muhafazasını sağlamakla yükümlü olduğundan gerekli her türlü teknik ve idari tedbiri almak zorundadır. Şirket, özel nitelikli kişisel verilerin korunması bakımından alınan tedbirler de dahil olmak üzere, ilgili tüm teknik ve idari tedbirleri almış olup; alınan teknik ve idari tedbirlerin içeriğine Kişisel Verilerin Korunması Hukuki Uygunluk Denetim Raporu ile D.17 Saklama ve İmha Politikası’nda detaylıca yer verilmiştir.

 

a. Kişisel Verileri İşlerken Uyulacak İlkeler

 

Şirket tarafından işlenen kişisel veriler, ilgili mevzuat doğrultusunda (KVKK ve/veya GDPR) işlenmektedir. Şirket’in politika ve prosedürleri, KVKK ve ilgili mevzuatta yer alan işleme ilkelerine paralel olarak uygulanmaktadır. Şöyle ki;

 

• Kişisel veriler, hukuka ve dürüstlük kuralına uygun ve şeffaf şekilde işlenir,

• Kişisel veriler sadece belirli, açık ve meşru amaçlarla toplanır, 

• Kişisel veriler işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür,

• Kişisel veriler doğru ve gerektiğinde günceldir, gecikme yaşanmadan silinir veya düzeltilir.

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir,

• Kişisel veriler uygun güvenliğin sağlanmasına yönelik şekilde işlenir,

• Veri sorumlusu KVKK ve/veya GDPR’ın diğer ilkeleri ile uyumluluk sağladığını gösterir. (Sorumlu tutulabilme).

 

b. Petroyağ’ın Kişisel Verileri İşleme Amaçları

Şirket, KVKK ve ilgili sair mevzuat uyarınca, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu bağlamda Şirket tarafından ilgili kişiye kişisel verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel veri toplama yöntemi ve kişisel veri toplamanın hukuki sebebi hakkında aydınlatma/bilgilendirme yapılır. 

 

Şirket tarafından işlenen kişisel verileri işleme amaçları  şu şekildedir:

Şirket’in müşterilerine sunduğu hizmetlerini en iyi koşullar altında sağlayabilmesi, hizmetlerin güvenilir ve kesintisiz bir şekilde temin edilmesi, Şirket güvenliğinin sağlanması, müşteri memnuniyeti ve güvenilirliğinin sağlanması, Şirket tarafından sunulan hizmetlere ilişkin işlemlerin yerine getirilmesi, operasyonların yürütülmesi ve geliştirilmesi, Şirket tarafından sunulan hizmetlerin tanıtım, pazarlama, reklam ve kampanya faaliyetlerinin yapılması, müşterilerle imzalanan sözleşmelerin ifası, ilgili kamu kurum ve kuruluşlarınca talep edilen işlemlerin gerçekleştirilmesi, ilgili sair kanundan doğan Şirket yükümlülüklerinin yerine getirilmesi.

 

c. Petroyağ’ın Kişisel Veri İşlemekteki Hukuki Sebepleri: 

 

• İlgili kişinin açık rızasının varlığı,

• Kanunlarda açıkça öngörülmesi,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sınırlı sayıda sayılmış olup bu şartlar genişletilemez. 

 

a. Yurtiçi Aktarım

Kişisel verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar saklı kalmak üzere, Şirket tarafından ilgili kişilere ait kişisel veriler ilgili kişinin açık rızası olmaksızın başka kişilere aktarılmamaktadır meğer ki KVKK’nın 5 ve/veya 6. maddesinde sayılı hususlar söz konusu olsun. 

 

Şirket, kişisel verileri KVKK ve ilgili mevzuatta belirtilen tüm güvenlik önlemlerini alarak ve Kanun ve/veya sözleşme gereği Türkiye’deki üçüncü kişilere aktarabilir. 

 

b. Yurtdışı Aktarım

Şirket, KVKK ve ilgili mevzuatta öngörülen şartlara uygun ve gerekli güvenlik tedbirlerini alarak ve ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir. İlgili kişinin açık rızasının aranmadığı haller için, kişisel verinin aktarılacağı ülkenin “güvenli ülke” statüsünde olması ve yeterli korumayı sağlayıp sağlamadığı şartı aranır. Kurul tarafından veri aktarılan ülkenin güvenli ülke statüsünde sayılmadığı durumlar için, Kurul izni ile birlikte yeterli korumayı taahhüt edecek bir veri aktarım protokolü imzalanır. 

 

Yurtdışına veri aktarımı yapılan/yapabilecek hizmet sağlayıcısı ve müşteriler ….................. menşeili tüzel/gerçek kişilerdir.

 

c. Aktarım Yapılan Kurum ve Kuruluşlar

Şirket, aşağıda sayılı mevzuatlar gereğince, kişisel verileri ilgili kamu kurum ve kuruluşları ile paylaşılabilir:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,

• 4857 sayılı İş Kanunu

• 6098 sayılı Türk Borçlar Kanunu

• 6102 sayılı Türk Ticaret Kanunu

• 6361 sayılı İş Sağlığı ve Güvenliği Kanunu

• 4982 saylı Bilgi Edinme Kanunu

• 5343 sayılı Emekli Sağlığı Kanunu

• 2828 sayılı Sosyal Hizmetler Kanunu 

• 213 sayılı Vergi Usul Kanunu ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.

 

Petroyağ hizmet binasında KVKK ve ilgili sair mevzuata uygun şekilde kişisel veri işleme faaliyetleri yürütülebilmektedir. Buna göre, güvenliğin sağlanması amacı ile hizmet bina(lar)sında koridorlar ve giriş çıkışlarda güvenlik kamerası ile izleme; giriş sisteminde kartlı geçiş sistemi mevcuttur. Misafir girişleri için kullanılan sistem Şirketin Fiziksel Güvenlik Prosedürü” uyarınca belirlenmiştir.  

 

Dijital ortamda kaydedilen ve saklanan güvenlik tedbirlerine ilişkin kayıtlara, gizlilik koruma yükümlülüğü altında olan idari işler ve teknik departmanı personeli, denetim ekipleri, genel müdür ve genel müdüre doğrudan bağlı olan yöneticiler tarafından erişim sağlanmaktadır. 

 

Kişisel verileri Şirket tarafından işlenen gerçek kişiler, kişisel veri işleme ve haklarında kaydedilen veriler ile ilgili olarak Şirket’e Tembelova Mevkii Gençlik Cad. 32. Sk No: 3014 Gebze/Kocaeli adresinden veya …………..  e-posta adresinden başvurarak aşağıdaki haklarını kullanabilirler:

 

a. Kişisel veri işlenip işlenmediğini öğrenme, 

b. Kişisel verileri işlenmişse bu bilginin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme, 

c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 

d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme ve bu yönde yapılan işlemin üçüncü kişilere bildirilmesini isteme, 

e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bunun üçüncü kişilere bildirilmesini isteme, 

f. İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme, 

g. Kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 

h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

9.1. KVKK’nın 7.maddesi ve ilgili diğer mevzuat hükümleri gereğince, işlenen kişisel verilerin işleme sebeplerinin ortadan kalkması halinde Şirket’in kararı, periyodik kontrolü ve/veya ilgili kişinin talebi üzerine kişisel veriler silinir, imha edilir veya anonim hale getirilir. 

9.2. Şirket, bu doğrultuda Kişisel Verileri Saklama ve İmha Politikası hazırlamıştır. Detaylı bilgi için [D.17]: Kişisel Verileri Saklama ve İmha Politikası’na bakınız. 

9.3. Şirket verinin esasen toplanma sebebi ile bağlantılı olarak, kişisel veriyi veri sahibinin kimliğinin saptanmasına olanak verecek şekilde gerekli olandan uzun süre saklamayacaktır.

9.4. Şirket kişisel veriyi, veri sahibinin hak ve özgürlüklerini koruma amacıyla uygun teknik ve organizasyonel tedbirleri alarak sadece kamu yararı, bilimsel veya tarihsel araştırma veya istatistik amaçlarıyla daha uzun süre saklayabilir.

9.5. Kişisel verinin her bir kategorisi için saklama süresi ve Şirketin veriyi saklamak zorunda olduğu yasal yükümlülükler de dahil olmak üzere bu sürenin belirlenmesinde kullanılan kriteri [D.17]: Saklama ve İmha Politikası’nda belirtilmiştir.

9.6. Şirketin veri saklama ve imha prosedürleri ([D.17]: Saklama ve İmha Politikası) tüm durumlarda uygulanacaktır.

9.7. Kişisel veriler KVKK hükümleri ve ilgili mevzuat doğrultusunda güvenli bir şekilde yok edilecektir – güvenliği sağlamak amacıyla uygun bir şekilde işleme ve böylelikle veri sahibinin “hak ve özgürlüklerini” koruma. Verinin her türlü yok edilmesi Saklama ve İmha Politikası doğrultusunda yapılacaktır.

 

Şirket KVKK ve GDPR uyumluluk süreci boyunca riskleri ve fırsatları tespit etmek için yaklaşımının bir parçası olarak bir veri envanteri oluşturmuştur. Şirketin veri envanteri şunları belirler:

• Kişisel veriyi kullanan iş süreçleri;

• Kişisel verinin kaynağı;

• Veri sahibi hacmi;

• Kişisel verinin her bir unsurunun tanımı;

• İşleme faaliyeti;

• İşleme faaliyetinin amacı ve hukuki sebebi

• İşlenen kişisel verinin, veri kategorileri envanteri yönetimi;

• Kullanılan her bir kişisel veri kategorisi için amaç(lar)ın dosyalanması;

• Kişisel verilerin alıcıları ve potansiyel alıcıları;

• Veri akışı esnasında Şirketin rolü;

• Anahtar sistemleri ve muhafaza;

• Her türlü veri transferi; ve

• Tüm saklama ve imha gereklilikleri.