Kıran Holding

1. GİRİŞ

Kişisel verilerin korunması, KIRAN HOLDİNG A.Ş.’nin (Bundan sonra “KIRAN” veya “Şirket” olarak anılacaktır.) en önemli öncelikleri arasında yer almaktadır. Şirket ortaklarımızın, yetkililerimizin, çalışanlarımızın, stajyerlerimizin, referans gösterilen kişilerin, çalışanlarımızın aile bireyleri ve yakınlarının, çalışan adaylarımızın, ziyaretçilerimizin; tedarikçilerimizin, tedarikçi çalışanlarının-yetkililerinin ve ortaklarının; müşterilerimizin, potansiyel müşterilerimizin, müşteri çalışanlarının-yetkililerinin-iş ortaklarının; iş ortaklarımızın-yetkililerinin-çalışanlarının ve ilgili üçüncü kişilerin kişisel verilerinin korunmasında büyük hassasiyet gösterilmektedir.

T.C. Anayasası’nın 20. maddesinde hüküm altına alındığı üzere; herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.

KIRAN faaliyetleri ya da gereklilikleri doğrultusunda kişisel verilerini işlediğimiz, Şirket ortaklarımızın, yetkililerimizin, çalışanlarımızın, stajyerlerimizin, kursiyerlerimizin, referans gösterilen kişilerin, çalışanlarımızın aile bireyleri ve yakınlarının, çalışan adaylarımızın, ziyaretçilerimizin; tedarikçilerimizin, tedarikçi çalışanlarının-yetkililerinin ve ortaklarının; müşterilerimizin, potansiyel müşterilerimizin, müşteri çalışanlarının-yetkililerinin-iş ortaklarının; iş ortaklarımızın-yetkililerinin-çalışanlarının ve ilgili üçüncü kişilerin, Anayasal bir hak olan “Kişisel Verilerin Korunması” hakkının korunması ve geliştirilmesi bir kurum politikası olarak benimsenmiştir.

2. POLİTİKA’NIN AMACI

Bu Politika, kişisel verilerin işlenmesi ve korunması konusunda 6698 sayılı Kişisel Verilerin Korunması Kanununa (Bundan sonra “KVKK” olarak anılacaktır.), Kişisel Verileri Koruma Kurulu kararlarına (Bundan sonra “Kurul” olarak anılacaktır.) ve bu hususta yürürlükte bulunan ikincil mevzuata uyum sağlanması için tüm Şirket kapsamında faaliyetlerin uyumlu şekilde yürütülmesini temin etmek amacıyla hazırlanmıştır.

3. POLİTİKA’NIN KAPSAMI

Bu politika, ilgili kişilere ait kişisel verilerin; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.

4. TANIMLAR

Bu politikada geçen,

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
• Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
• İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
• Çalışan: KIRAN personelini,
• Çalışan Adayı: KIRAN bünyesinde çalışan olmak amacıyla, elektronik veya fiziki ortamda, KIRAN’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini KIRAN’in incelemesine bizzat veya bir sistem aracılığıyla açmış/iletmiş olan gerçek kişileri,
• İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
• İş Ortağı: KIRAN'ın ticari faaliyetlerini yürütürken birlikte muhtelif projeler yapmak, hizmet almak, şirket içi operasyonel verimliliği arttırmak gibi amaçlarla iş ortaklığı kurduğu tarafları,
• Ziyaretçi: KIRAN’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişileri,
• Şirket Yetkilisi: KIRAN yönetim kurulu üyelerini ve diğer yetkili kişileri,
• Şirket Ortakları: KIRAN ortağı gerçek kişileri,
• Tedarikçi: KIRAN’n ticari ve operasyonel faaliyetlerini yerine getirirken, emir ve talimat verdiği, sözleşme ilişkisi kurduğu, KIRAN’a mal ve/veya hizmet sağlayan gerçek veya tüzel kişileri ,
• Müşteri: KIRAN’ın sunduğu ürün ve hizmetlerden faydalanan gerçek veya tüzel kişileri
• Müşteri Adayları: Şirketimizin sunduğu ürün ve hizmetlerden faydalanma veya ilgili ürün ve hizmetleri satın alma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilebilecek gerçek veya tüzel kişileri
• İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
• Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
• Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
• Elektronik Ortamlar: Kişisel verilerin ilgili teknolojik altyapıya sahip cihazlar ile oluşturulabildiği, işlenebildiği, saklanabildiği ve iletilebildiği ortamı,
• Elektronik Olmayan Diğer Ortamlar: Elektronik ortamların dışında kalan her türlü yazılı, görsel ve sair ortamları,
• Hizmet Sağlayıcı: KIRAN ile yapmış olduğu ilgili sözleşme çerçevesinde, herhangi bir hizmet sağlayan gerçek veya tüzel kişiyi,
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
• Özel Nitelikli (Hassas) Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
• Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
• Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
• Kişisel Veri Saklama ve İmha Politikası (ya da kısaca “İmha Politikası”): Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
• Kurul: Kişisel Verileri Koruma Kurulunu
• Kurum: Kişisel Verileri Koruma Kurumunu,
• Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
• Sicil (VERBİS): Kişisel Verileri Koruma Kurumu tarafından tutulan veri sorumluları sicil bilgi sistemini,
• Stajyer: Uygulamalı meslek eğitimi alma amacıyla çalışan kişiyi,
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
• Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

Bu politikada tanımlanmayan kavramlar hakkında 6698 sayılı KVKK ve ilgili ikincil mevzuatta geçen tanımlamalar esastır.

5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

KIRAN; kişisel verileri, KVKK m.10 kapsamında ilgili bilgilendirme yükümlülüğünü yerine getirerek, KIRAN veri işleme amaçları uyarınca, KVKK m.4’te öngörülen ilkelere, KVKK m.5 ve m.6’da hüküm altına alınan şartlardan en az birine uygun şekilde ve ilgili amaçlarla sınırlı olarak işlemektedir.

KIRAN’in kişisel veri işleme amaçları özellikle şunlardır:

• Acil durum yönetimi süreçlerinin yürütülmesi,
• KIRAN insan kaynakları operasyonlarının planlanması ve yürütülebilmesi,
• KIRAN’in iş süreçlerine ilişkin stratejilerin belirlenmesi ve tatbik edilmesi,
• KIRAN’in, her türlü operasyonel faaliyetinin güvenliğinin sağlanabilmesi,
• Başvuru, talep ve şikayet süreçlerinin yönetilebilmesi,
• Bilgi güvenliği faaliyetlerinin planlanması, yürütülebilmesi, denetimi,
• Çalışan adayı / stajyer seçme ve yerleştirme süreçlerinin yürütülmesi,
• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
• Denetim faaliyetlerinin yürütülebilmesi
• Finans ve muhasebe işlerinin yürütülmesi,
• Hukuk işlerinin denetimi ve takibi,
• İdari, teknik ve finansal risk yönetim süreçlerinin yürütülmesi,
• İlerde doğabilecek hukuki ihtilaflarda ispat yükümlülüğünün yerine getirilebilmesi,
• İnsan kaynakları süreçlerinin planlanması,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Kanuni yükümlülüklerin yerine getirilmesi,
• Kişisel verilerin doğruluğunun ve güncelliğinin sağlanabilmesi,
• Kurumsal iletişimin sağlanabilmesi,
• Lojistik faaliyetlerinin yürütülmesi,
• Mal / hizmet satın alım süreçlerinin yürütülmesi,
• Mal satış süreçlerinin yürütülmesi,
• Mal üretim ve operasyon süreçlerinin yürütülmesi,
• Müşteri ilişkileri süreçlerinin yürütülebilmesi,
• Performans değerlendirme süreçlerinin yürütülmesi
• Saklama ve arşiv faaliyetlerinin yürütülmesi
• Satış sonrası destek hizmetlerinin yürütülmesi,
• Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi
• Sözleşme süreçlerinin yürütülmesi
• Sponsorluk faaliyetlerinin yürütülmesi
• Stratejik planlama faaliyetlerinin yürütülebilmesi,
• Taşınır mal ve kaynakların güvenliğinin sağlanması,
• Tedarikçiler, iş ortakları ve hizmet sağlayıcılar ile olan iş süreçlerinin yürütülebilmesi ve bu kişilerle iletişimin sağlanabilmesi,
• Ücret yönetimi, yan hak ve menfaatlere ilişkin süreçlerin yönetilebilmesi,
• Ürün ve hizmetlerimizdeki problemlerin çözülmesi; hata ve sorunların tespit edilmesi, giderilmesi,
• Ürün ve/veya hizmet alım süreçlerinin yürütülmesi,
• Veri sorumlusu operasyonlarının güvenliğinin temini,
• Yasal ve sözleşmesel yükümlülüklerin yerine getirilebilmesi,
• Yetkili kurum ve kuruluşlara ilgili yasal düzenleme dolayısıyla bilgi verilmesi,
• Yönetim faaliyetlerinin yürütülmesi.

  6. KİŞİSEL VERİLERİN İŞLENMESİ

  6.1. Kişisel Verilerin İşlenmesinde Uygulanacak İlkeler

  KIRAN, ilgili kişilerin kişisel verilerinin işlenmesinde, KVKK’ya ve ilgili diğer yasal mevzuata uygun hareket etmektedir. Kişisel verilerin işlenmesine ilişkin KVKK’nın 4. maddesinde yer alan ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin bu ilkelere uygun olarak gerçekleştirilmesi KIRAN’ın önceliği olup, veri işleme süreçlerinde dikkate alınan bu ilkeler aşağıda yer verildiği gibidir.

  6.1.1 Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Şekilde İşlenmesi

  KIRAN tarafından tüm veri işleme süreçlerinde önkoşul olarak kabul edilmiş olan hukuka ve dürüstlük kuralına uygun olma ilkesi, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Bu ilke uyarınca, KIRAN, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almakta, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir.

  Bu ilke kapsamında Şirketimiz, kişisel verilerin ne şekilde ve ne amaçla işleneceği konusunda ilgili kişiyi gerekli şekilde aydınlatarak, veri işleme faaliyetinin ilgili kişi için şeffaf olmasını sağlamayı hedeflemektedir.

  6.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

  KIRAN, ilgili kişinin kişisel verilerini işbu politika kapsamında açıklanan amaçlar doğrultusunda herhangi bir şekilde işlemesi halinde kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması için gerekli özeni de göstermektedir. Bunun dışında ilgili kişilerin bilgilerinin doğru ve güncel olmasını temin etmek amacı ile KIRAN’a başvurması için iletişim kanalları açık tutulmakta ve gerekli imkân tanınmaktadır. Bu kapsamda veri sorumlusuna başvuru formu web sitemizde ilan edilmiştir.

  6.1.3. Kişisel Verileri Belirli, Açık ve Meşru Amaçlar İçin İşleme

  KIRAN tarafından, kişisel veri işleme amaçlarının açıklandığı sözleşme, hukuki işlem ve metinlerde (Web Sitesi Aydınlatma Metni, Tedarikçi Aydınlatma Metni, Müşteri Aydınlatma Metni, Çalışan ve Çalışan Adayı Aydınlatma Metni, Veri Sorumlusuna Başvuru Formu vb.) belirlilik ve açıklık ilkesine uyum konusunda hassasiyet gösterilmekte, veri işleme faaliyetinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını sağlamaya özen gösterilmektedir. Kişisel veriler belirlenen, ilan edilen, bildirilen veya sözleşmede kararlaştırılan amaçlar çerçevesinde işlenmektedir.

  6.1.4. Kişisel Verileri İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşleme

  KIRAN, tarafından gerçekleştirilen veri işleme süreçlerinde, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasına dikkat edilmekte; amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. İleride ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemektedir.

  6.1.5. Kişisel Verileri Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Süre Kadar Muhafaza Etme

  Şirket kişisel verileri mevzuatta, KIRAN Saklama Ve İmha Politikası’nda öngörülen veya VERBİS’de bildirilen yahut işlendikleri amaç için gerekli süre kadar saklamaktadır. Mevzuatta ve/veya İmha Politikası’nda belirtilen sürenin bitmesi ya da amacın gerçekleşmesi halinde kişisel veriler re’sen ya da ilgilinin talebi üzerine silinmekte, yok edilmekte ya da anonim hale getirilmektedir. Kişisel verilerin imhasına ilişkin olarak “Kişisel Veri Saklama ve İmha Politikası” hazırlanmış ve Şirket internet sitesinde ilan edilmiştir.

  6.2. Genel Nitelikli Kişisel Verilerin İşlenmesi

  Anayasa’nın 20. maddesi ve KVKK’nın 5.1 maddesi gereğince, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Şirketimiz işbu yasal düzenlemeler doğrultusunda, kişisel verilerin işlenmesinde ilgili kişilerin açık rızasını almaya her zaman özen göstermektedir.

  Ancak şirket KVKK’nın 5.2 maddesi gereğince aşağıdaki şartların varlığı halinde ilgili kişinin açık rızasını aramaksızın kişisel verileri de işleyebilmektedir.

  • a) Kanunlarda açıkça öngörülmesi.
  • b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

  Kişisel verileriniz aşağıda yer alan şartlardan biri veya birkaçının bulunması halinde KIRAN tarafından işlenebilmektedir.

  6.2.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması

  Kişisel verilerin işlenmesinde açık rızanın alınması KIRAN’in önceliğidir. Bu nedenle kişisel verilerini işlediğimiz ilgili kişilerin açık rızalarını fiziki ve/veya elektronik ortamda almak için gerekli yöntemler ve sistemler geliştirilmiştir.

  İlgili kişilerin, kişisel verilerinin işlenmesine ilişkin rızaları alınmadan önce KVKK’nın 10. maddesi doğrultusunda aydınlatma yükümlülüğü yerine getirilmekte, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açık rızalarının alınması sağlanmaktadır.

  Özellikle çalışanlardan alınan açık rızaların özgür iradeye dayanması hususuna özel bir ehemmiyet gösteren KIRAN, çalışanlarının açık rıza vermekten imtina edebilecekleri konusunu kendilerine vurgulayarak, belirli verilerin işlenmesi için açık rıza göstermeyen çalışanlarının o verilerinin işlenmemesini temin etmekte ve açık rıza göstermeyen çalışanı herhangi bir ayrımcılığa tabi tutmamaktadır.

  6.2.2 Kanunlarda Açıkça Öngörülmesi

  Kanunlarda açıkça öngörülmesi halinde kişisel verilerin işlenmesi hukuka uygun olup, bu durumda veri süjesinin açık rızasının olup olmadığı ayrıca değerlendirilmemektedir. 4857 Sayılı İş Kanunu'nun İşçi Özlük Dosyası İle İlgili 75. Maddesi gereğince çalışanların verilerinin toplanması bu kapsamda değerlendirilmektedir. Başta 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 4982 Sayılı Bilgi Edinme Hakkı Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun ve bu kanunlara ilişkin ikincil mevzuat olmak üzere kanunlarda öngörülen hallerde kişisel veriler KIRAN tarafından ilgili kişinin açık rızası olmaksızın işlenebilmektedir.

  6.2.3. Fiili İmkânsızlık Nedeniyle Açık Rızanın Alınamaması

  Rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için verilerin işlenmesi öngörülmektedir. Örneğin fabrika içerisinde ağır iş grubunda çalışan işçinin iş kazası geçirmesi halinde kan grubunun ilgili sağlık personelleri ile paylaşılması durumunda kişinin açık rıza vermesi beklenmeyecektir.

  6.2.4. Sözleşmenin Kurulması veya İfası ile Doğrudan İlgili Olması

  Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması halinde, sözleşmenin taraflarına ait kişisel verilerin açık rıza olmaksızın işlenmesi mümkündür. Örneğin yapılan bir sözleşme gereği ücretin ödenmesi için alacaklı tarafın hesap numarası bilgisi elde edilebilecektir.

  6.2.5. Şirketin Hukuki Sorumluluğunun Yerine Getirilmesi İçin Zorunlu Olması

  Şirketin, hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması halinde, kişisel verilerin açık rıza olmaksızın da işlenmesi mümkündür. Örneğin açık rıza olmasa dahi mahkeme kararıyla talep edilen bilgiler mahkemeye sunulabilecektir.

  6.2.6. İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Veriler

  İlgili kişinin kendisi tarafından kamuoyuna açıklanmış olan kişisel verileri alenileştirilme amacıyla bağlantılı olarak açık rıza olmaksızın işlenebilecektir. Örneğin istihdam sağlama amacıyla kurulmuş web sitelerindeki hesabında özgeçmişini paylaşan kişinin, söz konusu bilgileri alenileştirilmiş veri olarak kabul edilir.

  6.2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması

  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde açık rıza olmaksızın da kişisel veriler işlenebilecektir. Şirketin, çalışan tarafından açılan bir davada ispat için bazı verileri kullanması bu kapsamdadır.

  6.2.8. Şirketin Meşru Menfaatleri İçin Zorunlu Olması

  İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde açık rıza olmaksızın kişisel veriler işlenebilecektir. Çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde kişisel verilerinin işlenmesi bu kapsamdadır. Örneğin KIRAN, çalışanlarına oryantasyon, mesleki gelişim kapsamında eğitimler verdiği ve bu çerçevede yatırım yaptığı için erkek adayların askerlik görevini ifa edip etmediği sorulmaktadır.

  6.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

  KVKK ile bazı kişisel verilere, ayrımcılık potansiyeline sahip olmaları ve hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine yol açabilecekleri gözetilerek özel önem verilmiş ve bu veriler “özel nitelikli kişisel veri” olarak adlandırılmıştır. (Tanım için bkz: 4.TANIMLAR)

  Şirket, KVKK’nın özel önem atfettiği söz konusu “özel nitelikli kişisel verilerin” işlenmesinde ayrıca hassasiyet göstermektedir. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim verilmekte, gizlilik sözleşmeleri imzalatılmakta, verilere erişim yetkisi kısıtlanmakta, görev değişikliği olan ya da işten ayrılan çalışanların bu alanlardaki yetkileri derhal kaldırılmaktadır.

  Özel nitelikli kişisel veriler e-mail ortamında aktarılacaksa şifreli kurumsal e-mail hesabından veya KEP hesabı üzerinden sadece ilgilisine aktarılmaktadır. Gerekli görüldüğü durumlarda güvenlik testleri yapılmaktadır. Özel nitelikli kişisel verilerin muhafaza edildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, söz konusu ortamlara yetkisiz giriş çıkışlar engellenmektedir. Söz konusu fiziksel ortamlarda oluşabilecek yangın, sel vs. risklerine karşı tedbirler alınmıştır. Yine belirtmek gerekir ki özel nitelikli kişisel verilerin işleme ve muhafazasına ilişkin rol ve sorumluluk dağılımı yapılmış söz konusu kişiler verinin hassasiyeti konusunda uyarılmış ve gerekli tedbirleri almaları konusunda görev ve talimatlandırılmıştır.

  Farklı fiziksel ortamlardaki sunucular arasında aktarımın gerçekleştiği durumlarda VPN kullanılmaktadır. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

  Söz konusu verilerin işlenmesi için ilgili kişilerin açık onayı KIRAN’ın önceliğidir. KIRAN tarafından, özel nitelikli kişisel veriler, veri süjesinin açık rızası olmaması halinde ancak KVKK’da belirlenmiş olan aşağıdaki istisnai durumlarda işleyebilecektir;

  Sağlık Verileri

  Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Sağlık raporları özlük dosyalarının içerisinden çıkarılmış ayrıca dosyalanmıştır. Dosyalar sadece yetkili kişinin görebileceği bir dolapta durmakta olup anahtarı yetkili kişiye teslim edilmiştir. Çalışanların işe gelmesini engelleyen sağlık problemleri dolayısıyla ilgili sağlık kuruluşlarından aldıkları raporlar, kapalı zarfta İnsan Kaynakları departmanı tarafından teslim alınıp üzerine GİZLİDİR kaşesi vurulmakta akabinde yetkili kişiye teslim edilmektedir.

6.4. KIRAN Tarafından İşlenen Kişisel Veriler

KIRAN tarafından yukarıda sayılan ilkeler ve amaçlar kapsamında özel ve genel nitelikli kişiler veriler işlenmektedir. Bu veriler EK-1’de örnek kabilinden sayılmış olup her bir veri özelinde hangi verinin işleneceği; KIRAN ile ilgili kişi arasında kurulmuş olan ilişki çerçevesinde ve işbu Politika’da yer alan esaslar doğrultusunda işlenebilmektedir:

6.5. Kişisel Verilerin Aktarılması

6.5.1. Kişisel Verilerin Yurtiçinde Aktarılması

Kişisel verilerin paylaşılmasında açık rızanın alınması KIRAN’in önceliğidir. Bu nedenle kişisel verilerini üçüncü kişilerle paylaştığımız ilgili kişilerin açık rızalarını fiziki ve/veya elektronik ortamda almak için gerekli yöntemler geliştirilmiştir.

6.5.1.1. Genel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması

KIRAN, ilgili kişilerin kişisel verilerini, kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde üçüncü kişilere aktarabilmektedir. Kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin onayının alınmasına hassasiyet gösterilmekte olup, aşağıda belirtilen hallerin bir veya bir kaçının bulunması halinde açık rıza alınmaksızın kişisel verilerin aktarılması söz konusu olabilmektedir;

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6.5.1.2. Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması

Şirketimiz, ilgili kişilerin özel nitelikli kişisel verilerini, kişisel verilerin işlenmesinde benimsenen ilkelere uygun bir şekilde üçüncü kişilere aktarabilmektedir.

Özel nitelikli kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin onayının alınmasına hassasiyet gösterilmekte ve yeterli teknik ve idari önlemler alınarak özel nitelikli kişisel veriler yurtiçinde aktarılmaktadır. Ancak aşağıda belirtilen hallerin mevcut olması durumunda yeterli teknik ve idari önlemler alınarak, ilgili kişinin açık rızası bulunmadan da özel nitelikli kişisel verilerin;

• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde,
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılması söz konusu olabilmektedir.

6.5.2. Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılmasında, ilgili kişinin açık rızanın alınmasına özen gösterilmektedir. Bu nedenle ilgili kişilerin açık rızalarını fiziki ve elektronik ortamda almak için gerekli yöntemler geliştirilmiştir.

Şirketimiz, hukuka ve dürüstlük kurallarına uygun bir şekilde ve veri işleme amaçlarına bağlı kalarak ilgili kişilerin kişisel verilerini yurtdışına aktarabilmektedir.

Kişisel verilerin yurtdışına aktarılmasında KVKK’nın 9. Maddesine ve Kurul’un 2019/125 numaralı kararında belirtilen ilke ve ölçütlere uygun hareket edilmektedir.

6.5.2.1. Genel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

KIRAN, ilgili kişilerin kişisel verilerini (kimlik, iletişim, müşteri işlem, finans, mesleki deneyim, temsilci vb.) kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde üçüncü kişilere aktarabilmektedir. Kişisel verilerin yurtdışında bulunan üçüncü kişilere aktarılmasında ilgili kişinin onayının alınmasına hassasiyet gösterilmektedir.

Veri sahibinin açık rızası olmaması halinde ise, verinin aktarılacağı ülkede yeterli korumanın bulunması veya kişisel verinin aktarılacağı veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması şartıyla, Kurul’un 2019/125 numaralı kararında benimsediği ilke ve esaslar da uygulanarak, aşağıdaki şartlardan birinin varlığı hâlinde kişisel verilerinin;

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması yurtdışına aktarılması mümkündür.

KIRAN, hissedarlarının yurtdışında faaliyet gösteriyor olması nedeniyle yukarıda belirtilen kanuni yükümlülükleri yerine getirerek hissedarlarıyla meşru amaçlarla gerektiği ölçüde kişisel verileri paylaşabilmektedir.

6.5.2.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

KIRAN, ilgili kişilerin kişisel verilerini, kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde yurtdışına aktarabilmektedir.

Verinin aktarılacağı ülkede yeterli korumanın bulunması veya kişisel verinin aktarılacağı veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması şartıyla, Kurul’un 2019/125 numaralı kararında benimsediği ilke ve esaslara da uygun olacak şekilde aşağıdaki şartlardan birinin varlığı hâlinde ilgili kişinin açık rızasına ihtiyaç duyulmadan;

• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde,
•  
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişisel verilerinin yurtdışına aktarılması mümkündür.

• Saklanan kayıtlar, yetkili kurum ve kuruluşların talep etmesi halinde yasal yükümlülüklerin yerine getirilmesi için hukuken yetkili kurum ve kuruluşlar ile paylaşılabilecektir.

  7. İNTERNET SİTESİ ZİYARETÇİLERİNE AİT KİŞİSEL VERİLER

  Şirkete ait internet sitelerinde, kişisel verilerin ne şekilde ve hangi amaç ile elde edildiğine dair KVKK’nın 10. Maddesi kapsamında ilgili aydınlatma metinleri ve politikalar yayınlanmış ve ziyaretçiler bu konuda bilgilendirilmiştir.

  Ayrıca web sitesi aydınlatma metni, ilgili kişinin kişisel verilerinin Şirket nezdinde işlenme adımlarına dair en sağlıklı bilgiye en sade şekilde ulaşmasını sağlamak amacıyla ilgili kişiyi Şirket ile ilişkisine göre daha detaylı bilgilendirmeye haiz aydınlatma metinlerine ve Şirket politikalarına yönlendirmektedir.

  8. KİŞİSEL VERİLERİN GÜVENLİĞİ

  KIRAN, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

  Bu kapsamda öncelikle KIRAN tarafından işlenen kişisel verilerin neler olduğunun tespitine dair çalışmalar gerçekleştirilmiş, çalıştaylar yapılmış ve işlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı da gözetilerek, bu verilerin korunmasına ilişkin ortaya çıkabilecek riskler belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik gerekli teknik ve idari tedbirler uygulamaya konmuştur.

  Kişisel verilerin hukuka, mevzuata ve ilgili güvenlik önlemlerine uygun şekilde işlenmesi, muhafaza edilmesi, saklanması, imha edilmesi ve sair süreçleri düzenleyen şirket içi politikalar ve prosedürler benimsenmiştir.

  Kişisel veri güvenliğinin sağlanması için, kişisel verilerin hukuka aykırı şekilde açıklanması ve paylaşılmasının önüne geçebilmek ve KVKK’ya yönelik farkındalık yaratabilmek amacıyla, çalışanlara ve yöneticilere düzenli olarak eğitimler verilmektedir.

  Ayrıca kişisel veri işleme süreçlerine dahil olan çalışanlardan, iş süreçlerinin bir parçası olarak gizlilik anlaşmaları ve taahhütleri imzalamaları istenmekte çalışanların güvenlik politika ve prosedürlerine aykırı hareket ettiklerinin tespiti halinde gerekli disiplin sürecine başvurulacağı önemle hatırlatılmaktadır.

  KIRAN ile veri işleyen, çalışan, müşteri, tedarikçi, iş ortağı vs. arasında yapılan sözleşmeler incelenmiş başta KVKK vs. mevzuat kapsamında revize çalışmaları yapılmış ve ek protokoller hazırlanmıştır.

  Şirket tarafından veri işleme süreçlerine dahil olan kişisel verilere personel bazında erişim, yetki sınırlandırması yapılmış, sınırlı sayıda personele yürüttükleri iş süreçleri ile ilgili olan kişisel verilere erişim yetkisi tanınmıştır. Personel tarafından gerçekleştirilen veri işleme faaliyetleri kayıt altına alınmaktadır. Görev değişikliği veya işten ayrılan personellerin ivedilikle bu alandaki yetkileri kaldırılmaktadır.

  Kişisel verilerin hukuka aykırı şekilde işlenmesinin ve kişisel verilere hukuka aykırı şekilde erişilmesinin önüne geçmek için, kişisel verilerin işlenmesine ilişkin süreçlerin takibi ve denetimi için teknik sistemler kurulmuştur. Ağ güvenliği, veri akışı güvenliği çalışmaları yapılmış, veri kaybının önlenmesi için hali hazırdaki yazılımlar güncellenmiştir. Kişisel verilerin hukuka aykırı şekilde işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek için iç denetimler gerçekleştirilmiştir.

  Sızma testleri bilgi teknolojilerinden sorumlu yönetim kurulu üyesinin talimatları doğrultusunda ve belirtilen aralıklar ile yapılmaktadır.

  Sistem güvenlik boşlukları takip edilerek uygun güvenlik düzeyinin sağlanabilmesi için yamalar yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

  Web sitemiz https güvenlik protokolü ile korunmaktadır.

  KIRAN, nezdinde bulunan kişisel verilere ilişkin çalışmaların akabinde tespit edilen kişisel veriler analiz edilmiş, mevzuat kapsamında incelenmiştir. Bu çerçevede gereksiz olan veriler silinmiş, verilerin mümkün olduğunca azaltılması ilkesi benimsenmiştir.

  Kişisel verilere hukuka aykırı şekilde erişilmesini engellemek ve kişisel verilerin güvenli ortamlarda saklanmasını sağlamak için uygun güvenlik düzeyine sahip teknik yöntemler kullanılmakta ve söz konusu yöntemler gelişen teknolojiye uygun şekilde güncellenmektedir.

  Çevresel risklere karşı bilgi ve bilişim sistemleri güvenliğinin sağlanması amacıyla sistem odasına sadece yetkili personelin girişinin sağlanması, kilit altındaki veri saklama birimlerinin anahtarlarının belirli kişilerde olması, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, sunucunun doğru çalışabilmesi için soğutma sistemi, güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, antivirüs sistemleri vb. gibi birçok önlem alınmaktadır.

  10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

  KIRAN, KVKK’nın 7. Maddesi gereğince, yasal mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel verileri resen veya veri süjesinin talebiyle siler, yok eder veya anonim hale getirir.

  Fiziksel ortamlarda ve dijital veri kayıt sistemlerinde muhafaza edilen kişisel veriler, veri işleme amacının gerçekleşmesi ya da mevzuatta öngörülen süresinin bitmesi halinde, re’sen ya da ilgilinin talebi üzerine, silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

  Anonimleştirilmiş kişisel veriler, araştırma, istatistik ve planlama gibi amaçlarla kullanılabilir, süresiz şekilde saklanabilir ve yurtiçi ve yurtdışına aktarılabilir.

  Kişisel verilerin imhasına ilişkin olarak “Kişisel Veri Saklama Ve İmha Politikası” hazırlanmış ve https://www.kiran.com.tr/kvkk internet sitesinde ilan edilmiştir. Detaylı bilgilendirme için lütfen inceleyiniz.

  11. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE ŞİRKETE BAŞVURUSU

  Şirketimiz, kişisel verilerini işlediğimiz ilgili kişileri KVKK’nın 10. Maddesi kapsamında hakları ve haklarını ne şekilde kullanabilecekleri hakkında bilgilendirmektedir.

  11.1. Kişisel Veri Sahibinin Hakları

  Kişisel veri sahibi olan ilgili kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında;

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini, düzeltme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Yasal sınırlar hariç olmak üzere Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme, silme ve yok etme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

11.2. Kişisel Veri Sahibinin Haklarını Kullanması

İlgili kişi, Kanunun 11. maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak ıslak imzalı şekilde veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirketimize daha önce bildirilen ve Şirketimiz sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle Şirkete iletmelidir. Yazılı olarak yapılacak başvurular için adres Altunizade, Ord. Prof. Dr. Fahrettin Kerim Gökay Cd. 18/2, 34662 Üsküdar/İstanbul adresidir.

İlgili kişinin başvurusunda asgari olarak bulunması zorunlu olan bilgiler aşağıda belirtildiği gibidir;

• Ad, soyad ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusu

Ayrıca konuya ilişkin bilgi ve belgeler de başvuruya eklenmelidir. Başvuru sahiplerinin başvuruları esnasında kullanması için internet sitesinde Başvuru Formu hazırlanarak internet sitesinde ilan edilmiştir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.

11.3. Kişisel Veri Sahibinin Başvuru Hakkının İstisnaları

Kanun’un 28. Maddesi uyarınca, aşağıdaki haller Kanun kapsamı dışında tutulduğundan, Veri Sahipleri;

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

haklarını ileri süremezler.

KIRAN’ın Aydınlatma Yükümlülüğü, Kanun’un 28/2 maddesi uyarınca;

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması hallerinde uygulanmaz.

11.4. Kişisel Veri Sahibinin Başvurularının Cevaplandırılması

KIRAN, ilgili kişinin KVKK’nın 11. Maddesi kapsamında başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almaktadır.

Başvuruların yukarıda belirtilen usul ve esaslara göre KIRAN’a iletilmesi halinde, KIRAN talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvuruyu ücretsiz şekilde sonuçlandıracaktır. Cevabın on sayfadan fazla olması halinde, on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise veri kayıt ortamının maliyeti talep edilebilir.

KIRAN, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek ve talepleri değerlendirmek için gerekli görmesi halinde ek bilgi talep edebilir ve başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

12. SORUMLULUK VE GÖREV DAĞILIMLARI

KIRAN, tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin işlenmesi süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım EK-4’te verilmiştir. İşbu tabloda yer alan kişiler KIRAN Kişisel Verilerin Korunması Komisyonu üyelerini ihtiva etmektedir.

EK-1: Kişisel Veri Kategorileri

Şirket çalışanlarının özlük dosyasında bulunması kanunen zorunlu olan veriler ile özlük haklarının oluşmasına temel olacak veriler (Nüfus cüzdan fotokopisi, Nüfus kayıt örneği, yerleşim yeri ve adres belgesi (e-devlet), sabıka kaydı (e-devlet), diploma fotokopisi, banka hesap cüzdanı fotokopisi, daha önce alınmış eğitim ve seminerlerin sertifika fotokopisi vs.

Kişisel Veri Kategorisi	Kişisel Veri Kategori Açıklaması
Kimlik Bilgisi	Gerçek kişiye ait, kişinin kimliğine dair bilgilerin bulunduğu verilerdir. T.C. kimlik numarası, anne-baba adı, doğum tarihi, doğum yeri, medeni durum, cinsiyet gibi bilgileri içeren nüfus cüzdanı, ehliyet, pasaport, meslek kartı gibi belgeler ile vergi numarası, imza bilgisi, SGK numarası ve sair veriler
İletişim Bilgisi	Telefon numarası, e-posta adresi, adres, faks numarası ve sair veriler
Çalışan Aday Bilgisi	KIRAN tarafından, iş başvuru aşamasında özgeçmiş ve iş başvuru formları aracılığı ile alınan kişisel veriler (kimlik ve iletişim bilgisi, askerlik durumu, eğitim ve iş tecrübeleri, sertifika, ilgi alanları, referanslar, yabancı dil bilgisi, ehliyet durumu, şirkete başvuru şekli)
Özlük Bilgisi
Özel Nitelikli Kişisel Veri	Dini bilgi veya diğer inançları, sağlığı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri
	Dini Bilgisi Yalnızca Eski kimliklerde yer alan din hanesi dolayısıyla depolanmakta olup, bu kapsamda yeni alınan eski kimlikler karartılmaktadır. Sağlık Bilgisi Özlük dosyası, İSG faaliyetleri ve yıllık sağlık testleri kapsamında Ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri Özlük dosyası kapsamında
Finansal Bilgi	Banka hesap numarası ve hesap bilgileri, finansal durumu gösterir belgeler, maaş, bordro bilgileri, avans bilgisi ve sair veriler
Aile Bireyleri ve Yakın Bilgisi	KIRAN tarafından ifa edilen faaliyetler kapsamında, verilen hizmetlere ilişkin yahut da KIRAN’in ve veri sahibi ile ailesine başta AGİ olmak üzere çeşitli olanakların ve menfaatlerin sağlanması kapsamındaki bilgiler
İşlem Güvenliği Bilgisi	Teknik, hukuki veya idari süreçlerle alakalı iş ve işlemlerin yürütüldüğü esnada KIRAN ve ilgili kişinin güvenliğinin sağlanabilmesi amacıyla işlenen kişisel veriler (log kaydı, IP no gibi)
Hukuki İşlem Bilgisi	Hukuki hak ve alacaklarımızın tespitinin ve takibinin yapılabilmesi, borçlarımızın ifası ile kanuni yükümlülüklerimizin KIRAN politikaları nezdinde özenli ve yasal şekilde yürütülebilmesi amacıyla işlenen kişisel veriler,
Müşteri İşlem	Fatura, çek, senet, sipariş, talep bilgileri
Risk Yönetimi	Ticari, idari ve teknik risklerin yönetilmesi için gerekli bilgiler
Mesleki Deneyim	Diploma bilgileri, gidilen kurslar, sertifikalar, mezun olunan okul bilgisi, kurs, seminer, konferans katılım belgesi, sınav sonucu, yabancı dil bilgisi ve sair veriler vs.
Lokasyon	Şirket faaliyetlerini yürüten aracın konum bilgileri vs.
Pazarlama	Alışveriş geçmişi bilgileri, kampanya çalışması ile elde edilen bilgiler vs.
Referans Kişi Bilgisi	İlgili kişinin iş başvurusu esnasında göstermiş olduğu referans kişilere ait kimlik ve iletişim bilgileri
Görsel ve İşitsel Kayıtlar	KIRAN tesis ve yerleşkelerinde bulunan kamera ve çağrı merkezinde tutulan ses kaydı gibi görsel ve işitsel kapsamdaki kayıtlar vs.
Talep, Şikayet ve İtibar Yönetimi Bilgisi	Şirketimize yöneltilen başvuru, talep, şikayetlere ilişkin işlenen veriler

EK-2 Kişisel Veri Kategorisi ve Kişi Grubu Eşleştirmesi

Verbis üzerinden Kişisel Veri Kategorisi ve Kişi Grubu Eşleştirmesinin güncel haline bakınız.

EK-3 Veri Aktarımı Yapılan Kişilere İlişkin Tanım ve Amaç Tablosu

Veri Aktarımı Yapılabilen Kişiler	Tanım	Amaç
İş Ortağı	KIRAN’ın ticari ve operasyonel faaliyetlerini yerine getirirken beraber çalıştığı veya departman bazında danışmanlık/hizmet ilişkisi ile hareket ettiği veya beraber projeler hayata geçirdiği kimseleri.	KIRAN’ın ticari ve operasyonel faaliyetlerini yerine getirirken çeşitli iş ve işlemler yürütmek, şirket içi verimliliği arttırmak, projeler yapmak, hizmet almak veya sağlamak, iş ortaklığının kurulma amaçlarının yerine getirilmesini sağlamak, şirket içi verimliliğin arttırılması, yatırım süreçlerinin yönetilmesi amacıyla sınırlı olarak
Tedarikçi	KIRAN’ın ticari ve operasyonel faaliyetlerini yerine getirirken, emir ve talimat verdiği, sözleşme ilişkisi kurduğu, KIRAN’a mal ve/veya hizmet sağlayan gerçek veya tüzel kişileri KIRAN’ın tedarikçiden temin ettiği ve KIRAN’ın ticari veya operasyonel faaliyetlerini yerine getirmek için gerekli hizmetlerin KIRAN’a sunulmasını sağlamak amacıyla sınırlı olarak. (Örneğin: Sözleşme süreçlerinin yürütülmesi, mal, hizmet satın alımı süreçlerinin yürütülmesi, güvenlik hizmetinin sağlanması.)	Hissedar/Ortak KIRAN hissedarı gerçek veya tüzel kişileri İlgili mevzuat hükümlerine göre KIRAN’ın şirketler hukuku, kurumsal yönetim faaliyetleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak.
Yetkili Kişi, Kurum ve Kuruluşlar	İlgili mevzuat uyarınca KIRAN’dan bilgi ve belge talep etmeye yetkili kişi, kurum ve kuruluşları (Ör: Deniz Ticaret Odası, Kişisel Verileri Koruma Kurumu)	İlgili mevzuat uyarınca bilgi ve belge talep etmeye yetkili kişi, kurum ve kuruluşun yetkisi uyarınca talep ettiği amaçla sınırlı olarak. (Ör: Hukuki yükümlülüğün yerine getirilmesi, kanundan kaynaklanan yükümlülüklerin yerine getirilmesi.)
Gerçek veya Özel Hukuk Tüzel Kişileri	İlgili mevzuat veya sözleşme uyarınca KIRAN’dan bilgi ve belge talep edebilecek yahut KIRAN’ın mevzuat yahut sözleşme ilişkisi uyarınca bilgi veya belge paylaştığı kişileri (Ör: Bağımsız denetim şirketleri)	İlgili mevzuat veya sözleşme uyarınca KIRAN’dan bilgi ve belge talep edebilecek yahut KIRAN’ın mevzuat yahut sözleşme ilişkisi uyarınca bilgi belge paylaştığı kişiler ile paylaşma amaçları ile sınırlı olarak.

EK-4 Sorumluluk ve Görev Dağılımları Tablosu

KIRAN KİŞİSEL VERİLERİN KORUNMASI KOMİSYONU
UNVAN	BİRİM	GÖREV
İnsan Kaynakları Müdürü	İnsan Kaynakları Departmanı	Çalışanların İmha Politikası ve Kişisel Verilerin Korunması ve İşlenmesi Politikası’na uygun hareket etmesinden sorumludur.
Bilişim Uzmanı	Bilgi İşlem Departmanı	İmha Politikası ve Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
Finans ve Muhasebe Müdürü	Finans ve Muhasebe	Çalışanların İmha Politikası ve Kişisel Verilerin Korunması ve İşlenmesi Politikası’na uygun hareket etmesinden sorumludur.