6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu politika, Pakkens Yedek Parça Makine Sanayi ve Tic. AŞ.’nin; Kanuna Özel Nitelikli Kişisel Verilerin Korunması Politikası, uyumluluğunun sağlanmasını ve Şirket tarafından özel nitelikli kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır.
Politika, özel nitelikli kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde Şirket tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Şirket tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, Şirket’in işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.
Politika, Şirket tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Şirket, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna Şirket web sitesinden https://www.pakkens.com/tr/kvkk erişilebilir.
Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir.
Şirketimiz tarafından, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Kanunun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kanuna uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Şirket, özel nitelikli kişisel verileri Kişisel Verileri Koruma Kurulu tarafından belirlenen ilave tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda işleyebilmektedir:
24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı maddesinin ikinci fıkrası yürürlükten kaldırılmış ve üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir. Buna göre 1 Haziran 2024 tarihi itibariyle, özel nitelikli kişisel veriler;
İlgili kişinin açık rızasının olması,
Kanunlarda açıkça öngörülmesi
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
halinde işlenebilir.
1 Haziran 2024 tarihi öncesinde özel nitelikli kişisel veriler aşağıda şartlarda işlenmiştir ve aktarılmıştır;
Şirketimiz kural olarak özel nitelikli kişisel verileri aktarmamaktadır. Ancak, Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda ilgili kişinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı maddesinin ikinci fıkrası yürürlükten kaldırılmış ve üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir. Buna göre 1 Haziran 2024 tarihi itibariyle, özel nitelikli kişisel veriler;
İlgili kişinin açık rızasının olması,
Kanunlarda açıkça öngörülmesi
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
halinde aktarılabilmektedir.
1 Haziran 2024 tarihi öncesinde özel nitelikli kişisel veriler aşağıda şartlarda aktarılmıştır;
Şirketimiz kural olarak özel nitelikli kişisel verileri yurtdışına aktarmamaktadır.
Kişisel verilerin yurtdışında üçüncü kişilere aktarımı olması halinde aşağıdaki kurallar uygulanmaktadır.
Kişisel veriler, Kanunun 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
Yeterlilik kararının bulunmaması ve yukarıda açıklanan uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
Standart Sözleşme ile Yapılan Aktarımlar
Şirketimiz tarafından yurt dışı menşeili e-posta ve bulut tabanlı bilgi teknolojileri altyapıları kullanılmaktadır. Bu kapsamda, 6698 sayılı Kanun’un 9/4(c) maddesi uyarınca Kurul tarafından ilan edilen standart sözleşmenin veri işleyen ile imzalanması ve Kuruma bildirilmesi suretiyle; kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, görsel ve işitsel kayıtlar ile ceza mahkûmiyeti ve güvenlik tedbirleri ve sağlık verileriniz yurt dışına aktarılabilmektedir.
Alt Veri İşleyenlere Yapılan Aktarımlar
Şirketimiz tarafından yurt dışı menşeili e-posta ve bulut tabanlı bilgi teknolojileri altyapı hizmetlerinin kullanılması nedeniyle, kişisel verileriniz bu hizmet sağlayıcılara ve bunların alt veri işleyenlerine aktarılabilmektedir. Bu aktarım süreçlerinde, Kanun’un 9. maddesi kapsamında öngörülen uygun güvenceler sağlanmakta; veri sorumlusu ile veri işleyen arasında akdedilen ve Kuruma bildirilen standart sözleşmeler çerçevesinde gerekli teknik ve idari tedbirler alınmaktadır. Alt veri işleyenlere ilişkin detaylara söz konusu standart sözleşmelerde yer verilmektedir.
Arızi Aktarımlar
Kanun’un 9/6(a) maddesi uyarınca, arızi olmak kaydıyla; ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi ve açık rızasının alınması veya Kanun’da öngörülen diğer şartların sağlanması halinde, kişisel verileriniz muhasebe ve finans, seyahat, iletişim faaliyetleri ve satın alma süreçleri kapsamında yurt dışındaki müşteri ve tedarikçiler gibi üçüncü taraflara aktarılabilecektir.
Şirketimiz tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.
Ayrıca özel nitelikli kişisel veriler bakımından Kişisel Verileri Koruma Kurulu tarafında belirlenen önlemler ile, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de alınmaktadır.
Şirketimizin genel prensibi, kanundan kaynaklanan sebepler olmadıkça özel nitelikli kişisel veri işlememektedir.
Gerekli olmayan özel nitelikli kişisel veriler silinmekte veya karartılmaktadır.
Buna istinaden, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli kurallar işbu politikada belirlenmiştir;
Kanun ve buna bağlı yönetmelikle ile özel nitelikli kişisel veri güvenliği konularında düzenli eğitimler verilmektedir.
Gizlilik sözleşmeleri imzalanmaktadır.
Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve yetki süreçleri YETKİ MATRİSİ ile tanımlanmıştır.
Periyodik olarak yetki kontrolü yapılmaktadır.
Göre değişikliği olan ya da işten ayrılan çalışanların bu alanlarındaki yetkileri derhal kaldırılmaktadır.
Çalışana envanter tahsis edilmiş ise derhal geri alınmaktadır.
Verilerin kriptografik yöntemler kullanılarak muhafaza edilmektedir.
Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir.
Verilere yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmesi yapılmaktadır.
Gerekli güvenlik testleri yaptırılarak, test sonuçları kayıt alınmaktadır.
Verilere uzaktan erişim olması halinde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
Özel nitelikli kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Özel nitelikli kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
E-posta yolu ile aktarılması halinde kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılmaktadır.
Taşınır bellek, CD, DVD gibi ortamlar yoluyla aktarılması halinde - gerekli durumlarda- kriptografik yöntemlerle şifrelenmekte, ve kriptografik anahtar farklı ortamda tutulmaktadır.
Farklı fiziksel ortamlardaki sunucular arasında aktarma yapılırken, sunucular arasında VPN kurularak veya SFTP yöntemiyle aktarım yapılmaktadır.
Kağıt ortamında aktarım yapılırken evrakın çalınması, kaybolması, yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve belgeler “ gizlilik dereceli belgeler” formatında kapalı zarfta gönderilmektedir.