1. GİRİŞ
İşbu
Kişisel Verilerin Korunması ve İşlenmesi Politikası
(“Politika”) çerçevesinde HSA Enerji A.Ş. tarafından
gerçekleştirilen kişisel veri işleme faaliyetlerinin
yürütülmesinde benimsenen ilkeler ve HSA Enerji A.Ş. veri işleme faaliyetlerinin 6698
sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer
alan düzenlemelere uyumu bakımından benimsenen temel prensipler
açıklanmakta ve Şirketimizin, benimsediği kanun
hükümleri ve genel esaslar hakkında kişisel veri
sahiplerini bilgilendirmektedir.
Bu
kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz
işbu Politika kapsamında işlenmekte ve makul düzeyde
korunmaktadır.
2. POLİTİKANIN AMACI
Bu
Politikanın temel amacı, HSA Enerji A.Ş. tarafından hukuka
uygun bir biçimde yürütülen kişisel veri işleme
faaliyeti ve kişisel verilerin korunmasına yönelik esasları
ortaya koymak, bu kapsamda kişisel verileri şirketimiz
tarafından işlenen kişileri aydınlatarak ve
bilgilendirilerek şeffaflığı sağlamaktır.
3.
POLİTİKANIN
KAPSAMI
Bu
Politika; HSA Enerji A.Ş. nezdinde işlenen kişisel verileriniz
ile ilgili; kişisel verilerin ve kişisel sağlık verilerinin
işlenmesi ilkeleri, işbu verilerin işleme amaç ve
şartları ile yurt içinde ve yurt dışına
aktarımı, imhası ve işlenen veriler üzerindeki
haklarınıza dair uygulama ve esaslar aşağıda sizlere
bildirilmektedir.
4.
ERİŞİM
VE GÜNCELLEME
Politika Şirketimizin internet sitesinde
yayımlanır ve kişisel veri sahiplerinin talebi üzerine
ilgili kişilerin erişimine sunulur ve gerektiğinde
güncellenir. (Topladığımız ve
işlediğimiz kişisel verilerinizin 6698 sayılı
Kişisel Verilerin İşlenmesi Kanunu 4. Maddesi gereğince doğru
ve gerektiğinde güncel olması gerekmektedir. Bu nedenle,
kişisel verilerinizde herhangi bir değişiklik meydana gelmesi
halinde, güncel ve doğru kişisel bilgilerinizi internet
sitemizde yer alan Aydınlatma
Metninde açıklanan yöntemler ile bildirebilirsiniz.)
Şirketimiz,
yasal düzenlemelere paralel olarak Politika’da değişiklik yapma
hakkını saklı tutar.
Başta
Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da
yer verilen düzenlemelerin çelişmesi halinde mevzuat
hükümleri uygulanır.
5.
TANIMLAR
İşbu Politika'da kullanılan tanımlar
aşağıda yer almaktadır:
Açık rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve
özgür iradeyle açıklanan rıza |
Anonim hale getirme |
Kişisel verilerin, başka verilerle eşleştirilerek
dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Kişisel veri |
Kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü bilgi |
Kişisel verilerin işlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem |
KVK Kanunu |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVK Kurulu |
Kişisel Verileri Koruma Kurulu |
KVK Kurumu |
Kişisel Verileri Koruma Kurumu |
Özel nitelikli kişisel veri |
Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf
ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri |
Veri sahibi |
KVK Kanunu'nda "ilgili kişi" olarak addedilen,
kişisel verisi işlenen gerçek kişi |
Veri sorumlusu |
Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişi |
Veri işleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Sorumluları Sicili |
Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık
tarafından tutulan veri sorumluları sicili (VERBİS) |
Veri Envanteri |
HSA Enerji A.Ş.'nin iş süreçlerine bağlı
olarak gerçekleştirmekte olduğu kişisel veri
işleme faaliyetlerini; kişisel veri işleme
amaçları, kişisel verilerin aktarıldığı
alıcı grubu ve ilgili kişisel veri sahibi grubuyla
ilişkilendirerek oluşturduğu ve
detaylandırdığı envanter. |
6.
KİŞİSEL
VERİ ENVANTERİ VE KİŞİSEL VERİLERİN
SINIFLANDIRILMASI
HSA
Enerji A.Ş. nezdinde; HSA Enerji
A.Ş. ’nin meşru ve hukuka uygun kişisel veri işleme
amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde
belirtilen kişisel veri işleme şartlarından bir veya
birkaçına dayalı ve bunlarla sınırlı olarak,
başta kişisel verilerin işlenmesine ilişkin 4. maddede
belirtilen ilkeler olmak üzere, KVK Kanunu’nda belirtilen genel ilkelere
ve KVK Kanunu’nda düzenlenen tüm yükümlülüklere
uyularak ve işbu Politika kapsamındaki kişisel veri sahipleri
(Ürün ve Hizmet Alan Kişi, Potansiyel Ürün ve Hizmet
Alıcısı, Çalışanlar, Çalışan
Adayları, Ziyaretçiler, Tedarikçi Çalışanları,
Tedarikçi Yetkilileri, Hissedar/Ortak, Çalışan
Yakını, Çalışan Adayının Yakını,
Acil Durumda Ulaşılacak Kişi, Bakmakla Yükümlü
Olunan Kişi, Danışman, Eğitmen ve Referans Kişisi) ile
sınırlı olmaksızın;
•
Şirket
faaliyetlerimizin, şirket prosedürleri veya ilgili mevzuata uygun
olarak yürütülmesinin temini,
•
Şirketimiz
tarafından yürütülen ticari faaliyet gereklerinin yerine
getirilmesi,
•
Mal /
Hizmet üretim ve operasyon süreçlerinin
yürütülmesi
•
Şirketimizin
ticari, operasyonel ve iş stratejilerinin belirlenmesi; uygun
ürün, proje ve hizmetlerin belirlenmesi,
•
Talep ve
şikayetlerin
değerlendirilmesi,
•
İhtiyaca
göre farklılıklar arz eden sektörlerdeki iş
ortaklarımız ile yürütülen işlerin icrası ve
referans ilişkilerinin yönetimi,
•
Kamu
Kurum ve bütün otoritelerce öngörülen bilgi
paylaşımı, raporlama, bilgilendirme
yükümlülüklerinin yerine getirilmesi,
•
Yasal
mevzuattan kaynaklanan bilgi ve belge saklama
yükümlülüklerinin yerine getirilmesi,
•
Finans,
iletişim, pazar araştırması ve satın alma
operasyonlarımızın yürütülmesi,
•
Hukuki
süreçlerimizin yönetilmesi, tarafınıza kesintisiz
olarak daha iyi ve güvenilir hizmet verilebilmesi amaçlarıyla
6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel
veri işleme şartları ve amaçları dahilinde
işlenecektir.
HSA
Enerji A.Ş. , Kişisel Verileri Koruma Kurumu tarafından
çıkarılan Veri Sorumluları Sicili Yönetmeliği
uyarınca kişisel veri envanteri oluşturmuştur. Bu veri
envanterinde veri kategorileri, verinin kaynağı, veri işleme
amaçları, veri işleme süreci, verilerin
aktarıldığı alıcı grupları ve saklama
süreleri yer almaktadır.
Bu
kapsamda HSA Enerji A.Ş.
içerisinde aşağıdaki türlerde veri
kategorileri bu türlerle sınırlı olmamakla beraber
bulunmaktadır ;
Kimlik
Bilgisi |
Nüfus
cüzdanınızda yazılı bulunan; isim, soyadı, anne
adı, baba adı, doğum yeri, doğum tarihi, medeni hal, din,
kan grubu, kayıtlı olunan il, ilçe ve mahalle ve bunlarla
sınırlı olmaksızın nüfus
cüzdanınızda yazılı bulunan bilgiler. |
İletişim
Bilgisi |
Tarafınızla
iletişim kurulabilmesi için sizden istenen ya da sizin
verdiğiniz; ev telefonu numarası, cep telefonu numarası,
ikametgâh adresi ya da diğer adres bilgisi, e-posta adresi gibi
iletişim verileriniz. |
Özlük
Bilgisi |
·
Nüfus
cüzdanı fotokopisi, ·
Nüfus
kayıt örneği, ·
İkametgâh
Belgesi, ·
Sağlık
raporu, ·
Diploma
fotokopisi, ·
Adli
sicil kaydı, ·
Vesikalık
fotoğraf, ·
Aile
durumunu bildirir belge, ·
Askerlik
durum belgesi, ·
İş
Sözleşmesi / Hizmet Sözleşmesi, ·
SGK
işe giriş bildirgesi , ·
Adli
sicil kaydınız (sabıka kaydınız), ·
Sağlık
durumunuza ilişkin bilgi ve belgeler. |
Mesleki
Deneyim |
·
Diploma
bilgileri, gidilen kurslar, meslek içi eğitim bilgileri,
sertifikalar, gibi. |
Banka
Hesap Bilgisi (Finans) |
·
Banka
hesap numarası, IBAN numarası, banka kartına ilişkin sair
bilgiler. |
Öz
Geçmiş Bilgisi |
·
Özgeçmiş
belgenizde yazan ya da HSA Enerji A.Ş. tarafından talep edilen ya
da tarafınızdan verilen eğitim bilgileriniz, eğitiminize
ilişkin okul bilgileri, sertifika bilgileri, eğitim durumu ve eğitimleriniz
hakkındaki bilgileriniz, ·
Özgeçmiş
belgenizde yazan ya da HSA Enerji A.Ş. tarafından talep edilen ya
da tarafınızdan verilen iş deneyimlerinize ilişkin yer,
tarih ve süre bilgileri, daha önce
çalıştığınız iş ve göreve
ilişkin bilgiler, çalışma deneyimlerinize ilişkin
her türlü bilgiler, ·
Özgeçmiş
belgenizde yazan ya da HSA Enerji A.Ş. tarafından talep edilen ya
da tarafınızdan verilen fotoğrafınız, ·
Özgeçmiş
belgenizde yazan ya da HSA Enerji A.Ş. tarafından talep edilen ya
da tarafınızdan verilen sürücü belgeniz ve
sürücü belgenizde yazılı bulunan bilgiler, ·
Özgeçmiş
belgenizde yazan ya da HSA Enerji A.Ş. tarafından talep edilen ya
da tarafınızdan verilen referanslarınız ve
referanslarınıza ilişkin bilgiler. ·
Özgeçmiş
belgenizde yazan hobi bilgileri, sigara kullanım bilgisi, evin
mülkiyet durumu, çocuk sayısı, dernek, sendika ve
kuruluş üyeliği bilgisi |
Fiziksel Mekân
Güvenliği (Ziyaretçi Bilgisi) |
·
Şirkete gelen ziyaretçilerin adı,
T.C. kimlik numarası, kamera kaydı, internet erişim bilgileri
ziyaret edilen kişi ve sair bilgiler. |
Sağlık Verileri
|
·
Özlük dosyası oluşturulurken
alınan her türlü sağlık bilgileri ve verileriniz
(engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel
sağlık bilgileri,) |
Ceza Mahkumiyeti Verisi |
·
Özlük dosyası oluşturulurken
alınan sabıka kaydı bilgisi, |
Müşteri İşlem |
·
Fatura, senet, çek bilgileri, gişe
dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi, |
Hukuki İşlem |
·
Adli makamlarla yazışmalardaki bilgiler,
dava dosyasındaki bilgiler gibi, |
Pazarlama |
·
Geçmiş hizmet bilgileri, anket,
çerez kayıtları, kampanya çalışmasıyla
elde edilen bilgiler. |
İşlem
Güvenliği |
·
IP adresi bilgileri, internet sitesi giriş
çıkış bilgileri, şifre ve parola bilgileri gibi, |
Lokasyon |
·
Şirket araçlarında bulunan GPS
konum bilgisi, |
Sendika Üyeliği |
·
Özgeçmişte yazan sendika
üyeliği bilgisi, |
Dernek ve Kuruluş
Üyeliği |
·
Özgeçmişte yazan dernek ve
kuruluş üyeliği bilgisi, |
Diğer |
·
AGİ sürecinde çalışan
yakının eğitim durumu, özgeçmiş belgesinde
yazan hobi bilgileri, sigara kullanım bilgisi, evin mülkiyet
durumu, çocuk sayısı bilgisi, SRC belge numarası, kart
numarası, personel sicil numarası, araç plakası ve imza
sirkülerinde yer alan imza gibi bilgiler. |
7.
KİŞİSEL
VERİLERİN İŞLENMESİNE İLİŞKİN
GENEL İLKELER
7.1.Hukuka
Uygunluk
Şirketimiz, Anayasa başta olmak üzere, KVK Kanunu ve ilgili
mevzuata uygun olarak, kişisel verileri işleme faaliyetlerini hukuka
ve dürüstlük kurallarına uygun olarak
yürütür. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini
gerektirecek hukuksal dayanakları tespit ederek işlem yapmakta,
ölçülülük gerekliliklerini dikkate almakta,
kişisel verileri amacın gerektirdiği dışında
kullanmamakta, kişilerin bilgisi dışında işleme
faaliyeti yapmamaktadır.
7.2.Verilerin
Doğru ve Gerektiğinde Güncel Olması
Şirketimiz; kişisel veri sahiplerinin temel haklarını
ve kendi meşru menfaatlerini dikkate alarak işlediği
kişisel verilerin doğru ve güncel olmasını
sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu
kapsamda tüm kişi kategorilerine ilişkin veriler güncel
tutulmaya çalışılmakta, doğruluğu ve güncelliğini
sağlamaya yönelik her türlü idari ve teknik tedbirler
alınmaktadır.
7.3.Belirli,
Meşru ve Açık Amaç
Şirketimiz;
yalnızca açık ve kesin olarak belirlenen meşru
amaçlarla kişisel veri işlemekte olup, bu amaçlar
dışında veri işleme faaliyetinde bulunmamaktadır.
Şirketimiz tarafından kişisel verilerin işleneceği
amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel Veri Envanteri” ne de
işlenmektedir.
7.4.Verilerin
İşlendikleri Amaçla Bağlantılı,
Sınırlı ve Ölçülü Olması
Şirketimiz
tarafından kişisel veriler, belirlenen amaçların
gerçekleştirilebilmesi için gerektiği
ölçüde işlenmektedir. Sonradan
kullanılabileceği varsayımı ile veri işleme faaliyeti
yürütülmemektedir. Bu kapsamda süreçler sürekli
gözden geçirilmekte, kişisel
verilerin azaltılması ilkesi hayata geçirilmeye
çalışılmaktadır.
7.5.Kişisel
Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi
Şirketimiz,
kişisel verileri ancak ilgili mevzuatta belirtildiği veya
işlendikleri amaç için gerekli olan süre kadar muhafaza
etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta
kişisel verilerin saklanması için bir süre
öngörülüp öngörülmediğini tespit
etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu
kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate
almakta ve kişisel verileri işlendikleri amaç için
gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya
işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel veriler Şirketimizin “Veri İmha Politikası”na
göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
8.
KİŞİSEL VERİLERİN
İŞLENME ŞARTLARI
Kişisel veriler
yalnızca aşağıda belirtilen yasal dayanaklar
kapsamında toplanabilir, işlenebilir veya kullanılabilir.
8.1.Açık Rıza
Kanun’un 3. maddesinde
açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye
dayanan ve özgür iradeyle açıklanan rıza”
şeklinde tanımlanmıştır. Ayrıca Anayasa’nın
20. maddesinin 3. fıkrasında, kişisel verilerin, ancak kanunda
öngörülen hallerde veya kişinin açık
rızasıyla işlenebileceği hüküm altına
alınmıştır. Açık rıza, 6698
sayılı Kanun’da hem özel nitelikli kişisel veriler, hem de
özel nitelikli olmayan kişisel veriler bakımından temel
hukuka uygunluk sebebi olarak öngörülmüştür. Buna
göre sırasıyla Kanun’un,
• 5. maddesinin, 1. fıkrasında “Kişisel veriler ilgili
kişinin açık rızası olmaksızın
işlenemez”,
• 6. maddesinin 2. fıkrasında “Özel nitelikli kişisel
verilerin, ilgilinin açık rızası olmaksızın
işlenmesi yasaktır”,
• 8. maddesinin 1. fıkrasında “Kişisel veriler, ilgili
kişinin açık rızası olmaksızın
aktarılamaz”,
• 9. maddesinin 1. fıkrasında “Kişisel veriler, ilgili
kişinin açık rızası olmaksızın yurt
dışına aktarılamaz”
düzenlemeleri yer almakta olup,
şirketimizce bu doğrultuda özgür irade ile beyan edilen ve
ispatlanabilir şekilde alınmış (yazılı,
elektronik yada kayıt altına alınmış sözlü
olarak) açık rızalar alınmak suretiyle kişisel
veriler işlenmektedir. Özel nitelikli kişisel verilerin işlenmesi halinde gerekli
durumlarda açık rızalar yazılı olarak
alınacaktır.
Kişisel veri işleyen
süreç yöneticileri, işledikleri kişisel veriler
toplanırken ilgili veri sahibinin açık
rızasının varlığının ve
geçerliliğinin kontrolünü sağlamakla
yükümlüdür. Açık rıza
olmadığının tespit edilmesi durumunda
(aşağıdaki istisnalar hariç) veri işleme faaliyeti
yapılmayacaktır.
8.2.Kişisel
Verilerin Açık Rıza Alınmaksızın
İşlenmesi
Aşağıdaki
şartlardan birinin varlığı hâlinde, ilgili
kişinin açık rızası aranmaksızın
kişisel verilerinin işlenmesi mümkündür:
8.2.1
Kanunlarda
açıkça öngörülmesi,
8.2.2
Fiili
imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu
olması,
8.2.3
Bir
sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli
olması.
8.2.4
Veri
sorumlusunun hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
8.2.5
Veri
sahibinin kendisi tarafından alenileştirilmiş olması,
8.2.6
Bir
hakkın tesisi, kullanılması veya korunması için veri
işlemenin zorunlu olması,
8.2.7
Veri
sahibinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması,
gibi durumlarda açık rıza
olmaksızın işlenebilmektedir.
8.3.Özel
Nitelikli Kişisel Verilerin İşlenmesi
Veri
sahipleri açısından korunmasının çeşitli
açılardan daha kritik önem teşkil ettiğine
inanılan özel nitelikli kişisel verilerin işlenmesinde
şirketimiz tarafından özel hassasiyet gösterilmektedir. Bu
kapsamda, Kurul tarafından belirlenen yeterli önlemlerin
alınması şartıyla bu tür veriler, veri sahiplerinin
açık rızası olmaksızın işlenmemektedir.
Ancak, sağlık ve cinsel hayat ile ilgili veriler
dışındaki özel nitelikli kişisel veriler, kanunlarda
öngörülen hallerde veri sahibinin açık rızası olmaksızın da
işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata
ilişkin veriler ise yeterli önlemlerin alınması
şartıyla ve aşağıda sayılan sebeplerin
varlığı halinde açık
rızası alınmaksızın işlenebilmektedir:
·
Kamu sağlığının korunması,
·
Koruyucu hekimlik,
·
Tıbbî teşhis,
·
Tedavi ve bakım hizmetlerinin
yürütülmesi,
·
Sağlık hizmetleri ile finansmanının
planlanması ve yönetimi.
Özel nitelikli
kişisel verilerin işlenmesi gereken her durumda KVKK Komitesi
bilgilendirilecektir.
9.
KİŞİSEL
VERİLERİN AKTARILMASI
HSA Enerji
A.Ş. , veri sahiplerinin kişisel verilerini, 6698 sayılı
KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme
şartları kapsamında ve işbu Politika’da belirtilmiş
amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9.
maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.
Kişisel verileriniz; şirketimiz faaliyetlerini ve iş
süreçlerini devam ettirmek için yurtiçi ve/veya
yurtdışında bulunan ve işbirliği
yaptığımız iş ortaklarımıza, şirketimiz
hissedarlarına,
tedarikçilerimize, sigorta şirketlerimize, noter, banka ve
finans kuruluşlarına, hukuk, mali müşavirlik, vergi vb.
benzeri alanlarda destek aldığımız
danışmanlık firmalarımıza, kanunen yetkili kamu kurumlarına
ve özel kişilere, şirketimiz adına kişisel veri
işleyen yurt içi ve/veya yurt dışında depolama,
arşivleme, bilişim teknolojileri desteği (sunucu, hosting,
yazılım, bulut bilişim vb.) vs. alanlarında destek
aldığımız hizmet sağlayıcılarımıza,
6698 sayılı Kanun’un 8. ve 9. Maddelerinde belirtilen kişisel
veri işleme şartları ve yukarda belirtilen amaçlar
çerçevesinde aktarılabilecektir.
9.1
Kişisel
Verilerin Yurt İçinde Aktarımı ;
KVK Kanunu'nun 8. maddesine uygun olarak, kişisel verilerin yurt
içinde aktarımı işbu Politika'nın "Kişisel
Verilerin İşlenme Şartları" başlıklı 8.
bölümünde belirtilen (işleme şartları)
koşullardan birinin sağlanmış olması kaydıyla
mümkün olacaktır.
9.2
Kişisel
Verilerin Yurt Dışında Aktarımı;
KVK Kanunu'nun
9. maddesine uygun olarak, kişisel verilerin açık rıza
olmaksızın yurt dışına aktarılması halinde,
yurt içi aktarımlarına ilişkin koşulların
sağlanmış olmasının yanı sıra aşağıdaki
hususlardan birinin varlığı aranmaktadır:
·
Aktarım yapılacak ülkenin Kurul
tarafından ilân edilen yeterli korumaya sahip ülkeler
arasında sayılması ,
veya
·
Aktarım yapılacak ülkede yeterli
korumanın bulunmaması halinde, Türkiye'deki ve ilgili
yabancı ülkedeki veri sorumlularının yeterli bir
korumayı yazılı olarak taahhüt etmeleri ve Kurul'un izninin
bulunması.
9.3
Özel
Nitelikli Kişisel Verilerin Yurtdışına
Aktarılması
Şirketimiz,
gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından
öngörülen yeterli önlemleri alarak; meşru ve hukuka
uygun kişisel veri işleme amaçları doğrultusunda
kişisel veri sahibinin özel nitelikli verilerini
aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı
Ülkelere aktarabilmektedir.
·
Kişisel veri sahibinin açık
rızası var ise veya,
·
Kişisel veri sahibinin açık
rızası yok ise;
(a)
Kişisel veri sahibinin
sağlığı ve cinsel hayatı dışındaki
özel nitelikli kişisel verileri (ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık ve kıyafet, dernek, vakıf ya da
sendika üyeliği, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda
öngörülen hallerde,
(b)
Kişisel veri sahibinin
sağlığına ve cinsel hayatına ilişkin özel
nitelikli kişisel verileri ise ancak kamu
sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla,
sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmesi kapsamında.
Özel nitelikli verilerin
aktarımı sırasında uyulacak
yükümlülüklere uyumun sağlanmasından
aktarımı yapan ilgili çalışan sorumludur.
10
İLGİLİ
KİŞİLERİN HAKLARI
10.1
HSA Enerji A.Ş.
kişisel verisini işlediği ilgili kişilerin
aşağıda belirtilen haklar kapsamındaki taleplerine 30
gün içinde cevap verecektir:
(1)
Kişisel veri işlenip işlenmediğini
öğrenme,
(2)
Kişisel verileri işlenmişse buna
ilişkin bilgi talep etme,
(3)
Kişisel verilerin işlenme amacını
ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
(4)
Yurt içinde veya yurt dışında
kişisel verilerin aktarıldığı
üçüncü kişileri bilme,
(5)
Kişisel verilerin eksik veya yanlış
işlenmiş olması hâlinde bunların düzeltilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere
bildirilmesini isteme,
(6) KVK
Kanunu ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
(7) İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya
çıkmasına itiraz etme,
(8) Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara
uğraması hâlinde zararın giderilmesini talep etme.
10.2
Veri sahipleri, kimliklerini tespit edecek bilgi ve
belgelerle ve aşağıda belirtilen yöntemlerle veya
Kişisel Verileri Koruma Kurulu’nun belirlediği diğer
yöntemlerle internet
sitesinde yer alan KVKK başvuru formu ile yukarda belirtilen haklar
kapsamında başvuruda bulunabilirler.
11
GİZLİLİK ve
VERİ GÜVENLİĞİ TEDBİRLERİ ;
HSA
Enerji A.Ş. içerisinde
işlenen kişisel verilerin tamamı gizli olup, Kanunun 12.
Maddesinde belirtilen ;
a)
Kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek,
b)
Kişisel verilere hukuka aykırı olarak erişilmesini
önlemek,
c)
Kişisel verilerin muhafazasını sağlamak,
amacına
uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirleri almaktadır.
11.1
Kişisel
Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel
Verilere Hukuka Aykırı Erişimi Engellemek İçin
Alınan Teknik Tedbirler
HSA Enerji A.Ş. kişisel verilerinizi korumak
amacıyla her türlü teknik, teknolojik güvenlik
önlemlerini almış ve olası risklere karşı
kişisel verilerinizi korumaktadır. Örneğin;
·
Ağ güvenliği ve uygulama
güvenliği sağlanmaktadır.
·
Bilgi teknolojileri sistemleri tedarik, geliştirme
ve bakımı kapsamındaki güvenlik önlemleri
alınmaktadır.
·
Erişim logları düzenli
olarak tutulmaktadır.
·
Görev değişikliği olan
ya da işten ayrılan çalışanların bu alandaki
yetkileri kaldırılmaktadır.
·
Güncel anti-virüs sistemleri
kullanılmaktadır.
·
Güvenlik duvarları
kullanılmaktadır.
·
Kişisel veri güvenliğinin
takibi yapılmaktadır.
·
Kişisel veri içeren fiziksel
ortamlara giriş çıkışlarla ilgili gerekli
güvenlik önlemleri alınmaktadır.
·
Kişisel veri içeren fiziksel
ortamların dış risklere (yangın, sel vb.) karşı
güvenliği sağlanmaktadır.
·
Kişisel veriler mümkün
olduğunca azaltılmaktadır.
·
Kişisel veri içeren
ortamların güvenliği sağlanmaktadır.
·
Kişisel veriler yedeklenmekte ve
yedeklenen kişisel verilerin güvenliği de
sağlanmaktadır.
·
Log kayıtları
kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
·
Saldırı tespit ve önleme
sistemleri kullanılmaktadır.
·
Şifreleme
yapılmaktadır.
11.2
Kişisel
Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel
Verilere Hukuka Aykırı
Erişimi Engellemek İçin Alınan İdari Tedbirler
·
Kuruluş içerisinde bilgi
güvenliği operasyonu ve
uygulamasının başlatılması ve kontrol edilmesi
amacıyla bir yönetim çerçevesi kurulmuştur.
a. KVKK Komitesi ve İrtibat kişisi
atanmış ve görev tanımları belirlenmiştir.
b. KVKK
Başvuru kanalları belirlenmiştir.
c. İhlal,
talep/şikâyet yönetim iş akışları
belirlenmiştir.
·
Kişisel verilerin işlenmesi ve
korunmasına ilişkin Ana Esaslar, politika ve prosedürler
belirlenmiştir.
·
İşlenen kişisel veriler
kapsamında mevcut risk ve tehditler belirlenmiştir.
·
Çalışanlar için
kişisel veri güvenliği konusunda eğitim ve
farkındalık çalışmaları
yapılmaktadır.
·
Çalışanların ve
yüklenicilerin bilgi güvenliği sorumluluklarının
farkında olmaları ve yerine getirmelerini temin etmek üzere veri
güvenliğine ilişkin rol ve sorumluluklar ile görev
tanımları belirlenmiştir.
·
Çalışanlar
için güvenlik politika, ana esaslar ve prosedürlerine
uymaması durumunda devreye girecek bir disiplin süreci
mevcuttur.
·
Gizlilik taahhütnameleri
yapılmaktadır.
·
Çalışan,
müşteri, tedarikçi vs. için aydınlatma metni
yayımlanmıştır.
·
Açık rıza
alınması gereken süreçler belirlenmiş ve
uygulanmaktadır.
·
Kurum içi periyodik ve/veya
rastgele denetimler yapılmakta ve yaptırılmaktadır.
Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik
zafiyetlerini gidermektedir.
·
İşleme amacı
bakımından anılan kişisel verilere ihtiyaç olup
olmadığı değerlendirilmekte, kişisel veriler
mümkün olduğunca azaltılmaktadır.
·
Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en
kısa sürede ilgili kişiye ve Kurul’a bildirmek üzere
çalışanlar tarafında gerekli önlemler
alınmaktadır.
11.3
Kişisel Verilerin Kanuni Olmayan
Yollarla İfşası Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi halinde, Şirketimiz bu
durumu en kısa sürede (Maksimum 72 saatte) ilgili veri sahibine ve
Kurul'a bildirecektir.
12
KİŞİSEL VERİLERİN İMHASI
(SİLİNMESİ, YOK EDİLMESİ VE
ANONİMLEŞTİRİLMESİ) ŞARTLARI
Türk
Ceza Kanunu’nun 138. Maddesinde, KVK Kanunu’nun 7. Maddesinde ve Kurum
tarafından çıkarılan “Kişisel Verilerin Silinmesi,
Yok Edilmesi ve Anonimleştirilmesi hakkında yönetmelik”
uyarınca; ilgili kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde HSA Enerji A.Ş. ’nin kendi
kararına istinaden veya kişisel veri sahibinin talebi üzerine
kişisel veriler silinir, yok edilir veya anonim hâle getirilir. HSA
Enerji A.Ş. bu konuda yönetmelik hükümlerine göre bir
Politika oluşturmuş ve bu Politika uyarınca verinin
niteliğine göre imha yapılmaktadır. Bu yönetmelik
uyarınca HSA Enerji A.Ş. tarafından periyodik imha tarihleri
belirlenmiş olup, yükümlülüğün
başlaması ile beraber çeşitli aralıklarla periyodik
imhanın yapılacağına göre takvim
oluşturulmuştur.
13
YÜRÜTME
İşbu Politika’nın
yürütülmesinden HSA Enerji A.Ş. tarafından KVK Kanunu
düzenlemelerine uygun hareket edilmesini sağlamak için
yönetim yapısı kurulmuştur.
14
POLİTİKA’NIN
YÜRÜRLÜK TARİHİ
İşbu Politika 10.01.2022
tarihinde yürürlüğe girmiştir.
© HSA ENERJİ 2021| Tüm hakları saklıdır. İzinsiz hiçbir şekilde kullanılamaz.| Web site tasarımı: Acwistanbul Reklam Ajansı tarafından yapılmıştır.