Buluş Enerji Anonim Şirketi

KVKK Bilgilendirme Portalı
Kurumsal Site

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası

PDF İndir

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
VE KORUNMASI POLİTİKASI

BULUŞ ENERJİ ANONİM ŞİRKETİ
6698 sayılı KVKK m.6 ve Kişisel Verileri Koruma Kurulunun 31/01/2018 tarih ve 2018/10 sayılı kararı kapsamında hazırlanmıştır.

İçindekiler

  1. Amaç ve Kapsam
  2. Tanımlar
  3. İşlenen Özel Nitelikli Kişisel Veri Kategorileri
  4. İşlemede Temel İlkeler
  5. İşlemenin Hukuki Sebepleri
  6. İlgili Kişiler ve İşleme Amaçları
  7. Toplanma Yöntemi
  8. Aktarım ve Alıcı Grupları
  9. Alınan Güvenlik Önlemleri (2018/10 sayılı Kurul Kararı)
  10. Saklama ve İmha
  11. İlgili Kişinin Hakları
  12. Hakların Kullanılması ve Başvuru
  13. Organizasyon ve Sorumluluk
  14. Yürürlük ve Güncelleme

1. Amaç ve Kapsam

İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”); 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”/“Kanun”) ve Kişisel Verileri Koruma Kurulunun (“Kurul”) 31/01/2018 tarih ve 2018/10 sayılı kararı uyarınca, veri sorumlusu sıfatını haiz Buluş Enerji Anonim Şirketi (“Şirket”) nezdinde; çalışanlara, çalışan adaylarına/stajyerlere, hissedar/ortaklara, tedarikçi ve müşteri yetkililerine, ziyaretçilere ve üçüncü kişilere ait özel nitelikli kişisel verilerin nasıl işleneceğine ve korunacağına dair usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket, özel nitelikli kişisel verilerin işlenmesinde KVKK ile Anayasa'nın 13. ve 20. maddelerinde belirtilen esaslara uygun davranır ve Kurul tarafından belirlenen yeterli ve gerekli önlemlerin tamamını alır. Bu Politika; fiziksel veya elektronik ortamda erişilebilen her türlü özel nitelikli veri için geçerlidir.

2. Tanımlar

Açık RızaBelirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Özel Nitelikli Kişisel VeriIrk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık-kıyafet, dernek/vakıf/sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. (Hukuka aykırı işlenmeleri hâlinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan hassas veriler.)
Kişisel Sağlık VerisiKimliği belirli/belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetine ilişkin bilgiler.
İlgili KişiKişisel verisi işlenen gerçek kişi.
İmhaKişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Veri İşleyenVeri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek/tüzel kişi.
Veri SorumlusuKişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulması ve yönetiminden sorumlu gerçek/tüzel kişi.
Kurul / KurumKişisel Verileri Koruma Kurulu / Kişisel Verileri Koruma Kurumu.
VERBİSVeri Sorumluları Sicil Bilgi Sistemi.

3. İşlenen Özel Nitelikli Kişisel Veri Kategorileri

Şirketimizin faaliyetleri kapsamında işlediği özel nitelikli kişisel veriler sınırlı olup başlıca aşağıdaki kategorilerdedir:

Kategoriİşlenen Veriler (Örnek)İlgili Kişi Grubu
Sağlık Bilgileriİşe giriş ve periyodik muayene sağlık raporları, iş kazası/meslek hastalığı kayıtları, engellilik durumu/raporu, (gerekli hâllerde) kan grubuÇalışan
Ceza Mahkûmiyeti ve Güvenlik TedbirleriAdli sicil (sabıka) kaydıÇalışan (işe alımda/sektör gereği)
Sendika/Dernek/Vakıf ÜyeliğiSendika üyeliği bilgisi (varsa; aidat kesintisi gibi yasal yükümlülükler kapsamında, sınırlı olarak)Çalışan

Önemli: Şirketimiz; din, ırk, etnik köken, siyasi düşünce, felsefi inanç, mezhep, kılık-kıyafet, cinsel hayat, biyometrik ve genetik veri işlememektedir. (Personel devam kontrol sistemi kart/şifre esaslı olup biyometrik veri içermez.) Sendika üyeliği bilgisi yalnızca sendika aidatı kesintisi gibi yasal yükümlülükler (6356 sayılı Kanun) kapsamında ve sınırlı olarak işlenir. Belirtilenler dışında bir özel nitelikli veri işlenmesi gerektiğinde işbu Politika güncellenir ve gerekli ek önlemler alınır.

4. İşlemede Temel İlkeler

Özel nitelikli kişisel veriler üzerinde gerçekleştirilen her işlemde KVKK m.4'teki ilkelere uyulur:

  • Hukuka ve dürüstlük kurallarına uygun olma,
  • Doğru ve gerektiğinde güncel olma (ilgili kişiye güncelleme kanalları açık tutulur),
  • Belirli, açık ve meşru amaçlarla işleme; şeffaflık ve aydınlatma,
  • İşleme amacıyla bağlantılı, sınırlı ve ölçülü olma (veri minimizasyonu),
  • Mevzuatta öngörülen veya amaç için gerekli süre kadar muhafaza.

Özel nitelikli veri işleyen çalışanlar, bu Politikaya ve ilgili prosedürlere uygun davranmak ve görevlerini buradaki talimatlara göre yerine getirmekle yükümlüdür.

5. İşlemenin Hukuki Sebepleri

Özel nitelikli kişisel veriler, KVKK m.6 uyarınca yalnızca aşağıdaki şartlardan birinin varlığı hâlinde işlenir:

  • İlgili kişinin açık rızasının bulunması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaki kişinin kendisinin/başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altındaki kişiler/yetkili kurumlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis-tedavi-bakım ile sağlık hizmetlerinin planlanması/yönetimi/finansmanı için gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmet ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.

Şirketimizdeki uygulama (7499 sayılı Kanun sonrası): Çalışan sağlık verileri (işe giriş/periyodik muayene, iş kazası, engellilik) esas olarak “istihdam ve iş sağlığı/güvenliği yükümlülüklerinin yerine getirilmesi” ve kanunlarda öngörülme sebeplerine; adli sicil kaydı ise kanunlarda öngörülme / bir hakkın tesisi-korunması sebebine dayanır. Bu sebeplerden biri mevcutken ayrıca açık rızaya başvurulmaz; açık rıza yalnızca başka hiçbir işleme şartının bulunmadığı hâllerde alınır ve diğer şartlarla birlikte kullanılmaz.

6. İlgili Kişiler ve İşleme Amaçları

Özel nitelikli veriler, başlıca çalışanlar bakımından ve aşağıdaki amaçlarla işlenir:

  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi (işe giriş/periyodik muayene, iş kazası takibi),
  • Yan hak ve menfaatlerin sağlanması; engelli istihdamı yükümlülüklerinin yerine getirilmesi,
  • Acil durum yönetimi ve görevlendirme süreçleri,
  • Faaliyetlerin mevzuata uygun yürütülmesi ve yetkili kurumlara bilgi verilmesi,
  • Hukuk işlerinin takibi, saklama-arşiv ve denetim faaliyetleri.

7. Toplanma Yöntemi

Özel nitelikli kişisel veriler; işe giriş ve özlük süreçlerinde ilgili kişinin beyanı, işyeri hekimi/OSGB raporları, resmi kurum belgeleri (adli sicil, SGK) ve basılı/elektronik form ve belgeler aracılığıyla; tamamen veya kısmen otomatik ya da bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla toplanır.

8. Aktarım ve Alıcı Grupları

Özel nitelikli kişisel veriler, 5. bölümdeki şartların varlığı hâlinde, gerekli idari ve teknik tedbirler alınarak ve amaçla sınırlı olarak aşağıdaki alıcılara aktarılabilir:

AlıcıAktarım Amacı
OSGB / işyeri hekimiİş sağlığı ve güvenliği yükümlülüklerinin yürütülmesi
SGK ve yetkili kamu kurum/kuruluşlarıSosyal güvenlik ve kanuni yükümlülükler (engelli istihdamı, iş kazası bildirimi vb.)
Yetkili adli/idari makamlar, avukatHukuki yükümlülükler ve hakların korunması
Veri depolama/yedekleme hizmeti sağlayıcılarıVerilerin güvenli saklanması (gizlilik ve veri güvenliği taahhüdü alınarak)

Yurt dışına aktarım yapılmamaktadır. Tüm özel nitelikli veriler Türkiye'deki ortamlarda işlenir ve saklanır.

9. Alınan Güvenlik Önlemleri (2018/10 sayılı Kurul Kararı)

Özel nitelikli kişisel verilerin güvenliği için, Kurul'un 31/01/2018 tarih ve 2018/10 sayılı kararı ile Kişisel Veri Güvenliği Rehberi'nde öngörülen yeterli önlemler uygulanır:

a) İdari Önlemler

  • Özel nitelikli verilerin güvenliğine yönelik ayrı ve sürdürülebilir bir politika (işbu Politika) belirlenmiştir.
  • Bu süreçlerde görev alan çalışanlara KVKK ve özel nitelikli veri güvenliği eğitimi verilir; gizlilik sözleşmeleri/taahhütnameleri imzalatılır.
  • Verilere erişim yetkisine sahip kullanıcıların yetki kapsamı ve süreleri net tanımlanır; periyodik yetki kontrolleri yapılır.
  • Görev değişikliği/işten ayrılma hâlinde erişim yetkisi derhal kaldırılır ve tahsis edilen envanter iade alınır.
  • Dışarıdan hizmet alınması hâlinde, hizmet sağlayıcıyla veri güvenliği taahhüdü içeren sözleşme akdedilir.

b) Teknik Önlemler — Elektronik Ortam

  • Veriler kriptografik yöntemlerle (şifreleme) saklanır; kriptografik anahtarlar güvenli ortamda tutulur.
  • Güvenli altyapı kullanılır; güvenlik güncellemeleri sürekli takip edilir; işlem kayıtları (log) tutulur.
  • Gerekli güvenlik testleri düzenli olarak yaptırılır ve sonuçları kayıt altına alınır.

c) Fiziksel Ortam Önlemleri

  • Verilerin bulunduğu ortamların niteliğine göre (yangın, su baskını, hırsızlık, elektrik kaçağı vb.) yeterli güvenlik önlemleri alınır.
  • Fiziksel ve çevresel güvenlik sağlanarak yetkisiz giriş-çıkışlar engellenir (kilitli arşiv/dolap).

d) Aktarım Önlemleri

  • E-posta ile aktarımda şifreli kurumsal e-posta veya KEP hesabı kullanılır.
  • Taşınabilir medya ile aktarımda veriler kriptografik yöntemle şifrelenir, anahtar farklı ortamda tutulur.
  • Kâğıt ortamında aktarım, "gizlilik dereceli belge" formatında ve fiziksel riskler gözetilerek yapılır.

10. Saklama ve İmha

Özel nitelikli kişisel veriler, mevzuatta öngörülen veya amaç için gerekli süre kadar saklanır; işleme şartlarının ortadan kalkması veya azami sürenin dolması hâlinde re'sen ya da ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Sağlık kayıtları iş ilişkisinin sona ermesinden itibaren 15 yıl, adli sicil kaydı esas olarak 10 yıl saklanır. İmhaya ilişkin ayrıntılar Şirketin Kişisel Veri Saklama ve İmha Politikası'nda yer alır; periyodik imha her yıl Haziran ve Aralık aylarında yapılır.

11. İlgili Kişinin Hakları

KVKK m.11 uyarınca ilgili kişi; verilerinin işlenip işlenmediğini öğrenme, bilgi talep etme, işlenme amacını öğrenme, aktarıldığı üçüncü kişileri bilme, düzeltilmesini/silinmesini/yok edilmesini isteme, bu işlemlerin üçüncü kişilere bildirilmesini isteme, otomatik analiz sonucu aleyhine çıkan sonuca itiraz etme ve zararın giderilmesini talep etme haklarına sahiptir.

12. Hakların Kullanılması ve Başvuru

İlgili kişiler taleplerini "İlgili Kişi Başvuru Formu" ile veya mevzuatta öngörülen yöntemlerle Şirketimize iletebilir; talepler en geç 30 (otuz) gün içinde sonuçlandırılır.

  • Adres: Sırakapılar Mah. 1778 Sk. No: 2 İç Kapı No: 6 Merkezefendi / DENİZLİ
  • KEP: bulusenerji@hs01.kep.tr  |  E-posta: bilgi@bulusenerji.com.tr  |  Tel: (0258) 265 02 23

13. Organizasyon ve Sorumluluk

Bu Politikanın uygulanmasından Şirket üst yönetimi sorumludur. Politikanın hazırlanması, yürütülmesi ve güncellenmesi ile başvuruların yönetimi KVKK İrtibat Kişisi / İnsan Kaynakları tarafından; teknik önlemlerin sağlanması ve elektronik ortamlardaki işlemler Bilgi İşlem tarafından yürütülür. Özel nitelikli veri işleyen tüm çalışanlar bu Politikaya uymakla yükümlüdür.

14. Yürürlük ve Güncelleme

Politika, Şirket tarafından onaylandığı/yayımlandığı tarihte yürürlüğe girer. Mevzuat değişiklikleri, Kurul ve yargı kararları doğrultusunda gözden geçirilir ve güncellenir. Politika, İnsan Kaynakları biriminde muhafaza edilir ve ilgili kişilerin erişimine açık tutulur.

BULUŞ ENERJİ ANONİM ŞİRKETİ
MERSİS: 0189140315500001  |  Vergi Dairesi/No: Pamukkale V.D. / 1891403155
Adres: Sırakapılar Mah. 1778 Sk. No: 2 İç Kapı No: 6 Merkezefendi / DENİZLİ
KEP: bulusenerji@hs01.kep.tr  |  E-posta: bilgi@bulusenerji.com.tr  |  Tel: (0258) 265 02 23  |  Web: bulusenerji.com.tr
Belge Sürümü: 1.0  |  Yürürlük / Düzenleme Tarihi: [.....]