Amaç
Kişisel verilerin korunması hususu, OTO IRMAK MOTORLU ARAÇLAR TİCARET VE SANAYİ ANONİM ŞİRKETİ’nin (OTO IRMAK) kurumsal nitelikli temel politika konularındandır. OTO IRMAK olarak yürüttüğümüz tüm ticari ve sosyal nitelikli faaliyetlerde, gerçek kişilerden işin mahiyeti gereği toplanan kişisel verilerin gizliliği konusunda azami özen ve çaba gösterilmiş, yetkisi ya da ilgisi olmayan üçüncü taraflarla mevzuatın emrettiği çerçeve ya da amacı dışında paylaşılmamıştır.
Kişisel veri güvenliği konusunda 2016 yılında ülkemizde yeni bir dönemi başlatan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVK” veya Kanun) yürürlüğe girmesinden önce de Şirketimiz, bireylere ait kişisel verilerin gizliliği ve güvenliği konusunda hassas olarak hareket etmiştir. Bundan sonra da OTO IRMAK olarak, bu alanla ilgili evrensel nitelikli temel prensiplerle birlikte Kanunu’nun öngördüğü ilke, esas ve usullere riayet edeceğimizin taahhüdünü veriyoruz.
Kapsamı ve Değiştirilmesi
Öncelikle, kamuoyu ve muhataplarımızın ilgisine arz ettiğimiz işbu Politika belgemizi, 6698 sayılı Kanunda öngörülen temel ilkeler ve esaslara uygun olarak hazırlamaya gayret gösterdik.
Gizlilik Politikamız; başta çalışanlarımız olmak üzere, müşterilerimizin, potansiyel müşteri adaylarımızın, mal ve hizmet tedarikçilerimizin, ziyaretçilerimizin, çalışan adaylarımızın, iş ortaklarımızın müşteri ve çalışanlarının ya da diğer bireysel muhataplarımızın otomatik yollarla elde edilen verilerinin güvenliği ve korunmasını amaçlarken, bunlara ilişkin kurumsal düzenlemeleri kapsamaktadır.
Kişisel veri sahiplerinden açık rıza/onaylarıyla ya da mezkûr Kanunda sayılan diğer hukuka uygunluk halleri gereğince elde edilmiş olan kişisel veriler; başta ürün ve hizmet kalitemizi artırmak olmak üzere, insan kaynakları yönetimi, idari ve teknik faaliyetlerin ifası ve finansal işlemlerin yürütülmesi, müşterilerimizin ürün ve hizmetlerimiz hakkında talep ve önerilerinin en iyi şekilde karşılanabilmesi, sektörel iş planlarımız ve stratejilerimizin geliştirilmesi, kalite yönetimi ve politikalarımızın iyileştirilmesi gibi yasal zorunluluklar ve meşru ticari çıkarlarımız doğrultusunda değerlendirilecektir. Bunun dışında, istatistiksel veri tabanı oluşturmak amacıyla ihtiyaç duyulan bazı veriler ise, sahibini tanımlayamayacak şekilde anonimleştirilmektedir. Bu nedenle 6698 sayılı Kanun ve dolayısıyla da işbu Politikanın kapsamına girmemektedir.
OTO IRMAK olarak, Politika Belgemizi ve buna dayanarak hazırladığımız yönerge, talimat vb. kişisel veri güvenliğine dair tüm kurumsal nitelikli iç düzenlemelerimizi, Kanuna uygun olmak ve veri güvenliği konusunda daha etkin önlemler almaya yönelik olmak kaydı ile değiştirme hakkına sahip olduğumuzun bilinmesini isteriz.
KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ TEMEL KURALLAR
Hukuka ve dürüstlük kurallarına uygun olma: OTO IRMAK, topladığı ya da kendisine diğer yerlerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesine önem verir.
Doğru ve gerektiğinde güncel olma: OTO IRMAK, kurum bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemeye önem verir.
Belirli, açık ve meşru amaçlar için işlenme: OTO IRMAK, ancak sunduğu ve hizmet sırasında kişilerden onayını aldığı amaçlarla sınırlı şekilde verileri işler. İş amacı dışında verileri işlemez, kullanmaz ve kullandırtmaz.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: OTO IRMAK, sadece verileri işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır.
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: OTO IRMAK, sözleşmeler kaynaklı verileri Kanunun ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında veriyi siler ya da anonimleştirir. Bunları Kişisel Verileri Saklama Ve İmha Yönergesi ’ne göre siler veya yok eder.
Veri Minimizasyonu İlkesi
Veri minimizasyonu ilkesi adı verilen bu ilkemize göre OTO IRMAK’a ulaşan veriler, ancak gerekli olduğu kadar sisteme işlenir. Bu nedenle hangi verileri toplayacağımız amaca göre belirlenir. Gerekli olmayan veriler toplanmaz. Fazlalık bilgiler, sisteme kaydedilmez, silinir ya da anonim hale getirilir. Bu veriler, istatistiki amaçlarla kullanılabilir.
Kişisel Verilerin Silinmesi, İmha Edilmesi, Anonimleştirilmesi
Kanunen saklanması gereken sürelerin dolması, yargı süreçlerinin tamamlanması ya da diğer gereklilikler ortadan kalktığında Şirketimiz tarafından bu veriler kendiliğinden ya da ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir ya da anonim hale getirilir. Konuyla ilgili işlemler kurumsal Kişisel Verileri Saklama Ve İmha Politikamıza göre yürütülür.
Doğruluk ve Veri Güncelliği
OTO IRMAK bünyesinde bulunan veriler, kural olarak ve genellikle ilgili kişilerin beyanı üzerine beyan ettiği şekilde işlenir. OTO IRMAK, müşteriler ya da OTO IRMAK ile temas kuran kişilerin beyan ettiği verilerin doğruluğunu araştırmak zorunda olmadığı gibi bu hukuken ve çalışma ilkelerimiz nedeniyle de yapılmaz. Beyan edilen veriler, doğru kabul edilir. Kişisel verilerin doğruluğu ve güncelliği ilkesi OTO IRMAK tarafından da benimsenmiştir. Şirketimiz, kendisine ulaşan resmî belgelerden veya ilgilisinin talebi üzerine işlemiş olduğu kişisel verileri günceller. Bunun için gerekli önlemleri alır.
Gizlilik ve Veri Güvenliği
Kişisel veriler gizlidir ve OTO IRMAK bu gizliliğe riayet etmektedir. Kişisel verilere veri kategorilerine göre OTO IRMAK içinde ancak yetki verilmiş kişiler ulaşabilir. OTO IRMAK tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve veri sahibinin mağdur olmaması için imkanlar dahilindeki gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve OTO IRMAK içinde de Gizlilik Politikasına riayet edilmesi sağlanmaktadır. Hukuka uygun olarak kişisel verileri paylaştığımız üçüncü kişilerden de verileri koruması talep edilir.
Veri İşleme Amaçları
Kanunda Kişisel verilerin işlenmesi olarak tanımlanan tüm işlemler, kişisel verilerin işlenmesine dair oluşturulan Aydınlatma Metninde belirtilen amaçlar doğrultusunda yerine getirilecektir.
Müşteri, Müşteri Adayı, İş Ortaklarının Verisi
Sözleşme İlişkisi İçin Verinin Toplanması ve İşlenmesi
Müşteriler ve muhtemel müşterilerimizle bir sözleşme ilişkisi kurulmuş ise, toplanmış olan kişisel veriler, müşterinin onayı alınmaksızın kullanılabilir (KVK md. 5). Bu kullanım, sözleşme amacı doğrultusunda gerçekleşir. Sözleşmenin daha iyi icrası ve hizmetin gereklilikleri ölçüsünde veriler kullanılır ve gerektiğinde müşterilerle irtibata geçilerek güncellenir.
İş Ortaklarının Verileri
Şirketimiz, iş ortakları ile veri paylaşımı yaparken hukuka uygun davranmayı ilke edinir. İş ve çözüm ortakları ile veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri paylaşılmakta ve bu taraflardan mutlaka veri güvenliğinin sağlanmasına ilişkin tedbirleri alması talep edilir.
Tanıtım, Farkındalık ve Reklam Amaçlı Veri İşleme
OTO IRMAK’ın kamuoyu ve muhataplarında farkındalık oluşturmak, mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kampanya, kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla internet sayfası, sosyal medya gibi elektronik, görsel ve işitsel mecraları ya da basılı materyalleri kullanabilir. Hangi kategoride olursa olsun kişisel verisi işlenen veri ilgilisini onayının açık bir şekilde mevcudiyeti şarttır.
Kişilerin mobil cihazlarına reklam amaçlı elektronik ileti ya da SMS gönderilmesi gerektiğinde de, Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmelik uyarınca, önceden onay alma şartının yerine getirilmesi gerektiği konusunda bilgi ve farkındalığa sahiptir.
OTO IRMAK’ın Hukuki Yükümlülüğü veya Kanunda Açıkça Öngörülmesi Sebebiyle Yapılan Veri İşlemleri
Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
Veri İşleme
OTO IRMAK, sunduğu ürün ve hizmetlere yönelik olarak meşru amaçları/menfaatleri doğrultusunda kişisel verileri işleyebilir. Ancak veriler hiçbir şekilde hukuka aykırı işlem ya da faaliyetler için kullanılamaz.
Özel Nitelikli Verilerin İşlenmesi
OTO IRMAK, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu tarafından ayrıca belirlenen gerekli idari ve teknik önlemlerin hepsini almaktadır. Şirketimizde özel nitelikli kişisel veriler “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda belirtilen esaslara göre işlenir. Özel nitelikli kategoride yer alan sağlık bilgilerinin işlenmesinde ayrıca Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri dikkate alınmaktadır.
Otomatik Sistemlerle İşlenen Veriler
Otomatik sistemler aracılığı ile işlenen veriler konusunda OTO IRMAK, Kanuna uygun davranır. Kişilerin açık rızası olmaksızın bu verilerden elde edilen bilgiler kişi aleyhine kullanılamaz. Ancak OTO IRMAK, kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili kararlar alabilir.
Kullanıcı Bilgileri ve İnternet
OTO IRMAK’ın, kendi adına (domain) kullandığı bir internet sitesi olup, internet siteleri ve diğer sistemlerde veya uygulamalarda kişisel verilerin toplanması, işlenmesi ve kullanılması durumunda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilir.
Çalışanlarımıza Ait Veriler
İş İlişkisi İçin Verilerin İşlenmesi
Çalışanlarımızın kişisel verileri, iş hukuku ve sosyal güvenlik mevzuatının gerekleri bakımından gerekli olduğu kadarıyla onay alınmaksızın işlenebilir (KVK md. 5). Ancak OTO IRMAK, çalışanlarına ait verilerin gizliliği ve korunmasını temin eder.
Hukuki Yükümlülükler Gereği İşleme
OTO IRMAK, çalışanlarına ait kişisel verileri, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işleyebilir. Bu husus, kanundan kaynaklanan yükümlülüklerle sınırlıdır.
Çalışanların Yararına İşleme
OTO IRMAK, özel sağlık sigortaları gibi çalışanlarına sosyoekonomik nitelikte fayda sağlayıcı olan işlemler için onay almaksızın kişisel verileri işleyebilir. İş ilişkilerinden kaynaklanan ihtilaflar için de OTO IRMAK, çalışanlara ait verileri işleyebilir.
Özel Nitelikli Verilerin İşlenmesi
Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
OTO IRMAK, özel nitelikli kişisel verilerin işlenmesinde, ilgili kişinin onayı yanında Kurul tarafından ayrıca belirlenen yeterli önlemleri alır. Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda ve 6331 sayılı İş Sağlığı ve Güvenliği kanunu gibi özel mevzuatın izin verdiği hallerde ve sınırlı olarak işlenebilir ayrıca Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri dikkate alınmaktadır.
Otomatik Sistemlerle İşlenen Veriler
Çalışanların otomatik sistemlerle ilgili olarak işlenen verileri, OTO IRMAK içi terfilerde ve performans değerlendirmelerinde kullanılabilir. Çalışanlarımız aleyhine çıkan sonuca itiraz etme hakkına sahiptir ve bunu OTO IRMAK içi prosedürlere uyarak gerçekleştirirler. Çalışanların itirazları da yine OTO IRMAK içinde değerlendirilir.
Telekomünikasyon ve İnternet
OTO IRMAK içinde çalışanlara tahsis edilen bilgisayar, telefon, e-posta ve diğer uygulamalar çalışana sadece iş amacı ile tahsis edilmiştir. Çalışan OTO IRMAK’ın kendisine tahsis ettiği bu vasıtaların hiçbirini özel amaçları ve iletişimi için kullanamaz. OTO IRMAK bu araçlar üzerindeki bütün verileri kontrol edebilir ve denetleyebilir.
Kişisel Verilerin Yurt İçi ve Dışına Aktarılması
OTO IRMAK üst yönetimi ile ilgili idari işlem ve faaliyetlerin gerekleri doğrultusunda hissedarlar ve yönetim kurulu üyeleri ile iş ortaklığının getirdiği idari ve ticari zorunluluklar nedeniyle çözüm ortakları ile veri paylaşımı yapılabilir.
Ayrıca, dış kaynaklı mal ve hizmet tedarikçilerinden temin ettiğimiz (sunucu, bulut hizmeti vb.) ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli mal ve hizmetlerin yerine getirilmesini teminen kişisel veriler, Şirketimizin tedarikçilerine aktarabilecektir.
Dolayısıyla OTO IRMAK, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak ve kişinin onayına bağlı olarak yurt içi ve yurt dışına aktarma yetkisine sahiptir.
İlgili Kişinin Hakları
Bir Veri Sahibi olarak, kişisel verilerinizin kaderine hakim olabilmenizi sağlamak amacıyla 6698 sayılı KVK Kanunu’nun 11. maddesinde açıkça sayılan haklara sahipsiniz. Bu haklarınızı kullanırken, sizlere kolaylık sağlamak ve yardımcı olmak adına oluşturduğumuz özel bir Başvuru Formunu, talebiniz halinde internet sayfamızdan temin edebilirsiniz.
OTO IRMAK tarafından internet sayfamızda duyurulan ilgilimize başvurarak kişisel verilerle ilgili olarak;
a) Kişisel verinizin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahipsiniz.
Buna karşın, OTO IRMAK içinde anonimleştirilmiş verilerle ilgili olarak kişilerin bir hakkı bulunmamaktadır. OTO IRMAK, kişisel verileri içeren kayıtlarını, iş ve sözleşme ilişkisi gereğince, bir yargısal görevin ya da devlet otoritesinin Kanuni yetkilerini kullanması amacıyla ilgili kurum ve kuruluşlarla paylaşabilir.
Kişisel veri sahipleri olarak, yukarıda belirtilen haklarınıza ilişkin taleplerinizi OTO IRMAK’ın resmi internet adresinden temin edebileceğiniz başvuru formunu eksiksiz doldurup, ıslak imzanız ve kimlik fotokopinizi de (nüfus cüzdanı için sadece ön yüz fotokopisi yeterli) ekleyerek yazışma adresimize gönderebilir ya da KEP adresimiz üzerinden bizimle iletişime geçebilirsiniz. Başvurularınız, başvurunuzun içeriğine göre en kısa sürede ya da Şirketimize ulaşmasından sonra en geç 30 gün içinde cevaplanacaktır. Başvurularınızı bizzat Şirketimize gelerek, noter aracılığıyla, Kurumsal eposta adresimize bize vermiş olduğunuz e posta adresinizden mail göndererek yapmanız gerekmektedir. Ayrıca başvurularınızın sadece sizlerle ilgili kısmı cevaplanacak olup, eşiniz, yakınınız ya da arkadaşınız hakkında yapılan bir başvuru kabul edilmeyecektir.
OTO IRMAK, ihtiyaç duyarsa başvuru sahiplerinden başkaca ilgili bilgi ve belge talep edebilir.
Gizlilik İlkesi
İster çalışanlar isterse diğer kişilerin OTO IRMAK ’teki verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz.
İşlem Güvenliği
OTO IRMAK tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için imkanlar dahilindeki gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve OTO IRMAK içinde de Gizlilik Politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.
Denetim
Kanunun 12. maddesindeki emredici hükme uygun olacak şekilde, veri sorumlusu sıfatıyla OTO IRMAK, kişisel verilerin korunması konusunda OTO IRMAK Yöneticileri tarafından denetlenmekte ve gerektiğinde dış denetimleri yapılmaktadır.
İhlallerin Bildirimi
OTO IRMAK, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde, bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde KVK Kuruluna bildirimde bulunması gerektiği bilinciyle hareket eder. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.
İhlallerin bildirimi ile kurumsal internet adresimizde belirtilen usullere göre başvuruda bulunabilirsiniz.