Kişisel Veri Güvenliği Politikamız
AMAÇ
Bu politikanın amacı, ilgili mevzuat hükümleri, müşteri sözleşmeleri ve şirket kuralları uyarınca Tempo BPO’nun Kişisel Verileri korumaya yönelik yükümlülükleri ve ISO 27701 Kişisel Yönetim Sistemi Standardı kapsamında uygulamaları yerine getirirken uyması gereken esaslar ile takip edilecek yöntem ve süreçleri ve kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerini açıklamaktır.
KAPSAM
Bu Politika Tempo’nun işlemekte olduğu Kişisel Verilere ilişkin tüm faaliyet ve süreçleri kapsamaktadır.
Bu Politika Tempo’nun müşterileri, müşteri adayları, çalışanları, çalışan adayları, stajyerleri, mal veya hizmet tedarikçileri, alt yüklenicileri, ziyaretçileri, web-sitesi ziyaretçileri, iş ortakları ve bunların çalışan ve temsilcilerine ait Kişisel Verilerin işlenmesine ilişkindir.
SORUMLULAR
Veri işleyen: Kişisel verileri işleyen / toplayan / analiz eden tüm sorumlular bu kanun kapsamındaki yükümlülükleri yerine getirmekle sorumludur.Tempo BPO veri Sorumlusu adına, onun talimatları ve yetkilendirmesi doğrultusunda kişisel verilerin işlenmesine ilişkin faaliyetleri yürüten gerçek veya tüzel kişidir. Çağrı merkezi hizmetleri kapsamında müşterilerimiz (Veri Sorumluları) adına kişisel verileri işler. Bu kapsamda, çağrıların alınması ve gerçekleştirilmesi, müşteri taleplerinin kaydedilmesi, raporlama ve benzeri hizmetler yalnızca müşterilerimizin belirlediği amaçlar ve hukuki sebepler çerçevesinde gerçekleştirilir.
Veri sorumlusu: Tempo Çağrı şirketi kanun kapsamında Veri Sorumlusu olarak hareket etmektedir.
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Tempo sunduğu hizmetler kapsamında işlediği çalışan verileri bakımından Veri Sorumlusu sıfatını taşır. Veri sorumluluğu kapsamında; kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, belirli, açık ve meşru amaçlarla toplanması, doğru ve gerektiğinde güncel tutulması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır(İletişim: 02122864141 – tempocagri@hs01.kep.tr / İşveren Temsilcilerine başvuru yapılabilir)
İrtibat Kişisi: Veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumludur. 6698 sayılı Kanun kapsamındaki yükümlülük ve yaptırımlar açısından sorumluluk irtibat kişisinde değil bu tüzel kişiyi temsil ve ilzama yetkili organ üzerindedir. İrtibat kişisi olarak yapılan görevlendirme, Kanun hükümleri uyarınca veri sorumlusunun sorumluluğunu ortadan kaldırmaz.
Tüm personel: Tüm Tempo çalışanları, yöneticileri, taşeron firma çalışanları herhangi bir şekilde ellerine geçen kişisel veriler için bu kanun kapsamındaki yükümlülüklere göre hareket etmekten sorumludur.
Tüm müşteriler, tedarikçiler vb. 3. taraflar: Tempo ile yapılan çalışmalar esnasında herhangi bir yolla elde edilen kişisel verilerin ilgili kanun kapsamında korunmasından sorumludur.
.
TANIMLAR
Personel: Tempo Çağrı’nın tam süreli, geçici süreli vb. çalışanlarını, stajyerlerini, taşeron personelini ifade eder.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunudur.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
UYGULAMA
Temel İlkeler
Tempo BPO’nun Kişisel Veri Güvenliği Yönetim Sistemi kapsamında uyduğu Temel ilkeler aşağıdaki gibidir;
· Hukuka ve dürüstlük kurallarına uygunluk,
· Doğru ve gerektiğinde güncel olacak şekilde,
· Belirli açık ve meşru amaçlar için,
· İşlendiklerim amaçlarla bağlantılı, sınırlı ve ölçülü olarak,
· Kişisel Verilerin korunması kanununda öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Kişisel Veriler
Tempo BPO’da;
– Web sitesini ziyaretleri,
– Şirket içi/dışı kişiler arasındaki telefon veya e-posta yazışmalarındaki paylaşımlar,
– Müşteri Hizmetleri ile yapılan görüşmeler/paylaşımlar,
– Ürün/hizmet satın almaları,
– Ziyaretçilerimize dair kayıtlar,
– İş başvuruları,
– İşe alımlar,
– veya bir başka şekilde hukuki veya ticari bir ilişkiye girmemiz
gibi sebeplere bağlı olarak aşağıda belirtilen kişisel veriler işlenebilmektedir.
a. Kimlik Bilgileri: Ad-Soyad, TC Kimlik No, Doğum Yeri, Doğum Tarihi, İmza verileridir.
b. İletişim Bilgileri: Adres, telefon numarası, e-posta adresi verileridir.
c. Görsel ve İşitsel Bilgiler: Fiziki ortamda güvenlik amacıyla yapılan kamera kayıtlarında yer alan kişilere ait görüntü ile kişilerin çağrı merkezi aramalarında kayıt altına alınan seslerine ilişkin verilerdir.
d. Müşteri İşlem Verisi: Müşteri Sözleşmelerinden kaynaklı yerine getirilen çağrı merkezi hizmetinden kaynaklı olarak toplanan veriler
e. Özel Nitelikli Kişisel Bilgiler: Bu veri kategorisi, personelden sağlık hizmetleri, özlük ve iş güvenliği kapsamında alınan sağlık verilerini veya personel adayından alınan sağlık beyanını, personele ve personel adaylarına ait ceza mahkumiyetlerine ilişkin adli sicil kayıtları gibi veri türlerini ifade etmektedir.
f. Özlük Bilgileri: Bu veri kategorisi, personel ile kurulan iş akdi çerçevesinde yasal olarak oluşturulması gereken özlük dosyası kapsamında personele ait kimlik, iletişim bilgilerinin yanı sıra, meslek, eğitim, finansal bilgilerin yer aldığı veri türüdür.
g. Eğitim Verisi: Personel ve adaylarının iş başvuruları kapsamında doldurdukları form veya hazırladıkları özgeçmiş belgesinde yer alan veya işe alım aşamasında talep edilen eğitim geçmişini gösteren diploma, transkript, sertifika gibi verilerdir.
h. Mesleki Deneyim: Personel adaylarının iş başvuruları kapsamında doldurdukları form veya hazırladıkları özgeçmiş belgesinde yer alan ve çalışma hayatındaki deneyimlerini ve mesleki unvanları gösteren verilerdir.
i. İşlem Güvenliği Verisi: IP adresi, Erişim logları, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı gibi verilerdir.
Yukarı tanımlı olan kişisel veriler için Gizlilik sınıfı tanımlamaları PO.100_A Bilgi Güvenliği ve Gizlilik Yönetim Sistemi Politikaları (Genel) içerisinde tanımlıdır.
Kişisel Verilerin İşlenme Amaçları
Tempo BPO’da Kişisel Verileriniz aşağıda belirtilen amaçlar kapsamında işlenmektedir:
Müşteriler için;
– Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
– Mal / Hizmet Satış Süreçlerinin Yürütülmesi
– Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
– Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
– Fiziksel Mekan Güvenliğinin Temini
– Satış Sonrası Destek Hizmetlerinin Yürütülmesi
– Finans ve Muhasebe İşlerinin Yürütülmesi
– Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
– Ticari /Sözleşmesel İlişki Kapsamında İşlem ve Faaliyetleri Yürütmek, Mali Ve Hukuki Yükümlülükleri Yerine Getirmek
– Talep / Şikayetlerin Takibi
– Yasal Yükümlülüklerin Yerine Getirilmesi
– Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
– Üyelik Sözleşmesinin Kurulması, İfası Ve Müşterilerin Üyelik Avantajlarından Yararlandırılması
– Hukuki Süreçlerin Yürütülmesi
– Tanıtım Ve Pazarlama Faaliyetleri
– Ticari Elektronik İleti Gönderimi
– Pazarlama Analiz Çalışmalarının Yürütülmesi
– Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
– Bilgi Güvenliği, Saklama ve Arşiv faaliyeti
Potansiyel Müşteriler için;
Web sitemize dair ziyaret verisi, web sitesi kanalıyla doldurulan formlar, e-bülten üyelikleri, çağrı merkezimize iletilen talep ve şikayetler vasıtasıyla doğrudan talep sahibinden temin edilen kimlik ve iletişim bilgileri; ürün ve hizmetlerimizle ilgili reklam, kampanya ve diğer ticari iletiler gönderilmesi açık rızaya istinaden işlenmektedir. Şayet Tempo’ya iletilen bir talep veya şikayet söz konusu ise bu durumda bu talep ve şikayetin yönetilebilmesi için kimlik ve iletişim bilgileri Kanun’un 5/2. Maddesi uyarınca sınırlı bir süre için işlenmektedir.
Tedarikçi/İş Ortakları için;
Aramızdaki ticari ilişki kapsamında, firma yetkilileri ve çalışanlara ait kişisel veriler, Kanun’un 5. Maddesinde belirtilen; Sözleşmelerimizin kurulması ve ifası, yasal yükümlülüklerin yerine getirilmesi ve şirketimizin meşru menfaatleri kapsamında Kanun’da öngörülen temel ilkelere uygun olarak ve kişisel veri işleme şartları dahilinde, aşağıda yer alan amaçlar kapsamında işlenebilmektedir
· Yasal Yükümlülüklerin Yerine Getirilmesi
· Sözleşme Süreçlerinin Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Hukuksal Süreçlerin Yürütülmesi Ve Takibi
· Şirket İç Operasyonlarının Yürütülmesi
· Strateji Planlama & İş Ortakları/Tedarikçi Yönetimi
· Fiziksel Mekan Güvenliğinin Sağlanması
· Lojistik Faaliyetlerinin Yürütülmesi
· Tedarik Zinciri Yönetim Süreçlerinin Yönetilmesi
· İlgili mevzuat gereği saklanması gereken bilgilerin muhafazası; bilgi kayıplarının önlenebilmesi için kopyalanması, yedeklenmesi; bilgilerin tutarlılığının kontrolünün sağlanması; veri tabanlarımızın ve bilgilerin güvenliği için gerekli teknik ve idari tedbirlerin alınması
Ziyaretçiler İçin;
Şirketimizi, web sitemizi ve iş yerlerimizi ziyaret eden kişiler için, şirketimizin ve ziyaretçilerin güvenliğinin sağlanmasının yanı sıra yasal yükümlülüklerimizin yerine getirilmesi ve meşru menfaatlerimize bağlı olarak, fiziki ortamlarda güvenlik kamerası ile görsel veriler, işyeri ziyaretleri sırasında ziyaretçilerimize sunulan internet erişimi kapsamında elde edilen işlem güvenliği verileri aşağıdaki amaçlarla işlenmektedir.
· Denetim ve Güvenlik Faaliyetlerinin Yürütülmesi
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
· Fiziksel Mekan Güvenliğinin Temini
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
· İnternet Erişimi Sağlanması ve Erişim Güvenliğinin Temini
Çalışan Adayları için;
Tempo BPO, personel adayları tarafından gerek http://www.tempobpo.com/career internet adresimiz üzerinden, gerek iş ortaklarımız tarafından alınarak tarafımıza gönderilen, gerek ise şirket lokasyonlarımıza gelerek yapılan iş başvuruları kapsamında paylaşılan CV’ler veya doldurulan başvuru formları ile alınan kişisel verileri kullanmak suretiyle Kanun’un 5. Maddesinde belirtilen; Personel temini ve İnsan kaynakları süreçlerinin yönetimi amacıyla ve İş akitlerinin kurulabilmesi, bir hakkın tesisi ve hukuki uyuşmazlıklarda delil olarak kullanmak üzere şirketimizin meşru menfaatleri kapsamında, aşağıda yer alan amaçlar dahilinde veri işleme faaliyeti yürütmektedir.
· Çalışan Adayı / Stajyer Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
· İnsan Kaynakları Operasyonlarının ve Özellikle Personel Temini İşe Alım Süreçlerinin Yürütülmesi,
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
Çalışanlar için;
Tempo BPO, personele ait kişisel verileri ilgili mevzuattan kaynaklı sebeplerle özlük dosyası oluşturabilmek, personelle hizmet sözleşmesi akdedebilmek ve Tempo’nun yönetim hakkı ve meşru menfaati kapsamında, aşağıda yer alan amaçlar dahilinde veri işleme faaliyeti yürütmektedir.
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
· Denetim / Etik Faaliyetlerinin Yürütülmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans ve Muhasebe İşlerinin Yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
· Görevlendirme Süreçlerinin Yürütülmesi
· Hukuk İşlerinin Takibi ve Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
· Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
· Yönetim Faaliyetlerinin Yürütülmesi
· Resmi Kurumlara Gerekli Yasal Bildirimlerin Gerçekleştirilmesi, Resmi Kurumlar Nezdinde Teşviklerden Yararlanılması, Resmi Kurumların Denetimleri Kapsamında İlgili Makamlara Bildirimde Bulunulması
· İnsan Kaynakları Operasyonlarının ve Özellikle Özlük Faaliyetinin Yürütülmesi
Kişisel Verilerin Saklandığı Ortamlar
Tempo nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Tempo her durumda veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Prosedürüne ve KVKK Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
a) Fiziksel ortamlar | Verilerin kağıt üzerine basılarak tutulduğu, dolap içi, çekmece içi vb ortamlar |
b) Elektronik ortam | Tempo bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler, CD gibi |
c) Bulut ortamlar | Tempo bünyesinde kullanılan aşağıdaki uygulamalar için geçerlidir; – e-nocta |
Ortamların Güvenliğinin Sağlanması
TEMPO, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olan teknik ve idari tedbirleri almaktadır.
Bu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
Teknik Tedbirler
- Kişisel verilerin tutulduğu ortamlarda teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
- Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Yeni teknolojik gelişmeler takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
- Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Harici bellek kullanımları çalışan rol bazında sınırlandırılmaktadır.
- Sistem LOG kayıtları tutulmaktadır. Veritaban LOG’ları zaman damgası ile damgalanarak arşivlenmektedir.
- Tempo’nun kullanmakta olduğu binaların güvenliğinin sağlanması amacıyla kamera kaydı alınmak suretiyle Kişisel Veriler işlenmektedir. Kamera sayısı, konum ve kayıt süreleri yasal düzenlemelere gereğince amaç ile sınırlılık ilkesine uygun olarak belirlenmektedir.
- Sistem odası ile kişisel verilerin kaydedildiği kullanıcı bilgisayarların bulunduğu bölmeler yangın, sel gibi dış tehlikelere karşı korunaklı olup, giriş/çıkışlar 7/24 kamera kaydı ile izlenir. Erişim yalnızca veri sorumlusunca yetkilendirilmiş kişilerce sağlanır
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
- Kağıt ortamdaki yazılı kişisel veri içeren belgeler dosyalarında, kilitli dolap ve odalarda, yangın ve sele karşı fiziki güvenlik önlemleri alınmış olarak bulunur. Ayrıca yedekleme yapılmaz. Dijital ortamdaki olası veri kaybı durumunda verinin kopyasını bulundurmak için düzenli veri yedeklemesi yapılır.
- TEMPO bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
İdari Tedbirler
- Tempo ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır. Gizlilik sözleşmesi ve Kesin Uyulması Gereken Kurallar Sözleşmesi imzalanmaktadır.
- Disiplin Yönetmeliğinde Kişisel Verilerin hukuka ve Tempo Politikalarına aykırı şekilde işlenmesine ilişkin yaptırımlar belirlenmiş ve çalışanlar bunlar hakkında eğitimlerde bilgilendirilmektedir.
- Kişisel verilere erişimi olan tüm TEMPO çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için eğitim vb çalışmalar yapılmaktadır.
- Tempo bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, Tempo tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
- Tempo’nun yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
- Tempo bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve Yönetimi, Toplam Kalite ve BGYS Departmanı tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
- ISO27001 denetimleri her yıl en bir kez gerçekleştirilmektedir. Bu kapsamda iç ve dış denetimler yapılmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
- Tempo, işlediği kişisel verileri, hangi amaçla, hangi yasal dayanaklarla, hangi yol ve yöntemlerle işlediği, verileri nasıl ve ne sürelerle koruduğu ve imha ettiği, ilgili kişinin hakları bilgilerini içeren Aydınlatma metinlerini hazırlamıştır. Gerekli olduğunda Açık Rıza alınmaktadır.
- Bulut ortamda kayıt alan uygulamaların satın alındığı firmalar için Gizlilik ve KVKK Sözleşmesi imzalanmaktadır.
Saklama ve İmha Nedenleri
Saklama Nedenleri
TEMPO bünyesinde tutulan kişisel veriler KVKK Prosedürümüzde belirtilen amaç ve nedenlerle saklanmaktadır.
İmha Nedenleri
TEMPO bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde bu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
İmha Yöntemleri
TEMPO, Kanuna ve bağlı mevzuatı ile Kişisel Verilerin Korunması Prosedürüne uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde ilgili kişinin talebi doğrultusunda ya da bu Politikada belirtilen süreler içinde siler, yok eder veya anonim hale getirir.
TEMPO tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:
Silme Yöntemleri
Fiziksel Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri | ||
Karartma | : | Fiziksel ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır. |
Elektronik Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri | ||
Yazılımdan güvenli olarak silme | : | Elektronik ortamlarda tutulan kişisel veriler geri döndürülemeyecek şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
Yok Etme Yöntemleri
Fiziksel Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Fiziksel ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. Yakma eklenecek. |
Elektronik Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Kişisel veri barındıran optik ve manyetik medyanın kırma yöntemi ile fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
Üzerine yazma | : | Üzerine yazılarak eski verinin okunması ve kurtarılması engellenir. |
Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Değişkenleri çıkarma | : | İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir. |
Bölgesel gizleme | : | Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. |
Genelleştirme | : | Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. |
Alt ve üst sınır kodlama / Global kodlama | : | Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir. |
Mikro birleştirilme | : | Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. |
Veri karma ve bozma | : | Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır. |
TEMPO, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre bu sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır.
Verilerin Saklanma ve İmha süreleri
FR.01.03 Kayıt Saklama Süreleri listesinde ilgili kayıtlar tanımlanmıştır.
VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin devamında ve son ermesinin ardından ise 10 yıl süre ile muhafaza edilir. |
Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri | Hizmet akdinin devamında ve son ermesinin ardından ise 10 yıl süre ile muhafaza edilir. |
Çalışan | İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet akdinin devamında ve sona ermesinin ardından 15 yıl süreyle muhafaza edilir. |
İş Ortağı/Çözüm Ortağı/Danışman | İş Ortağı/Çözüm Ortağı/Danışman ile TEMPO arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri | İş Ortağı/Çözüm Ortağı/Danışmanın, TEMPO’la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10+1 yıl süre ile saklanır. |
Ziyaretçi | TEMPO’ya ait fiziki mekana girişte alınan Ziyaretçi’ye ait ad, soyad, TC, araç plakası ile kamera kayıtları | 1 yıl süre ile saklanır. |
İnternet Sitesi Ziyaretçisi | İnternet Sitesi Ziyaretçisi tarafından iletilen bilgiler (ad, soyad, e-posta adresi, GSM vb.) | Veriler saklanmamaktadır |
Çalışan Adayı | Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır. |
Stajyer(öğrenci) | Stajyer’e ait staj dosyasında yer alan bilgiler | Staj ilişkisinin devamında ve sona erdiği takvim yılı yılbaşından itibaren 10 yıl süreyle muhafaza edilir. |
TEMPO’nın İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçiler, Taşeronlar) | TEMPO’nın İşbirliği İçinde Olduğu Kurum/Firmalar ile TEMPO arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, TEMPO’nın İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri | TEMPO’nın İşbirliği İçinde Olduğu Kurum/Firmaların, TEMPO’yla olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10+1 yıl süre ile saklanır. |
Burada belirtilmeyen her türlü diğer kişisel veri ilgili mevzuat ve kanun hükümleri gereğince belirtilen sürelerce saklanır.
İmha Süreleri
TEMPO, Kanun, ilgili mevzuat, Kişisel Verilerin Korunması Prosedürü ve bu KVKK Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden TEMPO’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; TEMPO talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. TEMPO’nın talebi almış sayılması için ilgili kişinin talebini KVKK Saklama ve İmha Politikasına uygun olarak yapmış olması gerekir. TEMPO, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep TEMPO tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; TEMPO işleme şartları ortadan kalkmış olan kişisel verileri KVKK Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Periyodik imha süreçleri Ocak- Temmuz aylarında olmak üzere 6 ayda bir tekrar eder.
KVKK kanunu gereğince Toplam Kalite ve BGYS departmanı ve Bilgi Teknolojileri Sistem Ağ ekiplerinin içerisinde bulunduğu Imha Kurulu oluşturulmuş olup, 6 ayda 1 gerçekleştirilen periyodik toplantılar ile bir araya gelinir. FR.01.03 Kayıt Saklama Süreleri Listesi gözden geçirilerek, listede yer alan saklama sürelerine uyumlu şekilde imha sürecinin başlatılması için ilgili departmanlara aksiyon alınması için bilgi verir.
İlgili imha süreci gerçekleştirilirken kanıtlar FR.29.07 ARŞİV İMHA FORMU ile kayıt altına alınır, 3 kişi tarafından imzalanarak Toplam Kalite ve BGYS Departmanı tarafından kanıtlar toplanır.
TEMPO, gerek talep üzerine gerekse periyodik imha süreçlerinde gerçekleştirdiği imha işlemlerini Kanuna, bağlı mevzuata, Kişisel Verilerin Korunması Prosedürüne ve bu Politikaya uygun olarak yapar.
TEMPO, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
Teknik Tedbirler
- TEMPO, bu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
- TEMPO, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
- TEMPO, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
- TEMPO, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da yetkin üçüncü kişilerden hizmet alır.
- TEMPO, imha işlemini İmha Tutanağı ile kayıt altına alır ve muhafaza eder.
İdari Tedbirler
- TEMPO, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
- TEMPO, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
- TEMPO, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
- TEMPO, imha işlemlerinin hukuka ve KVKK Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
Tempo, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.
Kamu Kurum ve Kuruluşlarından Alınan Talepler
TEMPO’daki herhangi bir birim çeşitli kamu kurum ve kuruluşları üzerinden (Kişisel Verileri Koruma Kurumu veya soruşturmalar çerçevesinde kolluk teşkilatı gibi), yürütülen ticari faaliyet çerçevesinde işlenmekte olan kişisel verilerin beyan edilmesini veya kendilerine aktarılmasını talep edebilmektedirler.
Bu kapsamda bir kamu kurum veya kuruluşundan talep alınması durumunda söz konusu talebin, hangi kişisel verilere ilişkin ve hangi amaçlarla istendiği detayları ile birlikte Toplam Kalite ve BGYS birimine talebi alan birim tarafından en kısa sürede veya en geç 24 saat içerisinde bildirilmesi gerekmektedir.
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında VERBİS kaydımız:
Sicil No: 2019-10032-822Kişisel Verilerin Korunması Kurumu VERBİS Kaydı için tıklayınız.
