Aydınlatma Bildirimi
Bu bildirim, 6698 sayılı Kişisel Verilerin Korunması Kanunu, ilgili yasal düzenlemeler, ISO 27001 ve ISO 27701’e uygun olarak PSS İstanbul Danışmanlık Ticaret Limited Şirketi tarafından işlenen gerçek kişilere ait kişisel verilerin; işlenme ilkelerini, işlenmesinin yasal dayanaklarını, işlenme amaçlarını, veri toplama yöntemlerini ve kişisel verilerin aktarıldığı yerleri açıklamak için oluşturulmuştur. İlgili kişilerin hakları ile bu hakları kullanma yöntemleri yine bu politika ile açıklanmıştır. PSS İstanbul Danışmanlık Ticaret Limited Şirketi ve çalışanları kişisel verilerin korunması ile ilgili bütün yasal düzenlemelere ve bu bildirim ile ortaya konulan esaslara uymayı taahhüt eder.
Kişisel Verilerin İşlenmesinde Temel İlkeler
Kurumumuz veri sorumlusu sıfatıyla kişisel verileri işlerken KVKK ve bu politikada aşağıda belirtilen evrensel ilkelere uygun hareket edecektir.
- Hukuka ve dürüstlük kurallarına uygun olma: Kurumumuz evrensel hukuk ilkelerine ve yasalara uygun olarak kişisel verileri işler. Veriler işlenirken ilgili kişilerin çıkarları ve beklentileri dikkate alınır.
- Doğru ve gerektiğinde güncel olma: Bu ilke; verinin, hakkında bilgi verdiği konuyu doğru anlatabilmesini ifade eder. Bu nedenle ilgili kişilerin hak ve özgürlüklerin korunması için kişisel verilerin doğruluğu kontrol edilir ve gerektiğinde güncellenir.
- Belirli, açık ve meşru amaçlar için işlenme: Veri sorumlusu olarak veri işleme amaçlarını açık ve anlaşılabilir olarak belirtiriz. İşlenen kişisel veri yaptığımız iş veya sunduğumuz hizmetle bağlantılı ve bunlar için gereklidir.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Kişisel veriler amacının gerektirdiği ölçüde işlenir. Amacıyla bağlantılı olmayan gereksiz hiçbir kişisel veri işlenmez.
- İşlendikleri amaç için gerekli olan süre kadar saklanma: Kişisel veriler işlendikleri amaca uygun bir süre saklanır. Bu sürenin sonunda kişisel veriler silinir, yok edilir ya da anonim hale getirilir.
Kişisel Verilerin İşlenme Şartları
Kurumumuz açık rızayı gerektirecek şekilde veri işlenmesi durumunda ilgili kişilerin açık rızası olmaksızın veri işlemez. Açık rızanın alınmış olması ile birlikte yukarıdaki temel ilkelere her zaman uyulacaktır. İlgili kişiler Kurumumuza vermiş oldukları açık rıza beyanlarını “Açık Rızanın Geri Alınması Talep Formu” nu doldurmak suretiyle her zaman geri alabilirler.
Açık Rızanın Aranmayacağı Şartlar
- Kanunlarda açıkça öngörülmesi: Kişisel veri işlenmesi ile ilgili olarak herhangi bir kanunda açık bir hüküm
varsa bu açık hükme istinaden kişisel verilerin işlenmesi mümkündür. Aşağıdaki kanunlardaki hükümler kişisel
veri işlemesini zorunlu kılmaktadır.
- 4857 sayılı İş Kanunu (çalışanlar),
- 5510 sayılı Sosyal Sigortalar ve Sağlık Sigortası Kanunu (çalışanlar)
- 213 sayılı Vergi Usul Kanunu (müşteriler, tedarikçiler),
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun (müşteriler, müşteri çalışanları, çalışanlar)
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesi mümkündür. Örneğin bilinci yerinde olmayan bir kişinin beden bütünlüğünün korunması amacıyla tıbbi müdahale yapılması gereken durumlarda; yakınlarına haber vermek, gerekli müdahaleyi yapmak için kişinin kişisel verilerinin işlenmesi vb.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait
kişisel verilerin işlenmesinin gerekli olması durumunda kişisel veriler işlenebilir. Kurum;
- Müşterilerle yapılan sözleşmelerde ilgilinin veya temsilcisinin kişisel verisini
- Tedarikçilerle yapılan sözleşmelerde ilgilinin veya temsilcisinin kişisel verisini,
- Danışmanlık hizmeti sözleşmelerinde ilgilinin veya temsilcisinin kişisel verisini,
- İş akitlerinde çalışanlarının kişisel verisini işler.
- Hukuku yükümlülükleri yerine getirmek için veri işlemenin zorunlu olması: Kurumun hukuki yükümlülüğünü yerine getirebilmesi için gerekli ve bu amaçla sınırlı olmak üzere kişisel veriler işlenebilmektedir.
- İlgili kişilerin kendileri tarafından alenileştirilmiş olması: Kurumumuz bu şarta bağlı olarak herhangi bir amaçla kişisel veri işlememektedir.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Kurumumuz tarafından ilgili kişilere bir hakkın tesis edilmesi, kullandırılması veya ilgili kişilerin haklarının korunması için gerekli olması halinde kişisel veri işlenebilmektir.
- İlgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kurumumuzun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda kişisel veriler işlenmektedir.
Özel Nitelikli Kişisel Veriler
KVKK’de kişilerin ırkı, etnik kökeni siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak sayılmıştır.
Özel nitelikli kişisel veriler kişinin açık rızası olmaksızın işlenmez. Kurum sadece çalışanlarının ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ve sağlık raporlarını özlük dosyalarına konulmak üzere kanuni zorunluluklardan dolayı işler. Çalışanların kan grubu verileri iş sağlığı ve güvenliği kapsamında herhangi bir acil müdahale esnasında ihtiyaç duyulması halinde kullanılabilmesi için işlenir. Çalışanları aydınlatma bildiriminde bu durum ayrıca belirtilmiş olup çalışanların açık rızaları da alınmaktadır.
Kişisel Verilerin İşlenme Amaçları
Kişisel verilerin işlenme amaçları yukarıda belirtilen yasal şartlardan en az biri ile ilgili olmalıdır. KVK Kurumunun ana başlıklar olarak belirlediği aşağıdaki amaçlar için ilgili kişilerin kişisel verisini işlemektedir.
- Acil durum yönetimi süreçlerinin yürütülmesi
- Bilgi güvenliği süreçlerinin yürütülmesi
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
- Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
- Denetim / etik faaliyetlerinin yürütülmesi
- Eğitim faaliyetlerinin yürütülmesi
- Erişim yetkilerinin yürütülmesi
- Faaliyetlerin mevzuata uygun yürütülmesi
- Finans ve muhasebe işlerinin yürütülmesi
- Fiziksel mekân güvenliğinin temini
- Görevlendirme süreçlerinin yürütülmesi
- Hukuk işlerinin takibi ve yürütülmesi
- İç denetim/ soruşturma / istihbarat faaliyetlerinin yürütülmesi
- İletişim faaliyetlerinin yürütülmesi
- İnsan kaynakları süreçlerinin planlanması
- İş faaliyetlerinin yürütülmesi / denetimi
- İş sağlığı / güvenliği faaliyetlerinin yürütülmesi
- İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi
- Lojistik faaliyetlerinin yürütülmesi
- Mal / hizmet satın alım süreçlerinin yürütülmesi
- Mal / hizmet satış süreçlerinin yürütülmesi
- Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi
- Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi
- Risk yönetimi süreçlerinin yürütülmesi
- Saklama ve arşiv faaliyetlerinin yürütülmesi
- Sözleşme süreçlerinin yürütülmesi
- Talep / şikâyetlerin takibi
- Ücret politikasının yürütülmesi
- Veri sorumlusu operasyonlarının güvenliğinin temini
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
- Yönetim faaliyetlerinin yürütülmesi
Kişisel Verilerin Toplanmasının Hukuki Nedenleri ve Veri Toplama Yöntemleri
KVKK 5. Maddesinin (2) fıkrasında sayılan durumlara uygun olarak yukarıda Kişisel Verilerin İşlenme Şartları ve Kişisel Verilerin İşlenme Amaçlarında sayılan durumlar veri toplamanın hukuki sebeplerini oluşturur.
Kurumumuz çalışanlarının kişisel verilerinin toplanması iş başvurusunda bulunmaları ile başlar, iş akitleri süresince veri toplama devam eder, çalışanların iş akitleri sona erse dahi hukuki işlemler gibi nedenlerle kişisel verilerin işlenmesine devam edilebilir. Çalışanların görüntü ve ses kayıtları iş yerinde bulundukları zamanlarda dahi işlenmemektedir. Çalışan adaylarının kişisel verileri iş başvurusu sırasında işlenir.
Müşteri/ müşteri çalışanının ve tedarikçi/tedarikçi çalışanının kişisel verileri sözleşmenin kurulması ve ifası süreçlerinde işlenmektedir.
Kurumumuz 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun uyarınca internet erişimi sağladığı kişilerin, http://www.pssistanbul.com , http://www.optimalscan.com ve http://www.akademi.uyumcontrol.com kurumsal internet sitesini ziyaret eden kullanıcıların, online tarama programını kullanan müşteri çalışanlarının ve mevzuat uyum eğitim portalını kullanan müşteri çalışanlarının log kayıtlarını tutmaktadır.
KVK Kurumu tarafından sınıflandırılan ve PSS İstanbul tarafından işlenerek veri envanterine geçmiş olan veya yasal şartlara uygun olarak işlenebilecek kişisel veri kategorileri aşağıda belirtilmiştir.
- Kimlik: Kişilerin adı, soyadı, TC Kimlik numarası, doğum yeri, doğum tarihi vb. kimliklerinde yer alan bilgileri kimlik verileridir.
- İletişim: Kişinin adresi, telefon numarası, e-posta adresi vb.
- Özlük: Özlük dosyasında yer alan bilgilerdir. Bordro bilgileri, özgeçmiş, performans değerlendirme raporları vb.
- Hukuki İşlem: Adli makamlarla yapılan yazışmalar, dava dosyalarındaki bilgiler
- Müşteri İşlem: Kesilen faturalar, sipariş ve talep bilgileri vb.
- Fiziksel Mekân Güvenliği: Çalışanların giriş-çıkış kayıtları, ziyaretçi kayıtları vb.
- İşlem Güvenliği: IP verileri, internet sitesi giriş-çıkış bilgileri, loglar, şifre ve parolalar vb.
- Finans: Banka bilgileri, IBAN, kredi bilgileri vb.
- Mesleki Deneyim: Diploma bilgileri, eğitim sertifikaları, katılım belgeleri, iş tecrübesine ilişkin bilgiler vb.
- Görsel ve İşitsel Kayıtlar: Fotoğraflar, video kayıtları, ses kayıtları vb.
- Sağlık Verileri: Sağlık raporları, engellilik durum bilgileri, kullanılan cihaz ve protezler vb.
- Ceza Mahkûmiyeti ve Güvenlik Tedbirleri: Sabıka kaydı, güvenlik tedbiri vb.
Kişisel Verilerin Yurtiçinde Aktarılması
Kişisel verilerin yurtiçinde aktarılabilmesi için KVKK 8.Maddesi uyarınca aşağıdaki şartlardan en az birinin sağlanması gerekmektedir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Yukarıdaki durumlardan biri mevcut değilse ilgili kişinin açık rızasının alınması,
Kurumumuz çalışanların, kişisel verilerini, KVKK’nin 5. Maddesinin ikinci fıkrasında ve 6. Maddesinin üçüncü fıkrasında belirtilen şartlara uygun olarak; 4857 sayılı İş Kanunu ve 5510 sayılı Sosyal Sigortalar ve Sağlık Sigortası Kanunu gereğince Çalışma ve Sosyal Güvenlik Bakanlığı Sosyal Güvenlik Kurumu’na aktarılır.
Müşterilerin/müşteri çalışanlarının, tedarikçi/tedarikçi çalışanlarının kişisel verileri Maliye Bakanlığı’na aktarılmakta ve serbest mali müşavir ile paylaşılmaktadır.
Kişisel Verilerin Yurtdışına Aktarılması
Kurumumuz hiçbir kişisel veriyi yurtdışına aktarmamaktadır.
KVKK 9. Maddesine göre yurtdışına veri aktarımı aşağıdaki şartlar sağlandığında mümkün olabilmektedir:
- İlgili kişinin açık rızasının bulunması,
- Yeterli korumanın bulunduğu ülkelere (KVK Kurulu tarafından güvenli kabul edilen ülkeler) veri aktarımında, KVKK’de belirtilen hallerin varlığı (KVKK 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar),
- Yeterli korumanın bulunmadığı ülkelere veri aktarımında KVKK’de belirtilen hallerin varlığı (KVKK 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması,
durumlarında gerçekleştirilebilir. Kurulun izni bulunmadan yurtdışında bulunan üçüncü kişilere veri aktarılmaz. Kurumumuz;
- KVKK veya uluslararası bir anlaşmadan kaynaklanan sebeplerden dolayı,
- Bir sözleşmenin ifası kapsamında zorunlu olması halinde,
- Fiili imkânsızlık durumunda,
- Hukuki bir sorumluluğumuz dolayısı ile,
- Bir hakkın tesisi, korunması, kullanılması nedeniyle,
- Veya Kurumumuzun elzem olan bir meşru menfaati kapsamında,
Yeterli korumanın sağlanacağına ilişkin taahhütnamelerin alınması ve Kurulun izninin alınması şartlarının birlikte gerçekleşmesi durumunda veri paylaşımı yapabilecektir. Bunun haricinde ancak ilgili kişinin açık rızası ile yurtdışına veri aktarabilir.
KVKK 11. maddede sayıldığı gibi herkes Kurumumuza başvurarak,
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verisinin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bunların silinmesini, yok edilmesini veya anonim hale getirilmesini isteme,
- Yukardaki 5. ve 6. maddeler uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
Haklarına sahiptir.
Hakların Kullanılması ve Kurumumuza Başvuru
Kurumumuz KVK Kurumu tarafından yayımlanan Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ hükümlerine göre kendisine yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almıştır.
İlgili kişiler başvuru dilekçesini kendileri hazırlayabilecekleri gibi http://www.pssistanbul.com , http://www.optimalscan.com ve http://www.akademi.uyumcontrol.com kurumsal internet adresinden edinecekleri Kişisel Veri Sahibi Başvuru Formunu kullanarak da haklarını kullanabilirler. Bununla birlikte tebliğ hükümlerine göre başvuruda;
- Ad, soyad ve başvuru yazılı ise imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası,
- Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu
bulunmak zorundadır.
Kurumumuz eksik bilgi içermeyen başvuruları 30 günü geçmemek üzere en kısa sürede cevaplar. Başvuruda eksik bilgi bulunması durumunda ek bilgiler ilgilisinden talep edilerek başvuru cevaplandırılır. Başvurunun cevabı aksi belirtilmedikçe başvuruda kullanılan yöntem ile yapılır. Talep edilirse başka bir yöntemle de cevap gönderilebilir. Başvurular ücretsizdir ancak cevap verilebilmesi için bir maliyet gerekiyorsa Kurumun belirlediği tarifeye göre bir ücret alınabilir. İlgililerin talep konusuna göre bir Kurumumuzun hatasının olduğunun anlaşılması durumunda alınan ücret iade edilir.
Başvuruların aşağıdaki 5 yöntemden biri ile yapılması mümkündür.
Şahsen Başvuru: Yeşilce Mah. Yunus Emre Cad. No:8/1 Kağıthane/İSTANBUL adresimize kimliğini doğrulayarak şahsen veya vekâletname ibraz etmek suretiyle bir vekil aracılığıyla başvuruda bulunulabilir. Başvurunun ıslak imzalı olması gereklidir.
Posta Yoluyla Başvuru: Posta yoluyla başvuruda bulunulabilir. Başvuru vekil aracılığıyla yapılmışsa vekâletnamenin aslının da başvuruya eklenmesi gereklidir.
Noter Yoluyla Başvuru: Bizzat veya vekil aracılığıyla noter kanalıyla başvuruda bulunulabilir. Bu başvuruda cevabın hangi yöntemle alınmak istendiği belirtilmelidir.
Kayıtlı Elektronik Posta Yoluyla Başvuru (KEP): KEP adresinizden elektronik imzanızla imzalanmış dilekçenizi göndererek başvuruda bulunabilirsiniz.
Elektronik Posta Yoluyla Başvuru: Tarafımızdan işlenmiş bir e-posta adresiniz varsa bu eposta adresi üzerinden info@optimalscan.com. e-posta adresimize başvuruda bulunabilirsiniz