K.V.K.K. Aydınlatma Metni

1.KAPSAM ve YÜRÜRLÜK

Kişisel Verilerin Korunması ve İmhası Politikası (“Politika”), kişisel verilerin işlenmesine, saklanmasına ve imhasına yönelik kurallar bütününü açıklayarak gerekli bilgilendirmeleri yapmak amacıyla hazırlanmış olup GÖKRAY PLASTİK SAN.TİCLTD.ŞTİ (“Gökray” veya “Şirket”) Yönetim Kurulu tarafından onaylanarak 01.01.2022 tarihinde yürürlüğe girmiştir.

Bu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde güncel Politika metni https://www.gokray.com.tr adresindeki internet sitemiz üzerinden yayımlanacaktır.

Bu politika, Şirket hissedarları, çalışanı ve çalışan adayları, ziyaretçileri, iş ortakları, tedarikçileri, müşterileri, potansiyel müşterileri, öğrenciler, veliler dâhil, GÖKRAY tarafından kişisel verisi işlenen kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikteki her türlü verinin 7 Nisan 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde hukuka uygun bir şekilde ve bir veri kayıt sisteminin bir parçası olmak kaydıyla işlenmesini korunmasını ve imha edilmesinde izlenecek yöntem ve ilkeleri düzenlemeyi amaçlamaktadır.

Bu Politika Gökray tarafından yönetilen tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.

Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu Politika’nın uygulama kapsamı Politika’nın tamamı olabileceği gibi (Ör: Ziyaretçi’miz de olan Çalışan Adayları’mız gibi); yalnızca bir kısım hükümleri de (Ör: yalnızca Ziyaretçi’lerimiz gibi) olabilecektir.

2. TANIMLAR

Bu Politikada yer alan kavramlar, aşağıdaki belirtilen anlamlarda kullanılmaktadır. Politikada yer almayan tanımlar için KVKK’da yer alan tanımlar geçerlidir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek ve bu durumun geri getirilemeyecek hale getirilmesini,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurum: Kişisel Verileri Koruma Kurumunu,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre sistematik bir şekilde işlendiği kayıt sistemi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Politika: Kişisel Verilerin Korunması ve İmhası Politikasını ifade eder.

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER

Gökray, Kanun’un 4. maddesinin 2. fıkrası uyarınca, aşağıdaki ilkelere uygun olarak kişisel veri işlemektedir:

  1. Hukuka ve dürüstlük kurallarına uygun olma
  2. Doğru ve gerektiğinde güncel olma
  3. Belirli, açık ve meşru amaçlar için işlenme
  4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI (HUKUKA UYGUNLUK NEDENLERİ)

Kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür. Bunlar:

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusu olan Gökray’ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Gökray’ın meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel veri olarak kanunda öngörülen, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Gökray özel nitelikli kişisel verilerden sağlık durumu ( işe girişte alınan sağlık raporu, engel durumunu bildirir sağlık raporu, işgöremezlik raporu vb.) ve ceza mahkûmiyetini (adli sicil) kanuni gereklilikleri sağlamak amacıyla; biyometrik verileri (parmak izi) ise personel ve işveren meşru menfaati gerekçesiyle ve ayrıca çalışanların ‘açık rıza beyanı’nı alarak işlemektedir.

5. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Gökray, Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Gökray tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi sırasında Gökray kurumsal kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin Kanunu’nun 11. maddesi kapsamında sahip olduğu haklara ilişkin aydınlatma yapılmaktadır.

6. GÖKRAY TARAFINDAN İŞLENEN KİŞİSEL VERİLER

Gökray, aşağıda belirtilen kişisel verileri yukarıda bahsi geçen ilkelere ve hukuka uygunluk nedenlerine uyumlu olarak Kanun’un 10. maddesi uyarınca, ilgili kişiler bilgilendirilmek suretiyle işlemektedir. Aşağıda belirtilen veri kategorilerine ait kişisel verilerin sahipleri ise Politikanın 7. Bölümünde belirtilmektedir.

  1. Kimlik Bilgisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan nüfus cüzdanı, kimlik, ehliyet, evlilik cüzdanı, pasaport vb. dokümanlarında yer alan bilgiler.
  2. İletişim Bilgisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan e-posta, telefon numarası, açık adres bilgileri.
  3. Özlük – Bordro Bilgisi: Özgeçmiş, cv, disiplin soruşturma evrakları, Performans evrakları,
  4. Mesleki Deneyim Bilgisi: Diploma, sertifika, kurs belgeleri,
  5. Müşteri İşlem Kayıtları: Fatura, çek, senet, sipariş, sözleşme, ödemeler vb. muhasebe işlemleri için gerekli bilgiler
  6. Öğrenci Bilgisi: Öğrencilerin kimlik ve iletişim bilgileriyle beraber akademik başarı, pdr ve kişilik testleri, sağlık verileri vb bilgiler,
  7. Hukuki İşlem Bilgisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olarak Gökray’ ın hukuki yükümlülüklerini yerine getirmekle sınırlı olmak kaydıyla elde edilen bilgiler.
  8. Bilgi Teknolojileri Bilgisi: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olarak elde edilen, Log kayıtları, güvenlik kamerası kayıtları vb. bilgileri.
  9. Finansal Bilgi Kimliği: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin olan finansal sonucu gösteren belgelerle sınırlı olmak üzere banka hesap numarası, IBAN numarası, malvarlığı bilgisi vb. bilgiler.
  10. Aile-Referans Bireyleri Bilgisi: Öğrencinin ailesi ile çalışan veya çalışan adaylarının ailesi veya referanslarına ilişkin bilgi
  11. Özel Nitelikli Kişisel Veri Bilgisi: Sağlık raporu, engel durumu bildirir rapor, ceza mahkûmiyetine ilişkin bilgi, parmak izi bilgisi

7. İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON

Gökray           tarafından kişisel verisi işlenen gerçek kişiler; Çalışan, çalışan adayı, stajyer, müşteri, ziyaretçi, öğrenci, öğrenci adayı, veli, tedarikçi/iş ortağı ve çalışanları, Gökray yetkilisi, hissedarlar ve tüzel kişi hissedara ait yetkili ve çalışan bilgisi ile üçüncü kişilerle sınırlıdır. Söz konusu veri sahibi kategorilerine dâhil kişiler aşağıdaki detaylı belirtilmiştir.

Müşteri: Gökray’dan ürün tedarik eden gerçek kişiler veya kurumsal üyelerin gerçek kişi temsilcileri,

Çalışan: Şirketin şube ve birimlerinde görevli tüm personel ve stajyer,

Çalışan Adayı: Şirketin birimlerinde çalışmaya hazır, hazırladığı başvuru formu muhtelif vasıtalarla Gökray’a ulaşmış gerçek kişiler,

Öğrenci adayı: Gökray’ın okullarını veya web-sitesini ziyaret eden, bursluluk sınavına giren ancak okulumuza kaydını yapmamış öğrenciler öğrenciler

Öğrenci: Gökray’ın okullarında kayıtlı öğrenim gören öğrenci

Veli: Öğrencilerin annesi, babası veya vasisi

Müşteri Adayı: Gökray’a ürün almak ile gelen, ilgilenen veya ilgilenebilecek gerçek kişiler,
Ziyaretçi: Gökray’a farklı nedenlerle ziyarete gelen veya web-sitesinde gezinen gerçek kişiler,
Tedarikçi/İş Ortağı Çalışanları: Gökray’ın herhangi bir şekilde iş ilişkisi içerisinde olduğu, hizmet aldığı, işbirliği yaptığı kurumların çalışanları, yetkilileri,
Gökray Yetkilisi: Gökray’ın Yönetimi Kurulu üyeleri
Hissedarlar: Gerçek kişi hissedar veya tüzel kişi hissedara ait yetkililer ve çalışanlar

Üçüncü Kişiler: Gökray’ın hukuki yükümlülükleri veya Gökray politikaları gereği kişisel verisini işlediği (referanslar, kefil, aile bireyleri yakını vb.) gerçek kişiler.

8. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

Gökray, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesi önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmaktadır.

Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kuruma bildirir.

Bu bağlamda Gökray; kişisel verinin özel nitelikli olması; mahiyeti gereği hangi derecede imhayı gerektirmesi; güvenlik ihlali halinde veri sahibin hak ve özgürlüklerini ne derece etkileyebileceğini dikkate alarak faaliyetlerini gerçekleştirmektedir.

Gökray Tarafından Alınan İdari Tedbirler

  1. Çalışanlara kişisel verilerin korunması konusu hakkında eğitim çalışması yapılarak farkındalık kazanmaları sağlanmıştır.
  2. Şirketin tüm birimlerini kişisel veriler hakkında bilgilendirmek, koordinasyon ve denetleme maksadıyla “Kişisel Veri Komitesi” oluşturulmuştur.
  3. Her şubede Kişisel Veri Komitesine bağlı, işin yoğunluğuna bağlı olarak bir ya da iki çalışan “KVK Temsilcisi” tespit edilmiştir. Gerektiğinde envanter üzerinde yapılacak güncellemeler, kontroller ve yetki dağıtımları bu temsilciler vasıtasıyla yapılacaktır.
  4. Kişisel veri güvenliği politikası oluşturulmuş olup; bu politikaya uygun davranılması için gerekli çalışmalar yapılmıştır. Bu kapsamda disiplin prosedüründe de gerekli yaptırımlar uygulamaya konmuştur.
  5. İşleme amaçları bakımında ihtiyaç bulunmayan kişisel verilerin artık muhafaza edilmemesi sağlanmıştır.
  6. Gökray’a ait kişisel verileri işleyenlerle veri güvenliğine ve transferine ilişkin ek protokoller imzalanmıştır.
  7. Kişisel veri işleme envanteri hazırlanmıştır.

Gökray Tarafından Alınan Teknik Tedbirler

  1. İnternet üzerinden gelen yetkisiz erişimlere Firewall cihazı ile güvenlik duvarı ve ağ geçidi gibi tedbirler alınmıştır.
  2. Şirket tüm bilgisayarları anti virüs programıyla korunmaktadır.
  3. Kişisel veri içeren fiziksel ortamların dış risklere karşı uygun yöntemlerle korunmakta ve bu alanlara giriş çıkışlar kontrol altına alınmaktadır.
  4. Veri yedekleme çalışmaları yapılmaktadır.
  5. Bilgisayar, internet ve programlara erişim şifre ile olmaktadır.
  6. Bütün program kullanımlarında log tutulmaktadır.
  7. Bütün şubelerde kontrolü daha iyi sağlamak için bulut cihazları kullanılmaya başlanmıştır. Bu ortama yetkisiz girişler önlenmektedir. Kişisel verilerin bulut ortamda muhafaza edilmesi sağlanmıştır. Bunun haricinde PC’lerde kişisel veriler işlense de saklanma işlemi yapılmayacaktır.

9. KİŞİSEL VERİLERE İLİŞKİN “İLGİLİ KİŞİNİN” HAKLARI

Kanunun 11. maddesi çerçevesinde ilgili kişi her zaman Gökray’a başvuruda bulunabilir. İlgili kişi olarak;

  1. Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  2. Kişisel verileriniz işlenmişse, buna ilişkin bilgi talep etme,
  3. Kişisel verilerinizin işlenme amacını ve kişisel verilerinizin işlenme amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
    maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
  6. (4) ve (5) bentleri uyarınca yapılan düzeltme, silme ve yok edilme işlemlerinin, kişisel verilerinizin paylaşıldığı üçüncü kişilere bildirilmesini isteme,
  7. İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle sizin aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  8. Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde, zararın giderilmesini talep etme, hakları bulunmaktadır.

10.KİŞİSEL VERİLERE İLİŞKİN BAŞVURULAR

Kişisel veri sahipleri yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak iletmeleri durumunda, talebin niteliğine göre Şirketimiz talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, mevzuat uyarınca Kurul’un bir ücret öngörmesi hâlinde, başvuru sahibinden, Kurul tarafından belirlenen tarifedeki ücret alınacaktır. Buna göre;

10.03.2018 tarih ve 30356 sayılı Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’de yer alan usul ve esaslarına uygun olarak kimliği gösteren belgeler ile birlikte, Kırlangıç Caddesi No:21 Gaziosmanpaşa-Çankaya-Ankara adresine ıslak imzalı olarak; ya da bilgi@Gökrays-as.com.tr adresine, kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Gökray’a daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle başvuru yapılabilir.

11. GÖKRAY TARAFINDAN İŞLENEN KİŞİSEL VERİLER VE İŞLENME AMAÇLARI

İşbu politikanın 6. ve 7. Bölümlerinde belirtilen veri sahipleri ve bu veri sahiplerine ilişkin kişisel veriler aşağıdaki belirtilen belli başlı amaçlarla işlenmektedir. Detayları kişisel veri işleme envanterinde yer almaktadır.

  1. GÖKRAY AŞ. ‘Esas Sözleşmesi’nde tanımlanan faaliyet konuları ile ilgili meşru menfaatlerin gerçekleştirilmesi
  2. Gökray prosedürleri, ilke ve amaçları doğrultusunda faaliyetlerimizi yürütmek,
  3. Gökray faaliyetlerini yürütürken, resmi mevzuat çerçevesi içinde, ihtiyaç duyulan hallerde,
  4. Öğrencilik, bilet kesme, üyelik, davetiye, etkinliklerden yararlanma gibi imkânlar sağlamak ve müşteri, tedarikçi, iş ortağı ve ortakların kullanımına sunmak için gerekli her türlü işlemi yerine getirmek,
  5. Gökray tarafından insan kaynakları süreçlerinin yürütülmesini ve personel istihdamı,
  6. Gökray tarafından düzenlenen konferans, seminer, fuar, çalıştay, idare kurulları, üye buluşmaları vb. etkinlikleri organize etmek veya haberdar etmek,
  7. Şirket yerleşkesinin, demirbaşlarının ve kaynaklarının güvenliğini temin etmek,
  8. Gökray tarafından muhafaza edilen kişisel verilerin güvenliğinin teminini sağlamak ve bu amaçla kişisel verileri muhafaza etmek üzere aktarmak,
  9. Gerçek ve Tüzel kişiler ile Kamu Kurumları ve Mahkemelerden gelecek talepler doğrultusunda verileri arşivlemek,
  10. Veri kayıplarının önlenebilmesi için kopyalama/yedekleme yapmak,
  11. Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, yasal yükümlülüklerin yerine getirilmesini sağlamak

12. KİŞİSEL VERİLERİN SAKLANMASI

Gökray tarafından işlenen kişisel veriler işlenme amaçlarının gerektirdiği süreler boyunca saklanabilmektedir. İşlenme amacı ortadan kalktıktan sonra saklamak için herhangi bir hukuki sebep olmaması halinde; kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bu kapsamda Gökray ilgili yükümlülüğünü yerine getirmek üzere Gökray içerisinde Yönetim Hizmetleri Müdürlüğü tarafından gerekli teknik ve idari tedbirleri alarak; bu konuda gerekli işleyiş mekanizmaları geliştirmiş olup; bu yükümlüklerine uygun davranmak üzere ilgili iş birimlerini eğitmekte, görevlendirme ve farkındalıklarını sağlamaktadır.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir.

  1. Matbu Ortamlar: Verilerin kâğıt üzerine basılarak tutulduğu ortamlardır.
  2. Yerel Dijital Ortamlar: Gökray bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair dijital ortamlardır.
  3. Bulut Ortamlar: Gökray bünyesinde yer alan veya almayan, ancak Gökray’ın kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır

13. GÖKRAY TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER

Kişisel veriler ilgili kişinin açık rızası olmadan aktarılamaz. Ancak kanunlarda açıkça öngörülüyorsa ve 4. Madde de ifade edilen diğer şartları karşılıyorsa aktarılabilir. Ancak bu paylaşımlarda Gökray yeterli önlemleri almaktadır. Paylaştığı verilerden de sorumluluğu devam etmektedir.

Gökray hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere ( iş ortaklarına, hissedarlarına, kamu kurum ve/veya kuruluşlara ve gerektiğinde sair üçüncü kişilere) aktarabilmektedir. Gökray bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

Gökray Kanun’un 8. ve 9. maddelerine uygun olarak, veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

Tedarikçi/İş Ortağı: Gökray, iş süreçlerinin devamlılığı ve meşru menfaatleri için gerekli olan hizmetlerle sınırlı olarak paylaşım yapmaktadır.

Şirket Yetkililerine: Yönetim Kurulu ve Şirket Müdürlerine paylaşım yapılmaktadır.
Resmi Kurum Ve Kuruluşlara: Gökray, hukuki ve resmi yükümlülüğünü yerine getirmekle sınırlı olarak paylaşım yapmaktadır.
Hukuken Yetkili Özel Hukuk Kişilerine: Gökray, özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak paylaşım yapmaktadır.

Hissedarlarına: Gökray, şirketin en büyük hissedarı konumundaki (%99,45) TDV’ye ve diğer ortaklara gerektiğinde ve talep edildiğinde ilgili mevzuata uygun yöntemlerle ve ölçülü olarak kişisel verileri paylaşmaktadır.

Yurt Dışına Aktarım: İlgili kişinin açık rızası olmadan yurt dışına aktarım yapılmaz. Özelikle yurt dışında serverleri olan ve herkese açık sosyal paylaşım sitelerinde veya Gökray web sitelerinde, Gökray’ın meşru menfaati kapsamında reklam ve pazarlama stratejileri gereği kişisel veriler paylaşılacak ise mutlaka ilgili kişinin açık rızası alınmalıdır.

14. KİŞİSEL VERİLERİN İMHASI

6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Gökray tarafından uygulanacak usul ve esasların belirlenmesi amacıyla; çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle Gökray nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri, kanunlara uygun olarak imha edilecektir.

İMHA NEDENLER

GÖKRAY bünyesinde bulunan kişisel veriler, Kanun’un 5’nci ve 6’ncı maddelerinde sayılan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin talebi üzerine, silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

İMHA YÖNTEMLERİ

Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili yapılan tüm işlemler kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülükler hariç olmak üzere 5 yıl süreyle saklanır.

GÖKRAY tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:

1-SİLME YÖNTEMLERİ

Kişisel verilerin silinmesi, verinin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Matbu Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Karartma: Matbu ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.

Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri

Yazılımdan güvenli olarak silme: Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz.

2-YOK ETME YÖNTEMLERİ

Kişisel verilerin yok edilmesi, verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme: Matbu ortamda tutulan belgeler evrak imha makineleri ile veya çok fazla ise yakılarak tekrar bir araya getirilemeyecek şekilde yok edilir.

Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Fiziksel yok etme: Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri

Yazılımdan güvenli olarak silme: Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

3-ANONİMLEŞTİRME YÖNTEMLERİ

Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Gökray, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre aşağıda sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır.

Değişkenleri çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır.

Bölgesel gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Genelleştirme: Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir

İMHA SÜRELERİ

GÖKRAY, Kanun, ilgili mevzuat, iş bu politika uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden GÖKRAY’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; GÖKRAY talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. GÖKRAY’ın talebi almış sayılması için ilgili kişinin talebini Politikaya uygun olarak yapmış olması gerekir. GÖKRAY, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa; bu talep GÖKRAY tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; GÖKRAY işleme şartları ortadan kalkmış olan kişisel verileri işbu Politikada belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 30.07.2020 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

SAKLAMA VE İMHA SÜRELERİ

VERİ SAHİBİ

VERİ KATEGORİSİ

VERİ SAKLAMA SÜRESİ

Çalışan

Kimlik, İletişim, İşe alım evrakları ile SGK ilişkili hizmet süresine ve ücrete dair bildirimlere esas özlük dosyası verileri, mesleki deneyim, sağlık ve adli sicili bilgileri, parmak izi, aile bireyleri bilgisi

İş akdinin hitamından itibaren de 20 yıl müddetle muhafaza edilir

İş Ortağı/Çözüm Ortağı/Danışman

İş Ortağı/Çözüm Ortağı/Danışman ile GÖKRAY arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri

İş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

Ziyaretçi

GÖKRAY’a ait fiziki mekânlara girişte alınan Ziyaretçilere ait ad, soyadı bilgisi

2 yıl süre ile saklanır.

Çalışan Adayı

Çalışan Adayına ait özgeçmiş veya işe başvuru formunda yer alan kimlik, iletişim, mesleki deneyim, eğitim, sağlık, aile bireyleri ve referans bilgileri

En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır.

Stajyer

Stajyere ait staj dosyasında yer alan bilgiler

Staj ilişkisinin hitamından itibaren de 10 yıl müddetle muhafaza edilir.

Müşteri, Veli

Öğrenci velisi, Gerçek kişi müşteriye veya tüzel kişiliğin gerçek kişi temsilcilerine ait kimlik, iletişim bilgileri, ödeme bilgileri ve yöntemleri, ürün/hizmet tercihleri, işlem geçmişi,

Ürün/Hizmet sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

Tüm gerçek Kişiler

GÖKRAY’a ait bina ve yerleşkelerin çevre ve bina içi emniyeti Kamera görüntüleri

En fazla 1 ay süre ile

GÖKRAY’ın İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi, Fason Üretici, Bayi)

GÖKRAY’ın işbirliği içinde olduğu Kurum/Firmalar ile GÖKRAY ile arasındaki ticari ilişkinin yürütüldüğüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler GÖKRAY’ın İşbirliği İçinde olduğu Kurum/Firma çalışanı kişisel verileri

GÖKRAY’ın İşbirliği İçinde Olduğu Kurum/Firmaların, GÖKRAY’la olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır.

GÖKRAY Hissedarları ve Yönetim Kurulu

GÖKRAY’ın hissedarları olan gerçek kişiler ile tüzel kişiliğin gerçek kişi temsilcileri, yetkilileri ve çalışanları ve GÖKRAY Yönetim Kurulunun kimlik bilgisi, iletişim bilgisi, finansal bilgileri

TTK md.82 uyarınca şirket tasfiyesi sonrası 10 yıl süre ile saklanır

Öğrenci

Öğrenciye ait kimlik, iletişim, sağlık, not, sınav ve başarı bilgileri,

MEB mevzuatı uyarınca saklanır. Sadece Kimlik ve iletişim bilgisi, süresiz saklanır.

Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da zaman aşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ

GÖKRAY, gerek talep üzerine gerekse periyodik imha süreçlerinde resen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Politikaya uygun olarak yapar.

GÖKRAY, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır. Bunlar:

  1. GÖKRAY, iş bu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
  2. GÖKRAY, imha işlemlerinin yapıldığı yerin güvenliğini sağlar, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
  3. GÖKRAY, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.
  4. GÖKRAY, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
  5. GÖKRAY, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı takdirde, ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
  6. GÖKRAY, imha işlemlerinin hukuka ve iş bu Politikada belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını denetler.
  7. GÖKRAY, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az 5 (beş) yıl süreyle saklar.

15.KİŞİSEL VERİ KOMİTESİ

GÖKRAY bünyesinde bir “Kişisel Veri Komitesi” kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, iş bu Politikaya uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve kanunun 12.maddesi uyarınca süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi Merkezde bir yönetici, bir idari uzman, bir teknik uzman ve Hukuk Müşaviri olmak üzere dört kişiden oluşur.

Ayrıca şubelerde bu iş ile ilgili İK veya BİM birimlerinden şubenin belirleyeceği temsilciler atanır. Kişisel Veri Komitesinde görevli GÖKRAY çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

UNVAN

GÖREV TANIMI

Kişisel Veri Komitesi Yöneticisi

Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Politika uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür

KVK Uzmanı(Teknik ve İdari)

İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

Hukuk Müşaviri

İşlemlerin hukuka uygunluğundan sorumludur.

KVK Temsilci (Şubeler)

Şubelerde kişisel verilerin kanun, yönetmelik ve politikaya uygun olarak Veri Komitesi Yöneticisi koordinasyonunda işlenmesinden, saklanmasından ve imhasından; ilgili kişilerin taleplerinin soruşturulmasından, şubedeki raporlamalardan ve imha süreçlerinden sorumludur.

16.GÜNCELLEME VE UYUM

GÖKRAY, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler veyahut şirket içi değişiklikler doğrultusunda iş bu Politikada değişiklik yapma hakkını saklı tutar. Değişiklikler Yönetim Kurulu onayı sonrası yürürlüğe girer.