1. Giriş
T.C. Anayasası barındırdığı birçok hükümle kişilerin temel haklarını güvence altına almış ve
her geçen gün yeni güvenceler getirmiştir. 2010 yılında 5982 sayılı Kanun’la yapılan Anayasa
değişikliği ile Anayasanın 20. maddesine ilave bir fıkra eklenerek kişisel veriler, “özel
hayatın gizliliği ve korunması hakkı” kapsamında Anayasal güvenceye kavuşmuştur. Söz konusu
fıkrada; “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere
erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda
kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen
hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas
ve usuller kanunla düzenlenir.” hükmüne yer verilmiştir. Bahse konu Anayasa hükmüne göre;
- Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.
- Bu anlamda bireyler temel olarak, kendileri ile ilgili kişisel verilerin ilgisiz üçüncü
kişilerin eline geçmemesi konusunda gerekli tedbirlerin alınmasını isteme hakkına
sahiptirler.
- Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere
erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda
kullanılıp kullanılmadığını öğrenmeyi de kapsar. Bu anlamda bireyler, hangi amaçla hangi
kişisel verilerinin kullanıldığını öğrenme hakkına sahip olduğu gibi söz konusu
kişisel verilerde herhangi bir yanlışlık bulunması halinde bu durumun düzeltilmesini ya
da verilerinin silinmesini isteme hakkına da sahiptirler.
- Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilir. Yasal bir düzenleme bulunmaması ya da bireyin kendisine ait kişisel
verilerin işlenmesi yönünde açık bir irade beyanının olmaması durumunda kişisel
verilerin işlenebilmesi mümkün değildir.
2. Amaç ve Kapsam
olitika ile Polaris İnsan Kaynakları içerisinde işlenen kişisel verilerin işlenmesi ve
korunması için her türlü idari ve teknik tedbir alınacak, çalışanlar ve partnerler KVKK
süreçlerine yönelik bilgilendirilecek ve uygun ve etkin bir denetim mekanizması
kurulacaktır.
3. Tanımlar
- 3.1. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rızayı, 3.2. Anonim hâle getirme: Kişisel verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hâle getirilmesini,
- 3.3. İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
- 3.4. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü
bilgiyi,
- 3.5. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemi,
- 3.6. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
verileri işleyen gerçek veya tüzel kişiyi,
- 3.7. Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak
işlendiği kayıt sistemini, 3.8. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu
olan gerçek veya tüzel kişiyi, ifade eder.
- 4. Kişisel Verileri İşleme İlkelerimiz Firmamız tarafından işlenen kişisel veriler, KVKK
ve ilgili mevzuata uygun olarak işlenmektedir. KVKK 4. maddesi uyarınca kişisel
verilerinizi işlerken ilke edindiğimiz temel ilke ve prensipler aşağıda belirtildiği
gibidir: • Hukuka ve Dürüstlük Kuralına Uygun İşleme • Kişisel Verilerin Doğru ve
Gerektiğinde Güncel Olmasını Sağlama • Belirli, Açık ve Meşru Amaçlarla İşleme • İlgili
Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
5. Kişisel Verilerin İşlenme Şartları
KVKK’nın 5. Maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. Firmamız tarafından
kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak
işlenmektedir. Ancak KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin
mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri
gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir. “Aşağıdaki
şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel
verilerinin işlenmesi mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.”
- 6. Özel Nitelikli Verilerin İşlenme Şartları KVKK kişisel verilerin işlenmesine ek
olarak ayrı bir madde ile özel nitelikli kişisel verilerin işlenmesini düzenlemiştir.
Söz konusu madde hükmü gereği etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri özel nitelikli kişisel veri statüsündedir ve Özel
nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Firmamız bu statüde yer alan kişisel verileri titizlikle belirlemekte ve
sınıflandırmaktadır.
7. Kişisel Verilerin Aktarılması
- 7.1. Kişisel Verilerin Yurt İçinde Aktarılması Kişisel veriler yurt içinde ilgili
kişinin açık rızası olmaksızın üçüncü şahıslara aktarılamaz. Kişisel verilerin üçüncü
şahıslara aktarılmasında çeşitli şartlara uygun olması gerekmektedir. Ana kural ilgili
kişinin açı rızasıdır ancak İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına
dair açık rızasının bulunmadığı hallerde, KVKK’nın 5. maddesinin 2. fıkrası ile
düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.
- 7.2. Kişisel Verilerin Yurt Dışında Aktarılması KVKK’nun 9. maddesi gereği kişisel
veriler ana kural olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
Bu nedenle Firmamız tarafından kişisel verilerin yurt dışına aktarılması için ilgili
kişinin açık rızasının alınması temel esas olarak uygulanacaktır. İlgili kişinin kişisel
verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde KVKK’nın
5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışında üçüncü
şahıslara aktarılması Kişisel Veri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi
dikkate alınarak mümkündür. KVKK’nın 9. maddesi uyarınca yurt dışına kişisel verilerin
aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması
gerekmektedir.
8. Kişisel Verilerin Silinmesi
Yok Edilmesi Veya Anonim Hale Getirilmesi 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun 7.
Maddesi “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili
kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle
getirilir.” Şeklindedir. Buna göre; Kişisel verileri işlemeye esas teşkil eden taraflar
arasındaki sözleşmenin geçerli olmaması, kendiliğinden sona ermesi, sözleşmenin feshi veya
dönülmesi, hiç kurulmamış olması, kişisel verilerin işlenmesini gerektiren amacın ortadan
kalkması, kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin
değiştirilmesi veya ilgası, Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı
olduğunun tespit edilmesi, Kişisel verisi rıza üzerine işlenen ilgili kişinin rızasını geri
alması, İlgili kişinin, Kanunun 11. maddesinin 1. fıkrasının (e) ve (f) bentlerindeki
hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri
sorumlusu tarafından kabul edilmesi, Kişisel verilerin saklanmasını gerektiren azami sürenin
geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir
şartın mevcut olmaması, Kanunun ilgili maddeleriyle belirlenen kişisel verilerin işlenmesini
gerektiren şartların ortadan kalkması, Veri sorumlusunun, ilgili kişi tarafından kişisel
verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi,
verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi
hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması
durumlarında Firma kişisel veri işleme envanteri doğrultusunda işlenen kişisel veriler
durumlarına göre silinir, yok edilir veya anonim hale getirilir.
- 8.1. Kişisel Verilerin Silinmesi Yöntemleri
- 8.1.2. Kağıt Ortamında Bulunan Kişisel Veriler Kâğıt ortamında bulunan kişisel veriler
karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, karartılmak istenen
kişisel verilerin kesilmesi veya bu mümkün değilse geri döndürülemeyecek ve teknolojik
çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara
görünemez hale getirilmesi şeklinde yapılmaktadır.
- 8.1.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları Dosyanın işletim sistemindeki silme
komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili
kullanıcının erişim haklarının kaldırılması suretiyle gerçekleştirilmektedir.
- 8.1.4. Flash Tabanlı Medyada Bulunan Kişisel Veriler Flash tabanlı saklama
ortamlarındaki kişisel veriler bu ortamlara uygun yazılımlar kullanılarak silinmektedir.
- 8.2. Kişisel Verilerin Yok Edilmesi Yöntemleri
- 8.2.1. De-manyetize Etme De-manyelize etme yöntemi kullanılmak suretiyle manyetik medya
içerisinde bulunan veriler okunamayacak hale getirilerek bozulmaktadır. Bu işlem
kullanılarak şirket için manyetik medya ile saklanan kişisel veriler imha edilmektedir.
- 8.2.2. Kağıt Ortamlar Kâğıt ortamda bulunan kişisel veriler, kâğıt imha veya kırpma
makinaları ile veri anlaşılamayacak şekilde, yatay veya dikey olarak, geri
birleştirilemeyecek şekilde küçük parçalara bölünmektedir.
9. İlgili Kişinin Hakları
Kanun’un 11. maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- a) Kişisel verilerinin işlenip işlenmediğini öğrenme,
- b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
- ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
- e) Kanun’un 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya
yok edilmesini isteme,
- f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini isteme,
- g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme, haklarına sahiptir.