• +90 262 349 37 00
  • info@hstr-oto.com

Kişisel Verilerin Korunması Prosedürü

1.      AMAÇ VE KAPSAM

Bu prosedürün amacı, şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmaktadır. İşbu prosedür kapsamında şirketimiz tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen çalışanlarımıza ait kişisel verilerin kullanımları ve işlenmesine ilişkin esasları düzenler.

2.      TANIMLAR

İş bu prosedürün uygulanmasında;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,


Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,


Kişisel veri: kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Bu bağlamda, kişinin verilerinin belli veya belirlenebilir olması (bir başka bilgi ile bir araya getirildiğinde kişiye ulaşılması) gerekmektedir. Bir kişinin adı, soyadı, doğum tarihi ve yeri, kimlik, sosyal güvenlik numarası, telefon numarası, adresi, görüntüleri, ödeme bilgileri, sağlık bilgileri ve benzeri bilgiler kişisel veri tanımına girmektedir. 


Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,


Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,


Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi


Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.

3.      YETKİ VE  SORUMLULUK

3.1.      Bu prosedürde yer alan tüm faaliyetlerin yürütülmesinden şirketimiz tarafından atanmış Veri İşleme Sorumlusu, koordinasyonundan İnsan Kaynakları Departmanı sorumludur.

4.      UYGULAMA VE YÜRÜRLÜK

4.1.      Kişisel verilerin işlenmesi, korunması hususunda 6698 numaralı Kanun ve diğer kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.

4.2.      Şirketimiz, KVK Kanunu 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işler.

4.3.      Kisisel veriler ilgili kisinin açık rızası olmaksızın islenemez.

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.4.      Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

  • VERİ SİCİLİNE KAYDOLMA

Şirketimiz, KVK Kanunu 16. maddesi uyarınca, KVK Kurulu tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmakla yükümlüdür.

KVK Kanunu 16/3 maddesi uyarınca; işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi KVK Kurulu tarafından belirlenecek objektif kriterler göz önünde bulundurularak, sicile kaydolma zorunluluğuna getirilecek istisnalara göre iştiraklerden bir kısmı için istisna getirilebilir.

Şirketimiz esasen veri sorumlusu sıfatına haiz olarak, veri tabanında kayıtlı olan kişisel verilerin, işleme amaçlarını ve vasıtalarını belirleyerek, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olup Veri Sorumluları Sicili kurulduğunda veri sorumlusu kaydını gerçekleştirecektir.

  • VERİ GÜVENLİĞİNİ SAĞLAMA

Şirketimiz, teknik konularda bilgili, uygun nitelikleri haiz bir veri işleme sorumlusu atayarak, veri güvenliğini sağlamak amacıyla işlenmekte olunan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak ve yaptırmaktadır.

Veri işleme sorumlusu ayrıca, kişisel verilerin işlenmesi hususunda şirket içerisindeki eğitimlerden sorumlu olup işveren tarafından belirlenecek periyodlarda düzenli olarak İnsan Kaynakları Departmanına ve talep edilmesi halinde Şirket yöneticilerine raporlama yapar.

  • AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirketimizin ilgili mevzuat gereği Aydınlatma Yükümlülüğü kapsamında; çalışanlar, kişisel verilerin korunması, hukuka uygun olarak işlenmesi ve bu kapsamdaki kanuni hakları hususlarında ve yeni işe girişi yapılanlar için oryantasyon döneminde “Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme” yazısı aracılığıyla bilgilendirilir ve çalışanlara gerekli eğitimler verilir. Hali hazırda çalışmakta olan personeller için, işbu prosedürün yürürlüğe girmesini müteakip İnsan Kaynakları Departmanı tarafından yapılacak planlama ve çalışma ile bu personellere gereken eğitimler verilir.

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Anılan kanunda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Verisi işlenen kişiler, anılan kanun kapsamında öğrenme ve bilgi talep etme haklarını, soru ve taleplerini Veri İşleme Sorumlusu/İnsan Kaynakları Departmanı’na yazılı ve gerekçeli olarak bildirmek suretiyle kullanırlar. Veri İşleme Sorumlusu/İnsan Kaynakları Departmanı tarafından ilgili kişilerin taleplerine, talebin niteliğine göre yapılacak bir değerlendirme ile belirlenecek olan uygun sürede cevap verilir.

5.      YÜRÜRLÜK

5.1.      İşbu prosedür, 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanunun şirketimiz içerisindeki işleyişi ile ilgili olarak hazırlanmış olup şirketimizde yayınlandığı tarihte yürürlüğe girecektir.

  • İDARİ PARA CEZALARI VE YAPTIRIM

6.1.      Anılan kanuna göre yükümlülüklerini yerine getirmeyenler hakkında aşağıda belirtilmiş olan idari para cezaları uygulanır.

İHLAL EDİLEN HUSUS ALT SINIR ÜST SINIR
Anılan kanunun 10. Maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında; 5.000-TL 100.000-TL
Anılan kanunun 12. Maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenler hakkında; 15.000-TL 1.000.000-TL
Anılan kanunun 15. Maddesi uyarınca Kişisel Verileri Koruma Kurumu tarafından oluşturulan Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler hakkına; 25.000-TL 1.000.000-TL
Anılan kanunun 16. Maddesinde öngörülen Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğüne aykırı hareket edenler  hakkında; 20.000-TL 1.000.000-TL