1. GİRİŞ

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), veri sorumlusu sıfatıyla yürüttüğü faaliyetlerde kişisel verilerin korunmasına önem vermekte ve bu hususu iş süreçlerinin temel önceliklerinden biri olarak kabul etmektedir. İşbu Kişisel Verilerin Korunması ve İşlenmesi Prosedürü (“Prosedür”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında belirlenen kişisel veri işleme usul ve esaslarının Şirket organizasyonu ve iş süreçlerine uyumunu sağlamak amacıyla hazırlanmıştır.

Şirket, bu Prosedür’de yer alan ilke ve kurallar doğrultusunda kişisel verileri üst düzey sorumluluk ve bilinçle işlemekte ve korumakta; ilgili kişileri bilgilendirerek şeffaflığın sağlanmasını amaçlamaktadır.

2. AMAÇ

Bu Prosedür’ün amacı; Kanun ve ilgili diğer mevzuat ile öngörülen usul ve esasların Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. bünyesindeki organizasyon, faaliyet ve iş süreçlerine uyumlu hale getirilerek etkin bir şekilde uygulanmasını sağlamaktır.

Şirket, kişisel verilerin hukuka uygun şekilde işlenmesi ve korunması amacıyla gerekli idari ve teknik tedbirleri almakta, iç prosedürlerini oluşturmakta, çalışanların farkındalığını artırmaya yönelik eğitim faaliyetleri yürütmekte ve yönetim, yetkililer ile çalışanların Kanun’a uyumunu sağlamak üzere gerekli organizasyonel yapıyı tesis etmektedir.

3. KAPSAM

İşbu Prosedür; Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.’nin idari yetkilileri, çalışanları, çalışan adayları, şantiye personeli, ziyaretçileri, iş birliği içinde olduğu kurum çalışanları, iş ortakları, müşterileri, tedarikçileri ve üçüncü kişilere ait kişisel verileri kapsar.

Şirket tarafından yürütülen faaliyetler kapsamında, otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Prosedür kapsamındadır. Prosedür hükümleri, şirket merkezinde ve şantiye sahalarında gerçekleştirilen tüm veri işleme faaliyetlerine uygulanır.

4. DAYANAK

Bu Prosedür, 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili diğer yasal düzenlemelere dayanılarak hazırlanmıştır.

Yürürlükteki mevzuat hükümleri ile işbu Prosedür arasında farklılık bulunması halinde mevzuat hükümleri uygulanır. Mevzuatta yer alan düzenlemeler, Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.’nin organizasyonu ve iş süreçlerine uygun şekilde bu Prosedür aracılığıyla uygulamaya aktarılır.

5. TANIMLAR

Terim	Tanım
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Başvuru Formu	Kişisel veri sahiplerinin haklarını kullanmak amacıyla veri sorumlusuna iletecekleri talepleri içeren; 6698 sayılı KVKK ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun olarak hazırlanmış başvuru formu.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması veya yedeklenmesinden sorumlu kişiler hariç olmak üzere; veri sorumlusu organizasyonu içinde veya verilen yetki doğrultusunda kişisel verileri işleyen kişiler.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemleri.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, açıklanması, aktarılması, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin başka verilerle eşleştirilerek dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Kişisel Veri Sahibi / İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Kişisel Verilerin Silinmesi	Kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi.
Kurul	Kişisel Verileri Koruma Kurulu.
Kurum	Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, dini inanç, sağlık bilgisi, ceza mahkûmiyeti gibi KVKK’da özel olarak korunan kişisel veriler.
Periyodik İmha	Kişisel veri işleme şartlarının ortadan kalkması halinde, Saklama ve İmha Politikası’nda belirtilen aralıklarla yapılan silme, yok etme veya anonimleştirme işlemi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
Veri Temsilcisi	Kanun uyarınca veri sorumlusunun görevlerini yerine getirmek üzere atanmış gerçek kişi (atanması halinde).
Yönetmelik	28 Ekim 2017 tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

6. KİŞİSEL VERİLERİN KORUNMASI
   • Kişisel Verilerin Güvenliğinin Sağlanması

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti., kişisel verilerin hukuka aykırı açıklanmasını, erişimini, aktarılmasını veya başka şekillerde oluşabilecek güvenlik sorunlarını önlemek için, kişisel verinin niteliğine göre, Kanun’un 12. maddesinde öngörülen gerekli önlemleri almaktadır. Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti., Kişisel Verileri Koruma Kurulu tarafından yayımlanmış olan rehberlere uygun olarak gerekli kişisel veri güvenlik seviyesini sağlamak için tedbirler almakta, denetimler gerçekleştirmektedir.

• Özel Nitelikli Kişisel Verilerin Korunması

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti., işlediği özel nitelikli kişisel verileri KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işler. Özel nitelikli kişisel veriler işlenmeden önce gereken hallerde veri sahibinin açık rızası alınır. Özel nitelikte olan, kişilere ait sağlık, ceza mahkûmiyeti, güvenlik tedbirleriyle ilgili verilerin korunmasına yönelik alınan önlemler özenle uygulanmakta ve gerekli denetimler yapılmaktadır.

• Kişisel Verilerin Korunması ve İşlenmesi Bilincinin Geliştirilmesi

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.,  kişisel verilerin hukuka uygun işlenmesini, erişilmesini, verilerin muhafazası ve hakları kullanmaya yönelik bilincin geliştirilmesi için ilgililere gerekli eğitimleri verir. Çalışanların kişisel verileri koruma bilincini arttırmak için, Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. gerekli iş süreçlerini oluşturur, ihtiyaç duyulması halinde danışmanlardan destek alır. Uygulamada karşılaşılan eksiklikler ve eğitimlerin sonucu Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. yönetimi tarafından değerlendirilir. Yapılan bu değerlendirmeler ile ilgili mevzuattaki değişikliklere bağlı ihtiyaç duyulması halinde yeni eğitimler düzenlenir.

7. KİŞİSEL VERİLERİN İŞLENMESİ ve AKTARILMASI
   • Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi

Kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde yer alan genel ilkelere uygun olarak işlenir:

1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel veriler, iş süreçlerinin gerektirdiği ölçüde, temel hak ve özgürlüklere zarar vermeyecek şekilde hukuka ve dürüstlük kurallarına uygun olarak işlenir.

1. Doğru ve Güncel Olmasını Sağlama

Şirket, işlenen kişisel verilerin doğru ve güncel tutulması için gerekli idari ve teknik tedbirleri alır.

• Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel veriler, Şirket faaliyetleri kapsamında belirlenen açık ve meşru amaçlara bağlı olarak işlenir.

1. Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Veriler yalnızca işlendikleri amaçla bağlantılı ve gerekli olduğu kadar toplanır ve kullanılır.

1. Gerekli Süre Kadar Muhafaza Etme

Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanır. Saklama süresi sona eren veriler, Şirketin Saklama ve İmha Politikası doğrultusunda silinir, yok edilir veya anonim hale getirilir.

• Kişisel Verilerin İşlenme Şartları

Kişisel veriler, ilgili kişinin açık rızasının bulunması veya KVKK’nın 5. maddesinde belirtilen hukuki sebeplerden en az birinin varlığı halinde işlenebilir.

1. Açık Rızanın Bulunması

Kişisel veriler, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle verilen açık rıza kapsamında işlenebilir.

1. Açık Rıza Aranmaksızın İşleme Şartları

Aşağıdaki hallerde kişisel veriler açık rıza olmaksızın işlenebilir:

a)Kanunlarda açıkça öngörülmesi

1. b) Fiili imkânsızlık nedeniyle rıza alınamaması ve kişinin hayatı veya beden bütünlüğünün korunmasının zorunlu olması
2. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
3. d) Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunlu olması
4. e) İlgili kişinin verisini alenileştirmiş olması
5. f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
6. g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemenin zorunlu olması

• Özel Nitelikli Kişisel Verilerin İşlenmesi

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti., özel nitelikli kişisel verileri KVKK’nın 6. maddesi kapsamında ve gerekli idari ve teknik tedbirleri alarak işler.

• Sağlık ve cinsel hayat dışındaki özel nitelikli veriler, kanunlarda açıkça öngörülmesi halinde açık rıza aranmaksızın işlenebilir.
• Sağlık verileri; iş sağlığı ve güvenliği yükümlülükleri kapsamında, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar aracılığıyla işlenebilir.
  • Kişisel Veri Sahibinin Aydınlatılması

Şirket, ilgili kişileri;

• Kişisel verilerin işlenme amacı,
• Hukuki sebebi,
• Aktarım yapılan taraflar,
• Veri toplama yöntemi,
• KVKK kapsamındaki hakları

konularında aydınlatma metinleri aracılığıyla bilgilendirir.

• Kişisel Verilerin Aktarılması

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), kişisel veri işleme amaçları doğrultusunda ve gerekli idari ve teknik güvenlik önlemlerini alarak kişisel verileri ve özel nitelikli kişisel verileri; gerçek kişiler veya özel hukuk tüzel kişileri, yetkili kamu kurum ve kuruluşları, sigorta şirketleri, denetçiler, danışmanlar, sözleşmeli hizmet sağlayıcılar ile iş birliği içinde bulunduğu kuruluşlara hukuka uygun olarak aktarabilir.

Şirket, veri aktarım faaliyetlerini 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun şekilde yürütür.

1. Kişisel Verilerin Aktarılması

Kişisel verilerin aktarılmasında kural olarak ilgili kişinin açık rızası aranmakla birlikte, aşağıda belirtilen şartlardan bir veya birkaçının varlığı halinde açık rıza aranmaksızın ve Kurul tarafından belirlenen usul ve esaslara uygun gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilir:

1. a) Kanunlarda açıkça öngörülmesi,
2. b) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
3. c) Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
4. d) İlgili kişi tarafından alenileştirilmiş olması kaydıyla alenileştirme amacıyla sınırlı kalması,
5. e) Şirketin, ilgili kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
6. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketin meşru menfaatleri için veri işlemenin zorunlu olması,
7. g) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması.

Kişisel verilerin yurtdışına aktarılması halinde, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumayı yazılı olarak taahhüt eden veri sorumlularının bulunduğu ülkelere, mevzuatta öngörülen şartlara uygun şekilde aktarım gerçekleştirilebilir.

1. Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler, Prosedür’de belirlenen ilkelere uygun olarak ve Kurul tarafından belirlenen yeterli önlemler alınmak suretiyle aşağıdaki koşullarla aktarılabilir:

1. a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde ilgili kişinin açık rızası aranmaksızın; aksi halde açık rıza alınarak,
2. b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın; aksi halde açık rıza alınmak suretiyle aktarılabilir.

Şirket tarafından özel nitelikli kişisel verilerin yurtdışına aktarımı, mevzuatta belirtilen şartlar sağlanmadıkça gerçekleştirilmez.

8. KİŞİSEL VERİ ENVANTER PARAMETRELERİ

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.; yönetim, insan kaynakları, idari ve mali işler, finans, bilgi işlem, satın alma, şantiye yönetimi ve operasyon süreçleri kapsamında; çalışan adayları, çalışanlar, tedarikçi yetkilileri, müşteriler, potansiyel hizmet alıcıları, iş ortakları, şirket yetkilileri ve ziyaretçilerden oluşan ilgili kişi gruplarına ait kişisel verileri, veri kategorileri (Ek-1) ve kişisel veri işleme amaçları (Ek-2) doğrultusunda işlemektedir.

Kişisel veri kategorileri ile veri konusu kişi gruplarına ilişkin detaylar, gerekli olması halinde veri sorumlusu tarafından ilgili mevzuat çerçevesinde oluşturulan veri envanteri ve bildirim yükümlülükleri kapsamında tutulur ve güncellenir.

Kişisel veri işleme faaliyetleri;

• Kanun’un 4. maddesinde yer alan genel ilkelere,
• Kanun’un 5. ve 6. maddelerinde belirtilen işleme şartlarına,
• Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğüne

uygun şekilde ve belirlenen amaçlarla sınırlı olarak yürütülmektedir.

Kişisel veriler, işbu Prosedür’ün 7.5. Kişisel Verilerin Aktarılması başlığı altında belirtilen esaslar doğrultusunda; gerçek kişiler veya özel hukuk tüzel kişileri, tedarikçiler, yetkili kamu kurum ve kuruluşları, danışmanlar, denetçiler ve sözleşmeli hizmet alınan iş ortakları ile belirlenen amaçlar çerçevesinde (Ek-3) paylaşılabilmektedir.

İlgili kişinin açık rızasının bulunması veya mevzuatta öngörülen hukuki sebeplerin varlığı halinde; elektronik posta altyapıları veya uluslararası hizmet sağlayıcıları üzerinden gerçekleştirilen veri aktarım faaliyetleri teknik olarak yurtdışı veri aktarımı kapsamında değerlendirilebilir. Şirket, bu tür veri aktarım faaliyetlerinde veri minimizasyonu, amaçla sınırlılık ve gerekli güvenlik tedbirleri ilkelerine uygun hareket eder.

9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN ÖNLEMLER

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi kapsamında gerekli teknik ve idari tedbirleri almakta; bu kapsamda denetim, farkındalık ve eğitim faaliyetlerini yürütmektedir.

Şirket bünyesinde çalışanlara bilgi güvenliği ve KVKK farkındalığına yönelik eğitimler verilmekte, kişisel verilerin korunmasına ilişkin süreçler düzenli olarak gözden geçirilmektedir.

Kişisel verilerin korunmasına yönelik alınan başlıca teknik ve idari önlemler aşağıda yer almaktadır:

• Çalışanların bilgi sistemlerine kişisel kullanıcı adı ve parola ile erişmesi sağlanmakta, erişim yetkileri görev tanımlarına göre sınırlandırılmaktadır.
• Sistem ve uygulamalara erişimlerde yetkilendirme matrisi uygulanmakta ve yetkisiz erişimlerin önlenmesine yönelik kontroller gerçekleştirilmektedir.
• Parola oluşturma süreçlerinde tahmin edilmesi kolay bilgilerden kaçınılmakta, güçlü parola politikaları uygulanmaktadır.
• Bilgi sistemlerinde güncel güvenlik yazılımları kullanılmakta ve izinsiz erişim girişimlerine karşı gerekli teknik önlemler alınmaktadır.
• Kullanıcı hareketlerine ilişkin kayıtlar (log kayıtları) tutulmakta ve gerekli durumlarda incelenmektedir.
• Kişisel veriler düzenli olarak yedeklenmekte, yedeklere erişim yetkili kişilerle sınırlandırılmaktadır.
• Fiziksel ortamlarda bulunan kişisel veriler; yangın, sel ve benzeri dış risklere karşı korunmakta, bu ortamlara giriş ve çıkışlar kontrol altında tutulmaktadır.
• Özel nitelikli kişisel veriler, ayrı ortamlarda muhafaza edilmekte ve yalnızca yetkili kişiler tarafından erişilebilmektedir.
• Görev değişikliği veya işten ayrılma durumlarında ilgili kişilerin sistem erişimleri derhal gözden geçirilmekte ve gerekli kısıtlamalar uygulanmaktadır.

Şirket, alınan tüm teknik ve idari tedbirlere rağmen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişi ve yetkili kurumlara bildirir ve gerekli önlemleri alır.

10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. (“Şirket”), kişisel verileri işleme amacı için gerekli olan süre boyunca ve ilgili mevzuatta öngörülen asgari saklama sürelerine uygun olarak muhafaza eder. Şirket, öncelikle yürürlükteki mevzuatta kişisel verilerin saklanmasına ilişkin belirli bir süre öngörülmüş ise bu süreye uygun hareket eder; yasal bir saklama süresi bulunmayan hallerde ise kişisel verileri yalnızca işlendikleri amaç için gerekli olan süre kadar saklar.

Kişisel veriler, belirlenen saklama sürelerinin sona ermesi veya işlenmesini gerektiren hukuki sebeplerin ortadan kalkması halinde; periyodik imha süreçleri kapsamında veya ilgili kişinin başvurusu üzerine, Şirketin Kişisel Veri Saklama ve İmha Politikası doğrultusunda uygun teknik ve idari yöntemler kullanılarak silinir, yok edilir veya anonim hale getirilir.

Şirket, saklama ve imha süreçlerinde Kanun’un 4. maddesinde yer alan genel ilkeler ile 7. maddesinde düzenlenen silme, yok etme ve anonim hale getirme hükümlerine uygun hareket eder.

11. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
    • Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında aşağıda belirtilen haklara sahiptir:

1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

1. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
2. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,
3. Kanun ve ilgili mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,

• İşlenen verilerin münhasıran otomatik sistemler aracılığıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
  • Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri, yukarıda belirtilen haklarına ilişkin taleplerini Kişisel Verileri Koruma Kurulu tarafından belirlenen usul ve esaslara uygun şekilde Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.’ne iletebilir.

İlgili kişiler veya adlarına başvuru hakkı bulunan temsilcileri, “Veri Sahibi Başvuru Formu”nu doldurarak veri sorumlusuna başvuruda bulunabilir.

• Başvurulara Cevap Verilmesi

Şirket, kişisel veri sahipleri tarafından iletilen başvuruları Kanun ve ilgili mevzuat hükümlerine uygun şekilde değerlendirir. Usulüne uygun olarak Şirkete iletilen talepler, mümkün olan en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılır.

Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.

• Kişisel Veri Sahibinin Başvurusunun Reddedilmesi

1. Şirket, aşağıda belirtilen hallerde başvuruyu gerekçesini açıklayarak reddedebilir:
2. Kişisel verilerin anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

• Kişisel verilerin millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni veya ekonomik güvenliği ihlal etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

1. Kişisel verilerin millî güvenlik, kamu güvenliği veya kamu düzeninin sağlanmasına yönelik olarak yetkili kamu kurum ve kuruluşları tarafından yürütülen faaliyetler kapsamında işlenmesi,
2. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları tarafından işlenmesi,
3. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

• Kişisel veri sahibinin kendisi tarafından alenileştirilmiş verilerin işlenmesi,
• Veri işlemenin kanundan kaynaklanan denetim veya düzenleme görevleri kapsamında gerekli olması,

1. Veri işlemenin bütçe, vergi ve mali konulara ilişkin devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
2. Talebin diğer kişilerin hak ve özgürlüklerini ihlal etme ihtimalinin bulunması,
3. Orantısız çaba gerektiren taleplerin söz konusu olması,

• Talep edilen bilginin kamuya açık nitelikte olması.
  • Kişisel Veri Sahibinin KVK Kurulu’na Şikâyet Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresi içinde cevap verilmemesi hâllerinde; ilgili kişi, cevabı öğrendiği tarihten itibaren otuz gün ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.

• Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edilebilecek Bilgiler

Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek amacıyla ilgili kişiden ek bilgi talep edebilir. Ayrıca başvurunun değerlendirilmesi amacıyla gerekli görülmesi halinde ilgili kişiye başvurusu ile ilgili sorular yöneltebilir.

12. YÜRÜTME

İşbu Prosedür’ün teknik yürütümü, Şirket bünyesinde yürürlükte bulunan Kişisel Veri Saklama ve İmha Politikası/Prosedürü ile sağlanmaktadır.

Şirket iş süreçlerinde kişisel verilerin korunmasına ilişkin uygulamalar; ilgili kişi gruplarına yönelik hazırlanan aydınlatma metinleri aracılığıyla yürütülmektedir. Bu kapsamda başlıca dokümanlar aşağıda yer almaktadır:

• Kişisel Verileri İşleme Müşteri Aydınlatma Metni
• Kişisel Verileri İşleme Tedarikçi Aydınlatma Metni
• Çalışan Kişisel Verileri İşleme Aydınlatma Metni
• Çalışan Adayı Kişisel Verileri İşleme Aydınlatma Metni
• İnternet Sitesi Çerez Aydınlatma Metni
• Kamera Kayıt Sistemleri Aydınlatma Metni

6698 sayılı Kişisel Verilerin Korunması Kanunu ve işbu Prosedür’ün yürütülmesinden, uygulanmasından ve gerekli görülen hallerde güncellenmesinden Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. Müdürler Kurulu sorumludur.

Prosedür kapsamında yürütülen iş ve işlemlerin takibi, koordinasyonu ve denetimi; Şirket tarafından belirlenen sorumlu kişi veya birim tarafından yerine getirilir.

13. YÜRÜRLÜK VE İLAN

İşbu Prosedür yayımlandığı tarih itibarıyla yürürlüğe girer. Prosedür’de yapılacak değişiklikler, Şirket tarafından uygun görülen iletişim kanalları aracılığıyla ilan edilerek ilgili kişilerin erişimine sunulur.

Prosedür’de yapılan güncellemeler, ilan edildiği tarihte yürürlüğe girer ve Şirket bünyesinde uygulanmaya başlanır.

 

EK-1 – VERİ KATEGORİLERİ VE KİŞİSEL VERİLER TABLOSU

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.

Veri Kategorisi	Kişisel Veri Türleri
Kimlik	Ad, Soyad, Anne-Baba Adı, Doğum Tarihi, Doğum Yeri, Medeni Hali, Nüfus Cüzdanı Seri/Sıra No, T.C. Kimlik No, Cinsiyet Bilgisi, T.C. Kimlik Kartı, Sürücü Belgesi
İletişim	Adres, E-Posta Adresi, İletişim Adresi, Telefon Numarası
Özlük	Bordro Bilgileri, Disiplin Soruşturması Kayıtları, İşe Giriş-Çıkış Belgeleri, Özgeçmiş Bilgileri
Hukuki İşlem	Adli makamlarla yazışmalardaki bilgiler, dava dosyası bilgileri vb.
Müşteri İşlem	Fatura Bilgileri, Çek Bilgileri, Giriş-Çıkış Bilgileri, Sipariş Bilgisi
Fiziksel Mekân Güvenliği	Çalışan ve ziyaretçi giriş-çıkış kayıtları, kamera kayıtları
İşlem Güvenliği	IP adresi bilgileri, internet sitesi giriş-çıkış bilgileri, şifre ve parola bilgileri, log kayıtları
Risk Yönetimi	Ticari, teknik ve idari risklerin yönetilmesine ilişkin bilgiler
Finans	Banka Hesap Numarası, IBAN
Mesleki Deneyim	Diploma Bilgileri, Kurs Bilgileri, Meslek İçi Eğitimler, Sertifikalar
Pazarlama	Çerez Kayıtları, Kampanya çalışmaları kapsamında elde edilen bilgiler
Görsel ve İşitsel Kayıtlar	Kapalı devre kamera sistemi görüntüleri
Sağlık Bilgileri (Özel Nitelikli)	Engellilik durumu, kan grubu, kişisel sağlık bilgileri, kullanılan cihaz/protez bilgileri, laboratuvar ve görüntüleme sonuçları, test sonuçları, muayene verileri, reçete bilgileri
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri	Ceza mahkûmiyetine ilişkin bilgiler
Çalışma Verileri	Departman, çalışma şekli, meslek bilgisi, son çalışılan şirket bilgileri, meslek kartı bilgileri
Referans	Referans bilgileri
İmza	Islak imza, elektronik imza, parmak izi ve özel işaretler
Web Sitesi Kullanım Verileri	Başvuru formu doldurulma tarihi, siteye login olma sıklığı/zamanları, son login tarihi, IP adresi
Talep/Şikâyet Yönetimi	Şirkete iletilen talep ve şikâyetlere ilişkin veriler
Olay Yönetimi	Şirketin ticari ve hukuki menfaatlerini korumaya yönelik olay kayıtları
Sigorta	SGK verileri, bireysel emeklilik sigortası verileri
Araç Bilgileri	Araç plakası (faaliyet kapsamında olması halinde)
Denetim ve Teftiş Bilgileri	İç ve dış denetim süreçlerinde işlenen veriler

 

EK-2 – KİŞİSEL VERİ İŞLEME AMAÇLARI TABLOSU

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.

No	Kişisel Veri İşleme Amaçları
1	Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2	Bilgi Güvenliği Süreçlerinin Yürütülmesi
3	Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
4	Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
5	Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
6	Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
7	Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
8	Denetim / Etik Faaliyetlerinin Yürütülmesi
9	Eğitim Faaliyetlerinin Yürütülmesi
10	Erişim Yetkilerinin Yürütülmesi
11	Faaliyetlerin Mevzuata Uygun Yürütülmesi
12	Finans ve Muhasebe İşlerinin Yürütülmesi
13	Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
14	Fiziksel Mekan Güvenliğinin Temini
15	Görevlendirme Süreçlerinin Yürütülmesi
16	Hukuk İşlerinin Takibi ve Yürütülmesi
17	İç Denetim / Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
18	İletişim Faaliyetlerinin Yürütülmesi
19	İnsan Kaynakları Süreçlerinin Planlanması
20	İş Faaliyetlerinin Yürütülmesi / Denetimi
21	İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi
22	İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
23	İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
24	Lojistik Faaliyetlerinin Yürütülmesi
25	Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
26	Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
27	Mal / Hizmet Satış Süreçlerinin Yürütülmesi
28	Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
29	Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
30	Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
31	Organizasyon ve Etkinlik Yönetimi
32	Pazarlama Analiz Çalışmalarının Yürütülmesi
33	Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
34	Risk Yönetimi Süreçlerinin Yürütülmesi
35	Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
36	Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
37	Sözleşme Süreçlerinin Yürütülmesi
38	Sponsorluk Faaliyetlerinin Yürütülmesi
39	Stratejik Planlama Faaliyetlerinin Yürütülmesi
40	Talep / Şikayetlerin Takibi
41	Taşınır Mal ve Kaynakların Güvenliğinin Temini
42	Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
43	Ücret Politikasının Yürütülmesi
44	Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
45	Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
46	Yatırım Süreçlerinin Yürütülmesi
47	Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
48	Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
49	Yönetim Faaliyetlerinin Yürütülmesi
50	Ziyaretçi Kayıtlarının Oluşturulması ve Takibi

 

EK-3 – KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARILMA AMAÇLARI

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti.

Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti., 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 8. ve 9. maddelerine uygun olarak kişisel verileri aşağıda belirtilen kişi kategorilerine aktarabilir:

Veri Aktarımı Yapılabilecek Kişiler	Tanımı	Veri Aktarım Amacı ve Kapsamı
Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri	Şirket faaliyetleri gereği ilişkide bulunulan, işlem gerçekleştirilen gerçek veya tüzel kişiler ile avukatlar	Hukuk işlerinin takibi ve yürütülmesi, finans ve muhasebe işlemlerinin yürütülmesi amacıyla, gerçekleştirilen iş ve işlemle sınırlı
Tedarikçiler	Şirkete veri işleme amaç ve talimatları doğrultusunda hizmet sunan taraflar	Şirketin dış kaynak kullanımı kapsamında ticari faaliyetlerini yerine getirmek amacıyla mal ve hizmet tedariki ile sınırlı
Yetkili Kamu Kurum ve Kuruluşları	Sosyal Güvenlik Kurumu, Vergi Daireleri, Türkiye İş Kurumu vb. mevzuat gereği bilgi ve belge talep etmeye yetkili kurumlar	Faaliyetlerin mevzuata uygun yürütülmesi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amacıyla, kanuni yetki çerçevesinde
Müdürler Kurulu Üyeleri	Asvi İnşaat Mühendislik Sanayi ve Ticaret Ltd. Şti. Müdürler Kurulu üyeleri	Şirket yönetim faaliyetlerinin yürütülmesi amacıyla sınırlı
Denetçiler	İlgili mevzuat uyarınca denetim yetkisine sahip kişi veya kuruluşlar	Denetim ve etik faaliyetlerinin yürütülmesi amacıyla, mevzuatta belirlenen yetki sınırları çerçevesinde
Danışmanlar	Hukuki, mali, teknik veya idari alanlarda uzmanlığından yararlanılan kişiler	Sözleşme kapsamında yürütülen iş ve işlemler ile sınırlı
Hizmet Alınan / İşbirliği Yapılan Yurt İçi veya Yurt Dışı Kuruluşlar	Sözleşmeli hizmet alınan veya işbirliği yapılan kuruluşlar	Sözleşme ve işbirliği protokolü kapsamında belirlenen amaçlarla sınırlı