Kişisel veriler

1. GİRİŞ
“Charter Traffic Turizm ve Taşımacılık San ve Tic. Ltd.Şti” (bundan böyle “Charter Traffic ” veya “Şirket”) çalışanlarının (bundan böyle “Çalışanlar”) kişisel verilerinin korunması, işlenmesi ve imhası hususu 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ve ilgili yönetmeliklere paralel olarak düzenlenmiş işbu “Charter Traffic Çalışanları Kişisel Verilerinin Korunması, İşlenmesi ve İmhası Politikası” (bundan böyle “Politika”) altında yönetilmektedir.
Şirket, KVK kanunu uyarınca veri sorumlusu sıfatıyla çalışanların kişisel verilerini ilgili mevzuata uygun olarak işlemektedir.

1.1. Politikanın Amacı
Bu politikanın temel amacı, şirket tarafından hukuka uygun bir biçimde yürütülen çalışanların kişisel verilerinin işlenmesi ve imhası faaliyetleri ve çalışanların kişisel verilerinin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, çalışanları bilgilendirerek şeffaflığı sağlamaktır.

1.2. Politikanın Kapsamı
Bu politika çalışanların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması
Çalışanların kişisel verilerinin işlenmesi, korunması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır.
Yürürlükte bulunan mevzuat ile politika arasında uyumsuzluk bulunması durumunda, şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

1.4. Politikanın Yürürlüğü
Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda politikanın yürürlüğü güncellenecektir. Politika şirket ortak dosyalarında tüm çalışanların erişimine açık olarak yayımlanır.

2. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. Çalışanların Kişisel Verilerinin İşlenmesinde Uygulanan İlkeler
Şirket, KVK kanununun 4. maddesine uygun olarak, çalışanların kişisel verilerinin işlenmesinde aşağıdaki ilkelere uymaktadır;
a) Hukuka ve dürüstlük kurallarına uygun olma
b) Doğru ve gerektiğinde güncel olma
c) Belirli, açık ve meşru amaçlar için işlenme
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

2.2. Çalışanların Kişisel Verilerinin İşlenmesi Şartları
Şirket çalışanların kişisel verilerini ancak kanunda öngörülen hallerde veya çalışanların açık rızasıyla işlemektedir.

2.2.1. Çalışanların Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri kişisel veri sahibinin açık rızasıdır. Açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmış olmalıdır.

2.2.2. Açık Rıza Aranmayan Haller
Şirket, KVK kanunu madde 5.2’ye göre aşağıdaki şartlardan birinin varlığı halinde çalışanların açık rızası aranmaksızın kişisel verileri işleyebilmektedir; a) Kanunlarda açıkça öngörülmesi
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

2.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler ancak kişisel veri sahibinin açık rızası ile şirket tarafından işlenmektedir. Ancak kanunda öngörülen hallerde şirket açık rıza aramaksızın kişisel verileri işleyebilmektedir.
Özel nitelikli kişisel verilerin işlenmesinde KVK Kurulu tarafından belirlenen ve belirlenecek tüm yeterli önlemler alınmaktadır.

3. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENME VE SAKLANMA AMAÇLARI VE HUKUKİ SEBEPLERİ
Şirket; insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi, çalışanlar’ın giriş-çıkış saatlerinin tespit edilmesi ve SGK bildirimleri, İş kanunu ve sair ilgili mevzuatta şirkete yüklenen yasal yükümlülüklerin yerine getirilmesi amaçlarıyla çalışanların kişisel verilerini işlemekte ve saklamaktadır.

4. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN TOPLANMA YÖNTEMLERİ
Çalışanların kişisel verilerini şirkete sözlü, yazılı veya elektronik ortamlarda sağlaması ile şirket çalışanların kişisel verilerini toplamaktadır.

5. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN KORUNMASI VE SAKLANMASINA İLİŞKİN HUSUSLAR
Şirket işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve verilerin saklanması için yeterli güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.

5.1. Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik ve İdari Tedbirler
Şirket, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
Bu tedbirler aşağıda sıralanmıştır:
• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
• Teknik konularda uzman personel istihdam edilmektedir.
• Veri işleyenlerin, kişisel verileri güvenli bir biçimde saklanmasını sağlamak için bilgilendirilmesi ve eğitilmesi esastır.
• Şirket tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile gizlilik sözleşmeleri yapılarak bu sözleşmelerde; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması için gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlere yer verilmektedir.

5.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirket, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıda sıralanmıştır: • Teknik konularda bilgili personel istihdam edilmektedir.
• Veri işleyenlerin, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmesi ve eğitilmesi esastır.

5.3. Kişisel Verilerin Hukuka Aykırı Erişimini Önlemek için Alınan Teknik ve İdari Tedbirler
Şirket, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıda sıralanmıştır:
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Veri işleyenlerin, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda bilgilendirilmesi ve eğitilmesi esastır.
• Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Veri işleyenler, öğrendikleri kişisel verileri KVK kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendileri ile gizlilik sözleşmeleri yapılmaktadır.
• Şirket tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile gizlilik sözleşmesi yapılarak bu sözleşmelerde; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlere yer verilmektedir.
6. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN KATEGORİZASYONU
Şirket, KVK kanunu uyarınca, çalışanları bilgilendirilerek ve işbu politika kapsamındaki sürelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel verileri işlemektedir;
a) Özlük Bilgisi: Çalışanların kimlik, iletişim, sürücü belgesi ve ehliyet, askerlik, sabıka kaydı, meslek ve çalışılan yer, eğitim ve sertifika, aile bireyleri ve yakınları bilgileri başta olmak üzere özlük haklarının oluşmasına temel olan ve özlük dosyasında bulunan her türlü kişisel veri.
b) Fiziksel Mekân Güvenlik Bilgisi: Çalışanların fiziksel mekanın içerisinde kalışı sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler.
c) Özel Nitelikli Kişisel Veri: Çalışanlara ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK kanunu’nun 6. maddesinde belirtilen veriler.
d) Çalışan Performans ve Kariyer Gelişim Bilgisi: Çalışanların performanslarının ölçülmesi ile kariyer gelişimlerinin şirket insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler.

7. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE VE YURTDIŞINA AKTARILMASI
7.1. Kişisel Verilerin Aktarılması
Şirket, KVK kanunundaki düzenlemelere uygun olarak çalışanların kişisel verilerini üçüncü kişilere veya yurtdışına aktarabilir.
Şirket, kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere veya yurtdışına aktarırken KVK kanununa uygun olarak, işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almaktadır. Şirket, bu doğrultuda KVK kanununun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmektedir.

7.2. Kişisel Verilerin Aktarıldığı Taraflar
Şirket KVK kanununun 8. ve 9. maddelerine uygun olarak çalışanların kişisel verilerini aşağıda sıralanan taraflara aktarabilir:
a) Şirket yetkililerine
b) Hukuken yetkili kamu kurum ve kuruluşlarına
c) Hukuken yetkili özel hukuk kişilerine
d) Şirketin yasal yükümlülüklerini yerine getirmek amacıyla hizmet aldığı iş ortakları ve tedarikçilere

8. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMASI VE İMHASI
8.1. Çalışanların Kişisel Verilerinin Bulunduğu Kayıt Ortamları
Çalışanların kişisel verileri aşağıdaki kayıt ortamlarında bulunmaktadır;
a) Şirket adına kullanılan bilgisayarlar/sunucular
b) Kağıt
c) Personel devam kontrol sistemi gibi çevre birimler

8.2. Kişisel Verilerin Saklanması ve İmhası Süreçleri
KVK kanunu 7. maddesi ve 28.10.2017 tarihli “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”e uygun olarak, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.
Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmektedir.

8.2.1. Kişisel Verilerin Silinmesi Süreci ve Yöntemleri
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin silinmesi, işbu politikada belirtilen yöntemlerle gerçekleştirilebilir.
a) Silme komutu: Bulut sistemi ve veri tabanlarında bulunan veriler ile merkezi sunucuda yer alan ofis dosyaları silme komutu verilerek silinmektedir.
b) Karartma: Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır. Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir.

8.2.2. Kişisel Verilerin Yok Edilmesi Süreci ve Yöntemleri
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin yok edilmesi, işbu politikada belirtilen fiziksel yok etme yöntemi ile gerçekleştirilebilir. Fiziksel yok etme, kişisel verilerin üzerinde olduğu evrağın öğütücüden geçirilmesi gibi işlemlerle verilerin erişilmez kılınması yöntemidir.

8.2.3. Kişisel Verilerin Anonim Hale Getirilmesi Süreci ve Yöntemleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmesi, işbu politikada belirtilen yöntemlerle gerçekleştirilebilir.
a) Maskeleme: Kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
b) Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
c) Genelleştirme: İlgili veriyi özel bir değerden, daha genel bir değere çevirme yöntemiyle kişisel verilerin anonimleştirilmesidir.

8.3. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanlar
Çalışanların kişisel verilerinin saklanması süreçleri Şirket Yönetimi ve İdari İşler Personeli tarafından yönetilmekte ve yürütülmektedir.
Çalışanların kişisel verilerinin imhası süreçleri İnsan Kaynakları ve Hukuk Departmanı tarafından yönetilmekte ve yürütülmektedir.

8.4. Kişisel Verilerin Saklama ve İmha Süreleri
Şirket, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirket uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Şirket, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Şirket periyodik imha süresi 6 aydır.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi İnsan Kaynakları ve Hukuk Departmanı’ndan en az iki kişinin gözetiminde yapılır.

Şirketin kişisel verileri saklama ve imha süreleri aşağıdaki şekildedir;
Kişisel Verinin
Niteliği
Saklama Süresi
(İlişkinin Sona Ermesinden İtibaren)
Çalışanların sağlık verileri 15 Yıl
Çalışanların diğer tüm kişisel verileri 10 Yıl

8.5. Kişisel Verilerin Hukuka Uygun İmha Edilmesi için Alınan Teknik ve İdari Tedbirler
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler tutanak ile kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl süreyle saklanmaktadır.

9. ÇALIŞANLARIN AYDINLATILMASI VE ÇALIŞANLARIN KANUNİ HAKLARI İLE BUNLARI KULLANMA YÖNTEMLERİ
Şirket, KVK kanununun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Çalışanlar aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak İdari İşler departmanına iletmeleri durumunda şirket talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde sonuçlandırmaktadır. Şirket, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. Kişisel veri sahibi çalışanlar aşağıda yer alan haklara sahiptirler;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVK kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.