KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN
AYDINLATMA METNİ
Genel Esaslar
Kişisel Verilerin Korunmasına İlişkin Genel Esaslar
İnter Global Kargo Lojistik ve Taşımacılık Ticaret A.Ş. (“İGC”) tarafından sunulan hizmetlerin yasal boyutu sair kanun, yönetmelik, tüzük, genelge, yönerge, talimat vb. mevzuatta düzenlenmiştir. İGC yürüttüğü bütün faaliyetlerde yasal zeminden güç almakta ve bu konuda özel hassasiyet göstermektedir. Yasal mevzuat doğrultusunda oluşturulan iç mevzuatın yanı sıra, hizmet sunduğu/satın aldığı kurum ve kuruluşların kendi standartlarını belirleyen iç mevzuatlarını (yasal mevzuata aykırı olmamak koşulu ile) da dikkate alır.
Bu metin konusuna esas teşkil eden yasal mevzuat aşağıda belirtilmiştir;
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)
- Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
- Veri Sorumluları Sicili Hakkında Yönetmelik
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
- Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ
- Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları
- Kişisel Verileri Koruma Kurulu tarafından yayımlanan açıklayıcı diğer dokümanlar
İGC hizmet sunduğu/satın aldığı bütün özel ve tüzel kişilere karşı Kanun’nun gereğini yerine getirmeyi önemli bir sorumluluk olarak görmekte, benzer şekilde hizmet sunduğu/satın aldığı özel ve tüzel kişilerden de söz konusu sorumlulukların yerine getirilmesini beklemektedir. Yapılacak her sözleşmede yasal mevzuata uygun olarak talep edilecek kişisel veriler başlangıçta belirlenir, bu bilgiler dışında, gönderiler içinde bulunan diğer kişilere ait veriler işlenecek veri kapsamında değildir.
Gizliliğe İlişkin Esaslar
İGC hizmet sunduğu bütün özel ve tüzel kişilerin paylaştıkları her türlü bilgiye saygıyla yaklaşır, koruması için gerekli hassasiyeti gösterir ve her türlü tedbiri alır. Yasal mevzuatın ve sunulan hizmetin gereği olarak zorunlu nedenlerle ve açık rıza kapsamında resmi makamlarla paylaşılmak zorunluluğu olanlar hariç, bu kapsamdaki bilgilerin üçüncü şahıslarla paylaşılmamasını esas alır.
İGC, gerek hizmet sunulan gerekse hizmet satın alınan özel ve tüzel kişilerden, İGC’ye ait bilgi, belge, yazılım, ürün, hizmet içeriği vb. hususların üçüncü şahıslarla paylaşmamasını bekler.
Kişisel Verilerin Korunması Kapsamındaki Esaslar
İGC kişisel verilerin korunmasına yönelik olarak yasal mevzuatta yer alan düzenlemelere uyum sağlanması ve gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, stratejilerin, kurum içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumluluklarının belirlenmesi ile kişisel veri sahiplerinin ve kurum çalışanlarının bilinçlendirilmesine ilişkin politikaları oluşturmayı hedeflemektedir. Bu politikalar İGC çalışanları, İGC’nin hizmet sunduğu/satın aldığı bütün özel/tüzel kişilerin kişisel verilerinin korunmasına yöneliktir.
Tüm İGC çalışanları, görevlerini yerine getirirken bu politikaya uyulmaması veya herhangi bir şekilde bu politikanın ihlal edilmesi durumunda olayın mahiyetine göre İGC tarafından gerekli yaptırımların muhatabı olacaktır. Bu kapsamdaki faaliyetler İGC tarafından görevlendirilen birim ve personel tarafından yürütülür.
Politika, Kapsam, Tanım, Bildirim ve Amaçlar
Politika
İGC, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat tarafından getirilmiş ilke ve kurallara uymayı ve İGC tarafından verileri işlenen bireylerin hak ve özgürlüklerini korumayı taahhüt etmektedir. İGC bu amaçla, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.
Kapsam
Politika hükümleri, İGC’nin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika İGC’nin tüm birimlerini, destek hizmeti veren firmaları, aracı kurumları, müşterileri, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli personeli kapsamaktadır.
Tanım
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel nitelikli (hassas) kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, ifade etmektedir.
Bildirimler
İGC, veri sorumlusu olduğu ve bu sıfatla hangi kişisel veri kategorilerini işlediği konularında Kişisel Verilerin Korunması Kurulu’nu (“Kurul”) bilgilendirir. Bildirim KVK Kurulu’nca belirlenecek usul ve yöntem uyarınca yapılır. İGC’nin tüm birimlerinin, destek hizmeti veren firma personellerinin, stajyer ve sözleşmeli personelin bu politikayı ihlal edici her türlü eyleminde İGC’nin disiplin mevzuatı uygulanacak ve söz konusu ihlalin suç veya kabahat oluşturması halinde durum en kısa süre içerinde ilgili makamlara bildirilecektir.
Kişisel Veri Koruma Politikası ve Sistemin Amaçları
Kişisel Veri Koruma Politikası ve Sisteminin amacı, İGC’nin kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel hedef ve yükümlülüklerin belirlenmesi ve desteklenmesi, İGC’nin kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi, İGC’nin kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.
İGC, kişisel verilerin korunması mevzuatı ve veri koruma ilkelerine uyacaktır. İGC’nin benimsediği veri koruma ilkeleri şunları içermektedir:
- Kişisel verileri yalnızca hukuki dayanağı olan kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek,
- Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek,
- Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek,
- Yalnızca ilgili ve uygun kişisel verileri işlemek,
- Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek,
- Kişisel verileri doğru ve gerektiğinde güncel tutmak,
- Kişisel verileri yalnızca yasal düzenlemeler, İGC’nin hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak,
- Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak,
- Tüm kişisel verileri güvenli tutmak,
- Mevzuat uyarınca izin verilen istisnaları uygulamak,
- Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamaktır.
Veri Koruma İlkeleri
Tüm kişisel veri işleme faaliyetleri aşağıdaki veri koruma ilkeleriyle uyumlu olarak yapılmaktadır. İGC’nin politika ve prosedürleri bu ilkelerle uyumluluğu sağlamayı amaçlamaktadır:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Diğer Hususlar
Kişisel Veriler’in İşlenmesi
Kanun’un 3. maddesi uyarınca, kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.
Kişisel Veriler’in İşlenme Amacı
Kişisel veriler, Kanun’un 5’inci ve 6’ıncı maddelerinde belirtilen kişisel verilerin işlenmesine ilişkin şartlara uygun olarak işlenmektedir. Kişisel verilerin sözlü, yazılı ya da elektronik ortamda toplanması ve işlenmesi amaçları, şirketimizin ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekte ve bunlarla sınırlı olmamakla birlikte, İGC’nin ya da iş ortaklarının hukuki ve ticari güvenliğinin sağlanması, ticari faaliyetlerinin sürdürülmesi ile insan kaynakları ve istihdam politikalarının yönetilmesi amaçlarınca kullanılabilmektedir. Kişisel verilerin hukuka aykırı olarak işlenmesinin ve kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin güvenli bir şekilde muhafaza edilmesi amacıyla her türlü gerekli teknik ve idari tedbir alınmaktadır.
Kişisel Veriler’in Toplanma Yöntemi ve Hukuki Sebebi
Kişisel veriler, yürürlükteki mevzuata uygun şekilde, İGC, iş ortaklarımız, iş birliği yaptığımız ya da sözleşme ilişkisi bulunan çözüm ortaklarımız, internet siteleri ve benzeri çeşitli kanallar aracılığıyla sözlü, yazılı ya da elektronik ortamda toplanmakta olup muhtelif idari ve hukuki sebeplerle Kanun’un 5’inci ve 6’ıncı maddelerinde belirtilen şartlara uygun olarak işlenmektedir.
İşlenen Kişisel Veriler’in Aktarılacağı Kişiler ve Aktarım Amacı
Kişisel veriler, sadece yukarıda belirtilen amaçlarla sınırlı olmak üzere, iş birliği yaptığımız ya da sözleşme ilişkisi bulunan çözüm ortaklarımızla, dış hizmet sağlayıcılarıyla ve kanunen yetkili kamu kurum ve kuruluşları ile Kanun’un 8’inci ve 9’uncu maddelerinde belirtilen şartlara uygun olarak paylaşılabilecektir. Kişisel verilerin aktarım amaçları İGC’nin ticari faaliyetlerine bağlı olarak değişkenlik gösterebilmekte ve bunlarla sınırlı olmamakla birlikte, İGC’nin ve iş birliği yaptığı ya da sözleşme ilişkisi bulunan çözüm ortaklarıyla hukuki ve ticari güvenliğinin sağlanması, ticari faaliyetlerinin sürdürülmesi ile insan kaynakları süreçlerinin ve istihdam politikalarının yönetilmesi amacıyla yine Kanun’un 8’inci ve 9’uncu maddelerinde belirtilen şartlara uygun olarak paylaşılabilecektir. Kişisel verilerin paylaşılması halinde veri güvenliğine ilişkin Kanun, ikincil mevzuat, yönetmelik ve Kurul kararlarınca gerekli görülen asgari güvenlik önlemleri alınmaktadır.
Kişisel Veri’lerin Korunmasına İlişkin Önlemler
İGC, kişisel verilere yetkisiz erişim veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı korumak için gerekli önlemleri almaktadır. İGC, kişisel verileri gizli tutmayı, gizliliğin sağlanmasını ve güvenliği için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir. İGC’nin gerekli bilgi güvenliği önlemlerini almasına karşın web sitesine veya sistemlerine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya üçüncü kişilerin eline geçmesi durumunda, İGC bu durumu derhal kişisel veri sahibi ilgili kişiye ve Kurul’a bildirir.
İlgili Kişinin Kanun’nun 11’inci Maddesinde Sayılan Diğer Hakları
Kişisel veri sahibi olarak, haklarınıza ilişkin taleplerinizi bize iletmeniz durumunda, İGC, talebin niteliğine göre talebi “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” hükümlerine uygun olarak en geç 30 (otuz) gün içinde sonuçlandıracaktır. Kurul tarafından yeni başvuru yöntemlerinin belirlenmesi halinde, bu yöntemler İGC tarafından duyurulacaktır. Kanun’un 11’inci maddesi kapsamında ilgili kişiler aşağıdaki haklara sahiptir;
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Yukarıda sayılan hakların kullanımı için İGC’ye yapılan başvurular, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” hükümlerine göre cevaplanacaktır.
Veri Güvenliği
Tüm personel, İGC tarafından işlenen ve kendi sorumluluklarında olan kişisel verilerin güvenli olarak tutulmasını sağlamakla yükümlüdür. Kişisel verilerin güvenliği, İGC’nin KVK Politikası ve bu politikaya bağlı dokümanlar uyarınca sağlanır. Kişisel verilere ilişkin bilgi güvenliği olayları İGC tarafından en kısa süre içerisinde Kurul’a ve ilgili kişiye bildirilir.
Aydınlatma Yükümlülüğü
Kanun’un 10’uncu maddesine göre, kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
Kargo Firmalarının Sorumluluğu
Lojistik ve kargo taşımacılık faaliyetlerimizi Kanun çerçevesinde yürütmek için, Kanun’un 4’üncü maddesi kapsamında öngörülen genel ilkeleri dikkate alıyor ve 5’inci maddesi kapsamında kişisel veri işleme faaliyetlerini işleme şartından güç alıyoruz. Yine Kanun kapsamında kargo şirketlerinin faaliyetleri (i) sözleşmenin kurulması ve ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (ii) veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi için zorunlu olması ve (iii) veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki işleme şartlarına dayanmaktadır. Veri sorumlusunun faaliyetlerini yürütmek için göndericiye ya da alıcıya ilişkin talep ettiği ad-soyadı, T.C. kimlik numarası, telefon gibi bazı kişisel verilerin Karayolu Taşıma Yönetmeliği, 6475 sayılı Posta Hizmetleri Kanunu, Posta Sektörüne İlişkin Yetkilendirme Yönetmeliği, Bilgi Teknolojileri ve İletişim Kurumu'nun (“BTK”) Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslarına ilişkin kararı gibi sektörel düzenlemeler kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi söz konusudur.
Öte yandan kargo faaliyetleri kapsamında kişisel veri toplamanın hukuki sebeplerinden bir diğeri olan sözleşmenin yerine getirilmesi için sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması hukuki sebebi, kargo ve posta hizmetlerine dair işlemlerin yapılması ve ispatı, gönderici ve/veya alıcıya bilgilendirme yapılması gibi faaliyetleri kapsamaktadır. Kargo şirketlerinin kimlik tespiti yapması, verilen hizmetlerin analiz edilmesi, uygun hizmetler ve ürünlerin geliştirilmesi gibi faaliyetler bakımından gerçekleştirilen işleme faaliyeti veri sorumlusunun meşru menfaati nedeniyle işlemenin zorunlu olması hukuki sebebine dayanmaktadır.
Kurul’un bir örnek üzerinden hareketle konuya ilişkin açıklayıcı kararı şöyledir; “Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.”
Hak Ve Talepleriniz İçin İletişim
Kişisel verilerle ilgili soru ve talepte, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de belirtilen şartlara uygun düzenlenmiş dilekçeyle Bağlar Mah. Osmanpaşa Cad. No:17/A Güneşli/Bağcılar/İstanbul adresine kimlik tespiti yapılmak suretiyle bizzat elden iletilebilir ya da posta veya noter kanalıyla ulaştırılabilirsiniz. Bunun yanında, interglobalkargo@hs02.kep.tr kayıtlı elektronik posta (KEP) adresine, güvenli elektronik imza ve mobil imza ya da şirketimize daha önce bildirilen ve tarafımızca teyit edilmiş olan şirket sistemimizdeki elektronik posta adresini kullanmak suretiyle info@igc.com.tr elektronik posta adresine iletebilirsiniz.
İGC’nin konu ile ilgili olarak yetkilendirmiş olduğu birim ve bu birimde görevli personel(ler)i, gerek yasal mevzuatta gerekse bu sözleşme metninde belirtilmiş esaslara uygun hareket etmekle mükelleftir.
Sonuç
Bu metinde geçen hususların tamamı yasal mevzuatta yer alan hususları ve bu doğrultuda hazırlanmış olan İGC Politikalarını içermektedir. Bu kapsamda tarafların birbirlerine, yasal makamlara ve özellikle de Kurul’a karşı sorumlulukları söz konusudur.