Çalışanların Kişisel Verilerin Korunması ve İşlenmesi Politikası
1. Giriş
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), kişisel verilerin korunması
ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir. Kişisel verilerin korunması, C.B.K.Soft Yazılım Donanım Elektronik
Ve Bilgisayar Sistemleri Sanayi Tic. A.Ş.’nin (“CBKSoft” veya “Şirket”) en önemli öncelikleri arasındadır. Kişisel verilerin işlenmesinde
CBKSoft’un uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili
faaliyetleri etkileyecektir. CBKSoft’un çalışanlarının kişisel verilerinin korunmasına ilişkin yürütülen faaliyetler, işbu Çalışanları
Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda (“Politika”) belirlenen esaslar çerçevesinde oluşturularak uygulamaya konulan
“Çalışanların Kişisel Verilerin Korunması ve İşlenmesi Politikası” altında yönetilmektedir.
2. Kapsam
CBKSoft ile hali hazırda istihdam ilişkisi devam eden çalışanların yanı sıra hala kişisel verileri işlenmekte
olan eski çalışanlar da işbu Politika kapsamındadır. Bu Politika’da yer alan “çalışan” ifadesi, uygun olduğu ölçüde,
CBKSoft’un çalışanlarını ve eski çalışanlarını kapsayacaktır.
3. Çalışan Verilerinin İşlenmesinde Temel İlkeler
3.1 Çalışanların Bilgilendirilmesi ve Kişisel Veri İşleme Şartları
CBKSoft, çalışanlarını; kendileri hakkında işlenen kişisel verilerin hangileri olduğu,
kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel
verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir. CBKSoft, işledikleri kişisel verileri
değerlendirerek, KVK Kanunu’nda yer alan şartlardan en az birisine dayalı olarak bu verileri işlerler. Bu şartlar;
• Çalışanın açık rızasının olması,
• Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık sebebiyle çalışanın açık rızasının alınamaması,
• Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
• CBKSoft Topluluk Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
• Meşru menfaate dayalı olarak verilerin işlenmesidir.
Bu şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir.
Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir. Açık rıza alınması gereken durumlarda,
söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır. CBKSoft, kişisel verilerinin saklanması, kullanılması ve
paylaşılmasına ilişkin olarak çalışanların bilgilendirilmesi konusunda, kendilerine özgü şartlara göre en faydalı yöntemi tespit eder ve uygular.
3.2 İhtiyaçlar Doğrultusunda Gerektiği Kadar Kişisel Veri Toplanması
CBKSoft, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine çalışanlardan kişisel veri toplar.
CBKSoft, toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını sağlar. Yukarıda belirtilen prensibe
uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim,
mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına
başlanmadan önce tamamlanır. Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi
yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir, yok edilir ya da anonimleştirilir.
3.3 Kişisel Verilerin Güncelliğinin Sağlanması
CBKSoft, çalışanların kişisel verilerinin güncelliğini sağlamak
adına gerekli önlemleri alır. Bu kapsamda özellikle aşağıda hususlara dikkat edilir:
• Çalışanların, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili çalışanın
kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
• Çalışanların değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkânı
bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
• Çalışanların değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık
çalışmaları ile ilgili insan kaynakları personeli tarafından aktif takip yapılır.
Yukarıda açıklanan yöntem haricinde CBKSoft; kendine özgü koşullara göre çalışanların
işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.
3.4 Özel Nitelikli Çalışan Verilerinin İşlenmesi
Kişisel verilerin bir kısmı, KVK Kanunu kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte
ve özel bir korumaya tabi olmaktadır. Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ilgili veriler ile biyometrik ve genetik verilerdir.
CBKSoft, sağlık verilerini, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin
alınması kaydıyla aşağıdaki durumlarda işleyebilir:
(i) Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda
öngörülen hallerde,
(ii) Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
eliyle işleyebilir.
4. Çalışanların Sağlığına İlişkin Veriler
4.1 Çalışanların Sağlık Verilerinin İşlenmesine İlişkin Temel İlkeler
4.1.1 Sağlık Verilerinin Zorunlu Olmadıkça İşlenmemesi ve Ayrı Saklanması
Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta çalışanların kaza ve hastalık raporları
olmak üzere çalışanların sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışanın işe gelmediği günlere ya da karıştığı kaza ve diğer olaylara
ilişkin bilgiler kullanılırken çalışanın sağlık verilerinin kullanılmasından mümkün olduğunca kaçınılır.
4.1.2 Sağlık Verilerinin Belirtilen Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi
CBKSoft, çalışanlara yapılacak sağlık anketlerinde, sadece gerçekten gereken bilgilerin toplandığından
emin olur ve gereksiz bilgi talep edilmemesi hususuna özen gösterir. CBKSoft, çalışanlardan tüm sağlık verilerini şirket ile paylaşması için genel
bir açık rıza vermesini isteyemez. Şirketler, sadece belirtilen amaç için gerçekten gerekli olduğu düşünülen sağlık verilerinin şirketle paylaşılmasını isteyebilir.
4.1.2.1 Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi
Çalışanların sağlık verilerini işleyecek veya işlemeye yetkilendirecek Topluluk Şirketi çalışanlarının ilgili mevzuat ve
oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır. Çalışanın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir. CBKSoft,
çalışanlara, sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.
4.1.2.2 Sağlık Verilerinin Paylaşımı ve Bu Verilere Erişim
Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate alınarak ve bu
yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür. CBKSoft, çalışanların sağlık verileri ile ilgilenen kişilerin yukarıdaki durumlar hakkında bilgilendirilmesini
ve eğitilmesini düzenli aralıklarla sağlar.
4.1.3
CBKSoft, kural olarak, çalışanların sağlık verilerini diğer çalışanların erişimine açmazlar. Ancak hukuken ilgili Topluluk
Şirketi’nin meşru menfaatleri gereği bir işin ve bu işle ilgili olarak da bu verilerin işlenmesi zorunlu ise; bu işle görevli olan personelin işin gereğini yerine
getirmekle sınırlı olmak kaydıyla bu kişisel verileri işlemeleri için gerekli idari ve teknik tedbirler alınarak kendilerine erişim hakkı sağlanır. Yöneticilerin
kendi yönetimsel rollerini yerine getirebilmeleri açısından zorunlu olarak bilmeleri gereken sağlık verileri, yöneticilere açıklanabilir. CBKSoft’un yöneticileri,
sağlık verilerinin hassasiyeti ve bu verilerin KVK Kanunu’ndaki işleme şartları konusunda, sağlık verileri kendileriyle paylaşılmadan önce bilgilendirir.
4.2 Muayene ve Testlerden Elde Edilen Sağlık Verilerinin İşlenmesi
CBKSoft tarafından yasa ile öngörülmesi ön şartı ile tıbbi muayene ve testler aracılığıyla çalışanlara ait sağlık verilerini
toplanmasının gerekmesi halinde; CBKSoft, sağlık kontrollerinin ve testlerin hangi amaçla gerçekleştirildiği konusunda çalışanları açıkça bilgilendirir, Yasal mevzuata
göre zorunlu muayene ve testler dışında kalan muayene ve testlere katılmak, çalışanın kendi seçimine bırakır, bu kayıtları mevzuatça öngörülen ve mümkün olan en kısa
zamanda anonimleştirir ve imha eder. CBKSoft hiçbir şekilde çalışandan gizli bir şekilde ona ait biyometrik/genetik numunelerini (parmak izi, saç teli ve sair) toplayamaz.
5. Çalışan Verilerinin CBKSoft ve Bağlı olduğu Topluluk Şirketleri Tarafından İşlenmesi
CBKSoft, aşağıda belirtilen amaçlarla çalışan kişisel verilerini temin etmekte ve işlemektedir:
• Çalışanlarının performans değerlendirme kriterlerinin belirlenmesi ve takibi süreçlerine destek olunması,
• Yabancı çalışanlarının çalışma/oturma izni başvuru süreçlerine destek olunması,
• Çalışanlara sağlanan yan hakların ve menfaatlerin planlanması ve takibi süreçlerine destek olunması,
• Çalışanların ücret yönetimi ve prim süreçlerinin planlanması ve icrası konusunda CBKSoft ve Bağlı olduğu Topluluk Şirketlerine
destek olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin stratejik insan kaynaklarının planlanması, yedekleme süreçleri ve organizasyonel
gelişim faaliyetleri konusunda destek olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin üst düzey yöneticilerinin atama, terfi ve işten ayrılma kararlarının uygulanması
ve ilgili duyuruların yapılması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin üst düzey yöneticilerinin ücret ve prim paketlerinin belirlenmesi
konusunda destek olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve yürütülmesine destek
olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin çalışanlarının kariyer gelişimi, eğitim ve yetenek yönetimi faaliyetlerinin
planlanması ve icrası süreçlerine destek olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin işe alım süreçlerine destek olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’ne tabi oldukları mevzuata uyum konusunda destek olunması,
• Topluluk itibarının korunmasına yönelik çalışmaların, sürdürülebilirlik ve sosyal sorumluluk çalışmalarının yürütülmesi,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri genelinde etkinlikler düzenlenmesi,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin faaliyetlerinin CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin politikalarına
ve ilgili mevzuata uygun olarak yürütülmesi konusunda denetim faaliyetlerinin yürütülmesi,
• CBKSoft ve Bağlı olduğu Topluluk Şirketleri’nin çalışanlarına yönelik iletişim, haberleşme faaliyetlerinin yürütülmesi,
çalışan memnuniyeti ve bağlılığının sağlanması süreçlerinin yürütülmesi.
CBKSoft, çalışan kişisel verilerinin bahsi geçen amaçlarla işlenmek üzere CBKSoft’a aktarımına ilişkin olarak çalışanlara KVK Kanunu ve ilgili
mevzuat kapsamında öngörülen bilgilendirmeleri yapacak ve gerekmesi halinde ilgili açık rızaları temin edecektir.
6. Çalışanların Kişisel Verilerinin İşlendiği Özel Durumlar
6.1 Yan Haklar ve Menfaatlerin Sağlandığı Durumlarda Çalışanların Kişisel Verilerinin İşlenmesi
Özel sağlık sigortası, hayat sigortası, ferdi kaza sigortası, şirket aracı, bireysel emeklilik, esnek yan fayda programı ya da benzeri
faydalar bu başlık altında yan haklar ve menfaatler olarak adlandırılır. CBKSoft, çalışanların kişisel verilerinin çalışanlara yan haklar ve menfaatler sağlamak için hizmet
alınan üçüncü kişilerle paylaşılmasında, asgari düzeyde veri paylaşmaya özen gösterir. Bahsi geçen üçüncü kişilerle sadece, ilgili yan hak ve menfaatin sağlanması için zorunlu
olan kişisel veriler paylaşılır. Ayrıca, bu kapsamda toplanan kişisel verilerin başka bir amaçla kullanılmaması için gerekli tedbirler alınır. Hizmet alınan üçüncü kişilerle
paylaşılacak kişisel verilerin özel nitelikli kişisel veri olup olmadıkları paylaşımdan önce değerlendirilir. Hizmet alınan üçüncü kişiler ile yapılacak kişisel veri paylaşımları
hakkında Çalışanların bilgilendirilmesi sağlanır. Bu kapsamda, çalışanların hangi kişisel verilerinin paylaşıldığı ve bunların ne amaçla kullanılacağı çalışana açıklanır.
6.2 Fırsat Eşitliğinin Gözetilmesi Kapsamında Çalışanların Kişisel Verilerinin İşlenmesi
CBKSoft çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde kişisel veri işleyebilir. Fırsat eşitliğinin
sağlanması için işlenen kişisel veriler belirli aralıklarla kontrol edilir. Fırsat eşitliğinin sağlanması amacıyla işlenen kişisel veriler mümkün olan en geniş kapsamda
anonimleştirilerek kullanılır.
6.3 Şirket Birleşme ve Devralmaları İle Şirket Yapısını Değiştiren Diğer İşlemlerde Çalışanların Kişisel Verilerinin İşlenmesi
6.3.1 Şirket Yapısı Değişikliği İçin Çalışanların Kişisel Verilerinin Paylaşılması
CBKSoft, şirket yapısı değişikliği amacıyla çalışanların kişisel verilerini paylaşma gereksinimi duyduklarında; öncelikle bu kişisel
verilerin mümkün olduğu ölçüde anonimleştirilerek paylaşılmasını sağlar. Anonimleştirilerek paylaşılması mümkün olmayan çalışan kişisel verileri için karşı taraftan sadece
şirket yapısı değişikliği ile ilgili işlemleriyle sınırlı olarak bu kişisel verileri kullanacağı, kişisel verilerin KVK Kanunu’nun veri güvenliği hükümleri uyarınca korunacağı
ve KVK Kanunu’nun ilgili hükümlerine uygun olarak işleneceği, kişisel verilerin üçüncü kişilere aktarılmayacağı ve ilgili işlemler tamamlandıktan sonra kişisel verilerin
silineceği veya yok edileceğini konularında taahhüt alınır.
6.3.2 Bilgilendirme Yapılması
Bilgilendirmenin ilgili Topluluk Şirketi menfaatlerine olumsuz herhangi bir etkisi olmayacak ise (örneğin şirket birleşmesi işlemi
çerçevesinde kişisel verilerinin paylaşıldığını öğrenen çalışanın bu bilgiyi kullanarak şirket hisse fiyatlarına etki etmesi gibi), çalışanlara hangi kişisel verilerinin ne
amaçla paylaşıldığına ve kullanılacağına ilişkin bilgilendirme yapılır. Çalışanlar, ayrıca, hangi kişisel verilerinin şirket yapısı değişikliği sonucu yeni işverenlerine
aktarılacağı konusunda bilgilendirilir.
6.4 Disiplin İncelemelerinde Çalışanların Kişisel Verilerinin İşlenmesi
CBKSoft, disiplin incelemeleri sırasında da çalışanların kişisel verilerinin korunmasına ilişkin yükümlülüklere aynen uymak
zorundadırlar. Bu kapsamda özelikle aşağıdaki aksiyonlar alınır:
• Disiplin soruşturmalarına ilişkin politika ve prosedürlerin kişisel verilerin korunmasına ilişkin yükümlülüklerle uyumlu hale getirilmesi,
• Disiplin soruşturmaları kapsamına giren kişisel verilere de çalışanların kişisel verilerine erişme hakkı kapsamında erişilebileceği
konusunda disiplin soruşturmaları yapmaya yetkili kişilerin bilgilendirilmesi,
• Disiplin soruşturmaları sırasında hukuka aykırı yöntemlerle kişisel veri elde edilmemesini sağlayacak önlemlerin alınması,
• Disiplin soruşturmaları sırasında kullanılacak olan kişisel verilerin doğru ve güncel olmasına
dikkat edilmesi,
• Disiplin soruşturmasına ilişkin kişisel verilerin ve kayıtların güvenli şekilde saklanması,
• Çalışanlar hakkındaki asılsız iddiaların, eğer bunların silinmemesi için herhangi bir hukuki sebep bulunmuyorsa,
çalışanların dosyalarından silinmesinin sağlanması.
CBKSoft, çalışanların kişisel verilerine sadece disiplin soruşturmasının varlığı sebebiyle keyfi olarak erişilmesine engel olurlar.
Bu kapsamda kişisel verilerin elde edilme amaçlarına uygun düşmüyorsa veya soruşturma konusunun ciddiyetine göre kişisel verilere erişmek orantısız bir işlem olarak
değerlendiriliyorsa salt disiplin soruşturması nedeniyle çalışanların kişisel verilerine erişilemez. Soruşturmayı yürütenler, çalışanların kişisel verilerine erişme
yetkileri konusunda her soruşturma süreci öncesinde KVK Komitesi tarafından bilgilendirilir.
6.5 Çalışanların İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine İlişkin Kişisel Verilerin İşlenmesi
6.5.1 Elektronik Haberleşme Araçlarının Kullanımına İlişkin Politika Belirlenmesi
CBKSoft tarafından çalışanlara sunulan telefon, faks, e-posta, laptop, internet ve benzeri elektronik haberleşme araç ve
vasıtalarının denetlenmesi söz konusu ise, bu elektronik haberleşme araç ve vasıtalarının kullanımına ilişkin politika belirlenerek çalışanların bilgisine sunulur.
Bu politika içerisinde, çalışanların belirlenen kurallara aykırı davranması halinde uygulanacak yaptırımlara da yer verilir. Elektronik haberleşme araçlarının
kullanımına ilişkin mevcut politikalar var ise, bu politikaların kişisel verilerin korunması mevzuatı ile diğer ilgili mevzuata uyumluluğu değerlendirilir; politikalar
kişisel verilerin korunması mevzuatına uyumlu olacak şekilde revize edilir. CBKSoft elektronik haberleşme araçlarının şahsi kullanımı konusunda kendi politikalarını
belirler. Elektronik haberleşme araçlarının şahsi amaçlarla kullanıma izin verilmesi halinde, izin verilen şahsi kullanım sınırları belirlenir ve çalışana bu sınırlar
bildirilir. Çalışanların, işle ilgili haberleşme içeriklerinin her zaman denetlenebileceğinin farkında olmaları ve bu konuda bilgilendirilmeleri önem taşır.
6.5.1.1 Kurumsal Elektronik Posta Kullanımında Kişisel Verilerin İşlenmesi
CBKSoft, çalışanların kurumsal e-postalarının kullanımına yönelik faaliyetleriyle alakalı kişisel verilerini işleyebilir.
Bu kişisel veri işleme faaliyetlerinin kapsamı ve amacı konusunda çalışanların açık bir şekilde bilgilendirilmesi esastır. Buna ilaveten bu kişisel veri işleme
faaliyetlerinin hukuki niteliği ve kapsamı konusunda mutlaka hukuki değerlendirme yapılır.
6.5.1.2 İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi
CBKSoft, işyerindeki internet kullanımına ilişkin sınırlamalar getirebilir ve bu sınırlamalara uyulup uyulmadığını
denetleyebilir. İnternet kullanımına ilişkin kişisel verilerin işlenmesinde, CBKSoft CBKSoft bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetleri hakkında
çalışanlarını açık bir şekilde bilgilendirir. Hukuki bir yükümlülüğün yerine getirilmesi için internet kullanımının izlenmesi gerekmekte ise veya ilgili veri işleme
KVK Kanunu’nda belirtilen şartlardan bir başkasını karşılıyor ise, çalışanlardan ayrıca açık rıza alınması gerekmez. Ancak bu kişisel verilerin KVK Kanunu’nda
belirtilen kişisel veri sahibinin rızasına tabi olmayan kişisel veri işleme şartlarına dayalı amaçlar dışında işlenmesi durumunda ayrıca çalışandan açık rıza alınır.
6.5.2 Elektronik Haberleşme İşlemlerine İlişkin İşlenen Kişisel Verilerin Saklama Süresi
CBKSoft, çalışanların iş faaliyetleriyle bağlantılı gerçekleştirdiği elektronik haberleşme işlemlerine ilişkin kişisel
verilerinden hangilerinin saklanacağı ve bu bilgilerin saklanma süresine ilişkin prosedürlerini belirler. Mevzuattan kaynaklanan başka bir yükümlülük mevcut değilse,
bu Politika’da belirtilen amaçlarla işlenen kişisel veriler, iş sözleşmesi süresi boyunca ve sözleşmenin bitiminden itibaren gerçekleştirilen faaliyetin niteliğine
göre ortaya çıkabilecek hukuki uyuşmazlığın gerektirdiği zamanaşımı süresi boyunca saklanabilir. Bu verilerin saklanmasına izin veren hukuki düzenlemeler dikkate
alınarak verilerin saklanma süresi gözden geçirilir. Bu süre istisnai durumların varlığı halinde uzatılabilir. Sürenin uzatılması halinde çalışanlar süre uzatımına,
gerekçeye ve saklanan kişisel veri tiplerine ilişkin bilgilendirilir.
6.6 İş Yerinde Güvenlik Kamerası Uygulaması
CBKSoft, işyerlerinin güvenliğini sağlamak amacıyla çeşitli noktalara güvenlik kameraları yerleştirebilmektedir.
Bu güvenlik kameralarının görüntü alanlarının tüm işyerini değil; sadece özel risk taşıyan alanları, giriş – çıkış ve benzeri alanları kapsamasına özen gösterilir.
CBKSoft, çalışanları güvenlik kamerası ile çekim yapılan, güvenlik kameraları ile izlenen alanlar ve izlemenin amaçları hakkında bilgilendirmeye özen gösterir.
6.7 Şirket Tarafından Sağlanan Araçların Takibi
CBKSoft tarafından çalışanlara araç tahsis edildiği durumlarda; tahsis edilen araçların kat edilen mesafenin belirlenmesi,
akaryakıt kullanımı ölçümü, konum verisinin alınması ve benzeri amaçlarla takibi yapılabilir. Bu takip ile ilgili çalışanlar önceden bilgilendirilir.
7. Çalışanların Kendileri Hakkında Toplanan Kişisel Verilere İlişkin Kanuni Hakları
7.1 Çalışanların Kanuni Hakları
Çalışanlarımız aşağıda yer alan haklara sahiptirler:
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun
ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
7.2 Çalışanların Kanuni Haklarını Kullanmalarına ilişkin Esaslar
CBKSoft, çalışanların kanuni haklarını kullanabilmelerini, gerekli başvuruların yapılabilmesini ve yapacakları başvurulara
en geç 30 gün içerisinde cevap verilmesini sağlayacak her türlü idari, hukuki ve teknik önlemleri alır ve ilgili süreçleri tasarlayarak bu konuda çalışanları
bilgilendirirler. CBKSoft tarafından kanuni haklarını kullanan çalışanlara verilecek cevaplarda üçüncü kişilerin kişisel verilerinin ifşa edilmemesi için gereken
her türlü özen gösterilir
8. Çalışanların Kişisel Verilerinin Üçüncü Kişilerle Paylaşımı
8.1 Genel Kurallar
CBKSoft, çalışanların kişisel verilerinin paylaşımına ilişkin iç prosedürlerini belirler. Veri paylaşım taleplerinin bu
konuda yetkin çalışanlarca cevaplanması sağlanır. Şirket dışından gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta şirketi talepleri gibi)
gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır. Şirket dışından gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.
Çalışanların kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin yurtdışına aktarılmasına ilişkin her türlü idari, hukuki
ve teknik önlem alınır. Çalışanların kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki yükümlülüğün kapsamına uygun
şekilde kişisel veri paylaşımı yapılabilir. Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla;
çalışanların kişisel verileri ancak aşağıdaki şartlardan birisinin varlığı halinde üçüncü kişilere aktarılabilir:
• Veri sahibinin açık rızasının olması,
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi
fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel
verinin aktarılması gerekli ise,
• Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ilgili Topluluk
Şirketinin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
8.2 Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma
Çalışanların kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının
KVK Kanunu’nda yer alan şartlardan birisine dayalı olması aranır. Çalışanların, daha önce bilgilendirilmemiş ise, en geç paylaşım anında bu paylaşım ile ilgili
olarak bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı
niteliği taşıyorsa ilgili çalışan konuya ilişkin bilgilendirilmez. Rutin olarak gerçekleştirilmeyen çalışanların kişisel verilerinin şirket dışı paylaşım talepleri
ve bu kapsamda yapılan paylaşımlar CBKSoft tarafından kayıt altına alınabilir. Bu kapsamda asgari olarak paylaşıma onay veren kişi, paylaşım talebinde bulunan kişi,
paylaşım gerekçesi, paylaşım tarih ve saati ile paylaşılan veri tipleri kayıt altına alınır. Bu kayıtların düzenli olarak kontrol edilmesi ve incelenmesi sağlanır.
8.3 Kişisel Verilerin Yayınlanması
CBKSoft, çalışanların kişisel verilerini ancak aşağıdaki şartlara dikkat ederek yayınlayabilirler:
• Kişisel verilerin yayınlanması için hukuki bir hak veya yükümlülük bulunması veya çalışanın yayınlama için açık
rıza vermiş olması,
• Kişisel verilerin açıkça elverişsiz olmaması.
CBKSoft, kişisel verilerin yayınlanması neticesinde elde edilecek faydalar ile çalışanların gizliliğinin korunacağına
ilişkin beklentileri dengeleyici bir yaklaşım ile hareket ederler. Yıllık raporlar, yayınlar ya da internet siteleri gibi
mecralarda bazı çalışanların isimlerinin ve diğer kişisel verilerin yayınlanması halinde, bu durumlar özel olarak değerlendirilir
ve açık rıza alınması gereksinimi olup olmadığı belirlenir. Açık rıza alınması gerektiğine kanaat getirilmesi halinde ilgili
çalışanların açık rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel
veri tipleri tek tek çalışana bildirilir.
9. Çalışanların Kişisel Verilerinin Saklanma Süresi
CBKSoft, çalışanların kişisel verilerini işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen
minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini
tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar
saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri
(silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
10. Kişisel Verilerin İşlenmesi Konusunda Dış Hizmet Sağlayıcı Kullanımı
CBKSoft, çalışanların kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar kullanabilirler.
Ancak CBKSoft dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri almak zorundadır:
• Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari
güvenlik önlemlerini almış olduklarının kontrol edilmesi,
• Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari
güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,
• Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar
da içeren sözleşme yapılması,
• Kişisel verilerin yurtdışındaki dış hizmet sağlayıcılarına gönderilmesi halinde gerekli hukuki,
idari ve teknik önlemlerin alınması.
11. Kişisel Verilerin Güvenliği
Çalışan verilerinin güvenliğini sağlamak için CBKSoft gereken tüm makul önlemleri alır. Alınan önlemler yetkisiz erişim risklerini,
kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır. CBKSoft, çalışanların iş faaliyetleri özelinde
gerçekleştirilecek kişisel veri işleme faaliyetleri için şirket içinde sorumlu çalışanlar tayin eder. Çalışanların bu kapsamda kişisel veri işleme faaliyetinden sorumlu
olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda CBKSoft, mevcut durumda
bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırır veya sınırlar. Çalışanların kişisel verilerine sadece erişim ile yetkili
olan rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel veri tipleri tek tek çalışana bildirilir. Çalışanların kişisel
verilerine erişimi olan diğer çalışanların gerekli güvenlik kontrollerinden geçirilmeleri esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik
sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır.
Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında
ilgili çalışanların bilgilendirilmesi sağlanır.
12. Çalışanların İşyerinde Gerçekleştirdiği Faaliyetlere İlişkin Kişisel Verilerin İşlenmesi
Bu bölüm altında çalışanların Şirketimiz faaliyetlerinin yürütülmesi esnasında gerçekleştirdikleri işlemler özelinde, hangi kişisel verilerinin
işlenebileceğine ilişkin (iletişim, araç kullanımı vb.) hususlar ile bu konuda CBKSoft tarafından uyulması gereken esaslar detaylandırılmaktadır.
12.1 Çalışanların Hangi Amaçlarla Hangi İş Faaliyetleri Özelinde Kişisel Verilerinin İşleneceğinin Belirlenmesi
CBKSoft, çalışanların hangi iş faaliyetleri özelinde ve hangi amaçlarla kişisel verilerini işlediklerini (e-posta kontrolü,
araç takip cihazları kullanımı, kamera ile izleme gibi) tespit eder ve kişisel verilerin işlenme amaçları ile sağlanmak istenen sonuca uygun olacak kişisel veri işleme
yöntemlerini belirlerler. CBKSoft kendi bünyelerinde gerçekleştirecekleri değerlendirme sonucu, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri
işleme amaçlarının veya yöntemlerinin kişisel verilerin korunması kurallarına uygunluğunu sağlar. CBKSoft, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel
veri işleme faaliyetlerinde görevli çalışanlarını kişisel verilerin korunması ve konuya ilişkin diğer mevzuat, ilgili mevzuat kapsamında dikkat edilmesi gereken hususlar
ve ilgili Topluluk Şirketimizin mevzuattan kaynaklanan yükümlülükleri konusunda bilgilendirilir. Bu faaliyetler neticesinde elde edilen kişisel verilere erişimi olan çalışanlar
ile yapılan sözleşmelere ilave gizlilik ve güvenlik yükümlülükleri eklenir veya bu kişiler tarafından gizlilik politikaları/taahhütnameleri imzalanması sağlanır.
12.2 Çalışanların İş Faaliyetlerine ilişkin ilgili CBKSoft Topluluk Şirketimizin Kişisel Veri İşleme Faaliyetleri Hakkında Bilgilendirilmesi
CBKSoft, çalışanları; işle ilgili gerçekleştirmiş olduğu faaliyetleri kapsamında ne şekilde bir kişisel veri işleme faaliyetinde
bulundukları (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi), bu kişisel verilerin işlenme amaçları ve prosedürleri hakkında bilgilendirir.
CBKSoft; iş saatleri içerisinde iş ve işyeri kurallarına uygun davranılıp davranılmadığının ve çalışanın görevlerini gereği gibi yerine getirip getirmediğinin tespiti
ve işyeri ortamında huzur ve düzeni bozacak hareketler yapılıp yapılmadığının takibi ve benzeri amaçlarla çalışanın kişisel verilerini işlemekteyse ilgili çalışanları
açıkça ve detaylı olarak bilgilendirmesi gerekir. Çalışanların kendi iş faaliyetleriyle ilgili işvereni tarafından hangi kişisel veri işleme faaliyetleri yürüttüğünden
haberdar edilmeleri ve farkındalık oluşması için CBKSoft nezdinde, çalışma ortamının doğasına uygun olarak uyarılar yerleştirilir.
12.3 Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Kişisel Verilerin Başka Amaçlarla Kullanılması
Çalışanların iş faaliyetleriyle ilişkili işlenen kişisel verileri, KVK Kanunu’nun 5. maddesinde belirtilen şartlara ve 4. maddesinde
öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun başka amaçlar için de işlenebilir. Bu amaçların neler olduğu konusunda da çalışanlar, uygun
usullerle CBKSoft tarafından bilgilendirilir.
12.4 Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Bilgilere Karşı Çalışanlara Savunma Hakkı Verilmesi
Çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden bir çalışan
aleyhinde şikâyet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilir.
13. Kişisel Verilerin Kategorizasyonu
İşbu Politika kapsamında, https://cbksoft.com/kvk/kisisel_verilerin_korunmasi_ve_islenmesi_politikasi.aspx
adresinde yer alan CBKSoft Kişisel Verilerin Korunması ve İşlenmesi Politikasında belirtilen kişisel veri kategorizasyonlarına ek olarak çalışanların aşağıda belirtilen
kategorilerdeki kişisel verileri işlenmektedir.
Kişisel Veri Kategorizasyonu |
CBKSOFT TOPLULUK ÇALIŞANLARI KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
Çalışan Bilgisi |
Çalışanların istihdamları süresince Şirketin ve çalışanların ticari ve hukuki güvenliğinin sağlanması
amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler( araç bilgisi, eğitim bilgisi, medeni durum bilgisi, referans bilgisi dahil). |
Çalışan Adayı Bilgisi |
Çalışan adaylarının işe alım süreçlerinde uygun pozisyon için değerlendirilebilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen
her türlü kişisel veri (askerlik durum bilgisi, eğitim bilgisi, referans bilgisi dahil). |
Performans ve Kariyer Gelişim Bilgisi |
CBKSoft’un çalışanlarının performanslarının ölçülmesi ile kariyer gelişimlerinin Şirketimizin insan kaynakları politikası kapsamında
planlanması ve yürütülmesi ve söz konusu faaliyetlerin denetimi amacıyla işlenen kişisel veriler. |
Yan Hak ve Menfaat Bilgisi |
Çalışanlara sunulan yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak
edişlerin sağlanması ile çalışan memnuniyeti ve bağlılığı amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler (sigorta bilgisi dahil). |
Özlük Bilgisi |
CBKSoft ve bağlı bulunduğu topluluk şirketleri ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak
bilgilerin elde edilmesine yönelik ve topluluk insan kaynakları politikalarının oluşturulması, iyileştirilmesi, icrası ve bu faaliyetlerin denetimi
kapsamında işlenen her türlü kişisel veri |