Kişisel Verileri İşleme ve Koruma Politikamız

 

 NUROL BAE SYSTEMS HAVA SİSTEMLERİ A.Ş. (BNA)

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 
 

 1.      POLİTİKANIN AMACI

 

 Ülkemizde halihazırda yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir.

 Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.

 Bu kapsamda, Nurol BAE Systems Hava Sistemleri A.Ş. (BNA) KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, verileri toplama aşamasında çalışanlarını ve ilgili üçüncü tarafları bilgilendirmekte, çalışanlarına veri koruma konusuda eğitimler vermekte, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

 Bu Politika’nın temel amacı, BNA tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmaktır. Bu kapsamda amacımız Çalışan Adaylarımız, Çalışanlarımız, Hissedarlarımız, Ziyaretçilerimiz, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri ile Üçüncü Kişiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamaktır.

 

 2.      POLİTİKANIN KAPSAMI

 

 Bu Politika; Çalışan Adaylarımız, Çalışanlarımız, Hissedarlarımız, Ziyaretçilerimiz, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri ile Üçüncü Kişiler (bundan sonra ayrı ayrı veya birlikte “Veri Sahip(ler)i” olarak anılacaktır) otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.Bu Politika, tüzel kişilerin bilgilerinin de kişisel veri olarak aynı kapsamda korunduğu ülkelerde tüzel kişilerin verileri için de aynı şekilde geçerlidir.

 

 3.      İLGİLİ MEVZUAT VE POLİTİKANIN UYGULANMASI

Bu Politika, mevcut ulusal kanunları değiştirmeden, uluslararası kabul edilmiş kişisel verilerin gizliliği prensiplerini içermektedir. Bu Politika, ulusal veri koruma kanunlarını (Türkiye Cumhuriyeti için 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatı geçerlidir) tamamlar niteliktedir.

Bu Politika’nın içeriği, uygun bir ulusal mevzuat bulunmaması halinde de takip edilmelidir. Ulusal kanunlar kapsamında veri işlemeleri için olan bildirim ve sicile kayıt gereksinimleri dikkate alınmalıdır.İşbu Politika ile uluslararası mevzuat arasında bir çelişme olması durumunda BNA, Politika’nın amacına uygun pratik bir çözüm bulmak için gayret sarfedecektir.

 

 4.      KİŞİSEL BİLGİLERİN İŞLENMESİ İLE İLGİLİ TEMEL PRENSİPLER

4.1. Hukuka ve dürüstlük kurallarına uygunluk

 Kişisel bilgilerin işlenmesinde söz konusu bireylerin kişi hakları korunmalıdır. Kişisel veri hukuka ve dürüstlük kurallarına uygun ve adil bir şekilde toplanmalı ve işlenmelidir.

4.2. Belirli, açık ve meşru amaçlar için işlenme

 Kişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaç için işlenebilir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.

4.3. Şeffaflık

 İlgili Veri Sahibi, kendi bilgilerinin kullanımı hakkında bilgilendirilmelidir. Kişisel veri genelde ilgili verinin sahibinden doğrudan alınmalıdır. BNA, veri toplandığında ilgili Veri Sahibinin aşağıdaki maddelerin farkında olduğunu ya da bilgilendirildiğini temin eder:

» Veri sorumlusunun kimliği

» Veri işlemenin amacı

» Verinin aktarılabileceği üçüncü şahıs ya da üçüncü şahıs kategorileri

4.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

 BNA tarafından, kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenir. Amacın kabul edilebilir ve orantılı olduğu durumda anonim ya da istatistik veri kullanılmalıdır.

Kişisel veri ulusal kanunun gerektirmedikçe veya izin vermedikçe gelecekteki potansiyel amaçlar için önceden toplanamaz ve depolanamaz.

4.6. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

 İşbu Politika kapsamındaki kişisel veriler BNA’da ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir.

BNA’nın her bir departmanı, verilerin saklanacağı süre ve bilgilerin niçin saklanacağı hakkında açık olmalıdır. Bu gereksinimi karşılamak için her departman, BNA’nın Kalite Yönetim Sistemi’nde belirtilen kayıt yönetimi prosedürlerine uymalıdır.

 
4.5. Silme

 İşlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili Veri Sahibinin talebi üzerine BNA tarafından silinir, yok edilir veya anonim hâle getirilir. Münferit hallerde bu verinin korunmasını gerektiren veya tarihi öneminin olduğunu gösteren durumların belirtisi olabilir. Eğer öyleyse, koruma gerektiren durumlar yasal olarak açıklığa kavuşturulana kadar veya kanuna uygun olduğu ölçüde şirket arşivlerinin tarihsel amaçları için verilerin saklanmasının gerekmesi halinde veri dosyada kalmalıdır.

4.7. Doğru ve gerektiğinde güncel olma

 Dosyadaki kişisel veri doğru, tam ve -gerekli olması halinde- güncel tutulmalıdır. İlgili BNA çalışanları doğru olmayan veya eksik olan verilerin silinmesini, düzeltilmesini, tamamlanmasını veya güncellenmesini sağlamak için, BNA’nın Kalite Yönetim Sistemi’nde belirtilen politika, süreç ve prosedürlere uymalıdır.

4.8. Gizlilik ve veri güvenliği

 Kişisel veri gizliliğe tabidir. BNA, yetkisiz erişimi, yasal olmayan işlemleri, paylaşımı, yanlışlıkla kaybolmayı, değiştirilmeyi veya tahrip edilmeyi engellemek için uygun kurumsal ve teknik tedbirleri almıştır. BNA çalışanları BNA’nın Kalite Yönetim Sistemi’nde belirtilen ilgili politika, süreç ve prosedürlere uymalıdır.

5.      VERİ İŞLEMEYE İZİN VERİLMESİ
Kişisel verilerin toplanmasına, işlenmesine ve kullanılmasına sadece aşağıdaki yasal temeller dâhilinde izin verilebilir.

 Kişisel verinin toplanma, işlenme ve kullanma esas amacında değişiklik olması durumunda da bu yasal temellerden biri gereklidir.

 Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili Veri Sahibinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c)Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç)Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili Veri Sahibinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Bu kapsamda BNA, kişisel verileri aşağıdaki amaçlarla işleyebilmektedir:

 

a)      Şirket faaliyet konusu kapsamında yürütülen işlemlerin icrası ve denetimi,

b)      Şirket kalite yönetim sistemi kapsamında belgelendirme kurallarına uymak için yapılan faaliyetler,

c)      Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,

d)      İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi,

e)      BNA personel temin süreçlerinin yürütülmesi,

f)       BNA finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,

g)      BNA hukuk işlerinin icrası/takibi,

h)      Kurumsal iletişim faaliyetlerinin planlanması ve icrası

i)       Savunma sanayii güvenliği ve tesis güvenliği için ilgili mevzuata uyum faaliyetleri,

j)       BNA’nın sözleşme ile yüklendiği taahhütlerin ifası,

 k)      BNA’da Ar-Ge veya diğer faaliyetleri kapsamında yaptığı çalışmalarda korunması gereken menfaatleri, fikri ve sınai mülkiyet hak tescil işlemleri,

 l)       Kurumsal yönetim faaliyetlerinin icrası,

m)    Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,

n)      Talep ve şikayet yönetimi,

o)      BNA ve hissedarı olan şirketlerinde üst düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçleri,

p)      BNA faaliyetlerinin hissedarlarının prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,

 q)      BNA ve hissedarlarının itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,

r)       Yetkili kurum ve kuruluşlara mevzuattan kaynaklı bilgi verilmesi,

s)      Ziyaretçi kayıtlarının oluşturulması ve takibi.

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVKK kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak BNA tarafından açık rıza temin edilir.

5.1 Müşteri ve ortakların verisi
5.1.1 Sözleşmesel ilişki için veri işleme

 

 İlgili Veri Sahibine, müşteriye veya ortağa ait kişisel veri bir sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme amacıyla ilgili ise, bu ayrıca sözleşmenin diğer tarafı için danışmanlık hizmeti vermeyi de içerebilir. Sözleşme öncesinde – sözleşmeye başlama aşamasında- kişisel bilgiler teklif hazırlamak, satın alma formu hazırlamak ya da ilgili Veri Sahibinin sözleşme sonucuyla bağlantılı taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde ilgili Veri Sahipleriyle sağladıkları bilgiler ışığında iletişime geçilebilir. Bu kapsamda Veri Sahiplerince talep edilen sınırlandırmalar var ise uygun olduğu ölçüde bu sınırlamalara uyulmalıdır.

5.1.2 Reklam amaçlı veri işleme

 

 Eğer ilgili Veri Sahibi, BNA’dan bilgi almak için iletişime geçerse (örn. bir ürün ile ilgili bilgi materyali alma talebi), bu talebi karşılama amaçlı veri işlemesine izin verilir.

 Müşteri bağlılığı ve reklam tedbirleri için başka yasal gereklilikler söz konusu olabilir. Kişisel bilgiler reklam ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının bu amaca uygun olması durumunda işlenebilir. Veri Sahipleri bilgilerinin reklam amaçlı kullanılacağı ile ilgili Veri Sahibi aydınlatılmalıdır. Bilgilerin sadece reklam amaçlı toplanması durumunda ilgili Veri Sahipleri bu bilgileri açıklamakta serbesttir. İlgili Veri Sahibi bilgilerini bu amaçla verme konusundaki özgürlüğü hakkında bilgilendirilmelidir. Veri Sahibi ile iletişimde bilgilerinin reklam amaçlı işlenmesi için bu kişinin rızası alınmalıdır. İlgili Veri Sahibi bu rıza verme kapsamında posta, elektronik posta veya telefon gibi uygun iletişim kanalları arasında seçim yapabilmelidir.

 Veri Sahibi, bilgilerinin reklam amaçlı kullanımına izin vermediğinde, veriler artık bu amaçlar için kullanılamaz ve bu amaçlarla kullanılması engellenmelidir. Ayrıca bazı ülkelerdeki verilerin reklam amaçlı kullanımı konusundaki mevcut sınırlamaları dikkate alınmalıdır.

5.1.3 Veri işleme için onay verilmesi

 

 Veri işleme ilgili Veri Sahibinin açık rızası sonucunda yapılabilir. Rıza vermeden önce Veri Sahibi bu Politika’nın 8.maddesine uygun olarak bilgilendirilmesi gerekir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik yoldan alınmalıdır. Telefonla konuşmaları gibi bazı durumlarda rıza verme sözlü olabilir. Bu durumda rıza beyanı belgelenmelidir.

5.1.4 Yasal izinler sebebiyle yapılan veri işlemleri

 

Kişisel bilgilerin, ulusal hukukun talep etmesi, gerektirmesi ya da bu işlemlere izin vermesi durumunda da işlenmesi serbesttir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.

5.1.5 Meşru menfaate uygun olarak veri işlenmesi

 

 Kişisel bilgiler, BNA’nın meşru bir menfaati için gerekli olduğunda da işlenebilir. Meşru menfaatler genellikle yasal (örn. alacakların tahsil edilmesi) ya da ekonomik (örn. Sözleşme ihlallerinden kaçınma) menfaatlerdir. Veri Sahiplerinin menfaatlerinin korunması gerektiği ve bunun öncelikli olması gibi kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alınamayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir.

5.1.6 Özel nitelikli verilerin işlenmesi

 

 Özel nitelikli kişisel bilgiler, yalnızca yasaların gerektirmesi veya ilgili Veri Sahibinin açık bir şekilde onay vermesi halinde işlenebilir. İlgili Veri Sahibini ilgilendiren yasal taleplerin ileri sürülmesi, uygulanması veya korunması için zorunlu olması halinde de bu verilerin işlenmesine izin verilir. Eğer özel nitelikli verilerin işlenmesi planlanıyor ise Hukuk ve Hukuki Süreçler Direktörü önceden bilgilendirilmelidir.

5.1.7 Otomatikleştirilmiş veri işleme

 

Bir takım unsurları (örn. kredibilitesi) belirlemek amacıyla kullanılan kişisel verilerin otomatikleştirilmiş işlenmesi, olumsuz yasal sonuçları olan ve ilgili Veri Sahibini olumsuz anlamda etkileyen karaların tek başına temeli olamaz. İlgili Veri Sahibi otomatikleştirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevap verebilme olasılığı hakkında bilgilendirilmedir. Hatalı kararları önlemek amacıyla bir çalışan tarafından test ve güvenilirlik kontrolü yapılmalıdır.

5.1.8 Kullanıcı bilgileri ve internet

 

Web sitelerinde veya uygulamalarda kişisel bilgilerin toplanması, işlenmesi ve kullanılması durumunda ilgili Veri Sahipleri gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilmelidir. Gizlilik bildirimi ve çerez bilgileri, ilgili Veri Sahibi için kolay tanımlanabilecek, doğrudan erişilebilecek ve sürekli uygun olacak şekilde entegre edilmelidir.

 Web sitelerinin ve uygulamaların kullanımının değerlendirilmesi için kullanım profillerinin (tracking) oluşturulması durumunda gizlilik sözleşmesinde ilgili Veri Sahibi bu konu hakkında kesinlikle uygun bir şekilde bilgilendirilmelidir. Kişiye özgü izleme, ancak ulusal hukukun izin vermesi veya ilgili Veri Sahibinin rızası ile etkilenebilir. İzlemenin bir rumuz altında yapılması durumunda gizlilik sözleşmesinde ilgili Veri Sahibine bir vazgeçme şansı sunulmalıdır (Opt-out).

 Web siteleri veya uygulamalar kayıtlı kullanıcılarla sınırlandırılmış bir alanda kişisel bilgilere ulaşabiliyorsa ilgili Veri Sahibinin tanımlanması ve kimliğinin doğrulanması erişim boyunca yeterli koruma sağlamalıdır.

5.2 Personel bilgileri
5.2.1 İş ilişkisi için verilerin işlenmesi

 

İş ilişkilerinde kişisel bilgiler, iş sözleşmesinin kurulması, uygulanması ve sonlandırılması için gerekli olması halinde işlenebilir. İş ilişkisi başlatılırken adayların kişisel bilgileri işlenebilir. Eğer aday reddedilirse, adaya ait bilgiler aday daha sonraki bir seçim aşaması için verilerin kayıtlı tutulmasını kabul ettiği sürece muhafaza edilmeli, sonrasında yasal veri saklama süresi gözetilerek silinmelidir. Verilerin daha sonraki başvuru işlemlerinde ya da başvurunun şirket hissedarı olan diğer şirketlerle paylaşılmasından önce de onay gereklidir.

Mevcut iş ilişkisinde aşağıdaki veri işleme durumlarından hiçbiri sağlanmıyorsa veri işleme iş sözleşmesinin amacıyla ilişkilendirilmelidir.

Bir iş başvuru sürecinde veya aday hakkında üçüncü kişilerden bilgi edinilmesi gerekli olduğunda ilgili ulusal hukukun gerekleri dikkate alınmalıdır. Şüphe durumunda ilgili Veri Sahibinin rızası alınmalıdır. İş ilişkisi bağlamında bulunan, ancak iş sözleşmesinin uygulanması ile ilişkili olmayan kişisel bilgilerin işlenmesi için ilgili yasal yetkinin olması gerekir. Bunlar yasal gereklilikleri, işçi temsilcileriyle toplu iş sözleşmesi düzenlemelerini, çalışanın rızası veya şirketin meşru menfaatlerini içerir.

5.2.2 Yasal yetkilendirmeler sebebiyle yapılan veri işlemleri

 

Çalışana ait kişisel bilgilerin işlenmesine, ulusal hukukun talep etmesi, gerektirmesi ya da yetkilendirmesi durumlarında da izin verilir. Veri işlemenin tür ve kapsamı, yasal olarak yetki verilen veri işleme faaliyetleri için gerekli ve ilgili yasa hükümlerine uygun olmalıdır. Yasal bir esneklik olması durumunda çalışanın korunması gereken menfaatleri göz önünde bulundurulmalıdır.

5.2.3 Veri işleme için onay verilmesi

 

 Çalışan bilgileri ilgili Veri Sahibinin rızası sonucunda işlenebilir. Rıza beyanları gönüllü olarak verilmelidir. Gönülsüz verilen rıza beyanları geçersizdir. Rıza beyanı belgeleme amacıyla yazılı veya elektronik yoldan alınmalıdır. Bazı durumlarda rıza verme sözlü olabilir, bu durumda rıza uygun bir şekilde belgelenmelidir. Ulusal hukukun açık bir onay öngörmemesi durumunda ilgili Veri Sahibinden gönüllü olarak bir onay alınabilir. Rıza vermeden önce ilgili Veri Sahibinin bu Politika’nın 8.maddesi maddesi uyarınca bilgilendirilmesi gerekir.

5.2.4 Meşru menfaate uygun olarak verilerin işlenmesi

 

Çalışana ait kişisel bilgiler, BNA’nun meşru bir menfaatinin gerektiğinde de işlenebilir. Meşru menfaatler genellikle yasal (örn. yasal hakların dosyalanması, uygulanması ya da savunulması) ya da ekonomik (örn. şirketin değerlendirilmesi) menfaatlerdir. Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel bilgiler meşru menfaat amaçları için işleme alınamayabilirler. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmelidir.

Çalışanlara ait verilerin işlenmesini gerektiren kontrol önlemleri yalnızca yasal bir zorunluluk bulunduğunda ya da meşru bir sebep bulunduğunda alınabilir. Gerekçeli bir sebep var olsa dahi bu kontrol önleminin ölçülü olup olmadığı incelenmelidir. Şirketin bu kontrol önlemini almasındaki haklı menfaatinin (örn. yasal hükümlere ve şirket içindeki kurallara uygunluk) ilgili Veri Sahibi çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmeli ve sadece ölçülü olması halinde uygulanmalıdır.

Şirketin bu meşru menfaatleri ve çalışanın korunması gereken menfaatleri alınacak her önlemden önce belirlenmeli ve belgelenmelidir. Ayrıca ulusal hukukun ilave gereklilikleri (örn. çalışan tarafının temsilcisinin ortak karar alma hakkı ve ilgili Veri Sahibinin bilgi alma hakkı) göz önünde bulundurulmalıdır.

5.2.5 Özel nitelikli verilerin işlenmesi

 

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel bilgiler sadece belli koşullar altında işlenebilir.

Birinci paragrafta sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Yasalar nedeniyle başka veri kategorileri de özel nitelikli veri olarak değerlendirilebilir ya da veri kategorilerinin içeriği farklı olarak oluşturulabilir. Buna ek olarak, suç ile ilgili bilgiler de genellikle ulusal yasanın özel gereklilikleri ile işlenebilir. Özel nitelikli verilerin işlenmesi planlanmışsa veri koruma için Hukuk ve Hukuki Süreçler Direktörü önceden bilgilendirilmelidir.

5.2.6 Otomatikleştirilmiş veri işleme

 

Eğer kişisel veri iş ilişkisinin bir parçası olarak otomatikleştirilmiş bir şekilde işleniyor ve kişisel bazı detaylar süreçteki değerlendirmeleri etkiliyorsa (örn. personel seçiminin bir parçası olarak), bu otomatik işleme ilgili Veri Sahibini olumsuz olarak etkileyecek veya ilgili Veri Sahibi için önemli sorunlara yol açacak kararların alınmasında asıl olamaz. Hatalı kararları önlemek amacıyla otomatik işlem ilgili Veri Sahibinin durumun içeriğini değerlendirmesini ve bu değerlendirmenin kararın esasını oluşturması sağlamalıdır.İlgili Veri Sahibi otomatikleştirilmiş veri işleme sonucundaki kararların gerçekliği ve sonuçları ve cevaplanma olasılığı hakkında bilgilendirilmedir.

5.2.7 Telekomünikasyon ve internet

Telefon donanımları, e-posta adresleri, şirket içi ağlar ile birlikte intranet ve internet, BNA tarafından öncelikli olarak işle ilgili görevler için sağlanır. Bunlar çalışma araçları ve şirket kaynaklarıdır. Bunlar uygun yasal düzenlemelere ve şirketin iç süreçlerine uygun olarak kullanılabilir.Telefon ve e-posta iletişimi veya intranet ve internet kullanımı ile ilgili genel izleme yapılmamaktadır. BT altyapısına veya bireysel kullanıcılara karşı saldırıları önlemek için BNA ağına geçişlerde, teknik açıdan zararlı içerikleri bloke eden veya saldırıların modellemesini analiz eden koruyucu önlemler alınabilir. Telefon donanımlarının, e-posta adreslerinin, intranetin/internetin ve/veya şirket içi sosyal ağların kullanımı, güvenlik nedenlerinden dolayı sınırlı bir süre saklanabilir.Bu verilerin kişiyle ilgili değerlendirmeleri ancak yasalar veya BNA süreçlerinin ihlaline ilişkin somut bir şüphenin var olması halinde yapılabilir.

6.      KİŞİSEL BİLGİLERİN YURT İÇİ VE YURT DIŞI AKTARIMI

Kişisel veriler;

a) İşbu Politika’nın 5 inci maddensinde ve/veya ulusal kanunda,

b) Yeterli önlemler alınmak kaydıyla, işbu Politika’nın 2.5. maddenin ikinci paragrafında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili Veri Sahibinin açık rızası aranmaksızın aktarılabilir.

 Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

 a)Yeterli korumanın bulunması,

b)Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.Türkiye’de yeterli korumanın bulunduğu ülkeler Kişisel Verileri koruma Kurulunca belirlenerek ilan edilir.

7.      TARAFLARCA VERİ İŞLEME
Taraflarca veri işleme, BNA sürecinin sorumluluğu devredilmeden bir hizmet sağlayıcının veri işlemek için görevlendirilmesidir. Bu durumda hem şirket dışı hizmet sağlayıcılar hem de BNA ile veri işleme konusunda bir anlaşma yapılmalı veya aralarındaki sözleşmeye veri korumaya ilişkin hükümler eklenmelidir. Bu anlaşma kapsamında, şirket, veri işlemenin doğru yapılmasında tüm sorumluluğu hizmet sağlayıcı ile müştereken üstlenir. Hizmet sağlayıcı ise bu kişisel verileri sadece şirketin talimatları doğrultusunda işleyebilir.

 Sipariş verirken şirketin ve ilgili departmanın, veri işleme sırasında aşağıda belirtilen kurallara uyulduğunu temin etmesi gerekmektedir.

1. Hizmet sağlayıcı, gerekli teknik ve organizasyonel güvenlik önlemlerini sağlayabilme yeteneğine göre seçilmelidir.

2. Sipariş yazılı olarak yapılmalıdır. Veri işlemede takip edilmesi gereken talimatlar ve hizmet sağlayıcı ile görevlendirmeyi yapan şirketin sorumlulukları net bir şekilde dokümante edilmelidir.

3. Veri koruma için Hukuk ve Hukuki Süreçler Direktörü tarafından sağlanan sözleşme standartları dikkate alınmalıdır.

4. Şirket, veri işlenmesine başlamadan önce hizmet sağlayıcının yükümlülüklerini yerine getirebileceğinden emin olmalıdır. Hizmet sağlayıcı, özellikle veri koruma konusundaki yetkinliklerini gerekli hallerde uygun bir sertifikasyon sunarak belgeleyebilir. Veri işlemedeki riske bağlı olarak, sözleşme süresince düzenli aralıklarla hizmet sağlayıcının gerçekleştirdiği işlemler düzenli olarak denetlenmelidir.

5. Taraflarca veri işlemenin ülke dışında yapılması durumunda, yurtdışına veri aktarımı ve verinin yurtdışında işlenmesi ile ilgili ulusal düzenlemeler dikkate alınmalıdır. Özellikle Avrupa Ekonomik Alanı ülkelerindeki kişisel verilerin üçüncü bir ülkede işlenebilmesi, hizmet sağlayıcının işbu Politika’dakine eşit düzeyde veri koruma standardını sağladığını kanıtlayabilmesi halinde mümkündür.

Bu durumda uygun veri korumanın belgelenmesi için aşağıdaki yöntemler kullanılabilir:

a. Hizmet sağlayıcı ve olası taşeronun, veri işleme için standart Avrupa Birliği (AB) veri koruma sözleşmesine uymayı sözleşme ile kabul etmesi.

b. Hizmet sağlayıcının yeterli veri koruma seviyesini, AB tarafından akredite bir sertifikasyon sistemi ile belgelemesi.

c. Hizmet sağlayıcının veri koruması için oluşturduğu bağlayıcı kurallarının yetkili denetleyici kurumlar tarafından kabul edilmiş olması.

8.      İLGİLİ VERİ SAHİBİNİN HAKLARI
Tüm Veri Sahipleri aşağıdaki haklara sahiptir.

 Bu kapsamda kişisel Veri Sahipleri;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

g) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

9.      İŞLEMLERİN GİZLİLİĞİ
 BNA’da çalışanların verileri yetkisiz olarak toplaması, işlemesi ya da kullanması yasaktır. Çalışanların meşru görevleri dışında yetki verilmeksizin gerçekleştirdikleri işlemler yetkisiz veri işlemesidir. BNA’da “Bilmesi Gereken” prensibi geçerlidir.

 BNA Çalışanları kişisel bilgilere sadece söz konusu görevin kapsamı ve tipi için uygun olması halinde erişebilir. Bu da BNA içinde rollerin ve sorumlulukların dikkatli bir şekilde dağıtılmasını, ayrılmasını ve de uygulanmasını gerektirmiştir. BNA çalışanlarının, kişisel bilgileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Bu yükümlülük, iş ilişkisinin sonlandırılmasından sonra da devam eder.BNA’da Yöneticiler, çalışanlarını iş ilişkisinin başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmektedir.

10.   İŞLEM GÜVENLİĞİ

Kişisel veri yetkisiz erişimden, yasa dışı kullanımdan veya aktarımdan ve bunun yanı sıra yanlışlıkla kaybedilmesinden, değişiklik ya da zarar görmesinden korunmalıdır. Bu husus, veri işlemenin elektronik yolla veya basılı halde yapılmasından bağımsız olarak geçerlidir. Özellikle yeni BT sistemlerine geçişte veri işlemenin yeni metotlarına geçilmeden önce, kişisel bilgilerin korunmasına yönelik teknik ve kurumsal önlemler tanımlanmalı ve uygulanmalıdır. Bu önlemler son gelişmelere, işlemin risklerine ve verinin koruma ihtiyacına (bilgi sınıflandırması süreci ile belirlenir) dayandırılmalıdır. Kişisel bilgilerin korunmasına ilişkin teknik ve kurumsal önlemler, şirket bilgi güvenliği yönetiminin bir parçasıdır ve teknik gelişmelere ve kurumsal değişikliklere sürekli olarak uyarlanmaktadır.

11.   VERİ KORUMA DENETİMİ
İşbu Politikaya ve uygulanabilir veri koruma yasalarına uygunluk, düzenli veri koruma denetimleri ve diğer kontrollerle sağlanır.

Veri koruma denetimlerinin sonuçları veri koruma için Hukuk ve Hukuki Süreçler Direktörüne raporlanmalıdır.

12.   VERİ KORUMASINA İLİŞKİN OLAYLAR
Her çalışan, bu Politika veya kişisel bilgilerin korunmasına ilişkin diğer düzenlemelere (veri koruma olayları) karşı ihlal durumlarında ilgili yöneticilerine ve Hukuk ve Hukuki Süreçler Direktörüne  bilgi vermelidir. İlgili pozisyon veya birimden sorumlu yönetici, Hukuk ve Hukuki Süreçler Direktörünü veri korumaya ilişkin olaylar hakkında derhal bilgilendirmekle yükümlüdür.

 » Kişisel bilgilerin uygunsuz olarak üçüncü kişilere iletilmesi,

» Üçüncü kişilerin kişisel bilgilere uygunsuz olarak erişmesi veya

» kişisel bilgilerin kaybedilmesi durumlarında, ulusal yasa altında tüm bildirim yükümlülüğüne uyulabilmesi amacıyla gerekli şirket raporları (Olay Raporu) derhal hazırlanmalıdır.

13.   ŞİRKET VERİ SORUMLUSU
BNA, Veri sorumlusu sıfatıyla;

 a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almaktadır.

 Hukuk ve Hukuki Süreçler Direktörü, ulusal ve uluslararası veri koruma düzenlemelerine uyuma yönelik çalışır.

 Hukuk ve Hukuki Süreçler Direktörü’nün veri koruma eksiklerinin giderilmesiyle ilgili aldığı kararlar şirket yönetimi tarafından dikkate alınır. Denetim makamlarının talepleri her zaman Hukuk ve Hukuki Süreçler Direktörüne bildirilmelidir.

 Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi BNA’ya yazılı olarak “Üniversiteler Mah, 1605.Cad, No:3/1-3, 06800 – Çankaya/Ankara” adresine posta yoluyla veya nurolbaesystems@hs03.kep.tr  adresine e-posta ile veya BNA Hukuk ve Hukuki Süreçler Direktörü’nü +90 (312) 210 02 20/121 Dahili telefon numarasından ulaşarak iletmeniz durumunda BNA talebin niteliğine göre talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, BNA tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır.

14.   POLİTİKANIN YÜRÜRLÜĞÜ

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası BNA’nın internet sitesinde (www.nurolbaesystems.com)  yayımlanır ve Veri Sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

 BNA olarak, Kişisel Verilerinizi işleme ve koruma konusunda hissedarlarımız Nurol Holding A.Ş. ve BAE Systems tarafından yayınlanmış hukuka uygun politika ve yönetmeliklerine azami oranda uygun davranmayı taahhüt ediyoruz. Hissedarlarımızın Kişisel Verileri koruma ve işleme politikalarına isimleri üzerine tıklayarak erişebilirsiniz.

 BAE Systems: https://www.baesystems.com/en-uk/privacy

 Nurol Holding A.Ş.: https://www.nurol.com.tr/gizlilik-ve-yasal-uyari

ÜST