1. Amaç

İşbu Kişisel Verilerin Korunması Politika'sının amacı; EAE ELEKTRİK ASANSÖR ENDÜSTRİSİ İNŞAAT SAN.VE TİC.A.Ş.("EAE ELEKTRİK") bünyesinde bulunan kişisel verilerin saklanması, işlenmesi ve ilgili taraflara aktarılması gibi süreçlere ilişkin, 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat ile öngörülen hukuki ve veri güvenliğine ilişkin çerçevenin belirlenmesi ve uygun veri koruması seviyesinin oluşturulmasıdır.

2. Kapsam

EAE ELEKTRİK uhdesinde mevcut bulunan EAE ELEKTRİK çalışanlarına, müşterilerine, iş ortaklarına, tedarikçilerine, iştiraklerine, ziyaretçilerine, çevrimiçi ziyaretçilerine, çalışanlarına, çalışan adaylarına, stajyerlerine, hissedarlarına, ortak ve yöneticilerine ait kişisel veriler de dahil olmak üzere EAE ELEKTRİK'in kanuni yükümlülükleri veya faaliyetleri nedeni ile elde edeceği ve/veya işleyeceği tüm kişisel veriler ile bu verileri barındıran bilgi varlıkları bu Politika kapsamındadır.

İşbu Politika'da yapılan değişikliklere ve güncel versiyonuna https://www.eae.com.tr/TR/kvkk adresinden erişilebilir.

3. Tanımlar

6698 Sayılı Kanun (veya Kanun): Kişisel Verilerin Korunması Kanunu'nu ifade eder.
Anonim hale getirme: Kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Çalışan: EAE ELEKTRİK ile tam zamanlı, yarı zamanlı iş sözleşmesi ile veya stajyer olarak çalışan gerçek kişileri ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Örneğin; ad, soyad, doğum tarihi, IP adresi vb.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen, otomatik olan veya olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu'nu ifade eder.
İrtibat Kişisi: Bu politika belgesinin 4.2'nci maddesinde tanımlanan kişiyi ifade eder.
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel verileri ifade eder.
Mevzuat: Kişisel verilerin saklanması, işlenmesi ve korunmasına ilişkin kuralların belirlendiği başta 6698 Sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili diğer tüm mevzuatı ifade eder.
Veri İşleyen: EAE ELEKTRİK'in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Kayıt Sistemi: Kişisel verilere ulaşımı kolaylaştıracak şekilde, belirli kriterlere göre yapılandırılmış olup birincil olarak EAE ELEKTRİK nezdinde tutulan, ikincil olarak veri yedekleme/felaketten kurtarma gibi amaçlarla EAE ELEKTRİK nezdinde tutulan kayıt sistemini ifade eder.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. İşbu Kişisel Verilerin Korunması Politikası kapsamında Veri Sorumlusu EAE ELEKTRİK ASANSÖR ENDÜSTRİSİ İNŞAAT SAN.VE TİC.A.Ş.'yi ifade eder.

4. Yetki ve Sorumluluklar

- 4.1 Kişisel Verilerin Korunması Komitesi

EAE ELEKTRİK içinde oluşturulan ve İnsan Kaynakları, Muhasebe, Bilgi İşlem, Kalite, Satış Departmanı temsilcileri ve Üst Yönetim'den oluşan Kişisel Verilerin Korunması Komitesi bu politikanın yazılması ve güncel tutulmasından sorumludur. Bu Politika'da yer alan esaslara aykırı bir davranışın tespit edilmesi halinde, Kişisel Verilerin Korunması Komitesi söz konusu durumu Kişisel Veri İhlal Olayı Yönetimi Prosedürü'ne uygun şekilde değerlendirir.

Kişisel Verilerin Korunması Komitesi'nin genel olarak sorumluluğu; 6698 Sayılı Kanun'un Veri Sorumlusuna yüklediği görevlerin EAE ELEKTRİK bünyesinde yerine getirilip getirilmediğinin denetlenmesidir. Özel olarak sorumluluğu ise; kişisel verilere ilişkin işlemlerin bu Politika ve Kişisel Verilerin Korunması Kanunu dahil ilgili yasal düzenlemeler çerçevesinde yürütülmesi amacıyla kişisel verilerin kanunlara uygun olarak toplanması, işlenmesi, gereken idari ve teknik güvenlik önlemlerinin alınması, takibi ve koordinasyonudur.

EAE Elektrik'in İrtibat Kişisi aynı zamanda Kişisel Verilerin Korunması Komitesi'nde rol almaktadır. KVK Komitesinin görev ve sorumlulukları KVK Komitesi Atama Yazısında da belirtilmiştir. Ayrıca Kişisel Verilerin Korunması Komitesi, bu Politikanın gözden geçirilmesi ve ilgili mevzuata uygun şekilde düzenlenmesinden sorumludur.

- 4.2. İrtibat Kişisi

Türkiye'de yerleşik olan tüzel kişilerin veri sorumluları sicili kapsamındaki yükümlülükleri ile ilgili olarak EAE ELEKTRİK adına Kurul ile irtibatı sağlayan, İlgili Kişiler tarafından yapılan başvuruları kabul eden, değerlendiren ve cevaplayan Üst Yönetim tarafından belirlenen kişidir.

- 4.3. Çalışanlar

Çalışanlar, bu Politikaya ve kişisel verilerin işlenmesine ilişkin çalışanlar özelinde hazırlanan diğer politika, prosedürlere ve ayrıca ilgili mevzuata uymakla yükümlüdür.

5. Uygulama

- 5.1. 6698 Sayılı Kanun uyarınca; EAE ELEKTRİK içerisinde tutulan kişisel verilerin tüm yaşam döngüsü boyunca, gerekli kararları vermeye ve yetkileri belirlemeye Veri Sorumlusu yetkilidir. Veri Sorumlusu Kanun'dan kaynaklanan yükümlülüklerini ifa edebilmek amacıyla bir İrtibat Kişisi atamıştır.
- 5.2. Kişisel veriler, sadece işi gereği bu verilere erişmesi gereken birimlerin erişimi sağlanacak şekilde korunur.
- 5.3. Kişisel veriler mümkün olan tüm ortamlarda şifrelenmiş olarak muhafaza edilir.
- 5.4. Özel nitelikli olan veya olmayan her türlü kişisel veri, Mevzuata uygun şekilde, kişisel verilerin ait olduğu ilgili kişinin kural olarak açık rızası dahilinde veya 6698 Sayılı Kanun'un 5.2'nci ve 6'ncı madde hükümlerinde öngörülen hukuka uygunluk hallerinde işlenebilir.
- 5.5. Kişisel veriler işlenirken şu ilkeler göz önünde bulundurulur;
  • Hukuka ve dürüstlük kurallarına uygun olma.
  • Doğru ve gerektiğinde güncel olma.
  • Belirli, açık ve meşru amaçlar için işlenme.
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

- 5.6 6698 Sayılı Kanun'un 6.2'nci maddesi uyarınca ilgili kişinin açık rızası olmadıkça ve 6.3'üncü madde uyarınca kanunlarda açıkça öngörülmedikçe özel nitelikli kişisel veriler saklanmaz ve işlenmez.
- 5.7 Kişisel verilerin, yurt içi veya yurt dışında bulunan 3. Kişiler ile paylaşılması söz konusu olduğunda; 6698 Sayılı Kanun'un yurt içinde aktarımla ilgili 8'inci maddesinde ve yurt dışına aktarımla ilgili 9'uncu maddesinde öngörülen koşulların gerçekleşmesi şarttır.
- 5.8 Kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla, sadece sayısal ve kategorik olarak işleneceği zaman anonimleştirilir ve gerçek kişi bilgisi elde edilemez hale getirilir.
- 5.9 Özel nitelikli kişisel veriler işlenirken Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin de alınması gereklidir.
- 5.10 Veri Kayıt Sistemi ve burada işlenen verilerin saklandığı ortamlara erişimlerin ve yapılan işlemlerin kayıt altına alınması sağlanır.
- 5.11 Erişim kayıtlarının -ilgili mevzuatın öngördüğü koşullara uygun şekilde ve yine öngörülen süre boyunca saklanması gerekmektedir. Mevzuatta bununla ilgili hüküm olmaması durumunda erişim kayıtları asgari olarak 2 sene boyunca saklanmalıdır.
- 5.12 Özel nitelikli olan veya olmayan kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında, kişisel veriler resen veya ilgili kişinin talebi üzerine Kişisel Verilerin Saklanması ve İmhası Politikası çerçevesinde Veri Sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
- 5.13 Özel nitelikli olan veya olmayan kişisel verileri öğrenen kişiler bu bilgileri, bu politika ve ilgili mevzuatın izin verdiği durumlar dışında 3. taraflarla paylaşamaz. Bu yükümlülük çalışanların görevlerinden ayrılmalarından sonra da süresiz olarak devam eder.
- 5.14 Veri Sorumlusu kişisel verilerin koruması konusunda aşağıdaki hususlardan sorumludur:
  • İlgili Kişinin 6698 Sayılı Kanun'un 10'uncu maddesine uygun şekilde aydınlatılması ve 11'inci maddesine göre sahip olduğu hakların kullandırılması. (6698 Sayılı Kanun'un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla; ilgili kişinin haklarına ilişkin EAE ELEKTRİK'in yükümlülükleri aşağıdaki hâllerde uygulanmayacaktır: (i) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. (ii) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. EAE ELEKTRİK'in aydınlatma yükümlülüğü ve zararın giderilmesini talep etme hakkı hariçtir.)
  • Kişisel verilerin bu politikaya ve 6698 Sayılı Kanun ve ilgili diğer mevzuata aykırı işlenmesinin, erişilmesinin ve muhafaza edilmesinin önlenmesi ve bu verilerin korunması için gereken her türlü teknik ve idari önlemin alınması.
  • Kişisel verilerin Veri Sorumlusu adına bir Veri İşleyen tarafından işlenmesini gerektiren durumların bulunması halinde, kişisel verilerin korunması açısından gereken teknik ve idari tedbirlere sahip bir Veri İşleyen ile çalışılması.
  • Bu politika ve ilgili mevzuata EAE ELEKTRİK içerisinde uyulduğundan emin olmak için gerekli denetimlerin yapılması veya yaptırılması.
  • İşlenen kişisel verilerin mevzuata aykırı olarak ifşa edildiğinin ve/veya yetkisiz kişiler tarafından elde edildiğinin tespit edilmesi halinde, 6698 Sayılı Kanun ve ilgili diğer mevzuat uyarınca İlgili Kişinin, Kurulun ve/veya ilgili diğer resmi mercilerin bilgilendirilmesi.