KVKK-6

BÖLÜM 1 – GİRİŞ

1.1 Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”), kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.

Kişisel verilerin korunması, Kromtel Sanayi ve Ticaret Anonim Şirketi’nin en önemli öncelikleri arasındadır. Kişisel verilerin işlenmesinde Kromtel’in uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.

Kromtel’in çalışanlarının kişisel verilerinin korunmasına ilişkin Kromtel’in her biri tarafından yürütülen faaliyetler, işbu KROMTEL Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda (“Politika”) belirlenen esaslar çerçevesinde Kromtel tarafından oluşturularak uygulamaya konulan ilgili “Çalışanların Kişisel Verilerin Korunması ve İşlenmesi Politikası” altında yönetilmektedir.

1.2 Amaç

İşbu Politika’da Kromtel ve hizmet verdikleri kuruluşların çalışanlarının kişisel verileri işlenirken hangi kurallara uyması gerektiği düzenlenmektedir. Dolayısıyla işbu Politika’nın amacı, kişisel verilerin şirketimiz tarafından benzer uygulamalar yapılarak hukuka uygun şekilde işlenmesinin sağlanmasıdır.

1.3 Kapsam

İşbu Politika’nın birinci dereceden muhatabı Kromtel ve hizmet verdiği kuruluşlardır. Ancak, bu Politika’nın uygulanması ve Politika’da yer alan düzenlemeler, Kromtel ve hizmet verdikleri kuruluşların çalışanlarını ilgilendirmektedir. Hali hazırda istihdam ilişkisi devam eden çalışanların yanı sıra hala kişisel verileri işlenmekte olan eski çalışanlar ile şirketimize iş başvurusunda bulunan adaylar da işbu Politika kapsamındadır. Bu Politika’da yer alan “çalışan” ifadesi, uygun olduğu ölçüde, Kromtel’in çalışanlarını, eski çalışanları ve çalışan adaylarını kapsayacaktır.

Kromtel’in  ve hizmet verdiği kuruluşlarda çalışan kişisel verilerinin işlenmesinden sorumlu birimleri, işbu Politika’nın icra edilmesinde en önemli rolü üstleneceklerdir. Sorumlu birimler bu Politika’nın icrası kapsamında Kromtel kendi içinde oluşturduğu Kişisel Verilerin Korunması Komitesi’nden (“KVK Komitesi”) veya bu konuda görevlendirdikleri sorumlu kişi veya kişilerden destek alacaklardır.

1.4 Bu Politika’nın Diğer Politikalarla İlişkisi

İşbu Politika, Kromtel çalışanlarının kişisel verilerinin işlenmesi konusunda şirketimizin alacağı aksiyonları düzenlemekte ve kendi çalışanları için oluşturacakları politikanın

çerçevesini çizmektedir. Bu Politika’da hüküm bulunmayan haller için kişisel verilerin işlenmesine ilişkin genel politikalarda yer alan hükümler uygulanacaktır.

1.5 Güncellenebilirlik

İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.

Güncelleme yapılması halinde bu www.kromtel.com adresi üzerinden veya sair

kanallardan bildirilecektir.

BÖLÜM 2 – İŞE ALIM SÜRECİNDE KİŞİSEL VERİ TOPLANMASI

2.1 İş İlanı Verme ve Başvuru Süreçlerinde İzlenmesi Gereken Adımlar

2.1. 1 İlan Veren Şirket Bilgilerinin Belirtilmesi

Kromtel, açık pozisyonlar için işe alım sürecini iş ilanıyla (internet sitesi, gazete ilanı,

istihdam veya danışmanlık şirketleri aracılığıyla veya benzeri yöntemlerle) başlatabilir veya kendilerine iletilen özgeçmişleri değerlendirebilirler.

Kromtel, adayların kişisel verilerini hukuka uygun bir şekilde işlemeye ve bilgilendirme

yükümlülüklerini yerine getirmeye özen gösterirler. Bu kapsamda her bir iş ilanında veya başvuru

formunda ilgili şirketin unvanı ve iletişim bilgileri açıkça belirtilir.

Kromtel, istihdam veya danışmanlık şirketi aracılığıyla işe alım sürecini başlatmaları

durumunda, istihdam veya danışmanlık şirketi tarafından toplanan kişisel verilerin nasıl kullanılacağının ve paylaşacağının belirtilmiş olmasını sağlamaya yönelik önlemleri alır.

2.1. 2 Toplanan Kişisel Verilerin İşe Alım Süreci ile Uyumlu Olması

Kromtel, kişisel veri sahibini bilgilendirme yükümlülüğünün yerine getirebilmesi için

toplanan kişisel verilerin hangi amaçla toplandığı hususunda adayları bilgilendirirler. Toplanan kişisel

verilerin, aday tarafından başvurulan pozisyon dışında, başka bir pozisyon veya amaç için kullanılması

veya paylaşılması öngörülüyorsa, bu kullanım ve paylaşım amaçları açıkça belirtilir.

İşe alım sürecinde kişisel verilerin toplanması için yöneltilen sorular ile kişisel veri toplamak amacıyla

hazırlanan formlar her açık pozisyon türüne göre değerlendirilir ve gereksiz kişisel veri toplanmasının

önüne geçecek önlemler alınır (örneğin; adayların adı, soyadı, adresi, doğum tarihi, e-posta adresi, iş

deneyimi ve eğitimi hakkında sorular sorulabilir). Çalışanlardan toplanan bazı kişisel veriler, adayın işe alımı onaylanmadan istenmemelidir (örneğin; banka hesap bilgileri).

Adayın başvurduğu işin niteliğine göre daha kapsamlı kişisel veri işlenmesi gerekli olabilir. Ancak, söz konusu kişisel veriler işin niteliğine uygun olmalıdır. İşin niteliği gereği talep edilen kişisel veriler sadece ilgili pozisyon için geçerli olmalıdır.

2.1. 3 Özel Nitelikli Kişisel Verilerin İşlenmesi

Çalışan adayların ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı ve ceza mahkumiyeti ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Kromtel tarafından, kanuni zorunluluk veya işin niteliği gereği olanlar hariç, işe alım kararı

vermek amacıyla özel nitelikli kişisel veriler baz alınarak ayrımcılık yapılamaz veya bu amaçlarla işe alım sürecinde özel nitelikli kişisel veriler işlenemez.

İşin niteliği veya kanuni zorunluluk nedeniyle özel nitelikli kişisel verilerin işlenmesi gerekiyorsa, ancak bu kapsama uygun düşen özel nitelikli kişisel veriler, mümkün olduğunca sınırlı olarak işlenebilir. Böyle bir durumda, işlenecek özel nitelikli kişisel verileri talep etme nedeni ve kullanım amacı hakkında başvuru formuyla veya ayrı bir açıklayıcı not ile aday bilgilendirilir.

Talep edilmesi gereken özel nitelikli kişisel veriler, adaydan ilerleyen aşamalarda toplanabilir nitelikte

ise, bu veriler işe alım sürecinin ilk aşamasında istenemez.

2.1. 4 Mülakat Sırasında İzlenmesi Gereken Adımlar

 Adaylar ile video konferans, telefon gibi araçlarla veya yüz yüze mülakat

gerçekleştirebilirler.Kromtel, mülakatı gerçekleştiren çalışanlarını, mülakat sırasında toplanan kişisel verilerin nasıl kayıt altına alınacağı ve muhafaza edileceği hakkında bilgilendirir.

Görüşmeyi yapan ilgili kişilerin mülakat sırasında kayıt altına aldıkları kişisel veriler hakkında, ilgili aday, kişisel verilerine ilişkin kanuni haklarını kullanmayı talep ederse; bu talep ilgili şirket tarafından en geç 30 gün içerisinde cevaplandırılır. Kromtel, görüşmeyi gerçekleştirecek olan

çalışanlarını bu konu hakkında bilgilendirir.

Kromtel, aday tarafından ileri sürülebilecek kanuni hak kullanım taleplerinin kullanılması

için gerekli önlemleri alır.

2.2 İşe Alım Öncesi Yapılan Araştırmalarda veya Kontrollerde İzlenmesi Gereken Adımlar

2.2.1 Adayların Sağladığı Kişisel Verilerin Doğruluğunun Kontrolü ve Ek Araştırma Yapılması

İşe alım sürecinde adayların ilettiği kişisel verilerin doğruluğu Kromtel tarafından başka

kaynaklardan teyit edilebilir. Kontrol sadece aday tarafından iletilen kişisel verilerin doğruluğunu teyit

etmek amacıyla yapılır.

Kromtel, aday tarafından iletilen kişisel verilerin doğruluğunun kontrol edilmesi

durumunda, adayı bu husus hakkında (kontrol edilecek olan kişisel veriler, kullanılacak olan kontrol

yöntemi ve kaynaklar hakkında) bilgilendirir ve açık rıza gerektiği takdirde rızasını alır. Ayrıca kontrol

sonucu elde edilen bilgi ile iletilen kişisel veri arasında tutarsızlık olması durumunda, adaya durumu

açıklama olanağı tanınır.

Ayrıca, bazı özel durumlarda Kromtel tarafından aktif bir şekilde aday hakkında ek bilgilerin

elde edilmesine ilişkin araştırma yapılabilir. Araştırma yapılması yerine, istenilen bilgilerin mümkün

olduğu kadar adaydan alınmasına özen gösterilmelidir.

Aday hakkında araştırma yapılabilmesi için aşağıdaki tüm koşulların mevcudiyeti aranır:

• Kullanılan yöntemler hukuka uygun olmalıdır.
• Araştırılması gereken kişisel verilerin toplanamaması durumunda, ilgili Topluluk Şirketi veya
• müşterileri ve/veya iş ortakları açısından risk oluşması söz konusu olmalıdır.
• Aynı amaca ulaşmak için daha makul bir alternatif bulunmamalıdır.

Kromtel, hangi pozisyonlar için ek araştırma yapılması gerektiğini yukarıdaki koşullar

ışığında önceden belirlemeye özen gösterirler.

Kromtel iş başvuru formunda veya ek açıklayıcı bilgilendirme notunda, adaylara ilişkin

araştırma yapılacağı, araştırmanın kapsamı ve araştırma için kullanılacak olan kaynak çeşitleri

hususlarına mümkün olduğunca yer vermeye çalışırlar. Araştırma sırasında ilgili kaynaklardan bilgi

alınabilmesi için adayın hangi kişisel verilerinin paylaşılacağı hakkında da adaya bilgi verilir.

2.2.2 Araştırmanın Zamanı

Kromtel tarafından adaylarla ilgili ek araştırma yapılması gerekli görülüyor ise, adaylara

haklarında araştırma yapılacağı hususu işe alım sürecinin ilk aşamalarında bildirilir.

Kromtel tarafından başvuruda bulunan kişi hakkında araştırma yapılması söz konusu

olduğunda, araştırma işe alım sürecinin mümkün olduğu kadar sonuçlanmasına yakın bir aşamasında

yapılır. Ön elemeden geçen adayların tümüne kapsamlı araştırma yapılmaz. Ancak, açık pozisyona

seçilme ihtimali yüksek adaylar hakkında kapsamlı araştırma yapılabilir.

2.2.3 Araştırma Yöntemi

Kromtel aday hakkında araştırma yaparken kaynakları titizlikle seçer. Bu kapsamda

Kromtelaşağıdaki ilkelere uymalıdır:

 Araştırılan bilginin ilgili kaynaktan talep edilebilmesi için, bilgiyi söz konusu kaynaktan elde etme

ihtimali yüksek olmalıdır.

 Adayın ailesi veya yakın çevresine istisnai durumlarda başvurulmalıdır.

 Araştırma sonucu elde edilen bilgi, kaynağın güvenilirliğine göre değerlendirilmelidir.

 Hiçbir istihdam kararı güvenilirliği şüpheli olan bir kaynağa dayanmamalıdır.

 Güvenilirliği kesin olmayan kaynaklardan elde edilen bilgilere itimat edilmemelidir.

 Kromtel, kendi bünyesindeki ilgili çalışanı veya araştırmayı üstlenecek olan kişileri

araştırma yöntemi hakkında bilgilendirmelidir.

 Araştırmanın sonucu adayın aleyhine sonuçlanır ise, söz konusu durum hakkında aday

bilgilendirilmelidir. Başvuran adayın sonuç hakkında bilgilendirilebilmesi ve

adayın arzu ettiği takdirde duruma ilişkin açıklama yapabilmesini sağlayacak faaliyetler yürütmelidir.

 Adayın sonuç hakkında vereceği açıklama dikkate alınmalıdır.

 Araştırma sırasında adaydan farklı bir kişiye ilişkin kişisel veri elde edilmemesine özen

gösterilmelidir.

 Adaydan farklı bir kişiye ilişkin kişisel veri toplanması ve işlenmesi halinde, ilgili kişi, söz konusu

durum ve bilginin işlenme yöntemi hakkında bilgilendirilmelidir. Bu bilgilendirmeyi

gerçekleştirebilmek amacıyla gerekli faaliyetler yürütülmelidir.

2.2.4 Araştırma İçin İzin Alınması

Araştırma sırasında üçüncü bir kişiden bilgi ve belgenin toplanması adayın rızasına bağlı ise şirketimiz  adaydan açık rıza almalıdır. Üçüncü kişinin adaydan açık rıza alması yerine, Topluluk

Şirketlerimizin açık rızayı doğrudan adaydan alması yöntemi mümkün olduğunca tercih edilmelidir.

2.3 Adayların Kişisel Verilerinin Saklanması ve Güvenliği

2.3.1 Adayların Kişisel Verilerinin Güvenliği

İşe alım sürecinde Kromtel, çalışanların kişisel verilerinin korunmasına ilişkin gösterdiği

özeni aynı şekilde işe başvuran adaylara da gösterir. Bu kapsamda özellikle aşağıdaki önlemler alınır:

 Başvurular dijital ortamda iletiliyor ise, Kromtel güvenli bir sistem kurması

gerekir. Elektronik ortamda iletilen başvurular sadece işe alım sürecinden sorumlu olan kişiler

tarafından erişilebilen dizin veya sistemlere kaydedilir.

 Başvurular posta veya faks aracılığıyla iletiliyor ise, insan kaynaklarından sorumlu yetkili kişiye

başvuruların iletilmesi sağlanır. Elde edilen fiziki belgelerin güvenliği sağlanır.

Kromtel adayların kişisel verilerine erişimi, işe alım süreçlerini yürütmekle görevli olan

kişilerle sınırlar. Söz konusu kişiler, adaylara ait kişisel verilerin işlenmesi ile alınacak güvenlik önlemleri hakkında düzenli aralıklarla bilgilendirilir.

2.3.2 İşe Alım Sürecine ilişkin Kişisel Verilerin Saklanma Süresi

Kromtel işe alım sürecine ilişkin kişisel verilerin hukuka aykırı olarak işlenmesini ve bu

verilere hukuka aykırı olarak erişilmesini engellemek adına her türlü teknik, idari ve hukuki tedbiri alır.

Kromtel işe alım sürecine ilişkin adayın kişisel verilerini, bu verilerin işlenme amaçlarına uygun olan bir süre boyunca saklar. İş hukuku ve diğer ilgili düzenlemelere uyumlu olarak, işlenmesini

gerektiren sebeplerin ortadan kalkması durumunda, kişisel veriler, Kromtel tarafından veya adayın talebi üzerine silinir, yok edilir veya anonim hale getirilir.

Geçerli bir sebep olmadığı takdirde (muhtemel uyuşmazlıkların çözümü gibi), Kromtel ilgili

kişisel verileri işe alım sürecinden dolayı doğabilecek taleplerin zamanaşımı süresi bitiminden sonra

muhafaza etmezler. İlgili zamanaşımı süresinin bitiminden itibaren adayın kişisel verileri

anonimleştirilerek saklanmaya devam edilebilir.

İşe alım sürecinde adayın durumu hakkında araştırma yapılmış veya herhangi bir şekilde üçüncü

kişilerden veri temin edilmiş ise, üçüncü kişilerden elde edilen bilgiler en kısa sürede silinir. Şirket araştırma yapılıp yapılmadığını, araştırmanın sonucunu ve adayın işe alınıp alınmadığını

belirterek araştırmanın sonuçlarını saklayabilir.

2.3.3 İşe Alınan Adayların Çalışan Kayıtlarına Aktarılması Gereken Kişisel Verileri

Kromtel açık pozisyona kabul edilen başarılı adayların özlük dosyalarına, adaylık süreci

boyunca elde edilen kişisel verilerden hangi verilerin aktarılacağını özenle belirler. İş ilişkisi ve özlük

dosyasının kapsamı gereği gerekli olmayan kişisel veriler yeni çalışanın özlük dosyasına aktarılmaz.

2.3.4 Başvurusu Kabul Edilmeyen Adayların Kişisel Verileri

Kromtel başarıyla sonuçlanmayan başvuruları ileride açılabilecek pozisyonlar için

değerlendirmek isterlerse, kayıtlarda adayların kişisel verilerini tutabilirler. Bu amaçla kişisel veri

tutulacaksa; iş başvuru formunda veya ek açıklayıcı belgelerde Kromtel adayları bu

konuda bilgilendirmeleri ve talep etmeleri durumunda bilgilerin kayıtlardan silinebileceğini belirtmeleri

gerekmektedir.

BÖLÜM 3 – ÇALIŞAN VERİLERİNİN İŞLENMESİ

3.1 Çalışanların Kişisel Verilerinin İşlenmesinde Genel Yaklaşım

3.1.1 Çalışanların Bilgilendirilmesi ve Kişisel Veri İşleme Şartları

Kromtel, çalışanlarını; kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel

verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir.

Kromtel, işledikleri kişisel verileri değerlendirerek, KVK Kanunu’nda yer alan şartlardan en

az birisine dayalı olarak bu verileri işlerler. Bu şartlar;

• Çalışanın açık rızasının olması,
• Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,
• Fiili imkansızlık sebebiyle çalışanın açık rızasının alınamaması,
• Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,
• Kromtel hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu

olması,

• Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
• Meşru menfaate dayalı olarak verilerin işlenmesidir.

Bu şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri işleme

faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir.

Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden

önce tamamlanır.

Kromtel, kişisel verilerinin saklanması, kullanılması ve paylaşılmasına ilişkin olarak çalışanların bilgilendirilmesi konusunda, kendilerine özgü şartlara göre en faydalı yöntemi tespit eder ve uygular.

3.1.2 İhtiyaçlar Doğrultusunda Gerektiği Kadar Kişisel Veri Toplanması

Kromtel, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine çalışanlardan kişisel veri toplar.

Kromtel, toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını

sağlar. Yukarıda belirtilen prensibe uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır.

Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi

yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir, yok edilir ya da anonimleştirilir.

3.1.3 Kişisel Verilerin Güncelliğinin Sağlanması

kromtel, çalışanların kişisel verilerinin güncelliğini sağlamak adına gerekli önlemleri alır. Bu

kapsamda özellikle aşağıda hususlara dikkat edilir:

• Çalışanların, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit
•  
• Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler
• alınır.
• Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili
• çalışanın kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.
• Çalışanların değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı
• bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.
• Çalışanların değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda
• farkındalık çalışmaları ile ilgili insan kaynakları personeli tarafından aktif takip yapılır.
• Yukarıda açıklanan yöntem haricinde Kromtel, kendine özgü koşullara göre çalışanların
• işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.

3.2 Özel Nitelikli Çalışan Verilerinin İşlenmesi

Kişisel verilerin bir kısmı, KVK Kanunu kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde

düzenlenmekte ve özel bir korumaya tabi olmaktadır.

Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ilgili veriler ile biyometrik ve genetik verilerdir.

Kromtel, sağlık verilerini, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri

Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebilir:

(i) Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda

öngörülen hallerde,

(ii) Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının

korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık

hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında

bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.

BÖLÜM 4 – ÇALIŞANLARIN SAĞLIĞINA İLİŞKİN VERİLER

4.1 Çalışanların Sağlık Verilerinin İşlenmesine İlişkin Genel Yaklaşım

4.1.1 Sağlık Verilerinin Zorunlu Olmadıkça İşlenmemesi ve Ayrı Saklanması

Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Başta çalışanların kaza ve hastalık

raporları olmak üzere çalışanların sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır. Çalışanın

işe gelmediği günlere ya da karıştığı kaza ve diğer olaylara ilişkin bilgiler kullanılırken çalışanın sağlık verilerinin kullanılmasından mümkün olduğunca kaçınılır.

4.1.2 Sağlık Verilerinin Belirtilen Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşlenmesi

Kromtel, çalışanlara yapılacak sağlık anketlerinde, sadece gerçekten gereken bilgilerin

toplandığından emin olur ve gereksiz bilgi talep edilmemesi hususuna özen gösterir.

Kromtel, çalışanlardan tüm sağlık verilerini şirket ile paylaşması için genel bir açık rıza

vermesini isteyemez. Şirketler, sadece belirtilen amaç için gerçekten gerekli olduğu düşünülen sağlık

verilerinin şirketle paylaşılmasını isteyebilir.

4.1.3 Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi

Çalışanların sağlık verilerini işleyecek veya işlemeye yetkilendirecek şirket çalışanlarının ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır.

Çalışanın sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir.Kromtel, çalışanlara, sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.

4.1.4 Sağlık Verilerinin Paylaşımı ve Bu Verilere Erişim

Sağlık verilerinin paylaşımında özel nitelikli kişisel veriler için getirilen yasal yükümlülükler dikkate

alınarak ve bu yükümlülüklere uygun olarak bu paylaşım işlemleri yürütülür.

Kromtel, çalışanların sağlık verileri ile ilgilenen kişilerin yukarıdaki durumlar hakkında

bilgilendirilmesini ve eğitilmesini düzenli aralıklarla sağlar. Ayrıca Kromtel kendi içlerinde, bu kişilerin ilgili şirketin KVK Komitesi’nden veya kişisel verilerin korunması konusunda görevlendirilen yetkililerinden gerekli desteği alabilmesine yönelik düzenlemeler yapılır. Kromtel, kural olarak, çalışanların sağlık verilerini diğer çalışanların erişimine açmazlar.

Ancak hukuken ilgili şirketin meşru menfaatleri gereği bir işin ve bu işle ilgili olarak da bu

verilerin işlenmesi zorunlu ise; bu işle görevli olan personelin işin gereğini yerine getirmekle sınırlı olmak kaydıyla bu kişisel verileri işlemeleri için gerekli idari ve teknik tedbirler alınarak kendilerine erişim hakkı sağlanır. Yöneticilerin kendi yönetimsel rollerini yerine getirebilmeleri açısından zorunlu olarak bilmeleri gereken sağlık verileri, yöneticilere açıklanabilir. Kromtel yöneticileri, sağlık verilerinin hassasiyeti ve bu verilerin KVK Kanunu’ndaki işleme şartları konusunda, sağlık verileri kendileriyle paylaşılmadan önce bilgilendirir.

4.2 Muayene ve Testlerden Elde Edilen Sağlık Verilerinin İşlenmesi

4.2.1 Sağlık Verilerinin İşlenmesine İlişkin Şirket Politikasının Çalışanlara Bildirilmesi

Kromtel, çalışanların sağlık verilerinin işlenmesine ilişkin izlenen politikaların şeffaf

olmasına özen gösterir.

Kromtel; sağlık testlerinin yapılacağı yerlere, testlerin niteliğine, test sonucu elde edilen

verilerin nasıl kullanılacağı ve korunacağına ilişkin şartları belirler. Bu şartlar hakkında çalışanları

bilgilendirmeye özen gösterir.

4.2.2 İşe Alınması Muhtemel Olan Adayların Muayene ve Testler Aracılığıyla Sağlık

Verilerinin İşlenmesi

Kromtel, işe alınması muhtemel olan adayların söz konusu işe uygun olup olmadığına karar

vermek için ilgili adaya testler yapılmasını talep edebilir. Bu testleri aynı zamanda herhangi bir kanuni yükümlülüğünü yerine getirmek için veya muhtemel çalışanın tabi olacağı sigorta türünü belirlemek için de yapabilir. Kromtel, muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler.

Kromtel, amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil

olunabilecek yöntemleri izler. İşe alım sürecinde tıbbi muayene veya sağlık testi sadece kişinin gerçekten işe alınma ihtimali yüksek ise yapılır.

Kromtel iş başvurusu sürecinin ilk zamanlarında, işe alınma ihtimalinin yüksek olması

halinde sağlık muayenesi veya testi yapılabileceğine dair adayı bilgilendirir.

4.2.3 Çalışanların Muayene ve Testler Aracılığıyla Sağlık Verilerinin Toplanması

Kromtel, iş sağlığı ve güvenliği programı kapsamında tıbbi muayene ve testler aracılığıyla

çalışanlara ait sağlık verilerini toplayabilir. Yasal mevzuata göre zorunlu muayene ve testler dışında kalan muayene ve testlere katılmak, çalışanın kendi seçimine bırakılır. Kromtel muayene ve testlerin hangi amaçlarla yürütüleceğini önceden belirler. Kromtel, amaçlarını da göz önünde bulundurarak kişinin sağlık verilerine daha az müdahil olunabilecek yöntemleri izler. Örneğin, çalışanın sağlık verilerini öğrenmek için muayene sonuçlarına bakmak yerine sağlık anketi yapabilir.

4.2.4 Muayeneden Elde Edilen Numunelerin Belirtilen İşleme Amacı Dışında Kullanılmaması

Kromtel, sağlık kontrollerinin ve testlerin hangi amaçla gerçekleştirildiği konusunda

çalışanları açıkça bilgilendirir.

Kromtel hiçbir şekilde çalışandan gizli bir şekilde ona ait biyometrik/genetik numunelerini

(parmak izi, saç teli vs.) toplayamaz. Kanuni sebeplere dayalı olarak gerçekleştirilen faaliyetler istisna

oluşturur.

BÖLÜM 5 – ÇALIŞAN VERİLERİNİN KROMTEL TARAFINDAN İŞLENMESİ

Kromtel, aşağıda belirtilen amaçlarla çalışan kişisel verilerini işlemektedir:

• Kromtel çalışanlarının performans değerlendirme kriterlerinin belirlenmesi ve
• takibi süreçlerine destek olunması,
• Kromtel yabancı çalışanlarının çalışma/oturma izni başvuru süreçlerine destek
• olunması,
• Kromtel çalışanlarına sağlanan yan hakların ve menfaatlerin planlanması ve takibi
• süreçlerine destek olunması,
• Kromtel çalışanlarının ücret yönetimi ve prim süreçlerinin planlanması ve icrası
• konusunda destek olunması,
• Kromtel’in, Toplu İş Sözleşmesi süreçlerine destek olunması,
• Kromtel’in stratejik insan kaynaklarının planlanması, yedekleme süreçleri ve
• organizasyonel gelişim faaliyetleri konusunda destek olunması,
• Kromtel üst düzey yöneticilerinin atama, terfi ve işten ayrılma kararlarının
• uygulanması ve ilgili duyuruların yapılması,
• Kromtel üst düzey yöneticilerinin ücret ve prim paketlerinin belirlenmesi
• konusunda destek olunması,
• Kromtel’in çalışan bağlılığının ölçümlenmesi süreçlerinin planlanması ve
• yürütülmesine destek olunması,
• Kromtel çalışanlarının kariyer gelişimi, eğitim ve yetenek yönetimi faaliyetlerinin
• planlanması ve icrası süreçlerine destek olunması,
• Kromtel işe alım süreçlerine destek olunması,
• şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda
• destek olunması,
• Kromtel’e tabi oldukları mevzuata uyum konusunda destek olunması,
• Topluluk itibarının korunmasına yönelik çalışmaların, sürdürülebilirlik ve sosyal sorumluluk
• çalışmalarının yürütülmesi,
• Kromtel genelinde etkinlikler düzenlenmesi,
• Kromtel’in faaliyetlerinin Kromtel politikalarına ve ilgili mevzuata
• uygun olarak yürütülmesi konusunda denetim faaliyetlerinin yürütülmesi,
• Kromtel’in çalışanlarına yönelik iletişim, haberleşme faaliyetlerinin yürütülmesi,
• çalışan memnuniyeti ve bağlılığının sağlanması süreçlerinin yürütülmesi.

Kromtel, çalışan kişisel verilerinin bahsi geçen amaçlarla işlenmek aktarımına ilişkin olarak çalışanlara KVK Kanunu ve ilgili mevzuat kapsamında öngörülen bilgilendirmeleri yapacak ve gerekmesi halinde ilgili açık rızaları temin edecektir.

BÖLÜM 6 – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENDİĞİ ÖZEL DURUMLAR

6.1 Yan Haklar ve Menfaatlerin Sağlandığı Durumlarda Çalışanların Kişisel Verilerinin İşlenmesi

Özel sağlık sigortası, hayat sigortası, ferdi kaza sigortası, şirket aracı, bireysel emeklilik, esnek yan fayda programı ya da benzeri faydalar bu başlık altında yan haklar ve menfaatler olarak adlandırılır.

Kromtel, çalışanların kişisel verilerinin çalışanlara yan haklar ve menfaatler sağlamak için

hizmet alınan üçüncü kişilerle paylaşılmasında, asgari düzeyde veri paylaşmaya özen gösterir. Bahsi

geçen üçüncü kişilerle sadece, ilgili yan hak ve menfaatin sağlanması için zorunlu olan kişisel veriler

paylaşılır. Ayrıca, bu kapsamda toplanan kişisel verilerin başka bir amaçla kullanılmaması için gerekli

tedbirler alınır. Hizmet alınan üçüncü kişilerle paylaşılacak kişisel verilerin özel nitelikli kişisel veri olup olmadıkları paylaşımdan önce değerlendirilir.

Hizmet alınan üçüncü kişiler ile yapılacak kişisel veri paylaşımları hakkında Çalışanların bilgilendirilmesi sağlanır. Bu kapsamda, çalışanların hangi kişisel verilerinin paylaşıldığı ve bunların ne amaçla kullanılacağı çalışana açıklanır.

6.2 Fırsat Eşitliğinin Gözetilmesi Kapsamında Çalışanların Kişisel Verilerinin İşlenmesi

Kromtel çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde kişisel

veri işleyebilir. Fırsat eşitliğinin sağlanması için işlenen kişisel veriler belirli aralıklarla kontrol edilir. Fırsat eşitliğinin sağlanması amacıyla işlenen kişisel veriler mümkün olan en geniş kapsamda anonimleştirilerek kullanılır.

6.3 Usulsüzlüklerle Mücadele Kapsamında Çalışanların Kişisel Verilerinin İşlenmesi

Kromtel, çalışanların usulsüz işlemlerini engellemek adına değişik birimlerde bulunan

kişisel veri setlerini karşılaştırabilir. Usulsüzlüklerle mücadele kapsamında yapılacak kişisel veri seti karşılaştırma işlemleri için kurallar Kromtel tarafından belirlenir. Kromtel,usulsüz işlemlerin tespiti amacıyla çalışanlarının kişisel verilerini ancak aşağıdaki koşullar veya benzeri koşullardan birinin varlığı halinde paylaşır:

 Hukuken ilgili çalışanın kişisel verilerinin paylaşılmasının zorunlu olması,

 Çalışanın kişisel verilerinin paylaşılmaması halinde bir suçun önlenmesinin ya da tespit

edilmesinin mümkün olmayacağına dair güçlü şüphe bulunması,

 İlgili çalışanın iş sözleşmesinde, kişisel verilerinin bu kapsamda paylaşılmasına ilişkin hüküm

bulunması.

6.4 Şirket Birleşme ve Devralmaları İle Şirket Yapısını Değiştiren Diğer İşlemlerde Çalışanların

Kişisel Verilerinin İşlenmesi

Şirket birleşme ve devralmaları da dahil şirket yapısını değiştiren tüm işlemler bu bölüm altında

değerlendirilmektedir.

6.4.1 Şirket Yapısı Değişikliği İçin Çalışanların Kişisel Verilerinin Paylaşılması

Kromtel, şirket yapısı değişikliği amacıyla çalışanların kişisel verilerini paylaşma gereksinimi

duyduklarında; öncelikle bu kişisel verilerin mümkün olduğu ölçüde anonimleştirilerek paylaşılmasını

sağlar. Anonimleştirilerek paylaşılması mümkün olmayan çalışan kişisel verileri için karşı taraftan sadece şirket yapısı değişikliği ile ilgili işlemleriyle sınırlı olarak bu kişisel verileri kullanacağı, kişisel verilerin KVK Kanunu’nun veri güvenliği hükümleri uyarınca korunacağı ve KVK Kanunu’nun ilgili hükümlerine uygun olarak işleneceği, kişisel verilerin üçüncü kişilere aktarılmayacağı ve ilgili işlemler tamamlandıktan sonra kişisel verilerin silineceği veya yok edileceğini konularında taahhüt alınır.

6.4.2 Bilgilendirme Yapılması

Bilgilendirmenin ilgili şirket menfaatlerine olumsuz herhangi bir etkisi olmayacak ise (örneğin şirket birleşmesi işlemi çerçevesinde kişisel verilerinin paylaşıldığını öğrenen çalışanın bu bilgiyi kullanarak şirket hisse fiyatlarına etki etmesi gibi), çalışanlara hangi kişisel verilerinin ne amaçla

paylaşıldığına ve kullanılacağına ilişkin bilgilendirme yapılır. Çalışanlar, ayrıca, hangi kişisel verilerinin şirket yapısı değişikliği sonucu yeni işverenlerine aktarılacağı

konusunda bilgilendirilir.

6.5 Disiplin Soruşturmalarında Çalışanların Kişisel Verilerinin İşlenmesi

Kromtel, disiplin soruşturmaları sırasında da çalışanların kişisel verilerinin korunmasına

ilişkin yükümlülüklere aynen uymak zorundadırlar. Bu kapsamda özelikle aşağıdaki aksiyonlar alınır:

 Disiplin soruşturmalarına ilişkin politika ve prosedürlerin kişisel verilerin korunmasına ilişkin

yükümlülüklerle uyumlu hale getirilmesi,

 Disiplin soruşturmaları kapsamına giren kişisel verilere de çalışanların kişisel verilerine erişme

hakkı kapsamında erişilebileceği konusunda disiplin soruşturmaları yapmaya yetkili kişilerin

bilgilendirilmesi,

 Disiplin soruşturmaları sırasında hukuka aykırı yöntemlerle kişisel veri elde edilmemesini

sağlayacak önlemlerin alınması,

 Disiplin soruşturmaları sırasında kullanılacak olan kişisel verilerin doğru ve güncel olmasına

dikkat edilmesi,

 Disiplin soruşturmasına ilişkin kişisel verilerin ve kayıtların güvenli şekilde saklanması,

 Çalışanlar hakkındaki asılsız iddiaların, eğer bunların silinmemesi için herhangi bir hukuki sebep

bulunmuyorsa, çalışanların dosyalarından silinmesinin sağlanması.

Kromtel, çalışanların kişisel verilerine sadece disiplin soruşturmasının varlığı sebebiyle keyfi

olarak erişilmesine engel olurlar. Bu kapsamda kişisel verilerin elde edilme amaçlarına uygun

düşmüyorsa veya soruşturma konusunun ciddiyetine göre kişisel verilere erişmek orantısız bir işlem

olarak değerlendiriliyorsa salt disiplin soruşturması nedeniyle çalışanların kişisel verilerine erişilemez.

Soruşturmayı yürütenler, çalışanların kişisel verilerine erişme yetkileri konusunda her soruşturma süreci öncesinde KVK Komitesi tarafından bilgilendirilir.

6.6 Çalışanların İş Faaliyetleriyle Bağlantılı Gerçekleştirdiği Elektronik Haberleşme İşlemlerine

İlişkin Kişisel Verilerin İşlenmesi

6.6.1 Elektronik Haberleşme Araçlarının Kullanımına İlişkin Politika Belirlenmesi

Kromtel tarafından çalışanlara sunulan telefon, faks, e-posta, laptop, internet ve benzeri

elektronik haberleşme araç ve vasıtalarının denetlenmesi söz konusu ise, bu elektronik haberleşme araç

ve vasıtalarının kullanımına ilişkin politika belirlenerek çalışanların bilgisine sunulur. Bu politika

içerisinde, çalışanların belirlenen kurallara aykırı davranması halinde uygulanacak yaptırımlara da yer

verilir.Elektronik haberleşme araçlarının kullanımına ilişkin mevcut politikalar var ise, bu politikaların kişisel verilerin korunması mevzuatı ile diğer ilgili mevzuata uyumluluğu değerlendirilir; politikalar kişisel verilerin korunması mevzuatına uyumlu olacak şekilde revize edilir.

Kromtel elektronik haberleşme araçlarının şahsi kullanımı konusunda kendi politikalarını

belirler. Elektronik haberleşme araçlarının şahsi amaçlarla kullanıma izin verilmesi halinde, izin verilen şahsi kullanım sınırları belirlenir ve çalışana bu sınırlar bildirilir.

Çalışanların, işle ilgili haberleşme içeriklerinin her zaman denetlenebileceğinin farkında olmaları ve bu

konuda bilgilendirilmeleri önem taşır.

6.6.2 Kurumsal Elektronik Posta Kullanımına İlişkin Kişisel Verilerinin İşlenmesi

Kromtel, çalışanların kurumsal e-postalarının kullanımına yönelik faaliyetleriyle alakalı

kişisel verilerini işleyebilir. Bu kişisel veri işleme faaliyetlerinin kapsamı ve amacı konusunda çalışanların açık bir şekilde bilgilendirilmesi esastır. Buna ilaveten bu kişisel veri işleme faaliyetlerinin hukuki niteliği ve kapsamı konusunda mutlaka hukuki değerlendirme yapılır.

6.6.3 İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi

Kromtel, işyerindeki internet kullanımına ilişkin sınırlamalar getirebilir ve bu sınırlamalara

uyulup uyulmadığını denetleyebilir. İnternet kullanımına ilişkin kişisel verilerin işlenmesinde, Kromtel bu kapsamda gerçekleştirilen kişisel veri işleme faaliyetleri hakkında çalışanlarını açık bir şekilde bilgilendirir. Hukuki bir yükümlülüğün yerine getirilmesi için internet kullanımının izlenmesi gerekmekte ise veya ilgili veri işleme KVK Kanunu’nda belirtilen şartlardan bir başkasını karşılıyor ise, çalışanlardan ayrıca açık rıza alınması gerekmez. Ancak bu kişisel verilerin KVK Kanunu’nda belirtilen kişisel veri sahibinin rızasına tabi olmayan kişisel veri işleme şartlarına dayalı amaçlar dışında işlenmesi durumunda ayrıca çalışandan açık rıza alınır.

6.6.4 Elektronik Haberleşme İşlemlerine İlişkin İşlenen Kişisel Verilerin Saklama Süresi

Kromtel, çalışanların iş faaliyetleriyle bağlantılı gerçekleştirdiği elektronik haberleşme

işlemlerine ilişkin kişisel verilerinden hangilerinin saklanacağı ve bu bilgilerin saklanma süresine ilişkin prosedürlerini belirler. Mevzuattan kaynaklanan başka bir yükümlülük mevcut değilse, bu Politika’da belirtilen amaçlarla işlenen kişisel veriler, iş sözleşmesi süresi boyunca ve sözleşmenin bitiminden itibaren gerçekleştirilen faaliyetin niteliğine göre ortaya çıkabilecek hukuki uyuşmazlığın gerektirdiği zamanaşımı süresi boyunca saklanabilir. Bu verilerin saklanmasına izin veren hukuki düzenlemeler dikkate alınarak verilerin saklanma süresi gözden geçirilir. Bu süre istisnai durumların varlığı halinde uzatılabilir. Sürenin uzatılması halinde çalışanlar süre uzatımına, gerekçeye ve saklanan kişisel veri tiplerine ilişkin bilgilendirilir.

6.7 İş Yerinde Güvenlik Kamerası Uygulaması

Kromtel, işyerlerinin güvenliğini sağlamak amacıyla çeşitli noktalara güvenlik kameraları

yerleştirebilmektedir. Bu güvenlik kameralarının görüntü alanlarının tüm işyerini değil; sadece özel risk taşıyan alanları, giriş – çıkış ve benzeri alanları kapsamasına özen gösterilir.

Kromtel, çalışanları güvenlik kamerası ile çekim yapılan, güvenlik kameraları ile izlenen

alanlar ve izlemenin amaçları hakkında bilgilendirmeye özen gösterir.

6.8 Şirket Tarafından Sağlanan Araçların Takibi

Kromtel tarafından çalışanlara araç tahsis edildiği durumlarda; tahsis edilen araçların kat

edilen mesafenin belirlenmesi, akaryakıt kullanımı ölçümü, konum verisinin alınması ve benzeri

amaçlarla takibi yapılabilir. Bu takip ile ilgili çalışanlar önceden bilgilendirilir.

BÖLÜM 7 – ÇALIŞANLARIN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI

7.1 Çalışanların Kanuni Hakları

Çalışanlarımız aşağıda yer alan haklara sahiptirler:

(1) Kişisel veri işlenip işlenmediğini öğrenme,

(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını

öğrenme,

(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve

bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini

gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok

edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere

bildirilmesini isteme,

(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin

kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın

giderilmesini talep etme.

7.2 Çalışanların Kanuni Haklarını Kullanmalarına ilişkin Esaslar

Kromtel, çalışanların kanuni haklarını kullanabilmelerini, gerekli başvuruların

yapılabilmesini ve yapacakları başvurulara en geç 30 gün içerisinde cevap verilmesini sağlayacak her

türlü idari, hukuki ve teknik önlemleri alır ve ilgili süreçleri tasarlayarak bu konuda çalışanları

bilgilendirirler.

Kromtel tarafından kanuni haklarını kullanan çalışanlara verilecek cevaplarda üçüncü

kişilerin kişisel verilerinin ifşa edilmemesi için gereken her türlü özen gösterilir.

BÖLÜM 8 – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI

8.1 Kişisel Veri Paylaşımına İlişkin Genel Kurallar

Kromtel, çalışanların kişisel verilerinin paylaşımına ilişkin iç prosedürlerini belirler. Veri

paylaşım taleplerinin bu konuda yetkin çalışanlarca cevaplanması sağlanır.

Şirket dışından gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta şirketi talepleri gibi) gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır. Şirket dışından gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.

Çalışanların kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin

yurtdışına aktarılmasına ilişkin her türlü idari, hukuki ve teknik önlem alınır.

Çalışanların kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki

yükümlülüğün kapsamına uygun şekilde kişisel veri paylaşımı yapılabilir.

Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla; çalışanların kişisel verileri ancak aşağıdaki şartlardan birisinin varlığı halinde üçüncü kişilere aktarılabilir:

 Veri sahibinin açık rızasının olması,

 Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

 Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu

ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya

rızasına hukuki geçerlilik tanınmıyorsa;

 Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin

taraflarına ait kişisel verinin aktarılması gerekli ise,

 Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise,

 Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,

 Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

 Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ilgili Topluluk

Şirketinin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

8.2 Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma

Çalışanların kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının KVK Kanunu’nda yer alan şartlardan birisine dayalı olması aranır.

Çalışanların, daha önce bilgilendirilmemiş ise, en geç paylaşım anında bu paylaşım ile ilgili olarak

bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı niteliği taşıyorsa ilgili çalışan konuya ilişkin bilgilendirilmez. Rutin olarak gerçekleştirilmeyen çalışanların kişisel verilerinin şirket dışı paylaşım talepleri ve bu kapsamda yapılan paylaşımlar Kromtel tarafından kayıt altına alınabilir. Bu kapsamda asgari olarak paylaşıma onay veren kişi, paylaşım talebinde bulunan kişi, paylaşım gerekçesi, paylaşım tarih ve saati ile paylaşılan veri tipleri kayıt altına alınır. Bu kayıtların düzenli olarak kontrol edilmesi ve incelenmesi sağlanır.

8.3 Kişisel Verilerin Yayınlanması

Kromtel, çalışanların kişisel verilerini ancak aşağıdaki şartlara dikkat ederek

yayınlayabilirler:

 Kişisel verilerin yayınlanması için hukuki bir hak veya yükümlülük bulunması veya çalışanın

yayınlama için açık rıza vermiş olması,

 Kişisel verilerin açıkça elverişsiz olmaması.

Kromtel, kişisel verilerin yayınlanması neticesinde elde edilecek faydalar ile çalışanların

gizliliğinin korunacağına ilişkin beklentileri dengeleyici bir yaklaşım ile hareket ederler.

Yıllık raporlar, yayınlar ya da internet siteleri gibi mecralarda bazı çalışanların isimlerinin ve diğer kişisel verilerin yayınlanması halinde, bu durumlar özel olarak değerlendirilir ve açık rıza alınması gereksinimi olup olmadığı belirlenir. Açık rıza alınması gerektiğine kanaat getirilmesi halinde ilgili çalışanların açık rızası kişisel verilerin yayınlanmasından önce alınır. Açık rıza alınması sırasında paylaşılacak kişisel veri tipleri tek tek çalışana bildirilir.

BÖLÜM 9 – ÇALIŞANLARIN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ

Kromtel, çalışanların kişisel verilerini işlendikleri amaç için gerekli olan süre ve ilgili

faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir.

Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp

öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre

mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha

edilmektedir.

BÖLÜM 10 – KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI

Kromtel, çalışanların kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar

kullanabilirler. Ancak Kromtel dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri almak

zorundadır:

 Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari

güvenlik önlemlerini almış olduklarının kontrol edilmesi,

 Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari

güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,

 Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar da

içeren sözleşme yapılması,

 Kişisel verilerin yurtdışındaki dış hizmet sağlayıcıları,

na gönderilmesi halinde gerekli hukuki, idari

ve teknik önlemlerin alınması.

BÖLÜM 11 – KİŞİSEL VERİLERİN GÜVENLİĞİ

Çalışan verilerinin güvenliğini sağlamak için Kromtel gereken tüm makul önlemleri alır.

Alınan önlemler yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır.

Kromtel, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme faaliyetleri

için şirket içinde sorumlu çalışanlar tayin eder. Çalışanların bu kapsamda kişisel veri işleme faaliyetinden sorumlu olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda Kromtel, mevcut durumda bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırır veya sınırlar. Çalışanların kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri alınır. Bu kapsamda ayrıca erişim yetkili kişilerin gereksiz yere geniş yetki sahibi olması engellenir.

Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak

denetim izi gibi önlemler alınır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilir

ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulur.

Çalışanların kişisel verilerine erişimi olan diğer çalışanların gerekli güvenlik kontrollerinden geçirilmeleri esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır.

Çalışanlara ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde

gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanır.

BÖLÜM 12 – ÇALIŞANLARIN İŞYERİNDE GERÇEKLEŞTİRDİĞİ FAALİYETLERE İLİŞKİN KİŞİSEL VERİLERİN İŞLENMESİ

Bu bölüm altında çalışanların ilgili şirketimiz faaliyetlerinin yürütülmesi esnasında

gerçekleştirdikleri işlemler özelinde, hangi kişisel verilerinin işlenebileceğine ilişkin (iletişim, araç

kullanımı vb.) hususlar ile bu konuda Kromtel tarafından uyulması gereken esaslar

detaylandırılmaktadır.

12.1 Çalışanların Hangi Amaçlarla Hangi İş Faaliyetleri Özelinde Kişisel Verilerinin

İşleneceğinin Belirlenmesi

Kromtel, çalışanların hangi iş faaliyetleri özelinde ve hangi amaçlarla kişisel verilerini

işlediklerini (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile izleme gibi) tespit eder ve kişisel

verilerin işlenme amaçları ile sağlanmak istenen sonuca uygun olacak kişisel veri işleme yöntemlerini

belirlerler. Kromtel kendi bünyelerinde gerçekleştirecekleri değerlendirme sonucu, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme amaçlarının veya yöntemlerinin kişisel verilerin korunması kurallarına uygunluğunu sağlar.

Kromtel, çalışanların iş faaliyetleri özelinde gerçekleştirilecek kişisel veri işleme

faaliyetlerinde görevli çalışanlarını kişisel verilerin korunması ve konuya ilişkin diğer mevzuat, ilgili

mevzuat kapsamında dikkat edilmesi gereken hususlar ve ilgili  mevzuattan

kaynaklanan yükümlülükleri konusunda bilgilendirilir. Bu faaliyetler neticesinde elde edilen kişisel

verilere erişimi olan çalışanlar ile yapılan sözleşmelere ilave gizlilik ve güvenlik yükümlülükleri eklenir

veya bu kişiler tarafından gizlilik politikaları/taahhütnameleri imzalanması sağlanır.

12.2 Çalışanların İş Faaliyetlerine ilişkin ilgili Şirketimizin Kişisel Veri İşleme Faaliyetleri Hakkında Bilgilendirilmesi

Kromtel, çalışanları; işle ilgili gerçekleştirmiş olduğu faaliyetleri kapsamında ne şekilde bir

kişisel veri işleme faaliyetinde bulundukları (e-mail kontrolü, araç takip cihazları kullanımı, kamera ile

izleme gibi), bu kişisel verilerin işlenme amaçları ve prosedürleri hakkında bilgilendirir.

Kromtel; iş saatleri içerisinde iş ve işyeri kurallarına uygun davranılıp davranılmadığının ve

çalışanın görevlerini gereği gibi yerine getirip getirmediğinin tespiti ve işyeri ortamında huzur ve düzeni

bozacak hareketler yapılıp yapılmadığının takibi ve benzeri amaçlarla çalışanın kişisel verilerini

işlemekteyse ilgili çalışanları açıkça ve detaylı olarak bilgilendirmesi gerekir.

Çalışanların kendi iş faaliyetleriyle ilgili işvereni tarafından hangi kişisel veri işleme faaliyetleri

yürüttüğünden haberdar edilmeleri ve farkındalık oluşması için Kromtel nezdinde, çalışma

ortamının doğasına uygun olarak uyarılar yerleştirilir.

12.3 Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen Kişisel

Verilerin Başka Amaçlarla Kullanılması

Çalışanların iş faaliyetleriyle ilişkili işlenen kişisel verileri, KVK Kanunu’nun 5. maddesinde belirtilen

şartlara ve 4. maddesinde öngörülen kişisel verilerin işlenmesi ilkelerine uygun olarak, hukuka uygun

başka amaçlar için de işlenebilir. Bu amaçların neler olduğu konusunda da çalışanlar, uygun usullerle

Kromtel tarafından bilgilendirilir.

12.4 Çalışanların İş Faaliyetlerine ilişkin Kişisel Veri İşlenmesi Sonucunda Elde Edilen

Bilgilere Karşı Çalışanlar’a Savunma Hakkı Verilmesi

Çalışanların iş faaliyetlerine ilişkin kişisel verilerinin işlenmesi sonucunda elde edilen veriler üzerinden

bir çalışan aleyhinde şikayet prosedürü veya disiplin süreci başlatılmadan önce, çalışanlara elde edilmiş

verileri görme, bu veriler hakkında açıklamada bulunma ve savunma hakkı verilir.

BÖLÜM 13 – KİŞİSEL VERİLERİN KATEGORİZASYONU

İşbu Politika kapsamında,www.kromtel.com adresinde yer alan Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen kişisel veri kategorizasyonlarına ek olarak çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.

KİŞİSEL VERİ KATEGORİZASYONU

Çalışan Bilgisi

Çalışanların istihdamları süresince Şirketin ve çalışanların ticari ve hukuki güvenliğinin sağlanması amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler( araç bilgisi, eğitim bilgisi, medeni durum bilgisi, referans bilgisi dahil).

Çalışan Adayı Bilgisi

Çalışan adaylarının işe alım süreçlerinde uygun pozisyon için değerlendirilebilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (askerlik durum bilgisi, eğitim bilgisi, referans bilgisi dahil).

Performans ve Kariyer

Gelişim Bilgisi

Kromtel’nin çalışanlarının performanslarının ölçülmesi ile kariyer gelişimlerinin Şirketimizin insan kaynakları politikası kapsamında planlanması ve yürütülmesi ve söz konusu faaliyetlerin denetimi amacıyla işlenen kişisel veriler.

Yan Hak ve Menfaat Bilgisi

Çalışanlara sunulan yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin sağlanması ile çalışan memnuniyeti ve bağlılığı amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler (sigorta bilgisi dahil).

Özlük Bilgisi

Kromtelile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik ve Topluluk insan kaynakları politikalarının oluşturulması, iyileştirilmesi, icrası ve bu faaliyetlerin denetimi kapsamında işlenen her türlü kişisel veri.