Privacy Policy
1. INTRODUCTION
Within the framework of this Personal Data Protection and Processing Policy (“Policy”), Call Center Resources Danışmanlık A.Ş. (Hereinafter referred to as “CCR A.Ş.”) and the principles adopted in the execution of personal data processing activities carried out by CCR A.Ş. The basic principles adopted in terms of compliance of data processing activities with the regulations in the Personal Data Protection Law No. 6698 (“Law”) are explained and thus inform personal data owners about the legal provisions and general principles adopted by our Company.
Your personal data is processed within the scope of this Policy and is protected at a reasonable level.
2. POLITICAL OBJECTIVE
The main purpose of this Policy is to ensure that CCR A.Ş. To reveal the principles regarding the personal data processing activities carried out in accordance with the law and the protection of personal data, and in this context to ensure transparency by enlightening and informing the persons whose personal data are processed by our company.
3. KAPSAMI POLITICIAN
This Policy; CCR Inc. Regarding your personal data processed by us; The principles and principles of processing personal data and personal health data, the purposes and conditions of processing of these data, their transfer at home and abroad, their destruction, and the practices and principles regarding your rights on the processed data are informed to you below.
4. ACCESS AND UPDATE
The policy is published on our Company’s website and made available to relevant persons upon the request of personal data owners and updated when necessary. (Your personal data that we collect and process must be accurate and, when necessary, up-to-date in accordance with Article 4 of the Personal Data Processing Law No. 6698. Therefore, if any changes occur in your personal data, you can report your current and accurate personal information through the methods described in the Information Text on our website. .)
Our company reserves the right to make changes to the Policy in parallel with legal regulations.
In case of conflict between the current legislation, especially the Law, and the regulations contained in this Policy, the provisions of the legislation shall apply.
5. DEFINITIONS
The definitions used in this Policy are listed below:
| Explicit consent | Consent regarding a specific issue, based on information and expressed with free will |
| anonymise | Making personal data impossible to associate with an identified or identifiable natural person in any way, even by matching it with other data |
| Personal data | Any information regarding an identified or identifiable natural person |
| Processing of personal data | Obtaining, recording, storing, preserving, changing, rearranging, disclosing, transferring, taking over, making available, classifying or using personal data by fully or partially automatic or non-automatic means provided that it is part of any data recording system. Any action performed on data, such as blocking |
| KVK Law | Personal Data Protection Law No. 6698 |
| KVK Board | Personal Data Protection Board |
| KVK Institution | Personal Data Protection Authority |
| Special personal data | Data regarding people’s race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and dress, association, foundation or union membership, health, sexual life, criminal conviction and security measures, as well as biometric and genetic data |
| Data owner | The real person whose personal data is processed and who is considered as the “relevant person” in the KVK Law |
| Data controller | Natural or legal person who determines the purposes and means of processing personal data and is responsible for establishing and managing the data recording system |
| Data Processor | Natural or legal person who processes personal data on behalf of the data controller, based on the authority given by the data controller |
| Data Controllers Registry | Data controllers registry (VERBİS) kept by the Presidency under the supervision of the Personal Data Protection Board |
| Data Inventory | Personal data processing activities carried out by CCR A.Ş. depending on its business processes; The inventory created and detailed by associating it with the personal data processing purposes, the recipient group to which the personal data is transferred, and the relevant personal data owner group. |
6. PERSONAL DATA INVENTORY AND CLASSIFICATION OF PERSONAL DATA
CCR Inc. before; In line with CCR A.Ş.’s legitimate and lawful personal data processing purposes, based on and limited to one or more of the personal data processing conditions specified in Article 5 of the KVK Law, especially the principles specified in Article 4 regarding the processing of personal data. , by complying with the general principles specified in the KVK Law and all obligations regulated in the KVK Law and personal data owners within the scope of this Policy (Product and Service Receiver, Potential Product and Service Buyer, Employees, Employee Candidates, Supplier Employees, Supplier Officials, Shareholders/ (including but not limited to: Partner, Employee Relative, Reference Person);
- Fulfilling the requirements of the commercial activities carried out by our company and ensuring that the relevant persons benefit from the products and services offered by our company through the performance of the service,
- Performing the necessary work by the relevant business units of our company and carrying out the related business processes and preparing reports,
- Determination of our company’s commercial, operational and business strategies; determining suitable products, projects and services,
- Evaluation of requests and complaints,
- Conducting marketing analysis studies,
- Execution of customer relationship management processes,
- Ensuring the legal and commercial security of third parties who have a business relationship with our company and the products and services offered by our company, monitoring legal processes and establishing, exercising and protecting the rights arising from the legislation,
- Ensuring that our company activities are carried out in accordance with company procedures or relevant legislation,
- Execution of work carried out with our business partners in sectors that vary depending on needs and management of reference relationships,
- To fulfill the information sharing, reporting and notification obligations stipulated by public institutions and all authorities,
- To fulfill the information and document storage obligations arising from legal legislation,
- To conduct our finance, communication, market research and purchasing operations,
- To manage our legal processes and to provide you with uninterrupted, better and more reliable service, it will be processed within the scope of the personal data processing conditions and purposes specified in Articles 5 and 6 of Law No. 6698.
CCR A.Ş. has created a personal data inventory in accordance with the Data Controllers Registry Regulation issued by the Personal Data Protection Authority. This data inventory includes data categories, data source, data processing purposes, data processing process, recipient groups to which data is transferred and storage periods.
In this context, CCR A.Ş. includes, but is not limited to, the following types of data categories;
··
| Identity Information | Information written on your ID card including but not limited to name, surname, mother’s name, father’s name, place of birth, date of birth, marital status, religion, blood type, registered province, district and neighborhood. |
| Contact Information | Communication data requested from you or provided by you so that we can contact you, such as home phone number, mobile phone number, residence address or other address information, e-mail address. Voice call records kept by customer representatives or call center standards. |
| Personal Information | · Copy of ID card, · Population registration sample, · Residence Certificate, · Health report, · Copy of diploma, · Criminal record, · Passport photo, · Document indicating family status, · Military status document, · Employment Contract / Service Contract, · SGK employment entry declaration, · Your criminal record (criminal record), · Information and documents regarding your health status. |
| Professional Experience | · Diploma information, places attended courses, in-service training information, certificates, etc. |
| Bank Account Information (Finance) | · Bank account number, IBAN number, other information regarding the bank card. |
| CV Information | · Your education information written in your CV or requested by CCR A.Ş. or provided by you, school information regarding your education, certificate information, information about your education status and education, · Your education information written in your CV or requested by CCR A.Ş. Information about the place, date and duration of your work experience requested by or provided by you, information about your previous job and position, all kinds of information about your work experience, · Your photograph written in your resume or requested by CCR A.Ş. or provided by you, · Your driver’s license written in your resume or requested by CCR A.Ş. or provided by you and the information written on your driver’s license, · Your resume or requested by CCR A.Ş. Your references and information regarding your references requested by or provided by you (title and position information of the reference person, contact information, etc.) |
| Physical Space Security (Visitor Information) | · Camera recording information, |
| Health Data | All kinds of health information and data obtained while creating the personnel file (information regarding disability status, blood group information, personal health information,) |
| Criminal Conviction Data | Data obtained while creating the personnel file with criminal record document |
| Transaction Security | · IP address information, website login and logout information, password and passcode information, etc. |
| Customer Transaction | · Invoice, promissory note, check information, information on teller receipts, order information, request information, etc. |
| Legal Transaction | · Information in correspondence with judicial authorities, information in the case file, etc. |
| Marketing | · Past service information, survey, cookie records, information obtained through campaign work. |
| Biometric Data | · Fingerprint Information |
| Other | · Educational status of the employee’s relative during the AGI process, the employee candidate’s hobbies, information about smoking and alcohol use during the OHS process, and signature on the signature circular. |
7. GENERAL PRINCIPLES ON PROCESSING PERSONAL DATA
Compliance with Law
Our Company carries out its personal data processing activities in accordance with the law and the rules of honesty, in accordance with the Constitution, the Personal Data Protection Law and the relevant legislation. In this context, our Company determines the legal bases that will require the processing of personal data and carries out the process, takes into account the requirements of proportionality, does not use personal data for purposes other than those required, and does not process without the knowledge of the individuals.
Data is Accurate and Up-to-date when Necessary
Our company ensures that the personal data it processes is accurate and up-to-date, taking into account the fundamental rights of personal data owners and their own legitimate interests, and takes the necessary measures in this regard. In this context, data on all categories of persons is tried to be kept up-to-date, and all administrative and technical measures are taken to ensure accuracy and up-to-dateness.
Specific, Legitimate and Clear Purpose
Our company processes personal data only for clearly and precisely determined legitimate purposes and does not engage in data processing activities other than these purposes. The purpose for which personal data will be processed by our company is determined prior to the processing activity and is recorded in the “Personal Data Inventory”.
Data must be related, limited and proportionate to the purpose for which they are processed
Our company processes personal data to the extent necessary to achieve the specified purposes. Data processing is not carried out with the assumption that it can be used later. In this context, processes are constantly reviewed and the principle of reducing personal data is tried to be implemented.
Keeping Personal Data for as Long as Necessary and Deleting It Thereafter
Our Company stores personal data only for the period specified in the relevant legislation or required for the purpose for which they are processed. In this context, our Company first determines whether a period is stipulated in the relevant legislation for the storage of personal data, if a period is specified, it acts in accordance with this period, takes into account the legal and criminal statute of limitations in this context and stores personal data for the period required for the purpose for which they are processed. In the event that the period expires or the reasons requiring processing are eliminated, personal data is deleted, destroyed or anonymized in accordance with our Company’s “Data Destruction Policy”.
8. CONDITIONS FOR PROCESSING PERSONAL DATA
Personal data may only be collected, processed or used within the scope of the legal bases set out below.
Explicit Consent
In Article 3 of the Law, explicit consent is defined as “consent based on information and expressed with free will regarding a specific subject”. In addition, in Article 20, paragraph 3 of the Constitution, it is stipulated that personal data can only be processed in cases stipulated by law or with the explicit consent of the person. In Law No. 6698, explicit consent is foreseen as the fundamental reason for legal compliance with both special personal data and non-special personal data. Accordingly, the Law, respectively,
- Article 5, paragraph 1: “Personal data cannot be processed without the explicit consent of the relevant person”,
- Article 6, paragraph 2: “Processing of special personal data without the explicit consent of the relevant person is prohibited”,
- Article 8, paragraph 1: “Personal data cannot be transferred without the explicit consent of the relevant person”,
- Article 9, paragraph 1: “Personal data cannot be transferred abroad without the explicit consent of the relevant person”
regulations are included, and our company processes personal data by obtaining explicit consents that are freely expressed and provably obtained (written, electronic or recorded verbally). In the case of processing of special personal data, explicit consents will be obtained in writing when necessary.
Process managers who process personal data are obliged to ensure the existence and validity of the explicit consent of the relevant data owner while collecting the personal data they process. If it is determined that there is no explicit consent (except for the exceptions below), data processing will not be carried out.
Processing of Personal Data Without Explicit Consent
If one of the following conditions is met, it is possible to process personal data without the explicit consent of the relevant person:
8.2.1 It is clearly provided for in the laws,
8.2.2 It is necessary for the protection of the life or physical integrity of the person who is unable to give his consent due to a de facto impossibility or whose consent is not legally valid, or of another person,
8.2.3 It is necessary to process personal data belonging to the parties to a contract, provided that it is directly related to the establishment or performance of a contract.
8.2.4 It is necessary for the data controller to fulfill its legal obligation,
8.2.5 It is made public by the data owner,
8.2.6 Data processing is necessary for the establishment, exercise or protection of a right,
8.2.7 Data processing is necessary for the legitimate interests of the data controller, provided that it does not harm the fundamental rights and freedoms of the data owner,
In such cases, it can be processed without explicit consent.
Processing of Special Personal Data
Our company shows special sensitivity in the processing of special personal data, the protection of which is believed to be more critical for data owners in various respects. In this context, such data is not processed without the explicit consent of the data owners, provided that sufficient measures determined by the Board are taken. However, special personal data, other than data related to health and sexual life, may be processed without the explicit consent of the data owner in cases stipulated by law. However, data related to health and sexual life may be processed without the explicit consent of the data owner, provided that sufficient measures are taken and in the presence of the following reasons:
The KVKK Committee will be informed in every case where special personal data needs to be processed.
9. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verileriniz, şirketimiz tarafından hukuka ve dürüstlük kurallarına uygun olarak, doğru ve gerektiğinde güncel, belirli, net ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun bir şekilde işlenir.
Kişisel verileriniz; şirketimiz faaliyetlerini ve iş süreçlerini devam ettirmek için yurtiçi ve/veya yurtdışında bulunan ve işbirliği yaptığımız iş ortaklarımıza, hissedarlarımıza, şirketimizin danışmanları, ya da çözüm ortakları, tedarikçilerimize, sigorta şirketlerimize, noter, banka ve finans kuruluşlarına, hukuk, mali müşavirlik, vergi vb. benzeri alanlarda destek aldığımız danışmanlık firmalarımıza, kanunen yetkili kamu kurumlarına ve özel kişilere, şirketimiz adına kişisel veri işleyen yurt içi ve/veya yurt dışında depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, CRM yazılım, bulut bilişim vb.) vs. alanlarında destek aldığımız hizmet sağlayıcılarımıza, 6698 sayılı Kanun’un 8. ve 9. Maddelerinde belirtilen kişisel veri işleme şartları ve yukarda belirtilen amaçlar çerçevesinde aktarılabilecektir.
Kişisel Verilerin Yurt İçinde Aktarımı ;
KVK Kanunu’nun 8. maddesine uygun olarak, kişisel verilerin yurt içinde aktarımı işbu Politika’nın “Kişisel Verilerin İşlenme Şartları” başlıklı 8. bölümünde belirtilen (işleme şartları) koşullardan birinin sağlanmış olması kaydıyla mümkün olacaktır.
Kişisel Verilerin Yurt Dışında Aktarımı;
KVK Kanunu’nun 9. maddesine uygun olarak, kişisel verilerin açık rıza olmaksızın yurt dışına aktarılması halinde, yurt içi aktarımlarına ilişkin koşulların sağlanmış olmasının yanı sıra aşağıdaki hususlardan birinin varlığı aranmaktadır:
Aktarım yapılacak ülkenin Kurul tarafından ilân edilen yeterli korumaya sahip ülkeler arasında sayılması ,
veya
Aktarım yapılacak ülkede yeterli korumanın bulunmaması halinde, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması.
Firmamızda özel nitelikli veriler yurt dışına aktarılmamaktadır.
İLGİLİ KİŞİLERİN HAKLARI
CCR A.Ş. kişisel verisini işlediği ilgili kişilerin aşağıda belirtilen haklar kapsamındaki taleplerine 30 gün içinde cevap verecektir:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
- Veri sahipleri, kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle internet sitesinde yer alan KVKK başvuru formu ile yukarda belirtilen haklar kapsamında başvuruda bulunabilirler.
GİZLİLİK ve VERİ GÜVENLİĞİ TEDBİRLERİ ;
CCR A.Ş. içerisinde işlenen kişisel verilerin tamamı gizli olup, Kanunun 12. Maddesinde belirtilen ;
- a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c) Kişisel verilerin muhafazasını sağlamak,
amacına uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan Teknik Tedbirler
CCR A.Ş. kişisel verilerinizi korumak amacıyla her türlü teknik, teknolojik güvenlik önlemlerini almış ve olası risklere karşı kişisel verilerinizi korumaktadır. Örneğin;
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Sızma testi yapılmaktadır.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır. Kişisel veri içeren sistemlere kullanıcı adı ve şifre kullanılmak suretiyle erişim sağlanmaktadır.
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan İdari Tedbirler
Kuruluş içerisinde bilgi güvenliği operasyonu ve uygulamasının başlatılması ve kontrol edilmesi amacıyla bir yönetim çerçevesi kurulmuştur.
- KVKK Komitesi ve İrtibat kişisi atanmış ve görev tanımları belirlenmiştir.
- KVKK Başvuru kanalları belirlenmiştir.
- İhlal, talep/şikayet yönetim iş akışları belirlenmiştir.
Kişisel verilerin işlenmesi ve korunmasına ilişkin Ana Esaslar, politika ve prosedürler belirlenmiştir.
- Veri İşleme ve Saklama Politikası Oluşturulmuştur.
-
- Kişisel Verilerin İşlenmesi ve Korunması Politikası Oluşturulmuştur.
- Özel Nitelikli Kişisel Veri Güvenliğine Yönelik Politika Oluşturulmuştur.
- İşlenen kişisel veriler kapsamında mevcut risk ve tehditler belirlenmiştir.
- Çalışanlar için kişisel veri güvenliği konusunda eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanların ve yüklenicilerin bilgi güvenliği sorumluluklarının farkında olmaları ve yerine getirmelerini temin etmek üzere veri güvenliğine ilişkin rol ve sorumluluklar ile görev tanımları belirlenmiştir.
- Çalışanlar için güvenlik politika, ana esaslar ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci mevcuttur.
- Gizlilik taahhütnameleri yapılmaktadır.
- Çalışan, müşteri, tedarikçi vs. için aydınlatma metni yayımlanmıştır.
- Açık rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir.
- İşleme amacı bakımından anılan kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.
- Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmek üzere çalışanlar tarafında gerekli önlemler alınmaktadır.
Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede (Maksimum 72 saatte) ilgili veri sahibine ve Kurul’a bildirecektir.
MİSAFİRLERİMİZE YÖNELİK YÜRÜTÜLEN VERİ İŞLEME FAALİYETLERİ ;
- CCR A.Ş. tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla; CCR A.Ş. tarafından ofis, bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmekte olup, log kayıtları saklanmaktadır.
- CCR A.Ş. tarafından güvenliğin sağlanması amacıyla, CCR A.Ş. binalarında güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Mahremiyetin yüksek olduğu yerlerde görüntüleme yapılmamaktadır.
Türk Ceza Kanunu’nun 138. Maddesinde, KVK Kanunu’nun 7. Maddesinde ve Kurum tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi hakkında yönetmelik” uyarınca; ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde CCR A.Ş.’nin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. CCR A.Ş. bu konuda yönetmelik hükümlerine göre bir Politika oluşturmuş ve bu Politika uyarınca verinin niteliğine göre imha yapılmaktadır. Bu yönetmelik uyarınca CCR A.Ş. tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
YÜRÜTME
İşbu Politika’nın yürütülmesinden CCR A.Ş. tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini sağlamak için yönetim yapısı kurulmuştur.
POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika 04.02.2021 tarihinde yürürlüğe girmiş, 07.01.2022 tarihinde güncellenmiştir.
