GÜLERMAK Ağır Sanayi İnşaat ve Taahhüt A.Ş.

Privacy Policy

Gülermak pay great attention to lawful, fair and transparent processing of data and respect everyone's fundamental right to privacy. By applying appropriate technical and organisational measures, we make every effort to ensure that processing is carried out in a manner that ensures adequate security of personal data, including protection against unauthorised or unlawful processing as well as accidental loss, destruction or damage of personal data.

Acting in the implementation of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (hereinafter: GDPR), we would like to inform you how we process your personal data.

CONTROLLER AND JOINT CONTROLLERS

The controller of your personal data or, depending on the situation, the joint controller of your data, will be the company of Gülermak Group with which you exchange correspondence, or with which you have a business relationship, take steps to enter into a contract or perform a contract that is already signed.

Gülermak Group companies

Data Controller name	Registration information
Gülermak sp. z o.o.	ul. Giełdowa 7/9, 01-211 Warszawa
Gülermak Ağır Sanayi İnşaat ve Taahhüt Anonim Şirketi conducting its business in Europe through:	Konya Devlet Yolu 23KM., 111, 06830 Gölbaşı, Ankara, Turcja
Gülermak Agir Sanayi Insaat Ve Taahhut Anonim Sirketi S.A. Oddział w Polsce (branch in Poland) Gülermak Swedish Filial	ul. Giełdowa 7/9, 01-211 Warszawa Kungsgatan 60 1TR , 111 22 Sztokholm, Szwecja

Data controllers on each project:

Name of the project and Data Controller	Registration information
Poznań Tram: Partners of GLM Tramwaj Gülermak Ağır Sanayi İnşaat ve Taahhüt A.Ş. Gülermak sp. z o.o. Mosty Łódź S.A. spółka cywilna; ➢ Gülermak Ağır Sanayi İnşaat ve Taahüt A.Ş spółka akcyjna Oddział w Polsce, ➢ Mosty Łódź S.A. with its registered office in Łódź (Poland), ul. Bratysławska 52, 94-112 Łódź, ➢ Gülermak sp. z o.o. with its registered office in Warsaw (Poland);	ul. Wilczak 49, 61-623 Poznań
S52 expressway project: Partners of GLM Kraków Gülermak Ağır Sanayi İnşaat ve Taahhüt A.Ş. Gülermak sp. z o.o. Mosty Łódź S.A. spółka cywilna; ➢ Gülermak Ağır Sanayi İnşaat ve Taahüt A.Ş spółka akcyjna Oddział w Polsce, ➢ Mosty Łódź S.A., ➢ Gülermak sp. z o.o.	ul. Jęczmienna (róg ul. na Zielonki), 31-268 Kraków
Tramwaj PPP Kraków PPP Solutions Polska 2 sp. z o.o.	ul. Giełdowa 7/9, 01-211 Warszawa

The above-mentioned companies may process personal data in a joint control model.

DATA PROTECTION OFFICER

For matters related to the protection of personal data, you may contact Data Protection Officer Anna Dmochowska via post at the above-mentioned addresses of the registered offices of Gülermak companies or via e-mail at gdpr@gulermak.com, which is also the contact point of the joint controllers.

BASIS AND PURPOSE OF PERSONAL DATA PROCESSING

We process your personal data in connection with the exchange of correspondence with you, our business relationship or in relation to actions aimed at entering into a contract or performing an already concluded one. The data may be collected directly from you or from the company you represent or by which you have been designated to take part in the performance of the contract.

Purpose of processing	Legal basis of processing	Duration of processing
The process of personal data processing related to actions aimed at entering into or performing a contract. The process may involve processing of the data of parties to the contract as well as representatives of the parties and persons assigned to the performance of signed contracts.	Article 6(1)(b) of the GDPR - in case of persons who are or are going to be a party to a contract. Article 6(1)(f) of the GDPR - in case of persons who are not a party to a contract, but were designated by such a party to represent it or perform the contract.	The data will be processed for the term of the contract, and, after its termination, for the period necessary to fulfil obligations imposed on the data controller under generally applicable laws and regulations (i.e., among other things, pursuant to accounting regulations, accounting data will be retained for 5 years starting from the end of the calendar year in which the tax obligation was updated, and, in terms of limitation, unless a special regulation stipulates otherwise, the limitation period is 6 years, and in the case of claims related to periodically performed services and the running of a business - 3 years).
Correspondence exchange process	Article 6(1)(f) of the GDPR - when the legitimate interest pursued by the controller is to carry out correspondence relating to the controller's business.	Personal data will be processed for the duration of the exchange of correspondence and cooperation, and, after it ends, for one year from the last contact and the end of cooperation.
Legal services (including establishing, exercising or defending legal claims)	Article 6(1)(f) of the GDPR, which relates to the legitimate interest of the data controller.	Data will be processed for this purpose until any possible legal claims become time barred.
Fulfilment of legal obligations imposed on the controller concerning the keeping of accounts and accounting records, including archiving documents	Article 6(1)(c) of the GDPR - processing is necessary for the fulfilment of a legal obligation imposed on the controller.	Data is processed for the periods prescribed by law, including the Accounting Act. As a rule, accounting documents are kept for 5 years after the end of the year in which the event in connection with which the accounting document was issued occurred.

RIGHTS OF DATA SUBJECTS

In situations provided for by law, data subjects have the right to:

· ➢ access their personal data in accordance with Article 15 of the GDPR,

· ➢ rectify personal data in accordance with Article 16 of the GDPR,

· ➢ erase personal data in accordance with Article 17 of the GDPR,

· ➢ restrict the processing of personal data in accordance with Article 18 of the GDPR,

· ➢ data portability in accordance with Article 20 of the GDPR,

· ➢ withdraw the consent at any time without affecting the lawfulness of the processing that was carried out before the withdrawal.

What is more, pursuant to Article 21 of the GDPR, data subjects have the right to object on grounds relating to their particular situation to processing which is carried out on the basis of Article 6(1)(f) of the GDPR (i.e. in connection with the legitimate interest of the controller or a third party).

A data subject is also entitled to lodge a complaint with the President of the Personal Data Protection Office, if, in their opinion, the processing of the personal data violates the provisions of the GDPR.

IS IT NECESSARY TO PROVIDE DATA?

In case the data subject is a party to a contract, the provision of personal data is a condition for the conclusion of such a contract and its performance as well as for the fulfilment of legal obligations.

In the situation where the legal basis for the processing of personal data is a consent, the provision of personal data is voluntary. The provision of personal data is also voluntary when the data is used for the purpose of performance of a contract or contacting or corresponding with the representatives of a party to such a contract in matters related to its performance, however, without providing such data this purpose cannot be fulfilled.

DATA TRANSFER OUTSIDE THE EU

Personal data may be transferred to third countries pursuant to Art. 45 or Art. 46 of the GDPR or in case any of the exceptions stipulated in Art. 49(1) of the GDPR is applicable. In particular, the data may be transferred to Turkey under standard contractual clauses. Information about the safeguards used in the case of transferring the data to a third party and a copy of the transferred data can be obtained at the above-mentioned e-mail address. In connection with the transfer of your data outside the EEA, we verify whether Partners guarantee a high level of personal data protection.

RECIPIENTS OF PERSONAL DATA

Personal data may be transferred to other entities, so-called “recipients of personal data”, namely:

· ➢ entities providing postal or courier services;

· ➢ banks – to settle the Contract, etc.;

· ➢ state authorities or other entities authorized under the law – in order to fulfil binding obligations (Tax Office, Police, etc.);

· ➢ entities processing personal data by order of the controller, inter alia, entities providing legal assistance, accounting, IT, tax or advisory services – with such entities processing data on the basis of a contract with the controller and exclusively in accordance with the controller's instructions;

· ➢ Gülermak Group entities for internal administrative purposes.

PROFILING

The controller does not use automated decision making, including profiling, which is referred to in Art. 22(1,4) of the GDPR.

Polityka prywatności

POLITYKA PRYWATNOŚCI

Gülermak przywiązuje ogromną wagę do przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty oraz szanuje podstawowe prawo każdego człowieka do zachowania prywatności. Stosując odpowiednie środki techniczne i organizacyjne dokładamy wszelkich starań, aby przetwarzanie odbywało się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem danych osobowych.

Działając w wykonaniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L 2016, Nr 119, str.1) (dalej: RODO) pragniemy poinformować, jak przetwarzamy Państwa dane osobowe.

ADMINISTRATOR I WSPÓŁADMINISTRATOR DANYCH OSOBOWYCH

Administratorem danych osobowych lub w zależności od stanu faktycznego współadministratorem danych, będzie podmiot z grupy Gülermak, z którym prowadzisz korespondencję, lub z którym łączy Cię współpraca, działania zmierzające do zawarcia umowy lub realizacja umowy już zawartej.

Spółki Grupy Gülermak

Nazwa Administratora Danych	Dane rejestrowe
Gülermak sp. z o.o.	ul. Giełdowa 7/9, 01-211 Warszawa
Gülermak Ağır Sanayi İnşaat ve Taahhüt Anonim Şirketi prowadząca działalność w Europie poprzez:	Konya Devlet Yolu 23KM., 111, 06830 Gölbaşı, Ankara, Turcja
Gülermak Agir Sanayi Insaat Ve Taahhut Anonim Sirketi S.A. Oddział w Polsce Gülermak Swedish Filial	ul. Giełdowa 7/9, 01-211 Warszawa Kungsgatan 60 1TR , 111 22 Sztokholm, Szwecja

Administratorzy danych na poszczególnych projektach:

Nazwa projektu i Administratora Danych	Dane rejestrowe
Tramwaj Poznań: Wspólnicy spółki cywilnej GLM Tramwaj Gülermak Ağır Sanayi İnşaat ve Taahhüt A.Ş. Gülermak sp. z o.o. Mosty Łódź S.A. spółka cywilna; ➢ Gülermak Ağır Sanayi İnşaat ve Taahüt A.Ş spółka akcyjna Oddział w Polsce, ➢ Mosty Łódź S.A. z siedzibą w Łodzi (ul. Bratysławska 52, 94-112 Łódź), ➢ Gülermak sp. z o.o.	ul. Wilczak 49, 61-623 Poznań
Projekt drogi ekspresowej S52: Wspólnicy spółki cywilnej GLM Kraków Gülermak Ağır Sanayi İnşaat ve Taahhüt A.Ş. Gülermak sp. z o.o. Mosty Łódź S.A. spółka cywilna; ➢ Gülermak Ağır Sanayi İnşaat ve Taahüt A.Ş spółka akcyjna Oddział w Polsce, ➢ Mosty Łódź S.A., ➢ Gülermak sp. z o.o.	ul. Jęczmienna (róg ul. na Zielonki), 31-268 Kraków
Tramwaj PPP Kraków PPP Solutions Polska 2 sp. z o.o.	ul. Giełdowa 7/9, 01-211 Warszawa

Powyższe podmioty mogą przetwarzać dane osobowe w modelu współadministrowania.

INSPEKTOR OCHRONY DANYCH

W sprawach związanych z ochroną danych osobowych można się skontaktować z Inspektorem Ochrony Danych Anną Dmochowska korespondencyjnie na wyżej wskazane adresy siedzib spółek Gülermak lub drogą e-mail na adres: gdpr@gulermak.com, który również stanowi punkt kontaktu współadministratorów.

PODSTAWA I CEL PRZETWARZANIA DANYCH OSOBOWYCH

Przetwarzamy Twoje dane, w związku z prowadzoną z Tobą korespondencją, łączącą nas współpracą lub w nawiązaniu do działań zmierzających do zawarcia umowy bądź realizacji zawartej już umowy. Dane mogły zostać pozyskane bezpośrednio od Ciebie lub podmiotu, którego reprezentujesz lub przez który zostałeś wskazany do realizacji umowy.

Cel przetwarzania	Podstawa prawna przetwarzania	Czas przetwarzania
Proces przetwarzania danych osobowych związany z działaniami zmierzającymi do zawarcia umowy lub jej realizacji. W procesie mogą być przetwarzane dane stron umowy jak i przedstawicieli kontrahentów oraz osób dedykowanych do wykonania zawartych umów.	Art. 6 ust. 1 lit. b RODO w przypadku osób, które są lub mają być stroną umowy. Art. 6 ust. 1 lit. f RODO w przypadku osób nie będącą stroną umowy, ale wskazanych z ramienia takiej strony do jej reprezentacji jak i realizacji umowy.	Dane będą przetwarzane przez czas obowiązywania umowy a po jej zakończeniu przez okres niezbędny do wypełnienia obowiązków nałożonych na administratora danych na mocy powszechnie obowiązujących przepisów prawa (tj. m.in. dane rachunkowe przechowywane będą na podstawie przepisów o rachunkowości przez 5 lat od zakończenia roku kalendarzowego w którym zaktualizował się obowiązek podatkowy, a w zakresie przedawnienia jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi 6 lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – 3 lata).
Proces wymiany korespondencji	Art. 6 ust. 1 lit. f RODO – gdzie prawnie uzasadnionym interesem jest prowadzenie korespondencji związanej z działalnością administratora danych.	Dane osobowe będą przetwarzane przez czas trwania wymiany korespondencji i współpracy a po jej zakończeniu przez rok od ostatniego kontaktu i zakończenia współpracy.
Obsługa prawna (w tym ustalenie, dochodzenie i obrona przed roszczeniami)	Art. 6 ust. 1 lit. f RODO, który wskazuje na prawnie uzasadniony interes administratora danych.	Dane w tym celu będą przetwarza do czasu przedawnienia ewentualnych roszczeń prawnych.
Realizacji obowiązków prawnych nałożonych na Administratora, dotyczących prowadzenia rachunkowości i dokumentacji księgowej, w tym archiwizowanie dokumentów	Art. 6 ust. 1 lit. c RODO, przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.	Dane przetwarzane są przez okresy wskazane przepisami prawa, w tym ustawę o rachunkowości. Dokumenty księgowe przechowywane są co do zasady przez 5 lat po zakończeniu roku, w którym wystąpiło zdarzenie w związku, z którym został wystawiony dokument księgowy.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

W sytuacjach przewidzianych prawem osobom, których dane dotyczą przysługuje:

· ➢ prawo dostępu do treści danych zgodnie z art. 15 RODO;

· ➢ prawo ich sprostowania danych zgodnie z art. 16 RODO;

· ➢ prawo usunięcia danych zgodnie z art. 17 RODO;

· ➢ prawo ograniczenia przetwarzania danych zgodnie z art. 18 RODO;

· ➢ prawo do przenoszenia danych zgodnie z art. 20 RODO;

· ➢ prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej cofnięciem.

Nadto osobom, których dane dotyczą przysługuje zgodnie z art. 21 RODO również prawo wniesienia sprzeciwu z przyczyn związanych z jej szczególną sytuacją wobec przetwarzania, które odbywa się na podstawie art. 6 ust. 1 lit. f RODO (tj. w związku z prawnie uzasadnionym interesem administratora danych lub strony trzeciej).

Osobie, której dane dotyczą przysługuje również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna, iż przetwarzanie jej danych osobowych narusza przepisy RODO.

CZY NALEŻY PRZEKAZAĆ DANE ?

W sytuacji, gdy osoba, której dane dotyczą jest stroną umowy podanie danych osobowych jest warunkiem zawarcia takiej umowy i jej wykonania oraz wypełnienia zobowiązań prawnych. W zakresie w jakim podstawą przetwarzania danych osobowych jest zgoda podanie danych osobowych jest dobrowolne. Podanie danych osobowych jest dobrowolne również, gdy służy do realizacji umowy bądź prowadzenia w tym celu kontaktu lub korespondencji z przedstawicielami strony takiej umowy, niemniej bez podania danych cel ten nie będzie mógł zostać spełniony.

PRZEKAZYWANIE DANYCH POZA UE

Dane osobowe mogą być przekazywane do państw trzecich na podstawie art. 45 lub art. 46 RODO, bądź gdy zastosowanie ma którykolwiek z wyjątków wskazanych w art. 49 ust. 1 RODO. W szczególności dane mogą być przekazywane do Turcji na podstawie standardowych klauzul umownych. Informację na temat zastosowanych zabezpieczeń w przypadku przekazania danych do państwa trzeciego oraz kopię przekazanych danych można uzyskać pod wyżej wskazanym adresem e-mail. W związku z przekazaniem Twoich danych poza terytorium EOG, weryfikujemy, aby Partnerzy dawali gwarancje wysokiego stopnia ochrony danych osobowych.

ODBIORCY DANYCH

Dane osobowe mogą być przekazywane innym podmiotom, tzw. odbiorcom danych osobowych tj.:

· ➢ pomiotom prowadzącym działalność pocztową lub kurierską;

· ➢ bankom – celem rozliczenia Umowy itp.;

· ➢ organom państwowym lub innym podmiotom uprawnionym na podstawie przepisów prawa, celem wykonania ciążących obowiązków (Urząd Skarbowy, Policja, itd.);

· ➢ podmiotom przetwarzającym dane osobowe na zlecenie administratora m.in podmiotom świadczącym usługi z zakresu pomocy prawnej, księgowości, IT, podatków lub usługi doradcze - przy czym takie podmioty przetwarzają dane na podstawie umowy z administratorem i wyłącznie zgodnie z poleceniami administratora;

· ➢ spółkom grupy Gülermak do wewnętrznych celów administracyjnych.

PROFILOWANIE

Administrator nie podejmuje decyzji w sposób zautomatyzowany, w tym nie dokonuje profilowania, o którym mowa w art. 22 ust. 1 i 4 RODO.

Gizlilik Politikası

GENEL POLİTİKA

1. GİRİŞ

Gülermak Ağır Sanayi İnşaat ve Taahhüt Anonim Şirketi (“Gülermak”); Gülermak hissedarları, yönetim kurulu üyeleri, personeli, Gülermak’ın taşeron firmalarının personeli, birlikte iş yaptığı firmaların temsilcileri ve Gülermak tesisleri ziyaretçileri gibi herhangi bir gerçek kişiye ait olan ve Gülermak tarafından işlenen kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) başta olmak üzere ilgili mevzuata (“KVK

Mevzuatı”) uygun olarak işlenmesini ve kişisel verisi işlenen kişilerin (“İlgili Kişi”) yasal haklarını etkin şekilde kullanmasını sağlamaya önem vermektedir. Gülermak, faaliyetleri sırasında ve faaliyetleri gereği edindiği tüm kişisel verilerin işlenmesine; elde edilmesine, kaydedilmesine, depolanmasına, muhafaza edilmesine, değiştirilmesine, yeniden düzenlenmesine, açıklanmasına, aktarılmasına, devralınmasına, elde edilebilir hâle getirilmesine, sınıflandırılmasına ya da kullanılmasının engellenmesine ilişkin tüm işlemlerini Gülermak-Kişisel Verilerin İşlenmesine ve Korunmasına İlişkin Genel Politika (“Politika”) uyarınca gerçekleştirmektedir.

Gülermak faaliyetlerinin devamlılığı için gereken ölçüyle sınırlı olmak kaydıyla kişisel veri işlemekte; bu verilerin işlenme sebepleri-amaçları, kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarını belirleyen KVK Kanununun 5. ve 6. maddelerinde belirlenen sınırları aşmamaktadır.

2. GÜLERMAK’IN KİŞİSEL VERİ İŞLENMESİ-KORUNMASI İÇİN UYGULADIĞI PROSEDÜR

I. Genel Politika

Gülermak, kişisel verilerin işlenmesi-korunması konusunda izlediği genel politika uyarınca;

· İlgili Kişilerden sadece gerekli olan bilgileri, KVK Mevzuatına uygun olarak kanuni bir yükümlülük, işleme şartı ve/veya belirli bir amaç doğrultusunda talep etmekte,

· Kişisel verisini elde ettiği İlgili Kişileri, hangi verilerinin hangi amaçla talep edildiği, bu verilerin hangi şekilde, hangi amaçlarla ve ne zamana kadar saklanıp kaydedileceği, bu verilerin hangi amaçlarla, kimlere aktarılabileceği ve İlgili Kişinin hakları konusunda aydınlatmaktadır.

· Bir kişisel verinin işlenmesi için açık rıza alınması gereken durumlarda, İlgili Kişinin açık rızasını talep etmekte, rıza verilmesini hiçbir şekilde bir işlemin gerçekleşmesi/hizmetin sunulması için ön koşul haline getirerek zorunlu hale getirmemektedir.

· Elde ettiği tüm kişisel verileri, KVK Mevzuatına uygun olarak işlemekte ve korumakta; bu verilerin gizliliği için Kişisel Verilerin Korunması Kurumu tarafından belirlenen idari ve teknik tedbirleri almaktadır.

· İşlemekte olduğu kişisel verilere ilişkin olarak başta kendi çalışanlarını bilinçlendirmekte; çalışanlarının kişisel verilere erişim yetkilerini görevlerinin gerektirdiği ölçüyle sınırlamakta ve iş sözleşmelerine kişisel verilerin korunması ile ilgili taahhütler eklemektedir. Bunun yanı sıra, veri aktardığı üçüncü kişi ve kurumlar ile de aktarılan kişisel verilerin işlenme şeklinin ve gizliliğinin güvence altına alınması için sözleşme imzalamaktadır. Gülermak, çalışanları açısından bu süreci yönetebilmek adına firma içi disiplin yaptırımları belirlemiştir.

· Elde ettiği kişisel verileri sadece kanunda belirlenen süreler boyunca veya bu verilerin herhangi bir yolla saklanılmasının/kaydedilmesinin gerektiği süre boyunca tutmakta; kullanımına gerek kalmayan tüm kişisel verileri KVK Mevzuatına uygun olarak silmekte, yok etmekte veya anonim hale getirmektedir. Gülermak, bu süreci yönetebilmek adına kontrol ve imha süreçleri belirlemiş, Kişisel Veri Saklama ve İmha Politikası oluşturmuştur.

· İlgili kişilerin işlenmekte olan kişisel verilerine ilişkin olarak kanunen sahip oldukları haklarını kullanabilmeleri için de gerekli prosedürü belirlemiştir.

II. Temel Prensipler

Gülermak, işlemekte olduğu tüm kişisel verilerin;

a. Hukuka ve dürüstlük kurallarına uygun olması,

b. Doğru ve gerektiğinde güncel olması,

c. Belirli, açık ve meşru amaçlar için işlenmesi,

d. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,

e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi

Konusuna hassasiyetle yaklaşmakta ve bu prensiplere uygun olarak kişisel veri işlenmesi için

gerekli idari ve teknik tedbirleri almaktadır.

iii. Kişisel Verilerin Korunması Amacıyla Alınan Tedbirler

a. İdari Tedbirler

Mevcut risk ve tehditlerin belirlenmesi Gülermak tarafından, kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde İlgili Kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınarak gerekli olmayan hiçbir bilginin alınmaması konusunda özen gösterilmekte, özel nitelikli kişisel verilerin işlenmesi için gerekmesi durumunda İlgili Kişilerden açık rıza alınmakta, gizli belgeler sadece yetkili kişilerin ulaşabileceği ortamlarda saklanmakta ve kişisel veriler işlenme amaçları ortadan kalktıktan sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Çalışanların eğitilmesi ve farkındalık çalışmaları Gülermak tarafından, çalışanları, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında bilgilendirilmiş, çalışanlarda farkındalık yaratılmış, güvenlik riskleri belirlenerek gerekli önlemler alınmış, çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarını belirlenmiş, çalışanlarla kişisel verilerin gizliliğine ilişkin sözleşme imzalanmış, iş sözleşmelerine ve işçi yönetmeliğine gerekli maddeler eklenmiş ve çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci belirlenmiştir.

Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi Gülermak tarafından, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğu tespit edilmiş ve bu veriler ile bir envanter oluşturulmuş, mevcut güvenlik önlemleri incelenerek yasal yükümlülüklere uyum sağlanmış, politika ve prosedürler hazırlanmış, sorunlu alanlar belirlenerek gerekli tedbirler alınmış, düzenli olarak yapılacak kontrol periyodları belirlenmiş ve belgelenerek kontrollere başlanmış, kontrollerde geliştirilmesi gereken hususların belirlenmesi ve gerekli güncellemelerin yapılması yönünde karar alınmış, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği belirlenmiştir.

Kişisel verilerin mümkün olduğunca azaltılması Gülermak tarafından, kişisel veriler, doğru güncel olarak işlenmekte, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmekte, yapılan periyodik kontrollerde işlenmekte olan kişisel verilere hala ihtiyaç olup olmadığı değerlendirilmekte, ihtiyaç duyulmayan kişisel veriler, kişisel veri saklama ve imha politikası uyarınca silinmekte, yok edilmekte veya anonim hale getirilmekte,

yetkisiz erişimin önüne geçilebilmesi için sıklıkla erişim gerektirmeyen ve arşiv amaçlı tutulan kişisel veriler, daha güvenli ortamlarda muhafaza edilmektedir.

Veri işleyenler ile ilişkilerin yönetimi Gülermak tarafından, dışarıdan hizmet alınması sebebiyle veri aktarılan kişi/kurumların, bu kişisel verileri işlerken en az kendileri tarafından sağlanan güvenlik seviyesini sağlandıklarından emin olmak adına, veri işleyenlerle kişisel veri aktarımı sözleşmeleri imzalanmakta; söz konusu sözleşme aracılığıyla, veri işleyenin sadece Gülermak’ın talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına

uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket etmesi, kişisel veri saklama ve imha politikasına uyması, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olması, söz konusu sözleşmede herhangi bir veri ihlali olması durumunda, veri işleyenin bu durumu derhal Gülermak’a bildirmekle yükümlü olması teminat altına alınmaktadır.

b. Teknik Tedbirler

Siber güvenliğin sağlanması Gülermak tarafından güvenlik duvarı, ağ geçidi yama yönetimi ve yazılım güncellemeleri kullanılmakta, sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığı düzenli olarak kontrol edilmekte, düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmakta, yönetici hesabı ve admin yetkisi sadece ihtiyaç olan durumlarda kullanım için açılmakta, kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişimin sağlanmakta, Gülermak‘la ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesap silinmekte ya da girişler kapatılmakta, anti virüs, antispam gibi ürünler kullanılmakta ve güncellenmekte, farklı internet sitelerinden kişisel veri temin edilirken, bağlantılar güvenli yollarla gerçekleştirilmektedir. Bunlara ek olarak, Gülermak tarafından, güçlü ve kolay tahmin edilemeyecek şifre ve parolalar oluşturulmuş, şifre girişi deneme sayısı sınırlandırılmıştır, kişisel veri içeren sistemlere erişim sınırlandırılmış, çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış, kullanılmayan yazılım ve servisler cihazlardan kaldırılmış, erişim yetki ve kontrol matrisi ve ayrı bir erişim politika ve prosedürü oluşturulmuştur.

Kişisel veri güvenliğinin takibi Gülermak tarafından güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçları düzenli olarak kontrol edilmekte, bu sistemlerden gelen uyarılar üzerine harekete geçilmekte, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testleri yapılmakta, ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılmakta, bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

Kişisel veri içeren ortamların güvenliğinin sağlanması Gülermak tarafından Gülermak’a ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için önlem alınmakta, elektronik posta ya da posta ile aktarılan kişisel veriler tedbir alınarak gönderilmekte, kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazlar ek güvenlik önlemlerinin olduğu başka bir odaya alınarak kullanılmadığı zaman kilit altında

tutulmakta, ortama giriş çıkış kayıtları tutulmakta, söz konusu evraklara yetkisiz erişimin önlenmekte, kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve şifreleme yöntemleri kullanılmakta; bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği bir ortamda saklanmakta ve yetkisiz erişimin önlenmekte, tam disk şifrelemesiyle dosyalar şifrelenmekte, uluslararası kabul gören şifreleme programları kullanılmaktadır. Bunlara ek olarak, Gülermak tarafından, çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması sırasında güvenlik ihlali olmaması için güvenlik tedbirleri alınmıştır, elektronik ortamda tutulan kişisel veriler için ağ bileşenleri arasındaki erişimi sınırlandırılmıştır ve bileşenler ayrılmıştır.

Bilgi teknolojileri sistemleri tedariki, geliştirme ve bakımı Gülermak tarafından, uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmakta, arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamı sökülerek saklanmakta veya sadece arızalı parçalar gönderilmekte, bakım ve onarım gibi amaçlarla dışarıdan personel geldiği zaman kişisel veriler kopyalanarak kurum dışına çıkarılmasını engellemek için gerekli önlemler alınmaktadır.

Bunlara ek olarak, Gülermak tarafından sisteme doğru girilmiş bilginin bozulup bozulmadığını kontrol etmek amacıyla uygulamalara kontrol mekanizmaları yerleştirilmiştir.

Kişisel verilerin yedeklenmesi Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilebilmekte, veri seti yedekleri ağ dışında tutulmakta ve tüm yedeklerin fiziksel güvenliği sağlanmaktadır. Bunlara ek olarak, Gülermak tarafından kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejileri geliştirilmiştir.

iv. İlgili Kişilerin Başvuru Hakkı

Gülermak, aydınlatma yükümlülüğü kapsamında kişisel verisini işlediği İlgili Kişileri KVK Kanunu madde 11 kapsamında sahip olduğu haklarla ilgili olarak bilgilendirmektedir. İlgili kişiler her zaman Gülermak’a başvurarak:

· Kişisel verilerinin işlenip işlenmediğini öğrenme,

· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

· Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

· Yurt içinde ve yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

· Kişisel verilerinin eksik veya yanlış işlenmiş olması durumunda bunların düzeltilmesini isteme,

· Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkmış olması şartıyla, kişisel verilerinin silinmesini, yok edilmesini veya anonim hâle getirilmesini isteme,

· Eksik veya yanlış işlenmiş olması sebebiyle kişisel verisinin düzeltilmesi işleminin; işlenmesini gerektiren sebeplerin ortadan kalkmış olması sebebiyle, kişisel verisinin silinmesi, yok edilmesi veya anonim hâle getirilmesi durumlarında bu işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

· Kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhlerine bir sonucun ortaya çıkmasına itiraz etme,

· Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde, zararın giderilmesini talep etme

Haklarına sahiptir. Bu yöndeki taleplerini içeren dilekçelerini, Bahçelievler Mahallesi, Ankara Konya Yolu 23. Km No:111 06830 Gölbaşı/Ankara adresinde bulunan veri sorumlusu Gülermak’a kimlik ibraz ederek şahsen başvuru yoluyla veya aynı adrese noter aracılığıyla göndermek suretiyle iletme hakkına sahiptir.

Bu talepler, niteliğine göre en kısa sürede ve her halükarda en geç 30 (otuz) gün içinde ücretsiz olarak veya Kişisel Verilerin Korunması Kurulu tarafından ücrete ilişkin yayınlanacak tarifedeki koşulların oluşması durumunda tarifedeki ücret mukabili sonuçlandırılacaktır.

Gülermak gerektiğinde başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep etme hakkını saklı tutmaktadır.

Gülermak talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını İlgili Kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde, Gülermak tarafından gereği yerine getirilir. Başvurunun Gülermak’ın hatasından kaynaklanması hâlinde varsa alınan ücret ilgiliye iade edilir.

Privacy Policy

Privacy Policy

Polityka prywatności

Gizlilik Politikası

Useful Links

Human Resources