Kişisel Verilerin Korunması Politikası
Kişisel Verilerin Korunması Politikası Metnimize Göz Atın
Kişisel Verilerin Korunması Politikası Metnimize Göz Atın
1.3. Politikanın ve İlgili
Mevzuatın Uygulanması
2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN
HUSUSLAR
2.1. Kişisel Verilerin
Güvenliğinin Sağlanması
2.3. Özel Nitelikli Kişisel
Verilerin Korunması
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN
HUSUSLAR
5. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN
SAHİPLERİNE İLİŞKİN KATEGORİZASYONU
6. ŞİRKETİMİZCE İŞLENEN KİŞİSEL VERİLERİN
AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
7. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME
ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE
ANONİMLEŞTİRİLMESİ ŞARTLARI
10. KİŞİSEL VERİ SAHİPLERİNİN
HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
12. KİŞİSEL VERİLERİN
KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİŞİM YAPISI
Kişisel verilerin
korunması, şirketimiz için büyük hassasiyet arz etmekte olup şirketimizin
öncelikleri arasındadır. Bu konunun en önemli ayağını ise işbu politika ile
yönetilen; çalışan adaylarımızın, şirket hissedarlarının, şirket
yetkililerinin, ziyaretçilerimizin, ı̇şbirliği içinde olduğumuz kurumların
çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin
kişisel verilerinin korunmasını oluşturmaktadır. Çalışanlarımızın kişisel
verilerinin korunmasına ilişkin yürütülen faaliyetler ise, bu politikadaki
esaslarla paralel olarak sürdürülür.
Türkiye Cumhuriyeti
Anayasası’na göre, herkes kendisiyle ilgili kişisel verilerin korunmasını
isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması
konusunda şirketimiz işbu politika ile yönetilen; çalışan adaylarının, şirket
hissedarlarının, şirket yetkililerinin, ziyaretçilerinin, ı̇şbirliği içinde
olduğu kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü
kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir
şirket politikası haline getirmektedir.
Bu kapsamda,
ilgili mevzuat gereğince işlenen kişisel verilerin korunması için şirketimiz
tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu politikada
kişisel verilerin işlenmesinde şirketimizin benimsediği ve aşağıda sıralanan
temel ilkelere ilişkine detaylı açıklamalarda bulunulacaktır:
·
Kişisel
verileri hukuka ve dürüstlük kurallarına uygun işleme,
·
Kişisel
verileri doğru ve gerektiğinde güncel tutma,
·
Kişisel
verileri belirli, açık ve meşru amaçlar için işleme,
·
Kişisel
verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
·
Kişisel
verileri ilgili mevzuatta öngörülen veya işlendikleri amaç̧ için gerekli olan
süre kadar muhafaza etme,
·
Kişisel
veri sahiplerini aydınlatma ve bilgilendirme,
·
Kişisel
veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
·
Kişisel
verilerin muhafazasında gerekli tedbirleri alma,
·
Kişisel
verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere
aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
·
Özel
nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
Bu politikanın
temel amacı, şirketimiz tarafından hukuka uygun bir biçimde yürütülen kişisel
veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen
sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışan adaylarımız,
şirket hissedarları, şirket yetkilileri, ziyaretçilerimiz, ı̇şbirliği içinde
olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü
kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen
kişileri bilgilendirilerek şeffaflığı sağlamaktır.
Bu politika; çalışan
adaylarımızın, şirket hissedarlarının, şirket yetkililerinin,
ziyaretçilerimizin, ı̇şbirliği içinde olduğumuz kurumların çalışanlarının,
hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda
belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin
işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örneğin;
ziyaretçimiz de olan çalışan adaylarımız gibi) yalnızca bir kısım hükümleri de
(örneğin; yalnızca ziyaretçilerimiz gibi) olabilecektir.
Kişisel verilerin işlenmesi
ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle
uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve politika arasında
uyumsuzluk bulunması durumunda, şirketimiz yürürlükteki mevzuatın uygulama
alanı bulacağını kabul etmektedir.
Politika, ilgili
mevzuat tarafından ortaya konulan kuralların şirketimiz uygulamaları kapsamında
somutlaştırılarak düzenlenmesinden oluşturulmuştur. Şirketimiz, KVK Kanunu’nda öngörülen
yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.
Şirketimiz
tarafından düzenlenerek 01 Mart 2020 tarihinde yürürlüğe giren politikamız,
internet sitemizde yayınlanır ve kişisel veri sahiplerinin talebi üzerine
ilgili kişilerin erişimine sunulur.
2.1.1.
Kişisel Verilerin Hukuka Uygun İşlenmesi
için Alınan Teknik ve İdari Tedbirler
Kişisel verilerin
hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama
maliyetine göre teknik ve idari tedbirler alınmaktadır. Alınan başlıca
tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Hukuka Uygun işlenmesini
Sağlamak için Alınan Teknik Tedbirler:
·
Şirketimiz
bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik
sistemlerle uluslararası kabul görmüş standartlar çerçevesinde
denetlenmektedir.
·
Alınan
teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine
raporlanmaktadır.
·
Teknik
konularda bilgili personel istihdam edilmektedir.
Kişisel Verilerin Hukuka Uygun işlenmesini
Sağlamak için Alınan İdari Tedbirler:
·
Çalışanlar,
kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak
işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
·
Şirketimizin
yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde
analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş̧
olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya
konulmaktadır.
·
Şirketimiz
iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu
faaliyetlerin KVK Kanunu’nun aradığı kişisel veri işleme standartlarına
uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş
birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
·
İş
birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için
ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları
belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak
için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata
geçirilmektedir.
·
Şirketimiz
ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, şirketimizin
talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe,
ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda
çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.
2.1.2.
Kişisel Verilerin Hukuka Aykırı Erişimini
Engellemek için Alınan Teknik ve İdari Tedbirler
Kişisel verilerin
tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını
veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak
verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve
idari tedbirler alınmaktadır. Alınan başlıca tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Hukuka Aykırı Erişimini
Engellemek için Alınan Teknik Tedbirler:
·
Teknolojideki
gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak
güncellenmekte ve yenilenmektedir.
·
İş
birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve
yetkilendirme teknik çözümleri devreye alınmaktadır.
·
Erişim
yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
·
Alınan
teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine
raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli
teknolojik çözüm üretilmektedir.
·
Virüs
koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar
kurulmaktadır.
·
Teknik
konularda bilgili personel istihdam edilmektedir.
·
Kişisel
verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli
olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması
sağlanmaktadır.
Kişisel Verilerin Hukuka Aykırı Erişimini
Engellemek için Alınan İdari Tedbirler:
·
Çalışanlar,
kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik
tedbirler konusunda eğitilmektedir.
·
İş
birimi bazında kişisel veri islenmesi hukuksal uyum gerekliliklerine uygun
olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta
ve uygulanmaktadır.
·
Çalışanlar,
öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı
ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden
ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda
kendilerinden gerekli taahhütler alınmaktadır.
·
Şirketimiz
tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile
akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel
verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında
bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
2.1.3.
Kişisel Verilerin Güvenli Ortamlarda
Saklanması
Şirketimiz, kişisel
verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar
ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
Alınan başlıca
tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Güvenli Ortamlarda
Saklanması için Alınan Teknik Tedbirler:
·
Kişisel
verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun
sistemler kullanılmaktadır.
·
Teknik
konularda uzman personel istihdam edilmektedir.
·
Saklanma
alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler
periyodik olarak iç̧ denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil
eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
·
Kişisel
verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde
yedekleme programları kullanılmaktadır.
·
Kişisel
verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler
veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
Kişisel Verilerin Güvenli Ortamlarda
Saklanması için Alınan İdari Tedbirler:
·
Çalışanlar,
kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda
eğitilmektedirler.
·
Şirketimiz
tarafından kişisel verilerin saklanması konusunda teknik gereklilikler
sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka
uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel
verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere
uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
2.1.4.
Kişisel Verilerin Korunması Konusunda
Alınan Tedbirlerin Denetimi
Şirketimiz, KVK
Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri
yapmakta veya yaptırmaktadır. Bu denetim sonuçları şirketimizin iç̧ işleyişi
kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi
için gerekli faaliyetler yürütülmektedir.
2.1.5.
Kişisel Verilerin Yetkisiz Bir Şekilde
İfşası Durumunda Alınacak Tedbirler
Şirketimiz, KVK
Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede
ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun
internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
Şirketimiz,
kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13.
maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik
düzenlemeleri yürütmektedir.
Kişisel veri
sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak
şirketimize iletmeleri durumunda şirketimiz yetkilileri talebin niteliğine
göre talebi en geç otuz gün
içinde ücretsiz olarak sonuçlandırmaktadır ancak KVK Kurulunca bir
ücret öngörülmesi hâlinde, şirketimiz tarafından KVK Kurulunca belirlenen
tarifedeki ücret alınacaktır.
Kişisel veri
sahipleri;
·
Kişisel
veri işlenip işlenmediğini öğrenme,
·
Kişisel
verileri işlenmişse buna ilişkin bilgi talep etme,
·
Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
·
Yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
·
Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
·
KVK
Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel
verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
·
İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
·
Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme haklarına sahiptir.
Veri sahiplerinin
hakları ile ilgili daha ayrıntılı bilgiye bu politika’nın 10. Bölümünde yer
verilmiştir.
KVK Kanunu ile
birtakım kişisel veriler hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem
atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi
inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya
da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz
tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun
olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır.
Bu kapsamda, şirketimiz tarafından, kişisel verilerin korunması için alınan
teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle
uygulanmakta ve şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.
Özel nitelikli
kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 3.
Bölümünde yer verilmiştir.
Şirketimiz,
kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı
olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik
farkındalığın artırılması için iş birimlerine gerekli eğitimlerin
düzenlenmesini sağlamaktadır.
Şirketimiz iş
birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dahil olmuş
çalışanların kişisel verilerin korunması konusunda farkındalığının
oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç
duyulması halinde profesyonel kişiler ile çalışılmaktadır.
Şirketimiz iş
birimlerinin kişisel verilerin korunması ve işlenmesi konusunda
farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları
şirketimizin İnsan Kaynakları birimine raporlanmaktadır. Üst yönetim bu
doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına
yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya
yaptırmaktadır. Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak
eğitimlerini güncellemekte ve yenilemektedir.
Şirketimiz kişisel verilerin hukuka aykırı
olarak işlenmesini önlemeye, verilere hukuka aykırı olarak erişilmesini
önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın
artırılması için ı̇ş ortaklarına ve tedarikçilerine eğitimler ve seminerler
düzenlenmesini sağlamaktadır.
Şirketimizin ı̇ş ortaklarına ve
tedarikçilerine yönelik yürütülen eğitimler periyodik olarak
tekrarlanmakta, ı̇ş ortakları ve tedarikçilerin mevcut çalışanlarının ve
iş birimi bünyesine yeni dahil olmuş çalışanların kişisel verilerin
korunması konusunda farkındalığın oluşması için gerekli sistemler kurulmakta
konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile
çalışılmaktadır.
Şirketimizi ı̇ş ortaklarının ve
tedarikçilerinin kişisel verilerin korunması ve işlenmesi konusunda
farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları şirketimiz
İnsan Kaynakları birimine raporlanmaktadır. Üst yönetim bu doğrultuda ilgili
eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları
değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır.
Şirketimiz, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini
güncellemekte ve yenilemektedir.
3.1.
Kişisel Verilerin Mevzuatta Öngörülen
İlkelere Uygun Olarak İşlenmesi
3.1.1.
Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz;
kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile
genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda şirketimiz,
kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta,
kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
3.1.2.
Kişisel Verilerin Doğru ve Gerektiğinde
Güncel Olmasını Sağlama
Şirketimiz;
kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate
alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır.
Bu doğrultuda gerekli tedbirleri almaktadır. Örneğin; şirketimiz tarafından
kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit
etmelerine yönelik sistem kurulmuştur.
Bu konu ile ilgili
ayrıntılı bilgiye, bu politika’nın 10. Bölümünde yer verilmiştir.
3.1.3.
Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, meşru
ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir.
Şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar
için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel
verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti
başlamadan ortaya konulmaktadır.
3.1.4.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve
Ölçülü Olma
Şirketimiz,
kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli
bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya
ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin;
sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik
kişisel veri işleme faaliyeti yürütülmemektedir.
3.1.5.
İlgili Mevzuatta Öngörülen veya
İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz,
kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç
için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz
öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre
öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu
süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri
işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin
bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde
kişisel veriler şirketimiz tarafından silinmekte, yok edilmekte veya anonim
hale getirilmektedir. Gelecekte kullanma ihtimali ile şirketimiz tarafından
kişisel veriler saklanmamaktadır.
Bu konu ile ilgili
ayrıntılı bilgiye, bu politikanın 9. Bölümünde yer verilmiştir.
3.2.
Kişisel Verileri, KVK Kanunu’nun 5.
Maddesinde Belirtilen Kişisel Veri İşleme Şartlarına Dayalı ve Bu Şartlarla
Sınırlı Olarak İşleme
Kişisel verilerin
korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine
dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere
bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin
üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen
hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimiz bu
doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Bu konu ile ilgili
ayrıntılı bilgiye, bu politikanın 7. Bölümünde yer verilmiştir.
3.3.
Grup Şirketleri Tarafından İşlenmekte Olan
Verilerin Şirketimizce İşlenmesi
Grup Şirketlerinin
faaliyetlerinin şirketimiz ilke, hedef ve stratejilerine uygun olarak
yürütülmesi, grup şirketlerinin hak ve menfaatleri ile itibarının korunması
amacıyla grup Sşirketleri tarafından işlenmekte olan kişisel verileri
şirketimiz de işleyebilmektedir. Grup şirketleri ile şirketimiz arasındaki
kişisel veri paylaşımının KVK Kanunu kapsamında veri sorumlusundan veri
sorumlusuna kişisel veri aktarımı kapsamında gerçekleşmesi durumunda, ilgili
grup şirketi, ilgili kişinin kişisel verisini toplama aşamasında, kişiyi,
kişisel verilerinin şirketimize gönderilebileceği konusunda aydınlatır.
3.4.
Kişisel Veri Sahibinin Aydınlatılması ve
Bilgilendirilmesi
Şirketimiz, KVK
Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda şirketimiz,
varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği,
işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin
sahip olduğu hakları konusunda aydınlatma yapmaktadır.
Anayasa’nın 20.
maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme
hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11.
maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme”
de sayılmıştır. Şirketimiz bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11.
maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda
gerekli bilgilendirmeyi yapmaktadır.
Bu konular ile
ilgili ayrıntılı bilgiye bu politikanın 10. Bölümünde yer verilmiştir.
3.5.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz
tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel
verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere
hassasiyetle uygun davranılmaktadır. KVK Kanunu’nun 6. maddesinde, hukuka
aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep
olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir.
KVK Kanunu’na
uygun bir biçimde şirketimiz tarafından; özel nitelikli kişisel veriler, KVK
Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla
aşağıdaki durumlarda işlenmektedir:
·
Kişisel
veri sahibinin açık rızası var ise veya
·
Kişisel
veri sahibinin açık rızası yok ise;
o
Kişisel
veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel
verileri;
kanunlarda öngörülen
hallerde,
o
Kişisel
veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
verileri ise ancak
kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işlenmektedir.
3.6.
Kişisel Verilerin Aktarılması
Şirketimiz hukuka
uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak (Bkz. Bölüm 2/Başlık 2.1) , kişisel veri sahibinin
kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere
aktarabilmektedir
(Bkz. Bölüm 6).
Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen
düzenlemelere uygun hareket etmektedir.
Bu konu ile ilgili
ayrıntılı bilgiye bu politikanın 6. Bölümünde yer verilmiştir.
3.6.1.
Kişisel Verilerin Aktarılması
Şirketimiz meşru
ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda
sayılan KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme
şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri
üçüncü kişilere aktarabilmektedir:
·
Kişisel
veri sahibinin açık rızası var ise,
·
Kanunlarda
kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
·
Kişisel
veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla
sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
·
Şirketin
hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı
zorunlu ise,
·
Kişisel
veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
·
Kişisel
veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
·
Kişisel
veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin
meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.6.2.
Özel Nitelikli Kişisel Verilerin
Aktarılması
Şirketimiz gerekli
özeni göstererek, gerekli güvenlik tedbirlerini alarak (Bkz. Bölüm
2/Başlık 2.1) ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak;
meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel
veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda
üçüncü kişilere aktarabilmektedir.
·
Kişisel
veri sahibinin açık rızası var ise veya
·
Kişisel
veri sahibinin açık rızası yok ise;
o
Kişisel
veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel
veriler;
kanunlarda öngörülen
hallerde,
o
Kişisel
veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
verileri ise ancak
kamu sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarına
aktarılabilmektedir.
3.7.
Kişisel Verilerin Yurt Dışına Aktarılması
Şirketimiz hukuka
uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemleri alarak (Bkz. Bölüm 2/Başlık 2.1) kişisel veri sahibinin kişisel
verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere
aktarabilmektedir.
Şirketimiz
tarafından; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen
yabancı ülkelere “Yeterli Korumaya Sahip Yabancı Ülke” veya yeterli korumanın
bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri
sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK
Kurulu’nun izninin bulunduğu yabancı ülkelere “Yeterli Korumayı Taahhüt Eden
Veri Sorumlusunun Bulunduğu Yabancı Ülke” kişisel veriler aktarılabilmektedir.
Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen
düzenlemelere uygun hareket etmektedir.
Bu konu ile ilgili
ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
3.7.1.
Kişisel Verilerin Yurt Dışına Aktarılması
Şirketimiz meşru
ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri
sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok
ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli
Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu
Yabancı Ülkelere aktarabilmektedir:
·
Kanunlarda
kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
·
Kişisel
veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla
sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
·
Şirketin
hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı
zorunlu ise,
·
Kişisel
veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
·
Kişisel
veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
·
Kişisel
veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirketin
meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.7.2.
Özel Nitelikli Kişisel Verilerin Yurt
Dışına Aktarılması
Şirketimiz gerekli
özeni göstererek, gerekli güvenlik tedbirlerini alarak (Bkz. Bölüm
2/Başlık 2.1) ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak;
meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel
veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli
Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu
Yabancı Ülkelere aktarabilmektedir:
·
Kişisel
veri sahibinin açık rızası var ise veya
·
Kişisel
veri sahibinin açık rızası yok ise;
o
Kişisel
veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel
verileri
kanunlarda öngörülen
hallerde,
o
Kişisel
veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
verileri ise ancak
kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işlenmesi kapsamında.
4.1.
Kişisel Verilerin Kategorizasyonu
Şirketimiz
nezdinde; şirketin meşru ve hukuka uygun kişisel veri işleme amaçları
doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme
şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel
verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK
Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün
yükümlülüklere uyularak ve işbu politika kapsamındaki süjelerle (Grup
Şirketleri Müşterisi, Ziyaretçi, Üçüncü Kişi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların
Çalışanları, Hissedarları ve Yetkilileri) sınırlı olarak aşağıda belirtilen
kategorilerdeki kişisel veriler, KVK Kanunu’nun 10. maddesi uyarınca ilgili
kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen
kişisel verilerin işbu politika kapsamında düzenlenen hangi veri sahipleriyle
ilişkili olduğu da işbu politika’nın 5. Bölümünde belirtilmektedir.
KİŞİSEL VERİ KATEGORİZASYONU |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA |
Kimlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin
kimliğine dair bilgilerin bulunduğu verilerdir. Ad-soyad, T.C. kimlik
numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi,
cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi
belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası vb.
bilgiler |
İletişim Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon
numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler. |
Lokasyon Verisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin
bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri
sahibinin şirketimiz iş birimleri tarafından yürütülen operasyonlar
çerçevesinde, topluluk şirketlerinin ürün ve hizmetlerinin kullanımı
sırasında veya işbirliği içerisinde olduğumuz kurumların çalışanlarının
şirketimiz araçlarını kullanırken bulunduğu yerin konumunu tespit eden
bilgiler; GPS lokasyonu, seyahat verileri vb. |
Aile Bireyleri ve Yakın Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimiz
iş birimleri tarafından yürütülen operasyonlar çerçevesinde, topluluk şirketlerinin
sunduğu ürün ve hizmetlerle ilgili veya şirketimizin ve kişisel veri
sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri
sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk), yakınları ve
acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler |
Fiziksel Mekan Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel
mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan
kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi
kayıtları ve güvenlik noktasında alınan kayıtlar vb. |
Finansal Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketin
kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre
yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara
ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası,
kredi kartı bilgisi, finansal profil, mal varlığı verisi, gelir bilgisi gibi
veriler |
Görsel/İşitsel Bilgi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; fotoğraf ve kamera kayıtları (fiziksel mekan güvenlik bilgisi
kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren
belgelerin kopyası niteliğindeki belgelerde yer alan veriler |
Özlük Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimiz
ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük
haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik
işlenen her türlü kişisel veri |
Özel Nitelikli Kişisel Veri |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK
Kanunu’nun 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil
sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) |
Talep/Şikayet Yönetimi Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketimize
yöneltilmiş olan her türlü talep veya şikayetin alınması ve
değerlendirilmesine ilişkin kişisel veriler |
4.2.
Kişisel Verilerin İşlenme Amaçları
Şirketimiz KVK
Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen
kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı
olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
·
Kişisel
verilerinizin işlenmesine ilişkin şirketimizin ilgili faaliyette bulunmasının
kanunlarda açıkça öngörülmesi,
·
Kişisel
verilerinizin şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
·
Kişisel
verilerinizin işlenmesinin şirketimizin hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,
·
Kişisel
verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin
alenileştirme amacıyla sınırlı bir şekilde şirketimiz tarafından işlenmesi,
·
Kişisel
verilerinizin şirketimiz tarafından işlenmesinin şirketimizin veya sizlerin
veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için
zorunlu olması,
·
Sizlerin
temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru
menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu
olması,
·
Şirketimiz
tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri
sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki
geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
·
Kişisel
veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel
veriler açısından kanunlarda öngörülmüş olması,
·
Kişisel
veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmesidir.
Bu kapsamda
şirketimiz, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:
·
Kurumsal
sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
·
Etkinlik
yönetimi,
·
İş
ortakları veya tedarikçilerle olan ilişkilerin yönetimi,
·
Topluluk
şirketlerinin personel temin süreçlerine destek olunması,
·
Şirketimiz
finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
·
Şirketimiz
hukuk işlerinin icrası/takibi,
·
Kurumsal
iletişim faaliyetlerinin planlanması ve icrası,
·
Kurumsal
yönetim faaliyetlerinin icrası,
·
Şirketler
ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
·
Talep
ve şikayet yönetimi,
·
Topluluk
değerlerinin güvenliğinin sağlanması,
·
Topluluk
şirketlerine ilgili mevzuta uyum konusunda destek olunması,
·
Şirketimiz
ve grup şirketleri üst düzey yöneticilerine sağlanacak yan haklar ve
menfaatlerin planlanması ve icrası süreçlerine destek olunması,
·
Grup
şirketlerinin faaliyetlerinin kendi prosedürleri ve ilgili mevzuata uygun
olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve
icrası,
·
Grup
şirketlerinin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
konusunda destek olunması,
·
Şirketler
grubunun itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
·
Yatırımcı
ilişkilerinin yönetilmesi,
·
Yetkili
kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
·
Ziyaretçi
kayıtlarının oluşturulması ve takibi.
Bahsi geçen
amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında
öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili
işleme sürecine ilişkin olarak şirket tarafından açık rızanız temin
edilmektedir.
4.3.
Kişisel Verilerin Saklanma Süreleri
Şirketimiz, ilgili
kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu
mevzuatlarda belirtilen süre boyunca saklamaktadır.
Kişisel verilerin
ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre
düzenlenmemişse, Kişisel Veriler şirketimizin o veriyi işlerken
yürütülen faaliyet ile bağlı olarak şirket uygulamaları ve ticari
yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte
daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bu konu ile ilgili
ayrıntılı bilgiye bu Politika’nın 9. Bölümünde yer verilmiştir.
Kişisel verilerin
işlenme amacı sona ermiş; ilgili mevzuat ve şirketimizin belirlediği saklama
sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki
uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın
ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla
saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri
sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin
geçmesine rağmen daha önce aynı konularda şirketimize yöneltilen
taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu
durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte
ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili
kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona
erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
Şirketimiz
tarafından, aşağıda sıralanan kişisel veri sahibi kategorilerinin kişisel
verileri işlenmekle birlikte, işbu politikanın uygulama kapsamı grup
şirketleri müşterileri, ziyaretçiler, üçüncü kişiler, çalışanlar,
çalışan adayları, şirket hissedarları, şirket yetkilileri, ı̇şbirliği
ı̇çinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile sınırlıdır.
Şirketimiz
tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda
belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan
kişiler de KVK Kanunu kapsamında şirketimize taleplerini yöneltebilecek olup;
bu kişilerin talepleri de bu politika kapsamında değerlendirmeye alınacaktır.
Aşağıda işbu politika
kapsamında yer alan grup şirketleri müşterisi, ziyaretçi, üçüncü kişi,
çalışan, çalışan adayı, şirket hissedarı, şirket yetkilisi, ı̇şbirliği ı̇çinde
olduğumuz kurumların çalışanları, hissedarları ve yetkilileri kavramlarına
açıklık getirilmektedir.
KİŞİSEL VERİ SAHİBİ KATEGORİSİ |
AÇIKLAMASI |
Grup Şirketleri Müşterisi |
Şirketimiz ile herhangi bir sözleşmesel ilişkisi olup
olmadığına bakılmaksızın şirketimiz iş birimlerinin yürüttüğü
operasyonlar kapsamında grup şirketlerinin iş ilişkileri üzerinden
kişisel verileri elde edilen gerçek kişiler |
Ziyaretçi |
Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli
amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek
kişiler |
Üçüncü Kişi |
Bu politika ve şirketi çalışanları kişisel verilerin
korunması ve ı̇şlenmesi politikası kapsamına girmeyen diğer gerçek
kişiler (Örneğin; kefil, refakatçi, aile bireyleri ve yakınlar, eski
çalışanlar) |
Çalışan Adayı |
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş
ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış
olan gerçek kişiler |
Şirket Hissedarı |
Şirket hissedarı gerçek kişiler |
Şirket Yetkilisi |
Şirketin yönetim kurulu üyesi ve diğer yetkili gerçek
kişiler |
İşbirliği İçinde Olduğumuz Kurumların
Çalışanları, Hissedarları ve Yetkilileri |
Şirketimizin her türlü iş ilişkisi içerisinde
bulunduğu kurumlarda (iş ortağı, tedarikçi gibi ancak bunlarla sınırlı
olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak
üzere, gerçek kişiler |
Aşağıdaki
tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler
içerisindeki kişilerin hangi tip kişisel verilerin işlendiği
detaylandırılmaktadır.
KİŞİSEL VERİ SAHİBİ KATEGORİZASYONU |
İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ
OLDUĞU VERİ SAHİBİ KATEGORİSİ |
Kimlik Bilgisi |
Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz
Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
İletişim Bilgisi |
Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz
Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Lokasyon Verisi |
İşbirliği İçinde Olduğumuz Kurumların Çalışanları,
Şirket Yetkilileri |
Aile Bireyleri ve Yakın Bilgisi |
Grup Şirketleri Müşterisi, Ziyaretçi, Çalışan Adayı,
Üçüncü Kişi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları,
Hissedarları ve Yetkilileri |
Fiziksel Mekan Güvenlik Bilgisi |
Ziyaretçi, Çalışan Adayı, Şirket Hissedarları, Şirket
Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları,
Hissedarları ve Yetkilileri, Üçüncü Kişi |
Finansal Bilgi |
Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, Şirket Hissedarı, İşbirliği İçinde
Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü
Kişi |
Görsel / İşitsel Bilgi |
Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz
Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Özlük Bilgisi |
İşbirliği İçinde Olduğumuz Kurumların Çalışanları,
Hissedarları ve Yetkilileri, Çalışan Adayı, Üçüncü Kişi |
Özel Nitelikli Kişisel Veri |
Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların
Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Talep/Şikayet Yönetimi Bilgisi |
Gtup Şirketleri Müşterisi, Çalışan Adayı, Şirket
Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz
Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
Şirketimiz KVK
Kanunu’nun 8. ve 9. maddelerine uygun olarak (Bkz. Bölüm 3/Başlık 3.5)
Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda
sıralanan kişi kategorilerine aktarılabilir:
Ø
Şirketimizin
iş ortaklarına,
Ø
Şirketimizin
tedarikçilerine,
Ø
Grup
şirketlerine,
Ø
Şirketimizin
hissedarlarına,
Ø
Şirketimizin
şirket yetkililerine,
Ø
Hukuken
yetkili kamu kurum ve kuruluşlarına,
Ø
Hukuken
yetkili özel hukuk kişilerine.
Aktarımda
bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları
aşağıda belirtilmektedir.
VERİ AKTARIMI YAPILABİLECEK KİŞİLER |
TANIMI |
VERİ AKTARIM AMACI |
İş Ortağı |
Şirketimizin ticari faaliyetlerini yürütürken bizzat veya
topluluk şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı
kurduğu tarafları tanımlamaktadır. |
İş ortaklığının kurulma amaçlarının yerine getirilmesini
temin etmek amacıyla sınırlı olarak |
Tedarikçi |
Şirketimiz ticari faaliyetlerini yürütürken şirketimizin
emir ve talimatlarına uygun olarak sözleşme temelli olarak şirketimize
hizmet sunan tarafları tanımlamaktadır. |
Şirketimizin tedarikçiden dış kaynaklı olarak temin
ettiği ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli
hizmetlerin şirketimize sunulmasını sağlamak amacıyla sınırlı olarak. |
Grup Şirketleri |
Grup şirketleri |
Grup şirketlerinin katılımını gerektiren ticari
faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak |
Hissedarlar |
Şirketimizin hissedarı gerçek kişiler |
İlgili mevzuat hükümlerine göre şirketler hukuku,
etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğümüz
faaliyetlerin amaçlarıyla sınırlı olarak |
Şirket Yetkilileri |
Şirketimizin yönetim kurulu üyeleri ve diğer yetkili
gerçek kişiler |
İlgili mevzuat hükümlerine göre şirketimizin ticari faaliyetlerine ilişkin stratejilerin
tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim
amaçlarıyla sınırlı olarak |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuat hükümlerine göre şirketimizden bilgi ve
belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi
dahilinde talep ettiği amaçla sınırlı olarak |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine göre şirketimizden bilgi ve
belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde
talep ettiği amaçla sınırlı olarak |
Şirketimiz
tarafından gerçekleştirilen aktarımlarda Politika’nın 2. ve 3. Bölümlerinde
düzenlenmiş hususlara uygun olarak hareket edilmektedir.
7.1.
Kişisel Verilerin ve Özel Nitelikli Kişisel
Verilerin İşlenmesi
7.1.1.
Kişisel Verilerin İşlenmesi
Kişisel veri
sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak
işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık
rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da
kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı
aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan
birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda bu
bölüm altında 7.1.2. başlığı içerisinde yer alan şartlar uygulanır.
Şirketimiz
tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık
gösterse de, her türlü kişisel veri işleme faaliyetinde KVK Kanunu’nun 4.
maddesinde belirtilen (Bkz. Bölüm 3.1.) genel ilkelere uygun olarak hareket
edilmektedir.
i.
Kişisel Veri Sahibinin Açık Rızasının Bulunması:
Kişisel verilerin işlenme
şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık
rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür
iradeyle açıklanmalıdır.
Kişisel verilerin elde edilme
sebeplerine yönelik işleme amacının (birincil işleme) dışındaki kişisel
veri işleme faaliyetleri için (ikincil işleme) işbu başlığın (ii), (iii),
(iv) (v), (vi), (vii) ve (viii)’de yer alan şartlardan en az biri aranmakta;
bu şartlardan biri yok ise, şirketimiz tarafından bu kişisel veri işleme
faaliyetleri kişisel veri sahibinin bu işleme faaliyetlerine yönelik açık
rızasına dayalı olarak gerçekleştirilmektedir.
Kişisel verilerin, kişisel
veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, kişisel
veri sahiplerinin ilgili yöntemler ile açık rızaları alınmaktadır.
ii.
Kanunlarda Açıkça Öngörülmesi:
Veri sahibinin kişisel
verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak
işlenebilecektir.
Örnek:
Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin
adına yer verilmesi.
iii.
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının
Alınamaması:
Fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak
olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden
bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması
halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek:
Genel Kurul’da baygınlık geçiren hissedarın kimlik bilgilerinin şirket
çalışanı tarafından doktorlara verilmesi.
iv.
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması:
Bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde
kişisel verilerin işlenmesi mümkündür.
Örnek:
İş ortağı danışman ile akdedilen danışmanlık sözleşmesinin ifası için,
danışmana ödeme yapılabilmesi amacıyla, danışmanın banka hesap bilgisinin
elde edilmesi.
v.
Şirketimizin Hukuki Yükümlülüğünü Yerine Getirmesi:
Şirketimiz veri sorumlusu
olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu
olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek:
Mahkeme kararıyla talep edilen bilgilerin mahkemeye sunulması.
vi.
Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi:
Veri sahibinin, kişisel
verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel
veriler işlenebilecektir.
Örnek:
Çalışan adayının iletişim bilgilerini, iş başvurusu yapılmasına imkan
veren internet sitelerinde yayımlanması.
vii.
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu
Olması:
Bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması halinde kişisel veri
sahibinin kişisel verileri işlenebilecektir.
Örnek:
İspat niteliği olan verilerin (örneğin bir faturanın) saklanması ve gerekli
olduğu anda kullanılması.
viii.
Şirketin Meşru Menfaati için Veri İşlemenin Zorunlu Olması:
Kişisel veri sahibinin temel
hak ve özgürlüklerine zarar vermemek kaydıyla şirketin meşru menfaatleri
için veri işlemesinin zorunlu olması halinde kişisel verileri işlenebilecektir.
Örnek: Şirkete ait bina ve
tesislerde güvenlik amaçlı olarak kamera kaydı yapılması.
7.1.2.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz
tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık
rızası yok ise ancak, KVK Kurulu tarafından belirlenecek olan yeterli
önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
Ø
Kişisel veri sahibinin sağlığı ve cinsel
hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen
hallerde,
Ø
Kişisel
veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
Şirketimiz
tarafından güvenliğin sağlanması amacıyla, şirketimiz binalarında ve
tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş
çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde
bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş
çıkışlarının kayıt altına alınması yoluyla şirketimiz tarafından kişisel
veri işleme faaliyeti yürütülmüş olmaktadır.
8.1.
Şirketimizin Bina, Tesis Girişlerinde ve
İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
Bu bölümde
şirketimizin kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve
kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya
alındığına ilişkin bilgilendirme yapılacaktır. Şirketimiz, güvenlik kamerası
ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini
sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
8.1.1.
Kamera ile İzleme Faaliyetinin Yasal
Dayanağı
Şirketimiz
tarafından yürütülen kamera ile izleme faaliyeti, özel güvenlik
hizmetlerine dair kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
8.1.2.
KVK Hukukuna Göre Güvenlik Kamerası ile
İzleme Faaliyeti Yürütülmesi
Şirketimiz
tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK
Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirketimiz, bina
ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili
mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme
şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
8.1.3.
Kamera ile İzleme Faaliyetinin Duyurulması
Şirketimiz
tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi
aydınlatılmaktadır. Şirketimiz, genel hususlara ilişkin olarak yaptığı
aydınlatmanın (Bkz. Bölüm 3/Başlık 3.5) kamera ile izleme faaliyetine
ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle,
kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi,
şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması
amaçlanmaktadır.
Şirketimiz
tarafından kamera ile izleme faaliyetine yönelik olarak; internet sitemizde
işbu politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin
yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı
asılmaktadır (yerinde aydınlatma).
8.1.4.
Kamera ile İzleme Faaliyetinin Yürütülme
Amacı ve Amaçla Sınırlılık
Şirketimiz, KVK
Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Şirketimiz
tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu
politikada sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının
izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına
ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır.
Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu
doğurabilecek alanlarda (örneğin; tuvaletler) izlemeye tabi tutulmamaktadır.
8.1.5.
Elde Edilen Verilerin Güvenliğinin
Sağlanması
Şirketimiz
tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme
faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması
için gerekli teknik ve idari tedbirler alınmaktadır. (Bkz. Bölüm 2/Başlık
2.1)
8.1.6.
Kamera ile İzleme Faaliyeti ile Elde Edilen
Kişisel Verilerin Muhafaza Süresi
Şirketimizin,
kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi
ile ilgili ayrıntılı bilgiye bu politikanın Kişisel Verilerin Saklanma
Süreleri isimli 4.3. maddesinde yer verilmiştir.
8.1.7.
İzleme Sonucunda Elde Edilen Bilgilere
Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Canlı kamera
görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara
yalnızca sınırlı sayıda şirket
çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı
sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini
koruyacağını beyan etmektedir.
8.2.
Şirketimizin Bina, Tesis Girişlerinde ve
İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Şirketimiz
tarafından; güvenliğin sağlanması ve bu politikada belirtilen amaçlarla, şirketimiz
binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik
kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak şirket
binalarına gelen kişilerin isim ve soyadları elde edilirken ya da şirket
nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan
metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda
aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde
edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler
fiziki ortamda veri kayıt sistemine kaydedilmektedir.
8.3.
Şirketimizin Bina ve Tesislerinde
Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması
Şirketimiz
tarafından güvenliğin sağlanması ve bu politikada belirtilen amaçlarla; şirketimiz
tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep
eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda
internet erişimlerinize ilişkin log kayıtları 5651 sayılı kanun ve bu kanuna
göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına
alınmaktadır. Bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından
talep edilmesi veya şirket içinde gerçekleştirilecek denetim süreçlerinde
ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede
elde edilen log kayıtlarına yalnızca sınırlı sayıda şirket çalışanının
erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan şirket
çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen
talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken
yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda
kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini
koruyacağını beyan etmektedir.
8.4.
İnternet Sitesi Ziyaretçileri
Şirketimiz sahibi
olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki
ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini
temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve
çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik
vasıtalarla (örneğin kurabiyeler-cookie gibi) site içerisindeki internet
hareketlerini kaydedilmektedir.
9.1.
Şirketimizin Kişisel Verileri Silme, Yok
Etme ve Anonimleştirme Yükümlülüğü
Türk Ceza
Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği
üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimizin
kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel
veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda şirket
ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine
getirmektedir.
9.2.
Kişisel Verilerin Silinmesi, Yok Edilmesi
ve Anonimleştirilmesi Teknikleri
9.2.1.
Kişisel Verilerin Silinme ve Yok Edilme
Teknikleri
Şirket, ilgili
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya
kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok
edebilir. Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri
aşağıda sıralanmaktadır:
Ø
Fiziksel Olarak Yok Etme (Physical
Destruction)
Kişisel
veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken
kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok
edilmesi sistemi uygulanmaktadır.
Ø
Yazılımdan Güvenli Olarak Silme (Secure
Deletion Software)
Tamamen
veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza
edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde
verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Ø
Uzman Tarafından Güvenli Olarak Silme
(Sending to a Specialist for Secure Deletion)
Şirketimiz
bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile
anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi
tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok
edilir.
9.2.2.
Kişisel Verileri Anonim Hale Getirme
Teknikleri
Kişisel verilerin
anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka
uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler
ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVK Kanunu’nun 28.
maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma,
planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK
Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası
aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu
kapsamı dışında olacağından politikanın 10. Bölümünde düzenlenen haklar
bu veriler için geçerli olmayacaktır. Şirketimiz tarafından en çok
kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
Ø
Maskeleme (Masking)
Veri
maskeleme ile kişisel verinin temel belirleyici bilgisini , veri seti
içerisinden çıkartarak kişisel verinin anonim hale getirilmesi yöntemidir.
Örnek:
Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb.
bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız
hale geldiği bir veri setine dönüştürülmesi.
Ø
Toplulaştırma (Aggregation)
Veri
toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel
veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek:
Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan
bulunduğunun ortaya konulması.
Ø
Veri Türetme (DataDerivation)
Veri
türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik
oluşturulmakta ve kişisel verinin herhangi bir kişiyle
ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Örnek:
Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet
edilen bölgenin belirtilmesi.
Ø
Veri Karma (DataShuffling,Permutation)
Veri
karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak
değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Örnek:
Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin
ilişkilendirilemeyecek hale getirilmesi.
10.1.
Veri Sahibinin Hakları ve Bu Hakların
Kullanılması
10.1.1.
Kişisel Veri Sahibinin Hakları
Kişisel veri
sahipleri aşağıda yer alan haklara sahiptirler:
1.
Kişisel
verisinin işlenip işlenmediğini öğrenme,
2.
Kişisel
verileri işlenmişse buna ilişkin bilgi talep etme,
3.
Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
4.
Yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
5.
Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
6.
KVK
Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel
verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7.
İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8.
Kişisel
verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme.
10.1.2.
Kişisel Veri Sahibinin Haklarını İleri
Süremeyeceği Haller
Kişisel veri
sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu
kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda
10.1.1.’de sayılan haklarını ileri süremezler:
1.
Kişisel
verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi,
2.
Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik
haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih,
edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi,
3.
Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev
ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
4.
Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun
28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı
hariç, 10.1.1.’de sayılan diğer haklarını ileri süremezler:
1.
Kişisel
veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için
gerekli olması,
2.
Kişisel
veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi,
3.
Kişisel
veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma
veya kovuşturması için gerekli olması,
4.
Kişisel
veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin
ekonomik ve mali çıkarlarının korunması için gerekli olması.
10.1.3.
Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri
Sahipleri bu bölümün 10.1.1. Başlığı altında sıralanan haklarına ilişkin
taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda
belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği
diğer yöntemlerle Veri Sahibi Başvuru Formunu doldurup imzalayarak
şirketimize ücretsiz olarak iletebileceklerdir:
·
www.segeseat.com/kvkk adresinde bulunan formun doldurulduktan
sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Alaşarköy
Mh. 511.Sk. No:24 Osmangazi / Bursa / TÜRKİYE adresine iletilmesi,
·
www.segeseat.com/kvkk adresinde bulunan formun doldurulup
imzalandıktan sonra formun kvkk@segeseat.com adresine gönderilmesi.
Kişisel veri
sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için
veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla
düzenlenmiş özel vekâletname bulunmalıdır.
10.1.4.
Kişisel Veri Sahibinin KVK Kurulu’na
Şikâyette Bulunma Hakkı
Kişisel veri
sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen
cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; şirketimizin cevabını
öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren
altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
10.2.
Şirketimizin Başvurulara Cevap Vermesi
Grup
Şirketlerinin kişisel veri işleme faaliyetleri ile ilgili başvuruların
ilgili grup şirketine yapılması gerekmektedir. Şirketimize yalnızca
şirketimizin KVK Kanunu kapsamında veri sorumlusu sayıldığı durumlarda
başvuru yapılması gerekmektedir. Bu durum, şirketimizin doğrudan ilgili
kişiden kişisel veri topladığı ya da ilgili grup şirketi ile şirketimiz arasındaki
veri paylaşımının KVK Kanunu kapsamında veri sorumlusundan veri sorumlusuna
veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında,
ilgili grup şirketinin veri sorumlusu sayıldığı kişisel veri işleme
faaliyetleri ile ilgili başvuruların şirketimize değil, ilgili grup
şirketine yapılması gerekmektedir.
10.2.1.
Şirketimizin Başvurulara Cevap Verme Usulü
ve Süresi
Kişisel veri
sahibinin, bu bölümün 10.1.3. başlıklı kısmında yer alan usule uygun olarak
talebini şirketimize iletmesi durumunda şirketimiz talebin niteliğine göre en geç otuz gün içinde ilgili talebi
ücretsiz olarak sonuçlandıracaktır ancak KVK Kurulunca bir ücret
öngörülmesi hâlinde, şirketimiz tarafından başvuru sahibinden KVK
Kurulunca belirlenen tarifedeki ücret alınacaktır.
10.2.2.
Şirketimizin Başvuruda Bulunan Kişisel Veri
Sahibinden Talep Edebileceği Bilgiler
Şirketimiz,
başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek
adına ilgili kişiden bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin
başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine
başvurusu ile ilgili soru yöneltebilir.
10.2.3.
Şirketimizin Kişisel Veri Sahibinin
Başvurusunu Reddetme Hakkı
Şirketimiz
aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu,
gerekçesini açıklayarak reddedebilir:
1.
Kişisel
verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi,
2.
Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik
haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih,
edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi,
3.
Kişisel
verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici,
koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
4.
Kişisel
verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
5.
Kişisel
veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için
gerekli olması,
6.
Kişisel
veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi,
7.
Kişisel
veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve
kuruluşları
ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması
için gerekli olması,
8.
Kişisel
veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin
ekonomik ve mali çıkarlarının korunması için gerekli olması,
9.
Kişisel
veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme
ihtimali olması,
10.
Orantısız
çaba gerektiren taleplerde bulunulmuş olması,
11.
Talep
edilen bilginin kamuya açık bir bilgi olması.
Şirketimiz, işbu
politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel
verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt
politikaların yanısıra grup şirketleri için de temel politikalar
oluşturmaktadır.
Şirket içi
politikalarının esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara
yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve şirketin
yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve
hesap verilebilirliğin sağlanması hedeflenmiştir.
Şirketimiz
bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer
politikaları (Bkz. Bölüm 11) yönetmek üzere şirket üst yönetiminin kararı
gereğince Kişisel Verilerin Korunması Üst Kurulu (“Üst Kurul”)
oluşturulmuş ve Kişisel Verilerin Korunması Komitesi (“Komite”)
kurulmuştur.
Bu Komite’nin
görevleri aşağıda belirtilmektedir;
·
Kişisel
verilerin korunması ve işlenmesi ile ilgili temel politikaları ve
gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve üst
yönetimin onayına sunmak üzere Üst Kurul’a iletmek,
·
Kişisel
verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve
denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede
şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması
hususlarını üst yönetimin onayına sunmak üzere Üst Kurul’a iletmek,
·
KVK
Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları
tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını gözetmek ve
koordinasyonunu sağlamak üzere Üst Kurul’a iletmek,
·
Kişisel
verilerin korunması ve işlenmesi konusunda şirket içerisinde ve şirketin
işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
·
Şirketin
kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek
gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst
yönetimin onayına sunmak üzere Üst Kurul’a iletmek,
·
Kişisel
verilerin korunması ve politikaların uygulanması ve yayılımı konusunda,
kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları
konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler
düzenlenmesini sağlamak üzere Üst Kurul’a iletmek,
·
Kişisel
veri sahiplerinin başvurularını en üst düzeyde karara bağlamak üzere Üst
Kurul’a iletmek,
·
Kişisel
verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu
gelişmelere ve düzenlemelere uygun olarak şirket içinde yapılması gerekenler
konusundaki önerilerini Üst Kurul’a iletmek,
·
KVK
Kurulu ve Kurumu ile olan ilişkileri Üst Kurul’un koordinasyonunda
yürütmek,
·
Şirket
üst yönetiminin ve Üst Kurul’un kişisel verilerin korunması konusunda
vereceği diğer görevleri icra etmek.