İÇİNDEKİLER

1. GİRİŞ VE AMAÇ.. 1
2. KAPSAM VE TANIMLAR.. 1

2.1.     Şirket’in Politika Kapsamında İşlediği Kişisel Veri Kategorileri 2

2.2.     Şirket’in Politika Kapsamında Kişisel Verilerini İşlediği İlgili Kişi Grupları 3

3. İLGİLİ MEVZUAT.. 4
4. KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK GENEL İLKELER.. 4
5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI. 5

5.1.     Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları 5

1. a) Kanunlarda açıkça öngörülmesi 6
2. b) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması 6
3. c) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması 6
4. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması 6
5. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması 7
6. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 7

5.2.     Özel Nitelikli Kişisel Verilerin İşlenme Şartları 7

5.3.     Kişisel Verilerin İşlenme Şartları ve Aydınlatma Yükümlülüğü İlişkisi 8

6. KİŞİSEL VERİLERİN AKTARILMASI. 8

6.1.     Kişisel Verilerin Aktarılması 8

6.2.     Kişisel Verilerin Yurtdışına Aktarılması 9

7. İLGİLİ KİŞİNİN AÇIK RIZASI. 10
8. VERİ SORUMLUSUNUN İLGİLİ KİŞİYİ AYDINLATMA YÜKÜMLÜLÜĞÜ.. 11
9. İLGİLİ KİŞİNİN VERİ SORUMLUSUNA KARŞI HAKLARI. 13
10. İLGİLİ KİŞİNİN BAŞVURUSUNUN CEVAPLANMASI 14
11. İLGİLİ KİŞİNİN KURULA ŞİKÂYET HAKKI. 15
12. İSTİSNALAR.. 15
13. VERİ GÜVENLİĞİ VE İMHA.. 16

13.1.       KİŞİSEL VERİLERİN BULUNDUĞU KAYIT ORTAMLARI 16

13.2.       KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER.. 17

13.3.       KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİNİN VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER.. 18

13.4.       KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER.. 20

13.5.       KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ İLE İLGİLİ UYGULANAN YÖNTEMLER.. 20

13.5.1.    Kişisel Verilerin Silinmesi 20

13.5.2.    Kişisel Verilerin Yok Edilmesi 21

13.5.3.    Kişisel Verileri Anonim Hale Getirme Teknikleri 21

13.6.       SAKLAMA VE İMHA SÜRELERİ. 22

13.7.       TUTANAK.. 24

14. VERİ SORUMLULARI SİCİLİ. 25
15. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ YÜRÜRLÜK VE YÜKÜMLÜLÜKLER.. 26
16. DENETİM… 27
17. GÜNCELLEMELER.. 27

1.       GİRİŞ VE AMAÇ

İNFİNİTUM BİLGİ SİSTEMLERİ SANAYİ TİCARET LİMİTED ŞİRKETİ (“Şirket”) olarak, kişisel verilerin güvenliğine önem vermekteyiz. Türkiye Cumhuriyeti Anayasa’sının “Kişinin Hakları ve Ödevleri” başlıklı bölümünün “Özel Hayatın Gizliliği” kenar başlıklı 20. Maddesinin “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüyle, bireylerin kendilerine ait kişisel veriler üzerindeki hakları anayasal bir hak olarak düzenlenmiştir. Şirket, bireylerin temel hak ve özgürlüklerine verdiği önem ile Türkiye Cumhuriyeti Anayasasından dayanağını alan kişisel verilerin korunmasına dair her türlü hak ve ödev konusunda azami özen göstermektedir.

Türkiye Cumhuriyeti Anayasa’sının bahse konu 20. Maddesinin “…Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” hükmüne dayanarak 7.4.2016 tarihinde 29677 numaralı Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), ikincil mevzuatı ve KVKK’nın verdiği yetkiye dayanarak Kişisel Verileri Koruma Kurulu’nun (“Kurul”) hükmettiği kararlar doğrultusunda Şirket’in tüm faaliyetleri gözden geçirilmiş ve bahse konu mevzuata uygunluğu sağlanmıştır. İşbu İnfinitum Bilgi Sistemleri Sanayi Ticaret Limited Şirketi Kişisel Verileri Saklama ve İmha Politikası (“Politika”) Şirket’in kişisel verileri işleme faaliyetlerini ve bu faaliyetler sırasında bağlı kaldığı prensipleri açıklamaktadır. Politika’nın amacı; Şirket’in kişisel veri işleme faaliyetlerinin hukuka uygunluğunun sağlanması için gerekli usul ve esasları oluşturmak, bahse konu usul ve esasların sürdürülebilirliğini sağlamak; Şirket tarafından kişisel verileri işlenen ilgili kişilere Şirket’in veri işleme faaliyetlerindeki usul ve esasları açıklayarak şeffaflığı sağlamaktır.

2.       KAPSAM VE TANIMLAR

İşbu Politika, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirket tarafından kişisel verileri işlenen gerçek kişiler hakkında uygulanır. Şirket’in Kişisel Veri İşleme Envanteri, işbu Politika’nın ayrılmaz bir parçası olup, Şirket’in veri işleme faaliyetlerine, işlenen veri kategorilerine, verileri işlenen ilgili kişi gruplarına ve imha sürelerine ilişkin bu Politika’da yer verilen açıklamalar Kişisel Veri İşleme Envanteri’nin özeti niteliğindedir.

KVKK’nın 3. Maddesi gereği Kişisel Veri “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi”, İlgili Kişi “Kişisel verisi işlenen gerçek kişiyi” ifade etmektedir.

KVKK’nın 3. Maddesinde düzenlenen bazı tanımlar, işbu politikanın düzenlenmesinde de kullanılmış olup bu tanımlar aşağıda yer almaktadır:

“a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

1. b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
2. c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,

ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

1. d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
2. e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
3. f) Kurul: Kişisel Verileri Koruma Kurulunu,
4. g) Kurum: Kişisel Verileri Koruma Kurumunu,

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

1. h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.”

2.1. Şirket’in Politika Kapsamında İşlediği Kişisel Veri Kategorileri

KVKK’nın 3. Maddesi kapsamında Şirket, aşağıdaki kişisel veri kategorilerini işlemektedir:

• Kimlik Bilgisi
• İletişim Bilgisi
• Özgeçmiş Bilgisi
• Özlük Bilgisi
• Sigortalılık Bilgileri
• Finansal Bilgiler
• Seyahat Bilgisi
• Lokasyon Verisi / Fiziksel Mekân Bilgisi
• IP ve İnternet Trafiği Bilgisi
• Görüntü ve Ses Kaydı Bilgisi

(Özel Nitelikli Kişisel Veri Kategorileri):

• Fotoğraf
• Din Bilgisi
• Sağlık Bilgisi
• Ceza Mahkûmiyeti ve Güvenlik Tedbirleri
• Sendika Üyeliği

2.2. Şirket’in Politika Kapsamında Kişisel Verilerini İşlediği İlgili Kişi Grupları

Şirket, aşağıdaki İlgili Kişi gruplarının kişisel verilerini işbu Politika kapsamında işlemektedir:

1. Şirket Çalışanları

Şirket ile arasında 4857 sayılı İş Kanunu kapsamında bir iş akdi olan gerçek kişilerin kişisel verileri; bu iş akdi çerçevesinde aile üyelerinin ve bakmakla yükümlü oldukları kişilerin kişisel verileri ile iş başvurusunda bildirilen referans kişilerin kişisel verileri işbu Politika kapsamında işlenmektedir.

1. Şirket Pay Sahipleri

Şirket’in kuruluşu esnasında, sonradan gerçekleştirilecek olan sermaye artırımı yoluyla veya pay devirleri ile Şirket’e ortak olan gerçek kişilerin kişisel verileri ve/veya tüzel kişilerin yetkililerinin, çalışanlarının, ortaklarının kişisel verileri işbu Politika kapsamında işlenmektedir.

1. Çalışan Adayları

Şirket ile arasında 4857 sayılı İş Kanunu kapsamında bir iş akdi kurulması amacıyla özgeçmiş bilgileri Şirket ile paylaşılan gerçek kişilerin kişisel verileri; bu çerçevede aile bireylerinin kişisel verileri ile iş başvurusunda bildirilen referans kişilerin kişisel verileri işbu Politika kapsamında işlenmektedir.

1. Şirket Tedarikçileri

Şirket ile arasında ticari ilişki olan gerçek kişi tedarikçilerin kişisel verileri ve tüzel kişi tedarikçilerin yetkililerinin, çalışanlarının, ortaklarının kişisel verileri ile bu tedarikçilerin gerçek kişi alt yüklenicilerinin kişisel verileri ve tüzel kişi alt yüklenicilerin yetkililerinin, çalışanlarının, ortaklarının kişisel verileri işbu Politika kapsamında işlenmektedir.

1. Şirket Müşterileri

Şirket ile arasında sözleşme ilişkisi olan gerçek kişi müşterilerin kişisel verileri ve tüzel kişi müşterilerin yetkililerinin, çalışanlarının, ortaklarının kişisel verileri ile bu müşterilerin, ilgili sözleşmenin ifası için hizmet aldığı gerçek kişilerin kişisel verileri ve tüzel kişilerin yetkililerinin, çalışanlarının, ortaklarının kişisel verileri ile müşterilerin müşterisi olan gerçek kişilerin kişisel verileri işbu Politika kapsamında işlenmektedir.

1. Potansiyel Şirket Müşterileri

Şirket ile arasında bir sözleşme kurulma ihtimali olan ve bu kapsamda iletişimde olunan gerçek kişilerin kişisel verileri ile tüzel kişilerin yetkililerinin, çalışanlarının, ortaklarının kişisel verileri işbu Politika kapsamında işlenmektedir.

1. Şirket Ziyaretçileri

Şirket merkez ve şubeleri ile Şirket web sitesini ziyaret eden gerçek kişilerin kişisel verileri işbu Politika kapsamında işlenmektedir.

3.       İLGİLİ MEVZUAT

Şirket, her türlü kişisel veriyi, aşağıda listelenen mevzuat başta olmak üzere mevcutta yürürlükte olan yahut gelecekte yürürlüğe girecek sair mevzuata uygun işlemelidir:

• 11.1982 tarih ve 2709 sayılı Türkiye Cumhuriyeti Anayasası
• 9.2004 tarih ve 5237 sayılı Türk Ceza Kanunu
• 3.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
• Veri Sorumluları Sicili Hakkında Yönetmelik
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
• Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
• “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun kararı

Yukarıda sayılan düzenlemeler, işbu Politika’nın hazırlanmasında dayanak olarak alınmıştır. Bahsi geçen mevzuat ve gelecekte yürürlüğe girecek mevzuat ile işbu Politika hükümlerinde çelişki olması durumunda mevzuat hükümleri geçerli olacaktır.

Ayrıca; Kişisel Verileri Koruma Kurulu’nun yayınladığı yahut yayınlayacağı tebliğler ve Kişisel Verileri Koruma Kurulu’nun resmi gazetede yayımladığı yahut yayımlayacağı ilke kararlar Şirket için bağlayıcıdır ve bağlayıcı olacaktır.

4.       KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK GENEL İLKELER

KVKK’nın 4. Maddesinin 2. Fıkrası “(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

1. a) Hukuka ve dürüstlük kurallarına uygun olma.
2. b) Doğru ve gerektiğinde güncel olma.
3. c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

1. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklindedir.

İlgili KVKK hükmü doğrultusunda Şirket, kişisel verileri işleme faaliyetlerinde her zaman aşağıdaki ilkelere uygun hareket etmelidir:

1. Kişisel veriler hukuka ve dürüstlük kurallarına uygun olarak işlenecektir.

Şirket, kişisel verileri tabi olduğu tüm geçerli hukuk kurallarına ve kaynağını 4721 sayılı Türk Medeni Kanunu’ndan alan dürüstlük kurallarına uygun olarak işlemelidir.

1. İşlenen kişisel verilerin doğru ve güncel olmasını sağlayamaya yönelik gerekli tedbirler alınacaktır.

Şirket, işlemekte olduğu kişisel verilerin doğruluğunun ve güncelliğinin ilgili kişinin menfaati açısından öneminin bilincindedir; bu doğrultuda Şirket, kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli tedbirleri almalıdır. Nitekim ilgili kişi, kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme hakkına haizdir (Bakınız: İşbu Politika’nın 9. Maddesi).

1. Kişisel veriler belirli, açık ve meşru amaçlar için işlenecektir.

Şirket, kişisel verileri belirli, açık ve meşru amaçlar için işlemelidir. Bahse konu özelliklere haiz veri işleme amaçları, Şirket’in kişisel veri işlediği faaliyetleri özelinde hazırladığı ve farklı iletişim kanalları üzerinden ilgili kişilere sunduğu aydınlatma metinlerinde de açıkça belirtilmelidir (Bakınız: İşbu Politika’nın 8. Maddesi).

1. Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesini sağlamaya yönelik gerekli tedbirler alınacaktır.

Şirket, kişisel verileri, Şirket faaliyetlerini gerçekleştirmeye yönelik olarak belirlediği amaçla bağlantılı, bu amaçla sınırlı ve her halükarda amacı gerçekleştirmek için ölçülü olduğu kadarıyla işlemelidir. Bahse konu özellikteki amaçlar, Şirket’in faaliyetleri özelinde hazırladığı ve farklı iletişim kanalları üzerinden ilgili kişilere sunduğu aydınlatma metinlerinde de açıkça belirtilmelidir  (Bakınız: İşbu Politika’nın 8. Maddesi).

1. Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.

Şirket, kişisel verileri salt olarak bir kanuni yükümlülüğünü yerine getirmek amacıyla işliyorsa ve ilgili mevzuatta bu yükümlülüğe dair bir süre öngörülmüşse Şirket, kişisel verileri öngörülen süre ile sınırlı olarak işlemelidir. Şirket farklı mevzuatta öngörülen genel dava açma sürelerine de ispatı yükünü yerine getirebilmek adına bu kapsamda riayet etmek durumundadır.

Şirket, her halükarda kişisel verileri işleme amacının gerektirdiği süre ile sınırlı olarak işlemelidir.

5.       KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

5.1. Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları

Şirket, KVKK’nın 5. Maddesinin 2. Fıkrası doğrultusunda, özel nitelikli olmayan kişisel verileri, maddede sayılan senaryolardan birinin veya birkaçının mevcut olması halinde ilgili kişinin açık rızasını almaksızın işleyebilmektedir. KVKK’nın 5. Maddesi şu şekildedir:

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

1. a) Kanunlarda açıkça öngörülmesi.
2. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
3. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”

Şirket, bahse konu madde düzenlemesindeki aşağıdaki senaryolara dayanarak, ilgilinin açık rızası almaksızın kişisel verilerini işlemektedir:

a)      Kanunlarda açıkça öngörülmesi

Şirket, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 4458 sayılı Gümrük Kanunu, 213 sayılı Vergi Usul Kanunu, 7201 sayılı Tebligat Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6831 sayılı Orman Kanunu, 5411 sayılı Bankacılık Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bu kanunların ikincil mevzuatları başta olmak üzere, her türlü mevzuat hükümlerinin gerektirdiği hallerde, ilgili kişinin açık rızasını almaksızın kişisel verileri işlemektedir.

b)      Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

Şirket, 4857 sayılı İş Kanunu kapsamında çalışanlarıyla arasında akdedilen iş sözleşmeleri ile 6102 sayılı Türk Ticaret Kanunu ve 6098 sayılı Türk Borçlar Kanunu kapsamında tedarikçileriyle yahut müşterileriyle arasında akdedilen ticari sözleşmeler başta olmak üzere, taraf olduğu tüm sözleşmelerde, sözleşmeye taraf olan gerçek kişilerin ve sözleşmenin tarafı tüzel kişiyi temsil eden gerçek kişilerin kişisel verilerini, ilgili kişinin açık rızasını almaksızın işlemektedir.

c)       Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

Şirket’in herhangi bir hukuki yükümlülüğünün yerine getirilmesi için kişisel verilerin işlenmesinin gerekmesi halinde Şirket, ilgili kişinin açık rızasını almaksızın kişisel verileri işlemektedir.

d)      İlgili kişinin kendisi tarafından alenileştirilmiş olması

Şirket, ilgili kişinin kendisi tarafından herhangi bir vasıtayla kamunun erişimine sunulan (alenileştirilen) kişisel verileri, ilgili kişinin açık rızasını almaksızın işlemektedir.

e)       Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

Şirket tarafından işbu Politika kapsamında kişisel verileri işlenen ilgili kişilere herhangi bir hak tesis edilmesi ve bu hakkın kullandırılmasına dair faaliyetlerde Şirket, ilgili kişinin açık rızasını almaksızın kişisel verileri işlemektedir.

f)       İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Şirket’in meşru menfaatleri için kişisel verilerin işlenmesinin gerekmesi halinde Şirket, bu veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesini gözeterek ve zarar vermemesi kaydıyla, ilgili kişinin açık rızasını almaksızın kişisel verileri işlemektedir.

Şirket, KVKK’nın 5. Maddesinin 2. Fıkrasındaki veri işleme şartlarından birinin uygulanamadığı durumlarda aynı maddenin 1. Fıkrası kapsamında ilgili kişinin açık rızasını alarak kişisel verileri işleyebilmektedir (Bakınız: İşbu Politika’nın 7. Maddesi).

5.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

KVKK’nın 6. Maddesinin 1. Fıkrası “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklindedir.

KVKK’nın 6. Maddesinin 2. ve 3. Fıkraları “…(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” şeklindedir.

İlgili düzenlemeler doğrultusunda Şirket, işlediği özel nitelikli kişisel verilerden sağlık verisi dışında olanları (şirket cinsel hayata ilişkin herhangi bir veri işlememektedir) 4857 sayılı İş Kanunu, 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu ve sair mevzuattan doğan yükümlülüklerin yerine getirilmesi ve Şirket lokasyonları ile Şirket çalışanlarının ve ziyaretçilerinin güvenliğin sağlanması yükümlülüklerinin yerine getirilmesi amaçlarıyla işlemekte ve ilgili kurum ile kuruluşlara aktarmaktadır. Şirket’in 4857 sayılı İş Kanunu ve 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve sair mevzuattan doğan işçi sağlığına yönelik yükümlülüklerinin yerine getirilmesi amacıyla, KVKK’nın 6. Maddesinin 3. Fıkrasındaki “…Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” düzenlemesine uygun olarak Şirket çalışanlarının sağlık verileri iş yeri hekimi tarafından işlenmekte ve arşivlenmektedir.

Şirket, KVKK’nın 6. Maddesinin 3. Fıkrasındaki veri işleme şartlarından birinin uygulanamadığı durumlarda aynı maddenin 2. Fıkrası kapsamında ilgili kişinin açık rızasını alarak kişisel verileri işleyebilmektedir (Bakınız: İşbu Politika’nın 7. Maddesi).

5.3. Kişisel Verilerin İşlenme Şartları ve Aydınlatma Yükümlülüğü İlişkisi

KVKK’nın 5. Maddesinin 2. Fıkrasına yahut 6. Maddesinin 3. Fıkrasına dayanarak ilgili kişilerin açık rızası alınmaksızın kişisel verilerin işlendiği senaryolarda, Şirket’in aydınlatma yükümlülüğü devam etmektedir ve KVKK, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ve sair mevzuat hükümlerine uygun olarak ilgili kişilerin aydınlatılması gerekmektedir (Bakınız: İşbu Politika’nın 8. Maddesi).

6.       KİŞİSEL VERİLERİN AKTARILMASI

6.1. Kişisel Verilerin Aktarılması

KVKK’nın 8. Maddesi “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(2) Kişisel veriler;

1. a) 5 inci maddenin ikinci fıkrasında,
2. b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklindedir.

KVKK doğrultusunda kişisel verilerin ve özel nitelikli kişisel verilerin ilgili kişinin açık rızası alınmaksızın işlenebildiği hallerin aktarım için de söz konusu olması halinde (Bakınız: İşbu Politika’nın 5. Maddesi) bahse konu veriler açık rıza aranmaksızın aktarılabilirler (yurtdışına aktarım hükümleri saklıdır). Bu kapsamda Şirket, KVKK’ya dayanarak birtakım kişisel verileri ilgili kamu kurum ve kuruluşlarına ilgili kişilerin açık rızalarını almaksızın aktarmaktadır.

Şirket, işlediği kişisel verileri aşağıdaki kurum ve kuruluşlara aktarmaktadır:

• Sosyal Güvenlik Kurumu
• Banka
• Gümrük Müşaviri
• Talep edilmesi durumunda kolluk, yargı makamları ve diğer yetkili kamu kurum ve kuruluşları
• Bağımsız denetçi
• Seyahat acentesi – Taşımacılık firması
• Araç kiralama firması

Açık rıza alınmaksızın kişisel verilerin aktarılabildiği ve işbu hükümde açıklanan haller dışında kişisel verilerin aktarılması durumunda Şirket, ilgili kişinin bu aktarıma dair açık rızasını almalıdır (Bakınız: İşbu Politika’nın 7. Maddesi).

6.2. Kişisel Verilerin Yurtdışına Aktarılması

KVKK’nın 9. Maddesi “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

1. a) Yeterli korumanın bulunması,
2. b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

1. a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
2. b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
3. c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

1. d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” şeklindedir.

Şirket, işbu Politika’nın yayımlanma tarihi itibariyle yurtdışına herhangi bir kişisel veri aktarımı gerçekleştirmemektedir. Şirket’in işlediği kişisel verilerin tutulduğu sunucular da yurtdışında değildir.

Şirket, gelecekte yurtdışına kişisel veri aktarması gerekmesi durumunda; KVKK doğrultusunda kişisel verilerin ve özel nitelikli kişisel verilerin ilgili kişinin açık rızası alınmaksızın işlenebildiği hallerin yurtdışına aktarım için de söz konusu olması halinde (Bakınız: İşbu Politika’nın 5. Maddesi), yurtdışına aktarımı için, aktarımı gerçekleştireceği ülkenin Kurul’un “yeterli korumanın bulunduğu ülke” listesinde bulunup bulunmadığını kontrol edecek, bulunuyorsa verileri aktarabilecek, bulunmuyorsa KVKK’da açıklanan ilgili taahhütler ile birlikte Kurul’un iznini alacaktır. Aktarımın gerçekleştirileceği ülkenin yeterli korumanın bulunduğu ülke listesinde bulunmadığı ve Kurul’un izninin de usule uygun şekilde alınamadığı durumda kişisel verilerin ilgili ülkeye, ilgili kişinin açık rızası alınmaksızın aktarımı gerçekleştirilmeyecektir.

Açık rıza alınmaksızın kişisel verilerin yurtdışına aktarılabildiği ve işbu hükümde açıklanan haller dışında kişisel verilerin yurtdışına aktarılması durumunda Şirket, ilgili kişinin bu aktarıma dair açık rızasını almalıdır (Bakınız: İşbu Politika’nın 7. Maddesi).

7.       İLGİLİ KİŞİNİN AÇIK RIZASI

KVKK’nın 3. Maddesindeki tanım şu şekildedir: “a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, … ifade eder.”.

Şirket, açık rıza almasını gerektiren tüm veri işleme faaliyetleri için özel olarak hazırlanmış rıza metinlerini kullanacak, ilgili kişiyi aydınlatma yükümlülüğünü, açık rıza almadan önce yerine getirecektir (Bakınız: İşbu Politika’nın 8. Maddesi). Şirket, ilgili kişinin özgür iradesini etkilememek amacıyla, rıza verip vermeme konusunda kendisini rahat hissedeceği ortamı yaratmak için gereken her türlü tedbiri alacaktır.

Nitekim KVKK’nın 5. ve 6. Maddeleri kişisel verilerin işlenme şartlarını; 8. Maddesi kişisel verilerin aktarılmasını ve 9. Maddesi kişisel verilerin yurtdışına aktarılmasını düzenlerken “açık rıza”ya atıf yapmıştır. Bahse konu maddeler doğrultusunda Şirket;

• Kişisel verilerin işlenmesi için KVKK’nın 5. Maddesinin 2. Fıkrasındaki şartlardan biri varsa açık rıza almaksızın; bu şartların hiçbiri uygulanamadığı takdirde ise açık rıza alarak kişisel verileri işleyecektir (Bakınız: İşbu Politika’nın 5.1. Maddesi).
• Özel nitelikli kişisel verilerin işlenmesi için KVKK’nın 6. Maddesinin 3. Fıkrasındaki şartlardan biri varsa açık rıza almaksızın; bu şartların hiçbiri uygulanamadığı takdirde ise açık rıza alarak kişisel verileri işleyecektir (Bakınız: İşbu Politika’nın 5.2 Maddesi).
• Kişisel verilerin aktarılması için KVKK’nın 8. Maddesinin 2. Fıkrasındaki şartlardan biri varsa açık rıza almaksızın; bu şartların hiçbiri uygulanamadığı takdirde ise açık rıza alarak kişisel verileri aktaracaktır (Bakınız: İşbu Politika’nın 6.1. Maddesi).
• Kişisel verilerin yurt dışına aktarılması için KVKK’nın 9. Maddesinin 2. Fıkrasındaki şartlardan biri varsa açık rıza almaksızın; bu şartların hiçbiri uygulanamadığı takdirde ise açık rıza alarak kişisel verileri aktaracaktır (Bakınız: İşbu Politika’nın 6.2. Maddesi).

8.       VERİ SORUMLUSUNUN İLGİLİ KİŞİYİ AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK’nın 10. Maddesi “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

1. a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. b) Kişisel verilerin hangi amaçla işleneceği,
3. c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

1. d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.” şeklindedir.

KVKK’nın 10. Maddesi ve ilgili maddeye dayanarak Kişisel Verileri Koruma Kurumu tarafından yayımlanan ve aydınlatma yükümlülüğüne dair detayları düzenleyen “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ” Şirket’in “veri sorumlusu” sıfatıyla işlediği kişisel verilerin sahibi olan ilgili kişileri aydınlatmada uymakla yükümlü olduğunu hüküm altına almaktadır. Bu durumda Şirket’in “veri işleyen” sıfatıyla işlediği kişisel verilere dair aydınlatma yükümlülüğü bulunmamaktadır; bu verileri Şirket’e aktaran veri sorumlusu, aktardığı verilerin sahibi ilgili kişileri aydınlatmakla yükümlüdür.

Tebliğ’in 5. Maddesi ve 6. Maddesi aydınlatma yükümlülüğüne dair detayları düzenlemektedir:

“Usul ve esaslar: MADDE 5

(1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:

1. a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
2. b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
3. c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.

ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.

1. d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
2. e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
3. f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
4. g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.

Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.

1. h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.

ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.

1. i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
2. j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.”

“Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü: MADDE 6

(1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;

1. a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
2. b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
3. c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.”

Şirket, kişisel verilerini işlediği tüm ilgili kişileri KVKK’ya ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun içerikli metinlerle ve bahse konu mevzuatta çerçevesi belirlenen usullerle aydınlatmalıdır.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. Maddesinin “e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.” düzenlemesi gereği Şirket, aydınlatmayı kural olarak yazılı gerçekleştirmeli ve aydınlatmayı gerçekleştirdiğine dair tüm kayıt ve dokümanları (aydınlatma metinleri, aydınlatma metninin asılı bulunduğu ortamların fotoğrafları, imza ile ilgiliye iletilen aydınlatma metinlerinin imzalı örnekleri, duyuru e-postaları vb.) kaydetmeli/arşivlemelidir.

9.       İLGİLİ KİŞİNİN VERİ SORUMLUSUNA KARŞI HAKLARI

KVKK’nın 11. Maddesi ile Şirket’in kişisel verilerini işlediği ilgili kişilerin hakları düzenlenmiştir:

 “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

1. a) Kişisel veri işlenip işlenmediğini öğrenme,
2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

1. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
2. e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
3. f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
4. g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.”

İlgili kişinin 11. maddedeki hakları kapsamında Şirket’e başvurmasının akabinde ve bu başvuru hakkını kullanmış olması kaydıyla Kurul’a şikâyet hakkı da mevcuttur  (Bakınız: İşbu Politika’nın 11. Maddesi).

Ayrıca Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. Maddesinde veri sorumlusu olan Şirket’e başvuru usulü düzenlenmiştir: “(1) İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

(2) Başvuruda;

1. a) Ad, soyad ve başvuru yazılı ise imza,
2. b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
3. c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

1. d) Talep konusu,

bulunması zorunludur.

(3) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.

(4) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.

(5) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.”

Ayrıca Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 4. Maddesi “(1) Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir.

(2) İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.” Şeklindedir. Bu hükme göre Şirket’e iletilen başvurular Türkçe olmalıdır.

Bahse konu Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ maddelerine uygun olarak ilgili kişi tarafından (tercihen web sitemizde yer alan formdaki bütün bilgileri doldurmak suretiyle); “Esentepe Mah.Büyükdere Cad. No:201 D:86 K:4 Loft Residence Şişli/İst.” adresindeki Şirketimize bizzat gelerek, ilgili kişinin kimliğini tespit edebilmemiz ve yanlış kişilere bilgi vermememiz adına yazılı olarak noter aracılığı ile veya iadeli taahhütlü mektup ile, [email protected] şeklindeki kayıtlı elektronik posta (KEP) adresimiz üzerinden, güvenli elektronik imza, mobil imza ya da (varsa) ilgili kişi tarafından daha önce Şirket’imize bildirilen ve sistemlerimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle [email protected] adresine elektronik posta göndererek veya gelecekte Kişisel Verileri Koruma Kurulu’nun belirleyeceği diğer yöntemlerle iletebilecektir.

İlgili kişi başvurusunda:

1. a) Ad, soyad ve başvuru yazılı ise imza,
2. b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
3. c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

1. d) Talep konusu,

bilgilerini iletmek zorundadır.

10.   İLGİLİ KİŞİNİN BAŞVURUSUNUN CEVAPLANMASI

KVKK’nın 13. Maddesi “(1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” şeklindedir.

İlgili madde düzenlemesi kapsamında Şirket, başvuruyu gerçekleştiren ilgili kişiye en geç 30 gün içerisinde cevap vermelidir. Bu süre yazılı başvurularda, Şirket’e veya temsilcisine evrakın tebliğ edildiği tarihten; KEP üzerinden yapılan başvurularda, başvurunun Şirket’in KEP adresine ulaştığı tarihi izleyen beşinci günün sonunda; başvurunun ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle [email protected] adresine elektronik posta göndermek suretiyle yapılması durumunda, elektronik postanın Şirket’e ulaştığı tarihten itibaren başlar.

11.   İLGİLİ KİŞİNİN KURULA ŞİKÂYET HAKKI

KVKK’nın 14. Maddesi, veri sorumlusu Şirket’e başvurusu reddedilen veya başvurusuna 30 günlük süre içinde cevap verilmeyen yahut verilen cevabı yetersiz bulan ilgili kişinin Kurul’a şikâyet hakkını düzenlemektedir:

“(1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.”

Şirket, “verilen cevabın yetersiz bulunması” ve “süresinde başvuruya cevap verilmemesi” hallerinin gerçekleşmemesi için gereken her türlü önlemi almalıdır. Bu kapsamda Şirket, ilgili kişi başvurularının takibini gerçekleştirip 30 gün içerisinde cevap vermeli (Bakınız: İşbu Politika’nın 10. Maddesi), ve cevabın yeterli olması için gereken her türlü çabayı göstererek gerekli bilgiler sağlamalıdır.

12.   İSTİSNALAR

KVKK’nın 28. Maddesi şu şekildedir: “(1) Bu Kanun hükümleri aşağıdaki hâllerde uygulanmaz:

1. a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
2. b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
3. c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

1. d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(2) Bu Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

1. a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.”

Bu madde kapsamında Şirket, ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verileri işleyebilecektir.

13.   VERİ GÜVENLİĞİ VE İMHA

13.1.                     KİŞİSEL VERİLERİN BULUNDUĞU KAYIT ORTAMLARI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam, kayıt ortamı kapsamına girmektedir. Elektronik ve fiziki olmak üzere iki tür temel ortam belirlenmiştir. İşbu Politika kapsamındaki kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda güvenli bir şekilde saklanmaktadır:

Elektronik ortamlar:

Exchange Server

File Server

SQL Server

Fiziksel ortamlar:

İnsan Kaynakları Arşivi

Muhasebe Arşivi

Sorumlu Birim Dolapları

13.2.                     KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER

• KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER

Kanunlarda açıkça öngörülmesi: Şirket, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 4458 sayılı Gümrük Kanunu, 213 sayılı Vergi Usul Kanunu, 7201 sayılı Tebligat Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6831 sayılı Orman Kanunu, 5411 sayılı Bankacılık Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve bu kanunların ikincil mevzuatları başta olmak üzere, her türlü mevzuat hükümlerinin gerektirdiği haller sebebiyle kişisel verileri saklamaktadır.

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Şirket, 4857 sayılı İş Kanunu kapsamında çalışanlarıyla arasında akdedilen iş sözleşmeleri ile 6102 sayılı Türk Ticaret Kanunu ve 6098 sayılı Türk Borçlar Kanunu kapsamında tedarikçileriyle yahut müşterileriyle arasında akdedilen ticari sözleşmeler başta olmak üzere, taraf olduğu tüm sözleşmelerde, sözleşmeye taraf olan gerçek kişilerin ve sözleşmenin tarafı tüzel kişiyi temsil eden gerçek kişilerin kişisel verilerini saklamaktadır.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Şirket, herhangi bir hukuki yükümlülüğünün yerine getirilmesi için kişisel verilerin işlenmesinin gerekmesi hallerinde kişisel verileri saklamaktadır.

İlgili kişinin kendisi tarafından alenileştirilmiş olması: Şirket, ilgili kişinin kendisi tarafından herhangi bir vasıtayla kamunun erişimine sunulan (alenileştirilen) kişisel verileri saklamaktadır.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Şirket tarafından işbu Politika kapsamında kişisel verileri işlenen ilgili kişilere herhangi bir hak tesis edilmesi ve bu hakkın kullandırılmasına dair faaliyetlerde kişisel veriler saklanmaktadır.

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: Şirket’in meşru menfaatleri için kişisel verilerin işlenmesinin gerekmesi halinde Şirket, bu veri işleme faaliyetinin ilgili kişinin temel hak ve özgürlüklerine zarar vermemesini gözeterek ve zarar vermemesi kaydıyla kişisel verileri saklamaktadır.

Şirketin ilgili kişi ile arasında doğmuş̧ ya da doğabilecek yasal sorumluluklarını yerine getirebilmesi amacı ile saklanmaktadır.

Silinmesi ve/veya anonimleştirilmesi öngörülen veriler ise; süreklilik, bütünlük, veri kaybının önlenmesi ve veri koruma amacıyla yedek/arşiv ve benzeri ortamlarda ilgili kullanıcıların erişemeyeceği şekilde saklanmaktadır.

Silme, yok etme veya anonimleştirme yolu ile imha edilecek veriler en geç̧ bir sonraki periyodik imha tarihine kadar saklanmaktadır.

• KİŞİSEL VERİLERİN İMHASINI GEREKTİREN HUKUKİ, TEKNİK VE DİĞER SEBEPLER

KVKK’nın 5. ve 6. Maddelerinde düzenlenen kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler resen veya ilgili kişinin talebi üzerine imha edilir.

Kişisel verilerin, ilgilinin kişinin açık rızası ile işlendiği hallerde ilgili kişinin açık rızasını geri alması halinde kişisel veriler imha edilir.

İlgili kişinin, verilerinin imha edilmesini talep etmesi ve yapılan başvurunun Şirket tarafından kabul edilmesi veya Kurul’un imha yönündeki herhangi bir kararı ile kişisel veriler imha edilir.

13.3.                     KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİNİN VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

KVKK’nın 12. Maddesi şu şekildedir: “(1) Veri sorumlusu;

1. a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2. b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
3. c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.”

Bahse konu mevzuat düzenlemeleri ile teknik bilgi ve donanım doğrultusunda Şirket, aşağıda açıklanan güvenlik tedbirlerini almıştır:

• KİŞİSEL VERİLERİN GÜVENLİ ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİNİN VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN TEKNİK TEDBİRLER

Kişisel verilerin saklandığı elektronik ortamların güvenliği için yazılımlar ve sistemler kurulmakta ve kullanılmaktadır.

Şirket bilişim sistemlerine yönelik saldırıların önlenmesi için güvenlik duvarı kullanılmaktadır.

Şirket bünyesindeki bilgisayarlarda zararlı yazılım tespit eden, önleyen, tespit edilen zararlı yazılımları silen yazılımlar kullanılmakta ve zararlı yazılım veri tabanları güncel tutulmaktadır.

Veri kaybının önüne geçmek için farklı iki noktada bulunan yedekleme cihazları ile düzenli aralıklarla sistemlerin yedeği alınmaktadır.

Kişisel veri içeren sunucularda gerçekleştirilen etkinliklerin kayıtlarının tutulması için erişim logları tutulur.

Kullanıcı hesap yönetimi ile şirkete ait olan ve şirket ağına dâhil olan kullanıcıların şifrelerinin azami ölçüde güvenlikli ve sağlam bir yapıda oluşturulması, korunması ve değiştirme sıklığı bir standartla belirlenmiştir.

Yetki kontrol listesi ile şirkete ait bilgisayarlarda yer alan dosyalar üzerinde yetkililer belirlenmiştir. Yetki matrisi listesinde yer alan okuma, yazma, taşıma ya da değiştirme yetkilerinin kimlerde olduğu belirlenmiştir. Yetki matrisiyle, Şirket bünyesindeki dijital depolama dosyaları ve veri tabanı için kimin erişim yetkisi olduğu, kimin ne zaman, ne şekilde ve hangi cihazdan erişim sağladığı belirlenmiştir.

Şirket bünyesindeki bilgisayarlara ait işletim sistemleri güncel tutulmaktadır.

Misafirlere ait internet bağlantısı, şirket ağ sisteminden ayrıdır.

Teknik tedbirler konusunda bilgi sahibi personel istihdam edilmektedir.

Saklama ortamlarının güvenliği için bahse konu ortamlar güvenlik kamerası ile takip edilmektedir.

Dijital saklama alanları fiziki olarak kilit altında tutulmakta, yetkisiz girişler engellenmektedir.

• KİŞİSEL VERİLERİN GÜVENLİ ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİNİN VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINAN İDARİ TEDBİRLER

Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler hakkında ve sosyal mühendislik girişimlerine karşı eğitilmektedir.

KVKK uyum sürecinde yapılan analizlerle tespit edilen hususlarda iyileştirme için aksiyonlar alınmıştır.

Akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

13.4.                     KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

KVKK’nın 7. Maddesi “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.” şeklindedir. İlgili maddenin 3. Fıkrasına dayanarak Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik yayımlanmıştır.

İlgili mevzuat düzenlemeleri ışığında, sorumlu birim ve kişisel veri koruma komisyonu, silme işlemine konu teşkil edecek kişisel verileri belirler, her bir kişisel veri için ilgili kullanıcıları tespit eder. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılır ve ortadan kaldırılır.

Bulut sistemler ve merkezi sunucuda yer alan veriler, silme komutu verilerek silinir. Veri tabanlarında bulunan verilerin ilgili satırları, veri tabanı silme komutu ile silinir. Bütün bu işlemlerde ilgili kullanıcının silinmiş verileri geri getirme yetkisi varsa kaldırılır.

Diğer kayıt ortamlarında bulunan veriler için silme (karartma ve benzeri), yok etme (fiziksel yok etme, de-manyetize etme, üzerine yazma ve benzeri) ya da anonimleştirme yöntemlerinden biri tercih edilir. Seçilecek imha yöntemi için ilgili tüm ortamlar tespit edilir ve verinin bulunduğu sistemin türü göz önüne alınır.

13.5.                     KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ İLE İLGİLİ UYGULANAN YÖNTEMLER

13.5.1.    Kişisel Verilerin Silinmesi

a)      Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken / yok edilirken; bir daha kurtarılamayacak / erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

b)      Uzman Tarafından Güvenli Olarak Silme

Şirket, kendi adına kişisel verileri silmesi için bir uzmandan dış hizmet alabilir. Bu durumda, kişisel veriler bir daha kurtarılamayacak / erişilemeyecek biçimde güvenli olarak silinir ve yok edilir.

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi bu kapsamda sayılabilecektir. Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, a) başka herhangi bir kurum, kuruluş yahut kişinin erişimine kapalı olması, b) kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirin alınması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

c)       Karartma Yöntemi

Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için, ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemi olan karartma işlemi uygulanacaktır.

13.5.2.    Kişisel Verilerin Yok Edilmesi

a)      De-manyetize Etme

Manyetik medyanın, yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.

b)      Üzerine Yazma

Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

13.5.3.    Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirket, kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVKK’nın 28. Maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik oluşturma gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK’nın kapsamının dışında olup, kişisel veri sahibi ilgili kişinin açık rızası aranmayacaktır. Şirket tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

a)      Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesidir.

b)      Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulmasıdır.

c)       Genelleştirme

İlgili veriyi özel bir değerden, daha genel bir değere çevirme yöntemiyle kişisel verilerin anonimleştirilmesidir. Örneğin, il bilgisinin önemli olduğu bir plaka bilgisinde rakam kısmının daha genel bir veri kümesi olan 1234’e taşınması genelleştirme yaklaşımıyla veri kümesi üzerinde anonimlik sağlanabilir.

d)      Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesidir.

13.6.                     SAKLAMA VE İMHA SÜRELERİ

Şirketin genel periyodik imha süresi 6 aydır. Kurul, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu süreyi kısaltabilir. Şirketin saklama sürelerine dair tablo aşağıdadır. İşbu Politikada yer almayan hususlarda şirketin Kişisel Veri İşleme Envanteri esas alınır.

13.7.                     TUTANAK

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesinin 3. Fıkrası şu şekildedir: “(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.”

Şirket, ilgili yönetmelik hükümleri doğrultusunda kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yaptığı bütün işlemleri tutanak ile kayıt altına almalı ve söz konusu tutanakları üç yıl süreyle saklamalıdır.

14.   VERİ SORUMLULARI SİCİLİ

KVKK’nın 16. Maddesi şu şekildedir: “(1) Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.

(2) Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.

(3) Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

1. a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
2. b) Kişisel verilerin hangi amaçla işleneceği.
3. c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.

1. d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
2. e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
3. f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

(4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.

(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.”

İlgili KVKK maddesi ile maddenin 5. Fıkrasına dayanarak yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik ve “”Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulacak Veri Sorumluları” ile ilgili Kişisel Verileri Koruma Kurulunun 19/07/2018 Tarihli ve 2018/87 Sayılı Kararı” kapsamında Şirket, Veri Sorumluları Sicili Bilgi Sistemi’ne (“VERBİS”) kayıt olmak zorundadır. Kayıt sırasında VERBİS’e girilecek bilgilerde Şirket’in kişisel veri işleme envanteri baz alınmalıdır ve Şirket’in kişisel veri işleme faaliyetleri KVKK, ilgili yönetmelik ve yayımlanan kararların çizdiği çerçevede eksiksiz kaydedilmelidir. Kayıt sonrasında da ilgili yönetmeliğin 5. Maddesinin 1. Fıkrasının “e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur.” düzenlemesi ile 13. Maddesindeki “(1) Veri sorumluları, sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, VERBİS üzerinden yedi gün içerisinde Kuruma bildirir.” düzenlemesi kapsamında güncelliği sağlamak yükümlülüğünü yerine getirmek amacıyla Şirket, kişisel veri işleme faaliyetlerini yakın takibe almalı ve değişiklik durumunda VERBİS’te ilgili güncellemeleri en geç 7 gün içerisinde yapmalıdır.

Şirket, VERBİS’e kayıt sırasında bir “İrtibat Kişisi” atamak zorundadır.

15.   KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ YÜRÜRLÜK VE YÜKÜMLÜLÜKLER

İşbu Politika ve diğer politikaları, prosedürleri ve uygulama rehberlerini yönetmek üzere, Şirket üst yönetiminin kararı gereğince “Kişisel Veri Komitesi” oluşturulmuştur. Komite EK-1’de unvanı, iş birimindeki görevi ve görev tanımı bulunan kişilerden oluşmakta olup, Komite’nin görevleri genel olarak aşağıda bahsedilmiştir.

İmha süresi dolan kişisel verilerin türüne göre silme, yok etme veya anonimleşme yollarından hangisinin kullanılacağını belirleme, belirlenen bu yolun uygulanmasını temin etme, imha edilen verileri tutanağa bağlayarak ispata elverişli şekilde 3 yıl saklanmasını takip etmek,

Kişisel verilerin korunması ve islenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak,

Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve koordinasyonu sağlamak hususlarını üst Yönetim Kurulu’nun onayına sunmak,

Şirketin kişisel veri koruma kültürünün daha da gelişmesi için çalışmalar yürütmek,

KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak;

Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek;

Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip ederek Şirket için hazırlanmış̧ metinlerde, Politikalarda güncellemeler yapmak;

Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler düzenlemek;

Kişisel veri sahiplerinin başvuruları süreçlerini işletmek ve takipçisi olmak, Şirketin vereceği karar hakkında Yönetim Kuruluna tavsiyede bulunmaktır.

POLİTİKA’NIN UYGULANMASINDA GÖREVLİ PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ

16.   DENETİM

Şirket faaliyetlerinin işbu Politika’ya uygun şekilde yürütülmesi, kişisel verilerin korunmasına dair alınan her türlü teknik ve idari tedbirin alınması, Şirket faaliyetlerindeki değişikliklerde kişisel verilerin korunmasına dair süreçlerin belirlenmesi ve gerektiği takdirde işbu Politikanın güncellenmesi gibi süreçler KVKK birimi tarafından tarafından denetlenecektir. İşbu madde kapsamında gerçekleştirilecek denetim faaliyeti konunun uzmanı bir firmaya yaptırılabilir. Bahse konu denetim sonucunda ortaya çıkan bulgulardan ve değişiklik planlarından, bulguya konu faaliyetten sorumlu olan çalışan/çalışanlar sorumlu olacaktır.

17.   GÜNCELLEMELER

İşbu Politika Şirket web sitesinde yayımlandığı tarihte yürürlüğe girer. Politika’da gerçekleştirilecek her bir güncelleme versiyon değişikliği olarak bu metne yansıtılacak ve güncel haliyle yine Şirket web sitesinde yayımlanacaktır. Her bir güncel versiyon yine Şirket web sitesinde yayımlandığı tarihte yürürlüğe girecektir. Politika’nın versiyonları ve bu versiyonların yürürlük tarihleri aşağıdaki tablodan takip edilebilir: