İşbu Kişisel Verilerin Korunması Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca kişisel verileri korumaya yönelik yükümlülüklerini yerine getirirken ve kişisel verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.
Şirket, kendi bünyesinde bulunan kişisel veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
İşbu Politikanın temel amacı, Şirket tarafından kişisel verilerin işlenmesine ve korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
İşbu Politika, Şirketin işlemekte olduğu kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır. Kişisel veri niteliği taşımayan verilere uygulanmaz.
İşbu Politika, KVKK Düzenlemelerinin gerektirmesi halinde yahut gerekli görülen hallerde zaman zaman yönetim kurulu onayı ile değiştirilebilir. KVKK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVKK Düzenlemeleri esas alınır.
Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Veri İşleme: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi ve benzeri her türlü işlemi ifade eder.
Kurul: Kişisel Verileri Koruma Kurulunu ifade eder.
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.
Veri Öznesi: Kişisel verileri Şirket tarafından veya Şirket adına işlenen tüm gerçek kişileri ifade eder.
Veri Sorumlusu: Kişisel verilerin işleme amaçları ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu bulunan gerçek veya tüzel kişiyi ifade eder.
Hukuka ve Dürüstlük Kurallarına Uygunluk: Şirket, kişisel verileri hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler.
Doğruluk ve Güncellik: Şirket, kişisel verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır.
Belirli ve Meşru Amaçlar: Kişisel verilerin işlenmesinden önce hangi amaçla işleneceği belirlenir; veri öznesi ilgili mevzuat kapsamında aydınlatılır ve gereken hallerde açık rızaları alınır.
Amaçla Bağlantılılık ve Ölçülülük: Şirket, kişisel verileri yalnızca belirlenmiş amaçların gerçekleştirilebilmesine elverişli bir biçimde işler; amacın gerçekleştirilmesiyle ilgili olmayan kişisel verileri işlemekten kaçınır.
Gerekli Süre Kadar Muhafaza: Şirket, kişisel verileri amaca uygun olarak gerektiği kadar muhafaza eder. Kullanım amacı sona eren kişisel veriler silinir, yok edilir veya anonim hale getirilir.
Açık Rıza ile İşleme: Kişisel veriler, veri öznelerine aydınlatma yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve açık rıza verilmesi halinde işlenir.
Açık Rıza Alınmaksızın İşleme: Kanunlarda açıkça öngörülmesi, fiili imkânsızlık, sözleşmenin kurulması veya ifası, hukuki yükümlülük, veri öznesinin alenileştirmesi, hakkın tesisi veya meşru menfaat gibi kanuni istisnai hallerde açık rıza alınmaksızın kişisel veriler işlenebilir.
Özel nitelikli kişisel veriler yalnızca veri öznesinin açık rızasının bulunması ya da kanunlarda açıkça öngörülmesi halinde işlenebilir. Bu veriler işlenirken Kurul tarafından belirlenen gerekli tüm önlemler alınır.
Elektronik ortamda aktarımda kriptografik yöntemler, fiziksel ortamda yeterli güvenlik önlemleri uygulanır. E-posta yoluyla aktarımda şifreli kurumsal e-posta veya KEP adresi kullanılır.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara düzenli eğitimler verilir, gizlilik sözleşmeleri yapılır ve erişim yetkileri net olarak tanımlanır.
Kişisel veriler, ilgili yasal saklama süreleri müddetince ve faaliyetlerin gerektirdiği süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren kişisel veriler KVKK'nın 7. maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verinin işlenmesine yönelik meşru amaç ortadan kalktığında ilgili kişisel veriler silinir, yok edilir yahut anonim hale getirilir.
Şirket, kişisel verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz. Tüm silme, yok etme ve anonim hale getirme faaliyetleri Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası'nda belirtilen esaslara uygun gerçekleştirilir.
Şirket, kişisel veri işleme amaçları doğrultusunda gerekli önlemleri alarak kişisel verileri yurt içinde ve/veya yurt dışında bulunan üçüncü bir gerçek ya da tüzel kişiye KVKK Düzenlemelerine uygun şekilde aktarabilir.
Yurt dışına kişisel veri aktarımında, aktarılan ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler listesinde yer alması ya da yeterli korumanın sağlanacağına dair Kurul onaylı yazılı taahhüt bulunması şartı aranır.
Şirket, KVKK'nın 10. maddesine uygun olarak kişisel verilerin işlenmesinden önce veri öznelerini aydınlatır. Aydınlatma kapsamında; veri sorumlusunun kimliği, kişisel verilerin işlenme amacı, kimlere aktarılabileceği, toplamanın yöntemi ve hukuki sebebi ile veri öznesinin hakları bildirilir.
Veri özneleri tarafından talep edilmesi halinde Şirket, işlediği kişisel veriler hakkında gerekli bilgilendirmeyi yapar.
Veri özneleri aşağıdaki haklarını kullanabilir:
• Kişisel veri işlenip işlenmediğini öğrenme
• Kişisel verilerinin işlenmesi halinde buna ilişkin bilgi talep etme
• İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
• Eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme
• İşlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini isteme
• Kanuna aykırı işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
Talepler [email protected] adresine iletilir. Şirket talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır.
Şirket, kişisel verilerin korunmasına yönelik teknik ve idari önlemleri alır. Bu kapsamda teknolojik imkânlara uygun virüs koruma sistemleri, güvenlik duvarları ve yedekleme programları kullanılmaktadır.
Kişisel verilere erişim yetkileri net olarak tanımlanır; yetkisiz erişim iş akdinin haklı nedenle feshi sebebidir. Çalışanlar kişisel verilerin korunması konusunda bilgilendirilmekte ve eğitilmektedir.
Şirket içerisinde işlenen kişisel verilerin tamamı "Gizli Bilgi" olarak kabul edilir. Çalışanların gizlilik yükümlülükleri iş ilişkisinin sona ermesinden sonra da devam eder.
Şirket, kişisel verilerin korunması konusunda çalışanlarına gerekli eğitimleri verir. Eğitimlerde özel nitelikli kişisel verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
Şirket, işbu Politika ve KVKK Düzenlemelerine tüm çalışanların, departmanların ve yüklenicilerin uygun hareket ettiğini düzenli olarak ve hiçbir ön bildirimde bulunmaksızın re'sen denetleme hakkını haizdir.
Şirketin her bir çalışanı, KVKK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi ilgili temsilciye raporlar. Tespit edilen ihlallere yönelik gerekli eylem planı oluşturulur ve ilgili veri öznesi ile Kurum'a gerekli bildirim yapılır.
Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir. Şirket, Politika üzerinde yaptığı değişiklikleri çalışanlarıyla paylaşır ve ilgili web adresi üzerinden veri öznelerinin erişimine sunar.