07.04.2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (K.V.K.K.), başta özel hayatın gizliliği olmak üzere, gerçek kişilerin temel hak ve özgürlüklerini korumak amacıyla düzenlenmiştir.
Avrupa Birliği düzenlemeleri ve taraf olunan uluslararası sözleşmeler ışığında düzenlenen K.V.K.K. kapsamında yalnızca gerçek kişilere ait veriler korunmakta olup, Kanun’da veri işleyen gerçek veya tüzel kişilerin uymaları gereken esas ve usuller yer almaktadır.
Kanun ve ilgili düzenlemelerinde öngörülen ilke ve kurallar esas alınarak hazırlanan Kişisel Verilerin Korunması ve İşlenmesi Politikası, Şirketin veri işleme faaliyetlerinin yürütülmesinde benimsenen yöntem, ilke ve amaçları, veri sahiplerinin haklarını ve başvuru usulleri vb. konuları içermektedir. Şirket, benimsediği şeffaflık ve insan haklarına saygılı olma prensipleri gereği, sorumluluklarının farkında olarak kişisel verilerinizi işlemekte ve korumaktadır.
İşbu Politika, Şirket çalışanları, tedarikçileri ve iş ortakları dışındaki üçüncü kişi veri sahiplerinin kişisel verilerinin işlenmesi faaliyetleri sürecinde benimsenen temel ilke ve esasları etkin bir şekilde uygulamasını amaçlamaktadır.
Politika, Şirketin bu süreçte uygulayacağı ilke ve esaslar ile Kanunun getirdiği yükümlülükleri düzenlemektedir.
Şirketimiz bünyesinde çalışanlar ilgili süreçlerde işbu Politikaya, Kanun ve ilgili mevzuatlara uygun hareketle yükümlüdür.
Şirket, veri sorumlusu sıfatı ile işbu Politikanın veri işleme faaliyetleri sürecinde uygulanmasından sorumludur.
Şirketin bünyesinde çalışanlar, iş ortakları, ziyaretçiler ve tüm ilgili üçüncü kişiler, işbu Politikaya uygun hareket etmek ve Kanun ve ilgili düzenlemelerinden doğacak olan hukuki yükümlülüklerin ve ihlallerin önlenmesi amacıyla Şirket ile işbirliği içerisinde olmakla yükümlüdür.
İşbu Politika Şirketin resmi sitesinde yayınlanacak olup, Politikada değişiklik olması durumunda yapılan değişiklikten itibaren en kısa sürede mevcut Politika güncellenecek ve veri sahiplerinin erişimine açık olacaktır.
Şirket, veri işleme faaliyetlerini, Kanunun 4. Maddesinde yer alan ilkeleri esas alarak aşağıdaki ilkelere uygun olarak yürütmektedir;
Şirket, kişisel verilerin işlenmesi faaliyetlerinin yürütülmesi süreçlerini, başta Anayasa olmak üzere ilgili Kanunlara ve içtihatlara, Türk Medeni Kanununun 2. maddesinde belirtilen dürüstlük kuralına uygun olarak yürütmektedir.
Şirket, işlenen kişisel verilerin doğruluğunu ve güncelliğini sağlamak amacıyla Kanun ve ilgili düzenlemeler tarafından öngörülen idari ve teknik tedbirleri almakta olup, veri sahibinin talebi doğrultusunda işlenen verilerin doğruluğu ve güncelliği denetlenecektir.
Şirket, kişisel verileri, ortaya konulan amaçla bağlantılı ve şeffaflık ilkesini göz önünde bulundurarak işlemektedir.
Şirket, kişisel verileri, işleme amaçlarıyla bağlantılı olarak, yalnızca amacın gerektirdiği ölçüde işlemektedir. Kural olarak işleme amacıyla bağlantılı olmayan ve bu amaca hizmet etmeyen veriler veri sahiplerinden talep edilmeyecektir.
Şirket, kişisel verileri, ilgili veri işleme faaliyetinin tabi olduğu yasal düzenlemenin ve işleme amacının öngördüğü asgari süreyle muhafaza etmektedir.
Asgari süreler öncelikle ilgili yasal düzenlemelerde herhangi bir süre düzenlenip düzenlenmediğine bakılarak, herhangi bir süre düzenlemesi yok ise veri işleme amacına göre belirlenmektedir.
Şirket, kişisel verilerin ilgili yasal düzenlemelerde belirtilen sürelerin veya verinin işlenme amacına göre belirlenen asgari muhafaza sürelerinin aşılmasını önlemek adına gerekli teknik ve idari tedbirleri almış olmakla beraber; ilgili veriler muhafaza süresinin sonunda, periyodik imha sürecinde veya veri sahibinin başvurusu üzerine Şirket İmha Politikasına uygun olarak silme, yok etme veya anonim hale getirme yöntemlerinden biriyle imha edilmektedir.
Kişisel Veriler, Kanunun 5. maddesinde öngörülen şartlardan birine, bu şartların mevcut olmaması durumunda veri sahibinin açık rızası ile işlenmektedir.
İlgili kanun hükmündeki şartlardan birinin varlığı halinde, veri işleme faaliyetinin gerçekleştirilmesi için veri sahibinin açık rızası aranmamaktadır.
Özel Nitelikli Kişisel Veriler ise kural olarak yalnızca veri sahibinin açık rızası alınarak işlenmektedir.
Kişisel veriler, ilgili kanun hükümlerinde veri işlenebileceğine dair bir hüküm bulunduğu takdirde işlenebilecektir.
Fiili imkânsızlık sebebiyle rızasını açıklayamayacak veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin veya başka bir kişinin hayatı veya beden bütünlüğünün korunması amacıyla kişisel veri işlenebilecektir.
Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması durumunda Şirket kişisel verileri işleyebilecektir.
Veri sahibinin kişisel verileri alenileştirmiş olması durumunda, Şirket alenileştirme amacıyla sınırlı olarak ilgili kişisel verileri işleyebilecektir.
Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması amacıyla Şirket tarafından işlenebilecektir.
Şirket, veri sahibinin temel hak ve özgürlüklerinin ihlal edilmemesi koşuluyla, kişisel verileri işleyebilecektir.
Kanunda özel nitelikli kişisel veriler kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak sınırlı olarak sayılmıştır.
Özel nitelikli kişisel veriler ilgili Kanun ve düzenlemelerde yer alan teknik ve idari güvenlik tedbirleri alınarak, yine ilgili Kanun ve düzenlemelerde öngörülen şartlarla işlenmektedir.
Özel nitelikli kişisel veriler kural olarak yalnızca veri sahibinin açık rızası ile işlenebilecektir.
Ancak veri işleme faaliyetine ilişkin ilgili kanunlarda açık rıza alınmaksızın veri işlenebileceğine dair bir hüküm yer alması durumunda Şirket açık rızaya gerek olmaksızın özel nitelikli kişisel verileri işleyebilecektir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir.
Aksi halde Şirket söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızasını almakla yükümlüdür.
Özel nitelikli kişiler verilerin işlenebilmesi için gerekli teknik ve idari tedbirler alınmış olup, detaylı bilgiye Şirketin özel nitelikli kişisel verilerin korunması ve işlenmesi politikasından ulaşılabilmektedir.
Şirket, kişisel verilerin aktarılmasına ilişkin olarak ilgili mevzuat hükümlerine uygun hareket edecek olup, aktarım süreçlerini yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlayacaktır.
Kişisel verilerin aktarımı yurt içi veri aktarımı ve yurt dışı veri aktarımı olarak ikiye ayrılmaktadır;
Veri sahiplerinin kişisel verileri, Kanunun 5. Maddesinin ikinci fıkrasında öngörülen kişisel verilerin işlenmesi şartlarından en az birinin var olması halinde açık rıza alınmasına gerek olmadan yurt içinde aktarılabilecektir.
Aksi halde veri sahibinin açık rızasının alınması zorunludur.
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Kanunun 6. Maddesinin 3. Fıkrasında öngörüldüğü üzere; veri işleme faaliyetinin tabi olduğu kanunda veri işlenebileceğine dair bir hüküm mevcutsa açık rıza aranmadan yurt içinde aktarılabilecektir.
Aksi halde veri sahibinin açık rızasının alınması zorunludur. Şirket, özel nitelikli kişisel verilerin işlenmesine dair gerekli teknik ve idari tedbirleri yurt içi veri aktarımı sırasında da uygulamaktadır.
Şirket, Veri Sahiplerinin kişisel verilerini, Kanunun 5. Maddesinin ikinci fıkrasında ve 6. Maddesinin 3. Fıkrasında öngörülen hallerde; aktarımın gerçekleşeceği ülkenin Kurul tarafından ilan edilecek güvenli ülke listesinde bulunması durumunda veya aktarımın gerçekleşeceği ülkedeki Veri Sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması durumunda açık rıza aranmadan yurt dışına aktarabilecektir.
Aksi halde veri sahibinin açık rızasının alınması zorunludur.
Şirket, kişisel verileri, veri işleme faaliyetinin tabi olduğu ilgili mevzuatta öngörülen veya işlenme amacının gerektirdiği asgari sürelere uygun olarak muhafaza etmektedir.
Kişisel verilerin Şirket tarafından muhafaza edilme süresi öncelikle ilgili mevzuatta bir hüküm bulunup bulunmadığı, ilgili hüküm bulunmaması halinde veri işleme amacı için gerekli süre tespit edilerek belirlenmektedir.
Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme veya yok etme veya anonimleştirme) ile imha edilmektedir.
Şirket, Kanunun 10. Maddesinde öngörüldüğü üzere veri sahibini;
konularında bilgilendirmekle yükümlüdür.
Şirket aydınlatma yükümlülüğünün hukuka uygun şekilde yerine getirilmesi için aydınlatma bildiriminde yer alan hususları denetimden geçirmiş olup, gerekli sınıflandırmaları yaparak veri işleme süreçlerini gösteren envantere aktarmıştır.
Şirket, kişisel verileri Kanunda ve ilgili mevzuatlarda belirtilen ilke ve şartlarla işlemek ve kişisel verilerin hukuka aykırı biçimde işlenmesini ve işlenen verilere erişilmesini önlemek için ilgili mevzuatlarda belirtilen teknik ve idari tedbirleri almakla yükümlüdür.
Şirket, kişisel verilerin hukuka aykırı biçimde işlenmesini ve işlenen verilere erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almış olup, ilgili prosedürlerini oluşturmuştur.
Şirket, kişisel verilerin hukuka uygun biçimde işlenmesi amacıyla tüm çalışanlarına gerekli Kişisel Verilerin Korunması eğitimlerini aldırmış ve veri koruma güvenliği farkındalığı yaratmıştır.
Şirket, çalışanlarını kişisel veri içeren her türlü bilgi ve belgeyi ilgili kanunlara uygun olarak işleme, verileri uygun şekilde muhafaza etme ve gizlilik yükümlülükleri hususunda bilinçlendirilmiş; iş akdinin sonlanması durumunda bu yükümlülüklerin devam ettiği konusunda bilgilendirmiştir.
Bu yükümlülüklerin ihlali durumunda Şirket iş akdini haklı olarak feshedebilecek ve ihlalden doğan zararlar için çalışana rücu edebilecektir.
Kişisel veri envanterleri, ilgili verileri işleyen birimler tarafından doldurulmuş olup, bu verilere yalnızca ilgili birim tarafından erişim mümkündür.
Şirketin veri sorumlusu sıfatıyla işlemekte olduğu tüm veriler için çalışanların erişimi sınırlandırılmıştır.
Çalışanlara yalnızca görev tanımlarının gerektirdiği verilere erişim izini tanınmıştır.
Şirket, birimlerin, işbu Politikada ve ilgili kanun düzenlemelerinde yer alan yükümlülüklerini hukuka uygun şekilde yerine getirebilmesi amacıyla; gerekli politika, prosedür ve diğer ilgili düzenlemeleri çalışanlara tebliğ etmiştir.
Politika, prosedür ve ilgili düzenlemelerde yapılan değişiklik ve güncellemeler tüm çalışanlara tebliğ edilecektir.
Şirket, işlediği kişisel verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla ilgili düzenlemelerde öngörülen teknik ve idari tedbirleri almış olup, bunun yanında sistem güvenliği düzenli olarak denetlenecektir.
Alınan teknik ve idari tedbirler düzenli olarak iç denetimden geçirilecek ve yetkili birime denetim raporu sunulacak; ilgili raporda risk teşkil eden hususlar derhal çözüme kavuşturulacaktır.
Şirketin, veri işleme faaliyetlerini yürüttüğü tüm sistemlerde virüs koruma programları ve güvenlik duvarı içeren yazılım ve donanımlar kullanılmakta olup, kullanılan tüm programlar güncel tutulacaktır.
Kişisel verilere hukuka uygun olarak erişimin sağlanması amacıyla birimlerin erişim yetkileri sınırlandırılmış olup, kişisel verilere erişilecek sistemlere ilişkin kullanıcı hesaplarının yetkileri ve sistemlere erişebilecek cihazlar sınırlandırılmıştır.
Şirket, kişisel verilerin işlendiği sistemlere dışarıdan sızılmasını önlemek ve olası riskleri engellemek amacıyla gerekli yazılım ve donanımları sağlamış olup, sızma testlerini periyodik olarak yaptıracaktır.
Kişisel veri yedeklemeleri de aynı teknik ve idari tedbirlerle korunacaktır.
Tüm Şirket çalışanları, kişisel verilere hukuka aykırı şekilde erişilmesinin önlenmesi amacıyla alınan teknik ve idari tedbirler konusunda bilinçlendirilmiştir.
Şirket, çalışanlarının erişim yetkisi kişisel veri envanteri doğrultusunda işledikleri verilerle sınırlıdır.
Şirket, kişisel verilere erişim yetkilerine dair ilgili dokümanları hazırlamış ve tüm çalışanlara tebliğ etmiştir.
Şirket, kişisel verilerin korunması amacıyla aldığı teknik ve idari tedbirlerin işleyişi ile ilgili denetimler yaptıracak ve bu amaca yönelik sistemler kuracaktır.
İlgili denetim raporları yetkili birimlere iletilecek, riskli görülen hususlarla ilgili birimler için derhal iyileştirme çalışmaları başlatılacaktır.
Şirket, birimlerin, iş ortaklarının ve tedarikçilerinin kişisel verilerin işlenmesi ve korunması konusunda bilinçlerinin arttırılması için çalışmalar yürütecek olup, düzenli denetim ve raporlamalar yapacaktır.
Şirket, Kanunun 12. Maddesinde öngörüldüğü üzere kişisel verilerin aktarıldığı üçüncü kişilerin Kanun ve ilgili mevzuatlara uygun olarak veri işleme, muhafaza etme ve verilere hukuka uygun şekilde erişme yükümlülüklerini yerine getirmesinden sorumludur.
Bu sebeple Şirket ile üçüncü kişiler arasında veri aktarımını öngören sözleşmeler yapılırken gerekli taahhütler ve ek protokoller yapılacaktır.
Kanunun 11. Maddesinde öngörüldüğü üzere, veri sahibi, veri sorumlusu sıfatını taşıyan Şirkete başvurarak;
haklarına sahiptir.
Veri sahiplerinin, yukarıda sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurulun belirlediği diğer yöntemlerle Şirkete iletmesi durumunda; Şirket, bu talepleri Kanunun 13. Maddesinde öngörüldüğü üzere en geç otuz gün içinde sonuçlandırmakla yükümlüdür.
Şirket, talebe ilişkin cevapları anlaşılır bir dil ve aydınlatıcı şekilde iletmelidir.
Şirket, cevabın gönderim şekli ile ilgili, veri sahibinin ayrıca bir talebi bulunmuyorsa, kendi seçeceği yöntemlerle yazılı veya elektronik ortamda cevabın gönderilmesini sağlamalıdır.
Şirket, talebin niteliğine göre başvuruyu kabul edebileceği gibi haklı bir sebebin varlığı halinde gerekli açıklamayı yaparak talebi reddetme hakkına sahiptir.
Şirket, başvurunun kabul edilmesi halinde bu talebi en kısa sürede yerine getirir.
Veri sahibinin, talebinin reddedilmesi veya verilen cevabın yetersiz bulunması veya talebin Kanunda öngörülen sürede cevaplandırılmaması durumunda, başvurunun reddedilmesi veya yetersiz bulunan cevabın veri sahibine iletildiği tarihten, talebin cevaplandırılmaması durumunda ise Şirkete talebin cevaplandırılması için Kanunda öngörülen sürenin bitiminden itibaren otuz gün içerisinde Kurula şikâyette bulunma hakkı bulunmaktadır.
İşbu politika, Şirketin yönetim kurulu tarafından onaylandığı tarihte yürürlüğe girecektir.
İşbu politika, periyodik olarak yılda en az bir kez güncellenir.
Buna ek olarak işbu Politika mevzuatlarda yapılan değişiklikler ve Kurul ve mahkeme kararlarının öngörmesi halinde güncellenecek, değiştirilecek veya yeniden oluşturulacaktır.
İşbu Politikayı yürürlükten kaldırma yetkisi Şirket yönetim kuruluna aittir.