Kişisel Verilerin Korunması ve İşlenmesi Politikası

1. GİRİŞ

07.04.2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (K.V.K.K.), başta özel hayatın gizliliği olmak üzere, gerçek kişilerin temel hak ve özgürlüklerini korumak amacıyla düzenlenmiştir. Avrupa Birliği düzenlemeleri ve taraf olunan uluslararası sözleşmeler ışığında düzenlenen K.V.K.K. kapsamında yalnızca gerçek kişilere ait veriler korunmakta olup, Kanun’da veri işleyen gerçek veya tüzel kişilerin uymaları gereken esas ve usuller yer almaktadır. Kanun ve ilgili düzenlemelerinde öngörülen ilke ve kurallar esas alınarak hazırlanan Kişisel Verilerin Korunması ve İşlenmesi Politikası, Şirketin veri işleme faaliyetlerinin yürütülmesinde benimsenen yöntem, ilke ve amaçları, veri sahiplerinin haklarını ve başvuru usulleri vb. konuları içermektedir. Şirket, benimsediği şeffaflık ve insan haklarına saygılı olma prensipleri gereği, sorumluluklarının farkında olarak kişisel verilerinizi işlemekte ve korumaktadır.

2. AMAÇ VE KAPSAM

İşbu Politika, Şirket çalışanları, tedarikçileri ve iş ortakları dışındaki üçüncü kişi veri sahiplerinin kişisel verilerinin işlenmesi faaliyetleri sürecinde benimsenen temel ilke ve esasları etkin bir şekilde uygulamasını amaçlamaktadır.

Politika, Şirketin bu süreçte uygulayacağı ilke ve esaslar ile Kanunun getirdiği yükümlülükleri düzenlemektedir. Şirketimiz bünyesinde çalışanlar ilgili süreçlerde işbu Politikaya, Kanun ve ilgili mevzuatlara uygun hareketle yükümlüdür.

3. POLİTİKANIN UYGULANMASI VE SORUMLULUKLAR

Şirket, veri sorumlusu sıfatı ile işbu Politikanın veri işleme faaliyetleri sürecinde uygulanmasından sorumludur.

Şirketin bünyesinde çalışanlar, iş ortakları, ziyaretçiler ve tüm ilgili üçüncü kişiler, işbu Politikaya uygun hareket etmek ve Kanun ve ilgili düzenlemelerinden doğacak olan hukuki yükümlülüklerin ve ihlallerin önlenmesi amacıyla Şirket ile işbirliği içerisinde olmakla yükümlüdür.

İşbu Politika Şirketin resmi sitesinde yayınlanacak olup, Politikada değişiklik olması durumunda yapılan değişiklikten itibaren en kısa sürede mevcut Politika güncellenecek ve veri sahiplerinin erişimine açık olacaktır.

4. KİŞİSEL VERİ İŞLEME İLKELERİ

Şirket, veri işleme faaliyetlerini, Kanunun 4. Maddesinde yer alan ilkeleri esas alarak aşağıdaki ilkelere uygun olarak yürütmektedir;

  • Hukuka Ve Dürüstlük Kuralına Uygun Olma: Şirket, kişisel verilerin işlenmesi faaliyetlerinin yürütülmesi süreçlerini, başta Anayasa olmak üzere ilgili Kanunlara ve içtihatlara, Türk Medeni Kanununun 2. maddesinde belirtilen dürüstlük kuralına uygun olarak yürütmektedir.
  • Doğru Ve Gerektiğinde Güncel Olma: Şirket, işlenen kişisel verilerin doğruluğunu ve güncelliğini sağlamak amacıyla Kanun ve ilgili düzenlemeler tarafından öngörülen idari ve teknik tedbirleri almakta olup, veri sahibinin talebi doğrultusunda işlenen verilerin doğruluğu ve güncelliği denetlenecektir.
  • Belirli, Açık Ve Meşru Amaçla İşleme: Şirket, kişisel verileri, ortaya konulan amaçla bağlantılı ve şeffaflık ilkesini göz önünde bulundurarak işlemektedir.
  • Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olma: Şirket, kişisel verileri, işleme amaçlarıyla bağlantılı olarak, yalnızca amacın gerektirdiği ölçüde işlemektedir. Kural olarak işleme amacıyla bağlantılı olmayan ve bu amaca hizmet etmeyen veriler veri sahiplerinden talep edilmeyecektir.
  • İlgili Mevzuatlarda Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Şirket, kişisel verileri, ilgili veri işleme faaliyetinin tabi olduğu yasal düzenlemenin ve işleme amacının öngördüğü asgari süreyle muhafaza etmektedir. Asgari süreler öncelikle ilgili yasal düzenlemelerde herhangi bir süre düzenlenip düzenlenmediğine bakılarak, herhangi bir süre düzenlemesi yok ise veri işleme amacına göre belirlenmektedir. Şirket, kişisel verilerin ilgili yasal düzenlemelerde belirtilen sürelerin veya verinin işlenme amacına göre belirlenen asgari muhafaza sürelerinin aşılmasını önlemek adına gerekli teknik ve idari tedbirleri almış olmakla beraber; ilgili veriler muhafaza süresinin sonunda, periyodik imha sürecinde veya veri sahibinin başvurusu üzerine Şirket İmha Politikasına uygun olarak silme, yok etme veya anonim hale getirme yöntemlerinden biriyle imha edilmektedir.

5. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel Veriler, Kanunun 5. maddesinde öngörülen şartlardan birine, bu şartların mevcut olmaması durumunda veri sahibinin açık rızası ile işlenmektedir. İlgili kanun hükmündeki şartlardan birinin varlığı halinde, veri işleme faaliyetinin gerçekleştirilmesi için veri sahibinin açık rızası aranmamaktadır. Özel Nitelikli Kişisel Veriler ise kural olarak yalnızca veri sahibinin açık rızası alınarak işlenmektedir.

  • Kanunlarda Açıkça Öngörüldüğü Hallerde: Kişisel veriler, ilgili kanun hükümlerinde veri işlenebileceğine dair bir hüküm bulunduğu takdirde işlenebilecektir.
  • Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayan Veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin Veya Başkasının Hayatı Veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması: Fiili imkânsızlık sebebiyle rızasını açıklayamayacak veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin veya başka bir kişinin hayatı veya beden bütünlüğünün korunması amacıyla kişisel veri işlenebilecektir.
  • Bir Sözleşmenin Kurulması Ve İfası İle Doğrudan İlgili Olmak Kaydı İle Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması: Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması durumunda Şirket kişisel verileri işleyebilecektir.
  • İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması: Veri sahibinin kişisel verileri alenileştirmiş olması durumunda, Şirket alenileştirme amacıyla sınırlı olarak ilgili kişisel verileri işleyebilecektir.
  • Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Veri İşlemenin Zorunlu Olması: Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması amacıyla Şirket tarafından işlenebilecektir.
  • Şirketin Meşru Menfaati İçin Kişisel Verilerin İşlenmesi: Şirket, veri sahibinin temel hak ve özgürlüklerinin ihlal edilmemesi koşuluyla, kişisel verileri işleyebilecektir.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Kanunda özel nitelikli kişisel veriler kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak sınırlı olarak sayılmıştır. Özel nitelikli kişisel veriler ilgili Kanun ve düzenlemelerde yer alan teknik ve idari güvenlik tedbirleri alınarak, yine ilgili Kanun ve düzenlemelerde öngörülen şartlarla işlenmektedir.

6.1. İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler kural olarak yalnızca veri sahibinin açık rızası ile işlenebilecektir. Ancak veri işleme faaliyetine ilişkin ilgili kanunlarda açık rıza alınmaksızın veri işlenebileceğine dair bir hüküm yer alması durumunda Şirket açık rızaya gerek olmaksızın özel nitelikli kişisel verileri işleyebilecektir.

6.2. Sağlık Ve Cinsel Hayat İle İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik, Tıbbî Teşhis, Tedavi Ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri İle Finansmanının Planlanması Ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında Olmak Kaydı İle İşlenmesi

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde Şirket söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızasını almakla yükümlüdür.

6.3. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler

Özel nitelikli kişiler verilerin işlenebilmesi için gerekli teknik ve idari tedbirler alınmış olup, detaylı bilgiye Şirketin özel nitelikli kişisel verilerin korunması ve işlenmesi politikasından ulaşılabilmektedir.

7. KİŞİSEL VERİLERİN AKTARILMASI

Şirket, kişisel verilerin aktarılmasına ilişkin olarak ilgili mevzuat hükümlerine uygun hareket edecek olup, aktarım süreçlerini yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlayacaktır. Kişisel verilerin aktarımı yurt içi veri aktarımı ve yurt dışı veri aktarımı olarak ikiye ayrılmaktadır;

7.1. Kişisel Verilerin Yurtiçi Aktarımı

Veri sahiplerinin kişisel verileri, Kanunun 5. Maddesinin ikinci fıkrasında öngörülen kişisel verilerin işlenmesi şartlarından en az birinin var olması halinde açık rıza alınmasına gerek olmadan yurt içinde aktarılabilecektir. Aksi halde veri sahibinin açık rızasının alınması zorunludur.

7.1.1. Özel Nitelikli Kişisel Verilerin Yurtiçi Aktarımı

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Kanunun 6. Maddesinin 3. Fıkrasında öngörüldüğü üzere; veri işleme faaliyetinin tabi olduğu kanunda veri işlenebileceğine dair bir hüküm mevcutsa açık rıza aranmadan yurt içinde aktarılabilecektir. Aksi halde veri sahibinin açık rızasının alınması zorunludur. Şirket, özel nitelikli kişisel verilerin işlenmesine dair gerekli teknik ve idari tedbirleri yurt içi veri aktarımı sırasında da uygulamaktadır.

7.2. Kişisel Verilerin Yurt Dışı Aktarımı

Şirket, Veri Sahiplerinin kişisel verilerini, Kanunun 5. Maddesinin ikinci fıkrasında ve 6. Maddesinin 3. Fıkrasında öngörülen hallerde; aktarımın gerçekleşeceği ülkenin Kurul tarafından ilan edilecek güvenli ülke listesinde bulunması durumunda veya aktarımın gerçekleşeceği ülkedeki Veri Sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması durumunda açık rıza aranmadan yurt dışına aktarabilecektir. Aksi halde veri sahibinin açık rızasının alınması zorunludur.

8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Şirket, kişisel verileri, veri işleme faaliyetinin tabi olduğu ilgili mevzuatta öngörülen veya işlenme amacının gerektirdiği asgari sürelere uygun olarak muhafaza etmektedir. Kişisel verilerin Şirket tarafından muhafaza edilme süresi öncelikle ilgili mevzuatta bir hüküm bulunup bulunmadığı, ilgili hüküm bulunmaması halinde veri işleme amacı için gerekli süre tespit edilerek belirlenmektedir. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme veya yok etme veya anonimleştirme) ile imha edilmektedir.

9. VERİ SORUMLUSU OLARAK ŞİRKETİN YÜKÜMLÜLÜKLERİ

9.1. Aydınlatma Yükümlülüğü

Şirket, Kanunun 10. Maddesinde öngörüldüğü üzere veri sahibini;

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
  • Kişisel veri sahibinin sahip olduğu haklar

konularında bilgilendirmekle yükümlüdür. Şirket aydınlatma yükümlülüğünün hukuka uygun şekilde yerine getirilmesi için aydınlatma bildiriminde yer alan hususları denetimden geçirmiş olup, gerekli sınıflandırmaları yaparak veri işleme süreçlerini gösteren envantere aktarmıştır.

9.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

9.2.1. Kişisel verilerin hukuka aykırı olarak işlenmesini önleme yükümlülüğü

Şirket, kişisel verileri Kanunda ve ilgili mevzuatlarda belirtilen ilke ve şartlarla işlemek ve kişisel verilerin hukuka aykırı biçimde işlenmesini ve işlenen verilere erişilmesini önlemek için ilgili mevzuatlarda belirtilen teknik ve idari tedbirleri almakla yükümlüdür. Şirket, kişisel verilerin hukuka aykırı biçimde işlenmesini ve işlenen verilere erişilmesini önlemek amacıyla gerekli teknik ve idari tedbirleri almış olup, ilgili prosedürlerini oluşturmuştur.

9.2.2. Kişisel Verilerin Hukuka Uygun İşlenmesi İçin Alınacak İdari Tedbirler

Şirket, kişisel verilerin hukuka uygun biçimde işlenmesi amacıyla tüm çalışanlarına gerekli Kişisel Verilerin Korunması eğitimlerini aldırmış ve veri koruma güvenliği farkındalığı yaratmıştır...

9.3. Kişisel Verilere Hukuka Aykırı Olarak Erişilmesini Önleme Yükümlülüğü

9.3.1. Kişisel verilere hukuka uygun olarak erişilmesi ve kişisel verilerin muhafazasını sağlamak için alınacak teknik tedbirler

Şirket, işlediği kişisel verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla ilgili düzenlemelerde öngörülen teknik ve idari tedbirleri almış olup, bunun yanında sistem güvenliği düzenli olarak denetlenecektir...

9.3.2. Kişisel verilerin muhafazası için alınacak idari tedbirler

Tüm Şirket çalışanları, kişisel verilere hukuka aykırı şekilde erişilmesinin önlenmesi amacıyla alınan teknik ve idari tedbirler konusunda bilinçlendirilmiştir...

9.4. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirket, kişisel verilerin korunması amacıyla aldığı teknik ve idari tedbirlerin işleyişi ile ilgili denetimler yaptıracak ve bu amaca yönelik sistemler kuracaktır...

10. İLGİLİ KİŞİNİN HAKLARI

Kanunun 11. Maddesinde öngörüldüğü üzere, veri sahibi, veri sorumlusu sıfatını taşıyan Şirkete başvurarak;

  • Kişisel verisinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmesi halinde düzeltme talebini veya kişisel verisinin imha edilmesini talep edilmesi halinde imha talebini kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Veri sahiplerinin, yukarıda sayılan haklarına ilişkin taleplerini yazılı olarak veya Kurulun belirlediği diğer yöntemlerle Şirkete iletmesi durumunda; Şirket, bu talepleri Kanunun 13. Maddesinde öngörüldüğü üzere en geç otuz gün içinde sonuçlandırmakla yükümlüdür...

11. YÜRÜRLÜK VE GÜNCELLEMELER

İşbu politika, Şirketin yönetim kurulu tarafından onaylandığı tarihte yürürlüğe girecektir.

İşbu politika, periyodik olarak yılda en az bir kez güncellenir. Buna ek olarak işbu Politika mevzuatlarda yapılan değişiklikler ve Kurul ve mahkeme kararlarının öngörmesi halinde güncellenecek, değiştirilecek veya yeniden oluşturulacaktır.

İşbu Politikayı yürürlükten kaldırma yetkisi Şirket yönetim kuruluna aittir.

‹‹ Ana Sayfaya Dön