Kişisel Veri Saklama ve İmha Politikası

ARAL GRUP YAPI ÇÖZÜMLERİ SANAYİ TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

  1. AMAÇ

İşbu Politikanın amacı, Anayasamız ve 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun (KVKK ya da Kanun) uyarınca belirlenen ilkeler doğrultusunda kişisel verileri işlenen gerçek kişilerin kişisel verilerinin korunması amacıyla, veri sorumlusu olarak Şirketimizin yükümlülüklerini belirlemektedir.

 

İşbu Politikada, ilgili kişilere ait kişisel verilerin KVKK’ya uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için gerekli uygulama kuralları ile yükümlülükler tanımlanmaktır.

 

  1. KAPSAM

Bu Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik veya otomatik  olmayan yollarla işlenen gerçek kişiler olarak müşteriler, müşteri adayları, çalışan adayları, çalışanlar, şirket pay sahipleri, şirket yetkilileri, ziyaretçiler, iş ortakları, tedarikçiler, işbirliği içinde olunan kişi ve şirketlerin çalışanları, pay sahipleri, yetkilileri ve üçüncü kişiler bulunmaktadır.

 

Politika, Şirketimiz yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.

 

  1. İLGİLİ MEVZUAT

Bu Politika 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanmıştır.

 

  1. YÜRÜRLÜK

İşbu Politika şirket tarafından düzenlenerek yürürlüğe girmiştir.

 

  1. TANIMLAR

 

Açık Rıza

:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı

Anonim Hale Getirme

:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini

İlgili Kişi

:

Kişisel verisi işlenen gerçek kişiyi

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini

Kayıt Ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi

Kişisel Verilerin İşlenmesi

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi

Kişisel Veri İşleme Envanteri

:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri

Özel Nitelikteki Kişisel Veri

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha

:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini

Sicil

:

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini

Veri İşleyen

:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi

Veri Kayıt Sistemi

:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini

Veri Sorumlusu

:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

 

  1. KİŞİSEL VERİLERİN İŞLENMESİNDE İLKELER

 

    1. Şirketimizce mevcut ya da edinilen kişisel veriler KVKK madde 4 uyarınca hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve Şirketçe işbu Politikada belirlenen süre kadar muhafaza edilmektedir.

 

    1. Genel kaide, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmemesidir. Ancak, KVKK madde 5’te belirtilen ve aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verinin işlenmesi mümkündür:

 

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali.

 

    1. İlgili kişiler, kişisel veri işleme süreçlerine ilişkin olarak, Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.

 

    1. Şirketimiz, kişisel verilerin işlenmesi ve aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından ortaya konulan düzenlemeleri takip etmekte ve bu düzenlemelere uygun davranmaktadır.

 

  1. VERİ KAYIT ORTAMLARI

 

İşbu Politika uyarınca işlenen kişisel veriler hukuka uygun olarak güvenli bir şekilde elektronik ortam olarak; sunucular (etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşımı gibi), Şirketimizin  operasyonlarını gerçekleştirmek üzere kullandığı yazılımlar, bilgi güvenliği cihazları, bilgisayarlar, mobil cihazlar, optik diskler, çıkartılabilir bellekler, yazısı, tarayıcıda, elektronik olmayan ortam olarak; kağıt, manuel veri kayıt sistemleri (ziyaretçi defteri gibi), yazılı, görsel ve basılı ortamlarda saklanmaktadır.

 

  1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİ, VERİLERE HUKUKA AYKIRIOLARAK ERİŞİLMESİ VE BU VERİLERİN GÜVENLİ ŞEKİLDE SAKLANMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

 

Şirketimiz “veri sorumlusu” olarak KVVK’nın 12. maddesi kapsamında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakta, buna ilişkin gereken denetimleri yaptırmaktadır.

 

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini bu verilerin güvenli şekilde saklanması için gerekli tüm teknik ve idari tedbirler almaktadır.

8.1. Teknik Tedbirler:

Şirketimiz tarafından geçekleştirilen kişisel veri işleme faaliyetleri ile bu verilerin muhafazası ve bu verilere hukuka aykırı şekilde erişilmesini önleme işlemleri güncel teknik sistemler kanalıyla icra edilmekte ve denetlenmektedir.

Bu sistem periyodik olarak teknolojideki gelişmelere uygun olarak güncellenmekte, bu sisteme ilişkin alınan teknik önlemler periyodik olarak denetlenmektedir.

Şirketimizin faaliyetine göre departman bazlı olarak belirlenen kişisel verilerin korunmasına ilişkin hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlamakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.

Alınan ve alınması gereken teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

Kağıt ortamında tutulan evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların muhafaza ve koruması için ek güvenlik önlemleri alınmakta, ayrı bir yer de muhafaza sağlanmakta, bu alanların fiziksel güvenliği için erişim yetkileri tanımlanmakta ve hukuka aykırı erişilmesi ile birlikte güvenli şekilde korunmasına ilişkin gerekli önlemler alınmaktadır.

Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta, düzenli olarak güvenlik taramaları yapılmaktadır.

8.2. İdari Tedbirler:

Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla kişisel veri envanteri oluşturulmuş, Şirketimiz tarafından işlenen kişisel veri, kayıt ortamları ve ilgili kişi kategorileri tespit edilmiştir.

Kişisel veri işleme ve imha süreçlerine ilişkin kuralların ve yükümlülüklerin belirlendiği işbu Politika hazırlanmış, ilgili kişilere, çalışanlarımıza, işbirlikçilerimize ve kamuoyuna duyurulmuştur.

Çalışanlar, kişisel verilerin korunması hukuku, kişisel verilerin hukuka uygun olarak işlenmesi ve bu verilerin korunması ya da hukuka aykırı şekilde erişimin engellenmesi konusunda bilgilendirilmektedir.

Şirket faaliyetleri detaylı olarak tek tek departmanlar özelinde incelenerek, departmanların görev ve gerçekleştirdiği ticari faaliyetler çerçevesinde kişisel veri işleme faaliyetleri belirlenmiştir. Ayrıca, KVKK mevzuatı kapsamında Şirket içinde ilgili departman bazında kişisel verilere erişim ve yetkilendirme süreci tasarlanmıştır.

Şirketimize ilişkin detaylar  web sayfamızdan edinilebilir.

Şirket departmanlarının yürütmüş olduğu kişisel veri işleme faaliyetleri, bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve yürütmüş olduğu faaliyet özelinde belirlenmektedir.

Şirket genelinde uyumun sağlanması için her departmanda farkındalık yaratılmakta ve uygulama kuralları belirlenmekte, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve bilgilendirmeler yoluyla duyurulmakta ve uygulanmaktadır.

Şirket ile çalışanlar arasındaki ilişkiye ilişkin sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanlar bilgilendirilmekte ve buna ilişkin denetimler yürütülmektedir.

Tüm çalışanlar, öğrenilen kişisel verileri KVKK mevzuatı uyarınca başkasına açıklayamayacağı, işleme amacı dışında kullanılamayacağı konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler  yapılmakta, iş ortakları bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.

Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet alınması halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla bu firmanın ve firma personelinin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut  sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmaktadır.

  1. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

 

Şirketimizce  mevcut ya da edinilen kişisel veriler KVKK madde 4 uyarınca hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel olacak şekilde, belirli, açık ve meşru amaçlar için işlenmekte, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılmakta ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan ve Şirketçe işbu Politikada belirlenen süre kadar muhafaza edilmektedir.

 

9.1. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak,

- Kanunlarda açıkça öngörülmesi,

-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

- İlgili kişinin kendisi tarafından alenileştirilmiş olması,

- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde açık rıza aranmaksızın kişisel veri işlenebilmektedir.

 

9.2. Özel nitelikteki kişisel verinin ilgilinin açık rıza olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

9.3. İlgili kişiler, Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.

 

9.4. Şirketimiz, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.

 

  1. KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENMEAMAÇLARI, SAKLANMASI

 

KVKK  madde 10 uyarınca veri sorumlusu olarak Şirketimiz ilgili kişilere veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, hangi kişisel veri sahibi grupları ve hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini aydınlatma yükümlülüğü kapsamında kişisel veri sahibine bildirmektedir.

 

 

    1. Kişisel Verilerin Kategorizasyonu

 

İşlenen Kişisel Veri Türü Esas Alınarak Yapılan Kategorizasyon

Kişisel Veri

Kategorizasyon & Açıklama

Kimlik Bilgisi

Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, fotografvb. bilgiler.

Aile Bireyleri ve Yakın Bilgisi

Eş veya çocukların isim, soy ismi ve bu kişilerin iletişim bilgileri.

İletişim Bilgisi

Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler.

Müşteri Bilgisi

Ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler.

Fiziksel Mekân Güvenlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, fiziksel mekâna girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler.

İşlem Güvenliği Bilgisi

Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler.

Finansal Bilgi

Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler.

Özlük Bilgisi

Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.

Çalışan Adayı Bilgisi

Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler.

Denetim ve Teftiş Bilgisi

Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler.

Özel Nitelikteki Kişisel Veri

6698 Sayılı Kanunun 6ıncı maddesinde belirtilen veriler

Pazarlama Bilgisi

Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler.

Talep/Şikayet Yönetimi Bilgisi

Şirketimize yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.

 

Kişisel Veri Sahibi Esas Alınarak Yapılan Kategorizasyon

 

Kişisel Veri Sahibi

Açıklama

Müşteri

Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler

Potansiyel Müşteri

Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler

Ziyaretçiler

Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

Çalışan

Şirketimizde akdedilmiş iş sözleşmesi uyarınca bir bağımlılık ilişkisi uyarınca çalışan gerçek kişiler

Çalışan Adayı

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler

Şirket Grup Şirketleri, İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı

Şirketimizin mensubu olduğu Grup ve Grup şirketleri, işbirliği içerisinde bulunduğu gerçek kişiler ile Şirketimizin işbirliği içerisinde bulunduğu gerçek ve tüzel kişilerde (iş ortağı, tedarikçi gibi) çalışan, pay sahipleri  ve yetkilileri dahil olmak üzere, tüm gerçek kişiler

Şirket Pay Sahibi

Şirketimizde pay sahibi olan kişiler

Şirket Yetkilisi

Yönetim kurulu üyeleri ile şirketimizi temsil ve ilzama yetkili kılınan diğer kişiler.

Üçüncü Kişi

İşbu Politika kapsamına girmeyen ve bu Politikada herhangi bir Kişisel Veri Sahibi kategorisine girmeyen diğer kişiler

 

 

 

 

 

Kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği aşağıdaki tabloda detaylandırılmaktadır.

 

 

Kişisel Veri Türü

İlgili Kişinin İlişkili Olduğu Kişisel Veri Kategorisi

Kimlik Bilgisi

Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

İletişim Bilgisi

Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

Müşteri Bilgisi

Müşteri, Potansiyel Müşteri

Aile Bireyleri ve Yakın Bilgisi

Müşteri, Ziyaretçi, Çalışan Adayı, Üçüncü Kişi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

Fiziksel Mekân Güvenlik Bilgisi

Ziyaretçi, Şirket Yetkilileri, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

İşlem Güvenliği Bilgisi

Müşteri, Ziyaretçi, Üçüncü Kişi, Şirket Yetkilileri, Grup Şirketleri veİşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

Finansal Bilgi

Müşteri, Çalışan, Şirket Pay Sahibi, Şirket Yetkilisi, Grup Şirketleri veİşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

Özlük Bilgisi

Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

Çalışan Adayı Bilgisi

Çalışan Adayı, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları

Denetim ve Teftiş Bilgisi

Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

Özel Nitelikteki Kişisel Veri

Müşteri, Çalışan Adayı, Şirket Pay Sahipleri, Şirket Yetkilisi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri

Pazarlama Bilgisi

Müşteri, Potansiyel Müşteri

Talep/Şikayet Yönetimi Bilgisi

Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Pay Sahibi, Şirket Yetkilisi, Ziyaretçi, Grup Şirketleri ve İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Pay Sahipleri ve Yetkilileri, Üçüncü Kişi

 

 

 

    1. Kişisel Verinin İşlenme Amaçları ve Verilerin Aktarılabileceği Alıcı Grupları

 

      1. Hukuki Sebepler

Şirket faaliyetleri kapsamında kişisel veriler ilgili mevzuat uyarınca işlenmekte ve yine o mevzuat uyarınca öngörülen süre kadar muhafaza edilmektedir. Şirketin ilgili olduğu mevzuat aşağıda sınırlı olmayan örnekseyici şekilde belirtilmektedir:

6102  sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 4857 sayılı İş Kanunu ve ilgili Yönetmelik ve Tebliğler, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve ilgili Yönetmelik ve Tebliğler, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve ilgili Yönetmelik ve Tebliğleri, 6356 sayılı Sendikalar ve Toplu İş Sözleşmesi Kanunu, 5520 sayılı Kurumlar Vergisi Kanunu, 213 sayılı Vergi Usul Kanunu ile ilgili Yönetmelik ve Tebliğler, 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun ve ilgili Yönetmelik ve Tebliğleri, 6100 sayılı Hukuk Muhakemeleri Kanunu, Bağımsız Denetim Yönetmeliği, Petrol Piyasası Kanunu, EPDK mevzuatı

 

 

      1. İşlenme Amaçları

Şirketimiz tarafından Şirketimizin üretim, satış ve pazarlama faaliyetleri başta olmak üzere gerçekleştirmiş olduğu ya da gerçekleştireceği tüm faaliyetler dolayısıyla,

İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi,

Şirketimizin insan kaynakları politikaları doğrultusunda, Şirketimizin insan kaynakları politikalarına uygun şekilde açık pozisyonlara uygun personel temini, insan kaynakları politikalarına uygun şekilde insan kaynakları operasyonlarının yürütülmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması,

Kurumsal yönetim faaliyetlerinin icrası, risk yönetimi, finansal raporlama işlemlerinin icrası ve takibi,

Şirket faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,

Şirket tarafından yapılan üretim ve sunulan hizmetin gerekli kalite standartlarını sağladığına ilişkin gereken denetim faaliyetlerinin sağlanması ve akreditasyonlar, 

Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,

Ziyaretçi kayıtlarının oluşturulması ve takibi,

Veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması, Şirketimiz internet sitesinde sunulan hizmetlerin geliştirilmesi, Şirketimize talep ve şikayetlerini iletenler ile iletişime geçilmesi,

Şirket ve şirkete ait tesis güvenliğinin sağlanması amaçlarıyla sınırlı olarak kamera kaydı yapılması, ziyaretçi giriş çıkışlarının kaydı, internet sitesi ziyaretlerinde site içi hareketlerin kaydı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir.

      1. Kişisel Verilerin Aktarılabileceği Alıcı Grupları

KVKK madde 8 uyarınca kişisel veriler aşağıdaki alıcı gruplarına 5 ve 6. maddedeki kurallara uygun şekilde aktarılabilir:

  • Hizmet Alınan veya İşbirliği İçinde Olunan İş Ortakları
  • Tedarikçiler & Müşteriler
  • Danışmanlar
  • Denetim Firmaları
  • Müşteriler
  • Pay Sahipleri
  • Banka ve Finans Kuruluşları
  • İşkur, Sosyal Güvenlik Kurumu,
  • Mahkeme ve İcra Daireleri
  • Ticaret ve Sanayi Odaları,
  • Merkezi Kayıt Kuruluşu,
  • Gümrük ve Ticaret Bakanlığı, Ulaştırma Denizcilik ve Haberleşme Bakanlığı, Ekonomi Bakanlığı ve sair Bakanlıklar, Konsolosluklar gibi resmi kurum ve kuruluşlar,
  • Gümrük Müdürlüğü, EPDK

 

 

 

 

 

 

 

 

 

 

    1. Saklanma Süreleri

 

Aşağıda Şirketin gerçekleştirdiği faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak süreç bazında saklama süreleri tablo olarak belirlenmiştir:

Süreç

Saklama Süresi

İmha Süresi

Üretim, Satış, Pazarlama Faaliyetlerinin İcrası

Faaliyetin Sona Ermesini Takiben 10 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Sipariş, Teklif, Sözleşmelerin Hazırlanması

İfa veya Sona Ermesini Takiben 10 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Mali, Finansal ve Denetim  Süreçlerin İcrası

Faaliyetin Sona Ermesini Takiben 10 yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

İnsan Kaynakları ve İş Sağlığı ve Güvenliği Süreçlerinin İcrası

Faaliyetin Sona Ermesini Takiben 15 yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Kurumsal ve Şirket İçi Yönetim ve İletişim Süreçlerinin İcrası

Faaliyetin Sona Ermesini Takiben 10 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Log Kayıt Takip Sistemleri

10 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Bilgi Güvenliği Süreçlerinin Yürütülmesi

10 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Ziyaretçi Kayıtları

2 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

İş Görüşmeleri Çalışan Aday Kayıtları

2 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

Kamera Kayıtları

5 Yıl

Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde

 

Şirketimiz tarafından yukarıda belirtilen süreç bazında saklama süreleri dışında işlenen kişisel verilere ilişkin saklama süresi, ilgili kanunlarda ve mevzuatlarda aksi öngörülmediği halde edinilen kişisel veriler genel zamanaşımı süresi olan 10 yıldır.

 

        

  1. KİŞİSEL VERİLERİN AKTARILMASI

 

      1. Genel Prensipler & İstisnalar

 

Şirket tarafından elde edilen kişisel veriler, kişisel verilerin işlenme amaçlarına uyumlu olarak, 10.2.2’de belirtilen amaçlarla üçüncü kişilere aktarılabilir.  Kişisel verilerin aktarılmasında ilgili kişinin açık rızasının alınması esastır.

 

Aşağıda sayılan hallerde ilgili kişinin açık rızası olmaksızın kişisel verinin aktarılması mümkündür:

•  Kanunlarda açıkça öngörülmesi,

•  Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

•  Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

•  Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

•  İlgili kişinin kendisi tarafından alenileştirilmiş olması,

•  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

•  İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hali.

 

      1. Yurtdışına Aktarım

 

Kişisel verilerin yurtdışına aktarılması halinde ilgili kişinin açık rızasının alınması esastır. İşleme amaçlarının mevcut olması, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya Şirketle ilgili yabancı ülkedeki veri sorumlusunun/veri işleyenin yeterli korumayı sağlayacaklarını yazılı olarak taahhüt etmesi ve Kurul izninin bulunması halinde kişisel veriler ilgilinin açık rızası olmaksızın yurt dışına aktarılabilir.

 

  1. ÖZEL NİTELİKTEKİ VERİLERİN İŞLENMESİ VE AKTARILMASI

 

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olması sebebi ile Şirketimizce bu verilerin korunmasına ayrıca önem verilmektedir. Özel nitelikteki kişisel verinin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

Şirket  çalışanların, Şirket pay sahipleri ve yetkilileri ile İş Ortaklarının çalışanlarının özel nitelikteki verileri iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla işlenmekte, ilgili veri sahipleri tarafından, hizmet alınan ortak sağlık birimi ya da sır saklama yükümlülüğü altında olan kişiler kanalıyla Şirketimize aktarılan bu verilerin işlenmesi, aktarılması ve muhafazasına ilişkin olarak Şirket aşağıdaki kuralları takip etmekte ve önlemleri almaktadır:

 

  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışan, ortak sağlık birimi ve sır saklama yükümlülüğü altında bulunan sağlık yetkililerine yönelik, KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, bu kişilerle gizlilik sözleşmeleri yapılmakta,

 

  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,

 

  • Periyodik olarak yetki kontrolleri gerçekleştirilmekte,

 

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta, 

 

  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler şifreleme yöntemleri kullanılarak muhafaza edilmekte, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta, erişime ilişkin kullanıcı yetkilendirmeleri yapılmaktadır.

 

  • Fiziksel ortamda tutulan özel nitelikli kişisel verilere ilişkin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemeleri alınmakta ve düzenli olarak kontrol edilmekte, bu ortamların fiziksel güvenliğinin sağlanarak giriş çıkışlarda yetki sorgulaması yapılmaktadır.

 

  • Özel nitelikli kişisel verilerin aktarımında ise,  verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi hususlarına dikkat edilmektedir.

 

 

 

 

 

  1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

 

Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.

 

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veyahut anonim hale getirilir. Periyodik imha yılda iki kez 6 ayda bir yapılacaktır.

 

İlgili kişinin talep etmesi halinde,

 

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, Şirket talebe konu kişisel verileri siler, yok eder veya anonim hale getirir.  Bu halde Şirket, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa Şirket bu durumu üçüncü kişiye bildirir, üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

 

    1. Kişisel Verilerin Silinmesi:

 

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Kişisel verilerin kayıt ortamlarına göre silme yöntemleri aşağıda belirtilmiştir:

 

Bulut sisteminde yer alan kişisel veriler, geri getirme yetkisi olmaksızın silme komutu verilerek silinir.

 

Kağıt ortamında bulunan kişisel veriler ise karartma yöntemi kullanılarak silinir. Kağıt üzerinde yer alan kişisel veriler üzeri okunamayacak şekilde çizilerek/boyanarak ya da silinerek bir tür karartma işlemi uygulanır.

 

Merkezi sunucuda yer alan ofis dosyalarında yer alan kişisel veriler, işletim sistemindeki silme komutu ile ya da dosyanın bulunduğu dizin üzerinde erişim haklarının kaldırılması suretiyle silinir.

 

Taşınabilir medyada bulunan kişisel veriler şifreli olarak saklanır ve uygun yazılımlar kullanılarak silinir.

 

Kişisel verilerin veri tabanlarında bulunması halinde ilgili satırlar veri tabanı komutları ile silinir.

 

 

    1. Kişisel Verilerin Yok Edilmesi:

 

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılmaz hale getirilmesi işlemidir.

 

Kişisel verilerin kayıt ortamlarına göre yok etme yöntemleri aşağıda belirtilmiştir:

 

Yerel sistemler üzerinde yer kişisel veriler, de-manyetize etme, üzerine yazma ya da fiziksel yok etme yöntemlerinden biri ile yok edilir.

 

Çevresel sistemler üzerinde yer alan ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri ise,

 

Ağ cihazları (içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

Flash tabanlı ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

Manyetik bantta veriler çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.

 

Manyetik disk gibi ünitelerde, yer alan veriler çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

 

Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmadığından, De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

Optik diskler, yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilir.

 

Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri yok etme komutu bulunmamaktadır. De-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

Kağıt ortamında bulunan kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.  Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle yok edilir.

 

Bulut Ortamında yer alan kişisel veriler, kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilir.

 

Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok  edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:

 

  • İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin de-manyetize etme, fiziksel yok etme ya da üzerine yazma yöntemlerinden bir ya da birkaçı kullanılmak suretiyle,

 

  • Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,

 

  • Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınır.

 

    1. Kişisel Verilerin Anonim Hale Getirilmesi:

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir.

 

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.

 

Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır.

 

Anonim hale getirme yöntemleri:eğer Düze

Değer Düzensizliği Sağlamayan Yöntemler

Değişkenleri Çıkartma

Kayıtları Çıkartma

Alt ve Üst Sınır Kodlama

Bölgesel Gizleme

Örnekleme

Değer Düzensizliği Sağlayan Yöntemler

Mikro-Birleştirme

Veri Değiş-Tokuşu

Gürültü Ekleme

Tekrar Örnekleme

Anonim Hale Getirmeyi Kuvvetlendirici İstatistik Yöntemler

Anonimlik

Çeşitlilik T-Yakınlık

 

Şirketimiz  anonim hale getirme yöntemini belirlerken sahip olunan verinin niteliği, büyüklüğü, fiziki ortamlarda bulunma yapısı, çeşitliliği, veriden sağlanmak istenen fayda / işleme amacı, verinin işleme sıklığı, verinin aktarılacağı tarafın güvenilirliği, verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması, verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, verinin dağıtıklık/merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü ve anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali gibi olgular değerlendirilerek uygun olan anonim hale getirme yöntemi belirlenecektir.

 

 

  1. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BAŞVURU HAKLARININ KULLANILMASI

 

    1. Haklar

KVKK’nın 11. maddesine göre “ilgili kişinin” hakları şunlardır:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
    • Kişisel verilerin silinmesini veya yok edilmesini isteme,
    • Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

    1. İlgili Kişinin Hak Arama Yöntemleri

 

İlgili Kişi bu bölümün 10.1.de belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Şirketimize ücretsiz olarak iletebileceklerdir:

 

  • Formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile şirketimize  iletilmesi,
  • Formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı formun  kayıtlı elektronik posta ile gönderilmesi

 

Şirketimiz İlgili Kişinin başvurusunu 30 gün içinde neticelendirerek talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

 

İlgili kişi, KVKK’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, Şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

  1. SAKLAMA VE İMHA SÜREÇLERİNDE GÖREVLİ KİŞİLER

Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atamıştır.

 

Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:

 

  • Kişisel verilerin korunması ve işlenmesine ilişkin süreçlerin dizaynına ilişkin belgelerin hazırlanması, takibi ve bunların ilgili kişilerin onaylarına sunulması,
  • Kişisel verilerin korunmasına ve işlenmesine ilişkin dokümanların uygulanmasının temini ve gerekli denetimlerin yapılması,
  • KVK Kurumu ve KVK Kurulu ile olan ilişki ve yazışmaların takibi.

 

  1. Politikanın Yayımlanması ve Güncellenmesi

 

İşbu Politika Şirket’in internet sitesinde  ve talep üzerine kişisel veri sahiplerinin erişimine sunulur.

 

İşbu Politika gerek duyulan hallerde ve ihtiyaç halinde güncellenir ve değişiklik yine internet sitesinde yayınlanmak suretiyle yürürlüğe girer.