Gizlilik Politikası
Bu sayfa, Dizaynvip Teknoloji Bilişim Ve Otomotiv Sanayi Anonim Şirketi’nin kişisel verilerin korunması, işlenmesi, saklanması ve imhasına ilişkin tam politika metnini içerir.
I. GİRİŞ
1.1. Politikanın Amacı
Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca Dizaynvip Teknoloji Bilişim Ve Otomotiv Sanayi Anonim Şirketi (“Şirket”) tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (müşteri, potansiyel müşteri, ziyaretçi, iş ortağı, çalışan, çalışan adayı, eski çalışan, üçüncü kişi firma çalışanı vb.) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin korunması, işlenmesi, saklanması ve gerektiğinde imha edilmesine dair esasların belirlenmesi bu Politika’nın amacını oluşturmaktadır.
1.2. Politikanın Kapsamı
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak Şirket tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Şirket tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.
1.3. Politikanın ve İlgili Mevzuatın Uygulanması
İşbu Politika, yürürlükte bulunan 6098 Sayılı Türk Borçlar Kanunu, 6102 Sayılı Türk Ticaret Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik, 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği başta olmak üzere, ilgili mevzuata ve Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır.
Şirket tarafından Politika’nın yayım tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Şirket tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.
1.4. Politikanın Yürürlüğü
Politika, Şirket’e ait https://dtec.app/tr internet sitesinde yayımlanmış olup yayımı tarihinde yürürlüğe girmiştir.
II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Güvenliğinin Sağlanması
6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
Açıklanan nedenlerle Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER kısmında yer almaktadır.
2.2. Özel Nitelikli Kişisel Verilerin Korunması
Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Özel nitelikli kişisel verilerin işlenmesi kural olarak yasak olup kanunla sınırlı hallerde işlenebilir.
Şirket tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm tedbirler alınmakta olup, bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.
III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:
- Hukuka ve dürüstlük kuralına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işleme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
3.2. Kişisel Verilerin İşlenme Şartları
Şirket tarafından elde edilen kişisel veriler, Kanun’da öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez.
3.3. Açık Rıza Alınması Yükümlülüğünün İstisnaları
a) Kanunlarda açıkça öngörülmesi
Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir. Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.
b) Fiili imkânsızlık
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilmektedir.
c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi gündeme gelebilmektedir.
d) Şirket’in hukuki yükümlülüğünü yerine getirmesi
Veri sorumlusu sıfatıyla Şirket’in yerine getirmesi gereken hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.
e) İlgili kişi tarafından alenileştirilmiş olması
Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma konu olamaz.
f) Bir hakkın tesisi, kullanılması ve korunması için zorunlu olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerinin açık rızası olmaksızın da işlenmesi mümkündür.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması
Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel veriler işlenebilir.
Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işleme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.
3.4. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel verilerin işlenmesi Kanun’un 6. maddesine tabidir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu kapsamda yer alan veriler sınırlı sayıda olup yorum yoluyla genişletilemez. Özelliği gereği özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin ayrımcılığa ve mağduriyete uğramasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
Özel nitelikli kişisel veriler; ilgili kişinin açık rızasının olması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde işlenebilir. Ayrıca özel nitelikli kişisel verilerin işlenmesinde, KVKK tarafından belirlenen yeterli önlemlerin alınması şarttır.
3.5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
Kişisel verilerin elde edilmesi sırasında Şirket’in veri sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme yapılmaktadır. Yapılan bilgilendirmeye dair usul ve esaslar Şirket tarafından yayımlanan ilgili kişisel verilerin işlenmesine ilişkin aydınlatma metinlerinde belirtilmiş olup bilgilendirme özetle aşağıdaki unsurları içermektedir:
- Veri sorumlusu ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- Kanun’un 11. maddesinde gösterildiği üzere ilgili kişinin hakları.
a) Kişisel verilerin işlenme amaçları
Kişisel verilerin işlenmesi belirli, açık ve meşru amaçlarla gerçekleştirilmekte olup veri sahiplerinin bilgilendirilmesi esasına dayanmaktadır. Veri sahibi ilgili kişiler tarafından Şirket tarafından elde edilen kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında gösterilmiştir.
b) Kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları
Veri sorumlusunun, veri sahibini aydınlatma yükümlülüğü çerçevesinde kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları açıkça belirtilmelidir. Kişisel veriler, veri sahibinin açık rızası olmaksızın 3.kişilere aktarılamamaktadır. Şirket tarafından kişisel verilerin aktarıldığı alıcı grupları ve aktarılma amaçları IV. KİŞİSEL VERİLERİN AKTARILMASI kısmında gösterilmiştir.
c) Kişisel veri toplamanın yöntemi ve hukuki sebebi
Kanun’un 5 ve 6. maddesine uygun olarak, kişisel veri işleme şartlarından hangisine dayanılarak işlendiğinin veri sorumlusu tarafından açıkça belirtilmesi gerekir. Veri toplama yöntemi ve aracılığı, veri sorumlusunca belirlenmektedir. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda (m.5-6) sınırlı sayıda sayılmış olup, bu şartlar genişletilememektedir.
Veri sorumlusu Şirket tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirmesi yapılmakta, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmektedir.
IV. KİŞİSEL VERİLERİN AKTARILMASI
4.1. Yurt İçi Aktarım
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak 5’inci maddenin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Şirket tarafından işlenen kişisel verilerinizin aktarıldığı alıcı gruplarına dair bilgiler bu Politika’nın EK 3 – Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları kısmında yer almaktadır.
4.2. Yurt Dışı Aktarım
- Kişisel veriler, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarılabilir.
- Yeterlilik kararının bulunmaması durumunda ise kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
- Yeterlilik kararının bulunmaması ve öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda ise; arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarılabilir:
Uygun Güvenceler
- Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
- Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Arızi Haller
- İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
- Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
- Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
- Aktarımın üstün bir kamu yararı için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
V. ŞİRKET TARAFINDAN KİŞİSEL VERİ İŞLENME AMAÇLARI
Şirket tarafından elde edilen kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen amaçlar dahilinde hukuka uygun olarak işlenmektedir.
VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve kişisel verilere erişilmesinin önlenmesi için Şirket tarafından idari ve teknik tedbirler alınmaktadır.
Kişisel veriler Kanun’un 4. maddesinin 2. fıkrası (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda işlenen veriler, veri işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenmekte, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Şirket tarafından işlenen kişisel verilerin saklama ve imha prosedürüne ve saklama sürelerine ilişkin bilgiler işbu Politika’nın VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI ve EK–4: Kişisel Verileri Saklama Süreleri kısımlarında gösterilmiştir.
Kişisel veri güvenliğinin sağlanması için Şirket tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının belirlenmesi yoluna gidilmekte; bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmaktadır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte, Kanun çerçevesinde gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.
Bu kapsamda kişisel verilerin korunması için Şirket tarafından; aşağıda belirtilen idari ve teknik tedbirler alınmaktadır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Şifreleme yapılmaktadır.
VII. BİNA GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETİ
Bina Girişlerinde ve İçerisinde Kamera ile İzleme Faaliyeti
Şirket girişi ve içerisinde güvenliğin sağlanması, Şirket’in ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerin korunması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Kamera ile izleme faaliyeti Kanun ile uyumlu olarak yürütülmekte olup gerek Kanun’da gerekse de işbu Politika’da sayılan veri işleme şartları kapsamında gerçekleştirilmektedir.
VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
8.1. Kişisel Verilerin Saklanması ve İmhası
Şirket nezdinde tutulan kişisel verileriniz, veri işleme faaliyetinin gerekli olduğu süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesinde gösterilen genel ilkeler ve 12. maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.
Periyodik imhanın gerçekleştirileceği zaman aralığı azami 1 yıl ile sınırlı tutulmuştur. Şirket tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 3 yıl süreyle muhafaza edilmektedir. Şirket tarafından işlenen kişisel verilerin saklama süreleri ise EK–4’te gösterilmiştir.
Verilerin saklanması ve imhasına ilişkin Şirket tarafından görevlendirilen kişisel veriler uzmanı kişi, kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişidir.
8.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü
Şirket tarafından işlenmiş kişisel veriler, Kanun’un 7. maddesi ve Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Silinen kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.
Kişisel verilerin yok edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi için her türlü teknik ve idari tedbir alınmaktadır.
Kişisel verilerin anonim hale getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerinizin anonim hale getirilmesi için her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale getirilmektedir.
8.3. Kişisel Veri Kayıt Ortamları
Kişisel veri kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.
Veri sahibi ilgili kişilere ilişkin kişisel veriler, Şirket tarafından, Kanun hükümleri başta olmak üzere, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde aşağıda belirtilen veri kayıt ortamlarında saklanmaktadır:
- Teknik kayıt ortamları: Bilgisayar ortamı, merkezi sunucular, çıkartılabilir bellekler (USB, Hafıza Kart vb.), bilgi güvenliği cihaz ve yazılımları.
- Teknik olmayan veri kayıt ortamları: Kâğıtlar, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar.
8.4. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler
Şirket tarafından veri sahibi ilgili kişilere ilişkin kişisel veriler, bunlarla sınırlı olmamak üzere başta;
- Kanun’un 4. maddesinde yer alan genel ilkeler,
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Veri sahibi ilgili kişinin kişisel verilerin imha edilmesine ilişkin talepte bulunması,
- Kişisel verilerin saklanmasına ilişkin yasal yükümlülüklerin sona ermesi,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve saklamaya devam edilmesini gerektiren haklı bir nedenin olmaması
gibi amaç ve sebeplerle imha edilmektedir.
8.5. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
Şirket tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin gerçekleştirilmesi esnasında; çalışanların bilgi güvenliği ve imha süreçlerine ilişkin bilgilendirilmesi, kişisel verilerin tutulduğu veri kayıt ortamının niteliğine göre en uygun yöntemin tercih edilmesi, veri güvenliğine ilişkin düzenli ve periyodik bakım ve takip çalışmalarının yapılması, teknolojik ve teknik açıdan gerekli en güncel imha sistemlerinin kullanılması, otomatik silme komutlarının verilmesi, silinen verilere erişim ve silinen verileri tekrar kullanma ve geri getirme yetkisinin kaldırılması gibi gerekli idari ve teknik tedbirler alınmaktadır.
Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin belirlenmesi, erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili çalışanların tespit edilmesi, ilgili çalışanların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi, ilgili çalışanların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması yöntemleri uygulanmaktadır.
IX. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE HAKLARIN KULLANILMASI
9.1. Kişisel Veri Sahibinin Hakları
6698 sayılı Kanun gereğince, veri sahibi sıfatıyla;
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- 7. maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
- Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme
haklarınız bulunmaktadır.
9.2. Kişisel Veri Sahibinin Haklarını Kullanması ve Şirketimizin Başvurulara Cevap Vermesi
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de belirtilen yöntemlerle iletmeniz durumunda Şirket, talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Bu süre başvurunuzun Şirket’e tebliğinden itibaren 30 günü aşamaz. Başvurunuzda yer alan eksiklikler, açık olmayan anlatımlar sebebiyle ek bilgi talep edilmesi halinde ilgili ek bilgi ve belgeler tarafımıza tebliğ olana dek cevap süresi işlemez. İşlemin herhangi bir maliyeti gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
EK – 1: Tanımlar
- Açık Rıza
- Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı.
- Anonim Hâle Getirme
- Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini.
- Alıcı Grubu
- Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini.
- İlgili kişi
- Kişisel verisi işlenen gerçek kişiyi.
- İmha
- Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini.
- Kanun
- 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu.
- Karartma
- Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri.
- Kayıt Ortamı
- Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı.
- Kişisel Veri
- Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi.
- Kişisel Verilerin İşlenmesi
- Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.
- Kişisel Verilerin Korunması Kanunu (“KVKK”)
- 7 Nisan 2016 tarihinde Resmî Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu.
- Kurul / Kurum
- Kişisel Verileri Koruma Kurulu’nu ve Kişisel Verileri Koruma Kurumu’nu.
- Veri İşleyen
- Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi.
- Veri Kayıt Sistemi
- Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini.
- Veri Sorumlusu
- Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
EK – 2: Kişisel Veri Sahipleri (İlgili Kişiler)
| Veri Sahibi Kategorileri | Açıklama |
|---|---|
| Çalışan | Şirket bünyesinde çalışan kişileri ifade etmektedir. |
| Çalışan Adayı | Şirket’e özgeçmiş göndererek veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade etmektedir. |
| İş Ortakları | Şirket’in faaliyetlerinin yürütülmesi amacıyla Şirket tarafından iş, işlemler ve iş birliği yapılan gerçek kişiler ile tüzel kişi çalışanları ifade etmektedir. |
| Müşteri | Şirket’in sunduğu ürün ve hizmetleri satın alan ve bu ürün ve hizmetlerden yararlanan gerçek kişileri ifade etmektedir. |
| Potansiyel Müşteri | Şirket’in sunduğu ürün ve hizmetleri satın alma ilgisini gösteren, müşteriye dönüşme potansiyeli olan gerçek kişileri ifade etmektedir. |
| Tedarikçi | Şirket tarafından kendisinden hizmet tedarik edilen gerçek kişiler ile tüzel kişi çalışanlarını ifade etmektedir. |
| Ziyaretçi | İşyerini ve Şirket’in internet sitesini ziyaret eden 3. kişileri ifade etmektedir. |
| İlgili Diğer Üçüncü Kişiler | Açıklanan ilgili kişiler dışında kalıp Şirket tarafından kişisel veri işleme faaliyeti gerçekleştirilen gerçek kişileri ifade etmektedir. |
EK – 3: Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
| Aktarılan Kişi/Birim | Kapsam | Aktarılma Amacı |
|---|---|---|
| Hukuki Danışmanlar / Mali Müşavirler | Şirket’in hukuki ve mali hususlarda destek amacıyla kendisinden hizmet temin edilen taraflar | Şirket’in hukuki ve mali haklarının tesisi, kullanılması ve korunması kapsamında hizmet alınması amacıyla sınırlı olarak kişisel verilerin aktarılması. |
| İş Ortakları | Şirket tarafından yürütülen faaliyetler kapsamında iş ortaklığı kurulan yerel ve yabancı taraflar | İş ortağı kimselerle yapılan faaliyetin yerine getirilmesini sağlamak ve şirket faaliyetlerinin yürütülmesi amacıyla sınırlı olarak kişisel verilerin aktarılması. |
| Tedarikçiler | Şirket’in faaliyetlerinin sürdürülebilmesi amacıyla kendisinden hizmet temin edilen taraflar | Sunucu ve hosting, bulut, bilgi teknolojileri, online iletişim vb. hizmetleri sunan tedarikçi kimselerden alınan hizmetlerin temini amacıyla sınırlı olarak kişisel verilerin aktarılması. |
| Yetkili Kamu Kurum ve Kuruluşları | Kanunen yetkili kamu kurum ve kuruluşları ile Şirket arasında hukuki ilişkiler | İlgili kamu kurum ve kuruluşlarının Şirket’ten talep ettiği bilgi ve belgelerin talep edilme amacıyla ve ticari faaliyetlerin kapsamıyla sınırlı olarak paylaşılması/aktarılması. |
EK – 4: Kişisel Verileri Saklama Süreleri
| Kişisel Veri Kaynağı | Süre | Yasal Dayanak |
|---|---|---|
| Sözleşmeler ve Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun, 6563 Sayılı Kanun ve 213 Sayılı Kanun |
| Özel Nitelikli Kişisel Veriler | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | 6102 Sayılı Kanun, 6098 Sayılı Kanun, 6563 Sayılı Kanun |
| Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | 213 Sayılı Vergi Usul Kanunu, 6563 Sayılı Kanun |
| Vergisel Kayıtlara İlişkin Kişisel Veriler | 5 Yıl | 213 Sayılı Vergi Usul Kanunu |
| İş Kanunu Kapsamında, Özlük Dosyaları Dahil İnsan Kaynakları Süreçlerine İlişkin Tüm Kayıtlar | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat, 6098 Sayılı Türk Borçlar Kanunu |
| İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler | Hukuki İlişkinin Sona Ermesinden İtibaren 10 Yıl | 4857 Sayılı İş Kanunu ve İlgili Mevzuat, 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
| İş Başvurusu Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler | 2 Yıl | Sektörel Teamüller Geçerlidir. |
| Ticari Elektronik E-Mail Onay Kayıtları | Onayın Geri Alındığı Tarihten İtibaren 1 Yıl | 6563 Sayılı Kanun, 29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik |
| CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) | 1 Ay | Sektörel Teamüller Geçerlidir. |
| Çevrim İçi Ziyaretçilere İlişkin Trafik Bilgileri ve Log Kayıtları | 6 Ay – En Fazla 2 Yıl | 5651 Sayılı İnternet Kanunu |