Kişisel Verilerin İşlenmesi ve Korunması Politikası

İÇİNDEKİLER

  1. GİRİŞ. 3
  2. Politika’nın Amacı 4
  3. Politika’nın Kapsamı 4
  4. Politika’nın ve İlgili Mevzuatın Uygulanması 4
  5. Politika’nın Yürürlüğü. 4
  6. KİŞİSEL VERİLERİN KORUNMASI 5
  7. Güvenlik. 5
  8. Denetim.. 5
  9. Gizlilik. 5
  10. Kişisel Verilere Yetkisiz Erişim.. 5
  11. İlgili Kişilerin Yasal Haklarının Gözetilmesi 5
  12. Özel Nitelikli Kişisel Verilerin Korunması 5

III.   KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI 6

  1. Kişisel Verilerin İşlenmesinde Genel İlkeler. 6
  2. Hukuka ve Dürüstlük Kurallarına Uygun Olma. 6
  3. Doğru ve Gerektiğinde Güncel Olma. 6
  4. Belirli, Açık ve Meşru Amaçlar İçin İşlenme. 6
  5. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma. 6
  6. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme. 6
  7. Kişisel Verilerin İşlenme Şartları 7
  8. Kanunlarda Açıkça Öngörülmesi 7
  9. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması için Zorunlu Olması 7
  10. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması 7
  11. Şirketmizin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması 7
  12. İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması 7
  13. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması 8
  14. İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Şirketmiz Tarafından Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması 8
  15. Özel Nitelikli Kişisel Verilerin İşlenme Şartları 8
  16. Kişisel Verilerin Aktarılma Şartları 8
  17. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ, SINIFLANDIRILMASI, İŞLENME VE AKTARILMA AMAÇLARI, KİMLERE AKTARILDIĞI 9
  18. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi 9
  19. Kişisel Verilerin İşlenme Amaçları 10
  20. Kişisel Verilerin Aktarılma Amaçları 12
  21. Kişisel Verilerin Aktarılacağı Kişiler. 12
  22. KİŞİSEL VERİLERİN İMHA POLİTİKASI VE SAKLAMA SÜRELERİ 12
  23. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi 12
  24. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri 13
  25. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri 13
  26. Kişisel Verileri Anonim Hale Getirme Teknikleri 14
  27. Kişisel Verilerin Saklanma ve Periyodik İmha Süreleri 15
  28. KİŞİSEL VERİLERİN İŞLENMESİ BAKIMINDAN AYDINLATMA VE İLGİLİ KİŞİNİN KANUNDA YER ALAN HAKLARI 15
  29. İlgili Kişinin Aydınlatılması 15
  30. İlgili Kişinin Kanunda Yer Alan Hakları 15
  31. Politika ve Kanunun Tamamen veya Kısmen Uygulanmayacağı Haller. 16

VII.     İLGİLİ KİŞİLERİN SINIFLANDIRILMASI VE KİŞİSEL VERİLER İLE EŞLEŞTİRİLMESİ 18

  1. İlgili Kişilerin Sınıflandırılması 18
  2. Kişisel Veriler ile İlgili Kişilerin Eşleştirilmesi, Veri Sorumlusu ve Veri İşleyenler. 18

 

                I.          GİRİŞ

6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiş olup “kimliği belirli veya belirlenebilir” gerçek kişilere (“ilgili kişi”) ilişkin her türlü bilginin işlenmesine ilişkin düzenlemeleri içermektedir.  Atlı Makine İnşaat Nakliyat Madencilik Turizm Doğal Enerji Kaynakları Üretim Sanayi ve Ticaret A.Ş. (“Şirket”) olarak Kanun gereği kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor, tüm planlama ile faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle Şirketimiz, kişisel verilerin korunması ve işlenmesi için tüm idari ve teknik tedbirleri almaktadır. Bu konunun en önemli ayağını ise işbu Kişisel Veri Saklama ve İmha Politikası (“Politika”) ile yönetilen; Müşterilerimizin, Çalışan Adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarının, Hissedarlarının, Yetkililerinin ve Üçüncü Kişilerin kişisel verilerinin korunması ve imhası oluşturmaktadır.

 

Anayasa’nın 20. maddesine göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda Şirketimiz, işbu Politika ile yönetilen; Müşterilerimizin, Çalışan Adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarının, Hissedarlarının, Yetkililerinin ve Üçüncü Kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.

 

İşbu Politika’da kişisel verilerin işlenmesinde Şirket olarak benimsediğimiz ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:

  • Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
  • Kişisel verilerin muhafazasında gerekli tedbirleri alma,
  • Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) düzenlemelerine uygun davranma,
  • Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.

 

1.      Politika’nın Amacı

İşbu Politika’nın amacını, Şirketimizin Kanun ve ilgili sair mevzuattan doğan yükümlülükleri ile Kanun uyarınca uyacağı usul ve esaslar hakkında kişisel veri sahiplerini   Müşterilerimizin, Çalışan Adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarının, Hissedarlarının, Yetkililerinin ve Üçüncü Kişilerin başta olmak üzere- bilgilendirmek ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasında başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini azami derecede korumak oluşturmaktadır. Politikanın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ile kişisel veri sahiplerinin özel hayat gizliliği ve veri güvenliği hakkının korunmasını hedeflenmekteyiz.

 

2.      Politika’nın Kapsamı

İşbu Politika; Müşterilerimizin, Çalışan Adaylarımızın, Şirket Hissedarlarının, Şirket Yetkililerinin, Ziyaretçilerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanlarının, Hissedarlarının, Yetkililerinin ve Üçüncü Kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Bu doğrultuda yukarıda sayılan kişisel veri sahiplerine Politika hükümlerinin tamamı uygulanabileceği gibi yalnızca bir kısım hükümleri de uygulanabilecektir.

 

3.      Politika’nın ve İlgili Mevzuatın Uygulanması

İşbu Politika, yürürlükte bulunan mevzuat ile ortaya konulan kuralların Şirketimizin uygulamaları kapsamında somutlaştırılıp düzenlenmesiyle oluşturulmuştur. Bu kapsamda kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Şirket olarak Kanun’da öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıkları yürütmekteyiz.

 

4.      Politika’nın Yürürlüğü

Şirketmiz tarafından düzenlenen bu Politika ……….….. tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir.

 

Politika Şirketmizin internet sitesinde [INSERT] URL yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

 

 

              II.          KİŞİSEL VERİLERİN KORUNMASI

Şirketimiz tarafından veri güvenliğini sağlamak adına Kanun’un 12. maddesi gereği aşağıda belirtilen tedbir ve önlemler alınmaktadır.

 

1.      Güvenlik

Şirketimiz Kanun’a uygun olarak kişisel verilerin hukuka aykırı biçimde erişilmesini ve işlenmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

2.      Denetim

Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Bu kapsamda hem Şirket içerisinde bir ekip oluşturulmuş olup hem de dışarıdan destek alınmaktadır.

 

3.      Gizlilik

Şirketimiz, ilgili veri sorumluları ve veri işleyenlerin, sahip oldukları kişisel verileri Kanun ve Politika hükümlerine aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkân ve uygulama maliyetlerine göre gerekli tüm teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket çalışanlarımız ile Kanun ve Politika hakkında bilgilendirilme ve eğitim çalışmaları yapılmaktadır.

 

4.      Kişisel Verilere Yetkisiz Erişim

Şirketimiz tarafından işlenen kişisel verilerin Kanun’a uygun olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede ilgili kişine ve Kurul’a bildirilmesi için gerekli işlemleri yürütür. Kurul tarafından gerekli görülmesi halinde bu durum Kurul’un internet sitesinde ya da Kurul tarafından uygun görülecek başka bir yöntemle ilan edilebilir.

 

5.      İlgili Kişilerin Yasal Haklarının Gözetilmesi

Şirketimiz, ilgili kişilerin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.

 

6.      Özel Nitelikli Kişisel Verilerin Korunması

Kanun’un 6. maddesine göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına veya mağduriyete neden olma riski taşıyan veriler olup diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu nedenle Şirketimiz tarafından hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için gerekli tüm tedbirler hassasiyetle alınır.

 

           III.          KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

1.      Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirketimiz tarafından kişisel veriler, Kanun’da ve bu Politika’da öngörülen usul ve esaslara uygun olarak işlenir. Şirketimiz kişisel verileri işlerken Kanun’un 4. maddesiyle düzenlenmiş olan aşağıdaki ilkelere uygun hareket eder.

 

a.        Hukuka ve Dürüstlük Kurallarına Uygun Olma

Şirketimiz, kişisel verileri, ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak işler ve bu sınırlar içerisinde kullanır. Bu kapsamda Şirketimiz kişisel veri işlenirken ilgili kişinin çıkarları ile makul beklentilerini dikkate alır ve ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olmasına özen gösterir.

 

b.       Doğru ve Gerektiğinde Güncel Olma

Şirketimiz, kişisel veri sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlar. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır. Şirketimiz ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutar.

 

c.        Belirli, Açık ve Meşru Amaçlar İçin İşlenme

Şirketimiz, veri işleme amacını açık ve kesin olarak belirler ve bu amacın meşru olmasını sağlar. Amacın meşru olması, Şirketimizin işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir. İlgili kişilere yapılan aydınlatmalarda ve alınan açık rızalarda ilgili kişilerden alınan verilerin hangi amaçlarla işlendiği açık ve net olarak belirtilir.

 

d.       İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, işlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olması ve söz konusu amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmemesi sağlanır. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işleme yoluna gidilmemektedir. Muhtemel ihtiyaçlara yönelik veri işlemenin yeni bir veri işleme anlamına geleceğinden Kanun’un 5. maddesinde düzenlenmiş olan kişisel verilerin işlenme şartlarından birinin gerçekleşmesi halinde işlenir.

 

e.        İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Şirketimiz, ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyar; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Şirketimiz tarafından bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, söz konusu veriler imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde imha edilir.

 

 

2.      Kişisel Verilerin İşlenme Şartları

Şirketimiz kişisel verileri ilgili kişinin açık rızası olmaksızın işlemez. Bu kapsamda kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Ancak Kanun’un 5/2. maddesinde öngörülen aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenebilecektir.

 

a.        Kanunlarda Açıkça Öngörülmesi

Şirketimiz kişisel veri sahiplerinin kişisel verilerini açık rızaları olmasa dahi kanunların açıkça öngördüğü hallerde işleyebilir.

 

b.       Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir Başkasının Hayatı veya Beden Bütünlüğünün Korunması için Zorunlu Olması

Şirketimiz tarafından, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel veriler açık rıza olmadan işlenebilir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, ilgili kişinin kişisel verileri işlenebilecektir. Bu kapsamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilir.

 

c.        Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması

Şirketimiz tarafından bir sözleşmenin kurulması veya ifasıyla ilgili olarak kişisel veriler işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası alınabilecektir.

 

d.       Şirketimizin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

Şirketimiz, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu ise, kişisel veri sahiplerinin kişisel verilerini işleyebilir. Örneğin Şirketimiz tarafından vergi denetimi sırasında Çalışanlarımıza veya Müşterilerimize ait bilgiler ilgili kamu görevlilerinin incelemesine sunulabilir.

 

e.        İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması

Şirketimiz tarafından ilgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan ve böylece herkes tarafından bilinebilecek hale gelen kişisel verileri, bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan kalktığı kabulüyle işlenebilir.

 

f.         Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması

Şirketimiz hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde ilgili kişilerin kişisel verilerini açık rıza aramaksızın işleyebilir.

 

g.        İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Şirketimiz Tarafından Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması

Şirketimiz, ilgili kişilerin Kanun ve Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda ilgili kişilerin kişisel verilerini işleyebilir. Şirketimiz, kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve Şirketimiz ile ilgili kişilerin menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti göstermektedir.

 

3.      Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirketimiz özel nitelikli kişisel verileri, ilgilinin açık rızası olmaksızın işlemez. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler Şirketimiz tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis ve tedavi ile bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenir. Şirketimiz özel nitelikteki kişisel verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.

 

4.      Kişisel Verilerin Aktarılma Şartları

Şirketimiz kişisel verileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını oluşturarak ve güvenlik önlemlerini alarak ilgili kişilerin kişisel verilerini ve özel nitelikli kişisel verileri üçüncü kişilere Kanuna uygun olarak aktarabilir. Şirketimiz kişisel verilerin aktarılması sırasında Kanun’da öngörülen düzenlemelere uygun hareket etmektedir. Bu kapsamda Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere;

  • İlgili kişinin açık rızası var ise,
  • Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
  • İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
  • Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
  • Kişisel veriler, ilgili kişi tarafından alenileştirilmiş ise,
  • Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise,

aktarabilir.

 

Kişisel Verilerin Yurt Dışına Aktarılma Şartları:

Şirketimiz kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak ilgili kişilerin kişisel verilerini ve özel nitelikli kişisel verilerini yurt dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından kişisel veriler;  Kanun’un 9. maddesi ışığında Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilir.

 

            IV.          KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ, SINIFLANDIRILMASI, İŞLENME VE AKTARILMA AMAÇLARI, KİMLERE AKTARILDIĞI

1.      Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel veriler; her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, Şirketimiz internet sitesi gibi muhtelif yollarla, Politika’da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde kanunlardan doğan sorumlulukları eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirketimiz veya Şirketimiz tarafından görevlendirilen veri işleyenler tarafından işlenir.

Kişisel Verilerin Sınıflandırılması

  • Kimlik Bilgisi: Kişinin kimliğine dair adı-soyadı, T.C. kimlik numarası, medeni durumu, uyruk bilgisi, anne-baba adı-soyadı, doğum yeri – tarihi, cinsiyeti ve sair kimlik bilgileri ve bu bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport, tapu senedi ve sair belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası ve sair bilgiler.
  • İletişim Bilgisi: Telefon numarası (ev, iş, vs.), adres, e-posta adresi, faks numarası, IP adresi ve sair bilgiler.
  • İşlem Güvenliği Bilgisi: Şirketin faaliyetlerini yürütürken, gerek ilgili kişinin gerekse de Şirketin teknik, idari, hukuki ve ticari güvenliğine ilişkin işlenen kişisel veriler. Örneğin; internet kullanıcı adı ve şifresi.
  • Finansal Bilgi: Şirketin ilgili kişi ile kurmuş olduğu işçi – işveren ilişkisi uyarınca ortaya çıkan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, şube kodu, banka kart bilgileri, IBAN numarası, kredi kartı bilgisi, finansal profil, kredi notu, malvarlığı verisi, gelir bilgisi ve sair bilgiler.
  • Görsel ve İşitsel Bilgi: Fotoğraf ve kamera kayıtları, ses kayıtları ile bu verilerin bulunduğu yer aldığı herhangi tüm veriler ve sair bilgiler.
  • Özlük Bilgisi: İlgili kişi ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının korunmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veriler.
  • Lokasyon Bilgisi: Şirket veya Şirketin grup Şirketleri veya işbirliği içerisinde olunan Şirket ve kurumların faaliyet ve operasyonları çerçevesinde ilgili kişi tarafından Şirket ve Şirket grup Şirketleri araçları kullanırken ilgili kişinin bulunduğu yerin konumunu tespit eden bilgiler; GPS lokasyonu, seyahat verileri ve sair bilgiler.
  • Aile Bireyleri ve Yakın Bilgisi: Şirket veya Şirketin grup Şirketleri veya işbirliği içerisinde olunan Şirket ve kurumların faaliyet ve operasyonları çerçevesinde veya Şirketin ve ilgili kişinin hukuki ve diğer menfaatlerini korumak amacıyla ilgili kişinin aile bireyleri, (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkında, yukarıda tanımlandığı şekilde, kimlik bilgileri ve iletişim bilgileri.
  • Fiziksel Mekân Güvenlik Bilgisi: Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar ve sair veriler.
  • Hukuki İşlem Bilgisi: Şirketinin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükleri kapsamında işlenen veriler.
  • Özel Nitelikli Kişisel Bilgi: Kanun’un 6.madddesi uyarınca belirtilen kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
  • Talep/Şikâyet Yönetimi Bilgisi: Şirketimize yöneltilmiş olan talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler

 

2.      Kişisel Verilerin İşlenme Amaçları

Kanun’un 10. maddesi gereği Şirketimiz ilgili kişilere kişisel verilerinin hangi amaçlarla işlendiği bilgisini vermektedir. Bu kapsamda kişisel verileriniz Kanunu’nun 5. ve 6. Madde hükümlerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde ve bunlarla sınırlı olmamak üzere diğer ilgili mevzuat hükümleri gereği;

  • Şirket tarafından sunulan ürün ve hizmetlerden haberdar olabilmeniz, sizlerin daha iyi yararlandırılması.
  • Şirket tarafından sunulan ürünlerin/hizmetlerin kalitesinin artırılması, müşterilerimizin ihtiyaçları, beğenileri ve kullanım alışkanlıklarına göre özelleştirilerek sunumu ve önerilmesi.
  • Sizleri hizmetlerimiz konusunda bilgilendirmek ve gerekli durumlarda sizleri aydınlatmak,
  • Şirketimiz talep edeceğiniz bilgi, etkinlik ve hizmetlerle ilgili sizlere bilgilendirme yapmak,
  • İnsan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanması; ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesi; otelimizin ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin temini, kurumsal işleyişinin sağlanması, sunulan ürün ve hizmetlerden sizleri en iyi şekilde faydalandırmak için çalışmaların yapılması.
  • Veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması internet sitesinde sunulan hizmetlerin geliştirilmesi, otelimize talep ve şikayetlerini iletenler ile iletişime geçilmesi, otelimiz internet sitesinde oluşan hataların giderilmesi,
  • Şirkete ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak.
  • Reklam, tanıtım, promosyon, kampanya ve pazarlama faaliyetlerinin yürütülmesi.
  • Kimlik Bildirme Kanunu kapsamından kaynaklanan yükümlülüklerin yerine getirilmesi.
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
  • İş sözleşmesinin ifası için gerekli amacın yerine getirilmesi, özellikle;
  • Çalışanların izin onayı, bakiye izinlerin görüntülenmesi, izin düzenlemelerinin yapılması
  • Çalışanların işten çıkış işlemlerinin yapılması
  • Bordro işlemlerinin yapılmasının sağlanması
  • Çalışanlara maaş ödemelerinin yapılması
  • İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile, diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;
  • Personel özlük ve sağlık dosyasının oluşturulması
  • SGK bildirimleri, İŞKUR bildirimleri, karakol bildirimi ile teşvik ve yasal yükümlülük bilgilendirmesinin yapılması
  • Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması
  • İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması
  • İş kazasının yasal bildirimlerinin yapılması
  • İş sağlığı ve güvenliği işlemlerinin yapılması
  • Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak
  • Mahkeme kararlarının yerine getirilmesi
  • Müşteri sözleşmelerinin ifasından doğan gereklilik nedeniyle özellikle;
  • Müşteri şikâyetlerinde müşterinin haklı/haksız ayrımının yapılması, müşteri memnuniyetinin arttırılması, müşteri ihtiyacının anlaşılması ve müşteri ile ilişkili süreçlerin iyileştirilmesinin sağlanması
  • Müşteriye hizmet kalitesinin değerlendirilmesi ve çalışanlara eğitim verilmesi
  • Şirketin idaresi, işin yürütülmesi, Şirket politikalarının uygulanması amacıyla, özellikle;
  • Şirket çalışanlarının performanslarının takibi ve raporlanması
  • Çalışanlara masraf ödemelerinin yapılması
  • Çalışanlarla iletişimin sağlanması
  • Kendisine araç tahsis edilen veya kullandırılan çalışanın araba kullanmaya ehil olduğunun, ehliyetini herhangi bir nedenle kaybetmediğinin teyit edilmesi
  • Çalışana araç tedarik edilmesi ve park yeri ayarlanmasının sağlanması
  • Kartvizit basımının sağlanması
  • Kargo ve kurye aracılığıyla gelen paketlerin ilgili çalışana iletilmesinin sağlanması
  • Çalışanların güvenliği ve işin yürütülmesi için Şirket aracı kullanımının takip edilmesi
  • Servis ve seyahat organizasyonunun sağlanması
  • Çalışanın iş e-postasının oluşturulması
  • Çalışanlarla ilgili araştırma projeleri yürütülmesi
  • Çalışanların işe giriş ve çıkışlarının kontrolünün sağlanması
  • Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması
  • Kutlama amaçlı iletişimin sağlanması
  • Eğitim planlamasının yapılması, eğitimlerin raporlaması, eğitim sertifikalarının hazırlanması, gerçekleşen eğitimlere katılan çalışanların takip edilebilmesi, çalışanların aldıkları eğitimler sonucu gelişim süreçlerinin takip edilebilmesi
  • Kalite kontrolün sağlanması
  • Acil durumlarda ilgili kişilerle iletişim sağlanması
  • Sistem odaları, yazılımlar ve kullanılan uygulamalar kapsamında veri güvenliğinin sağlanması
  • Şirket içerisinde güvenliğin sağlanması özellikle işyeri güvenliğinin sağlanması amacıyla,
  • Finans ve muhasebe işlerinin yürütülmesi,
  • Görevlendirme süreçlerinin yürütülmesi,
  • İletişim faaliyetlerinin yürütülmesi,
  • İş faaliyetlerinin yürütülmesi/denetimi,
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi(taşeron çalışanları için),
  • Lojistik faaliyetlerinin yürütülmesi,
  • Mal hizmet alım ve satım ile operasyon süreçlerinin yürütülmesi,
  • Sözleşme süreçlerinin yürütülmesi, taşınır mal ve kaynaklarının güvenliğinin temini,
  • Veri sorumlusu operasyonlarının güvenliğinin temini,
  • Yetkili kişi kurum ve kuruluşlara bilgi verilmesi,
  • Yönetim faaliyetlerinin yürütülmesi,
  • Pazarlama ve analiz faaliyetlerinin yürütülmesi
  • Fiziksel mekan güvenliğinin temini
  • Reklam/Kampanya/Promosyon faaliyetlerinin yürütülmesi

amaçlarıyla işlenebilmektedir.

 

3.      Kişisel Verilerin Aktarılma Amaçları

Kişisel verileriniz, insan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanması, ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesi, Şirketimizin ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin temini, Şirketimiz kurumsal işleyişinin sağlanması, Şirketimiz tarafından sunulan ürün ve hizmetlerden sizleri en iyi şekilde faydalandırmak için çalışmaların yapılması; Şirketimiz tarafından sunulan ürün ve hizmetlerin sizlerin talep, ihtiyaç ve isteklerinize göre özel hale getirilerek sizlere önerilmesi, veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması, Şirketimiz internet sitesinde sunulan hizmetlerin geliştirilmesi, Şirketimize talep ve şikâyetlerini iletenler ile iletişime geçilmesi, Şirketimiz internet sitesinde oluşan hataların giderilmesi amaçlarıyla sınırlı olarak Kanun’un 8. ve 9. maddelerinde belirtilen şartlar kapsamında aktarılır.

 

 

4.      Kişisel Verilerin Aktarılacağı Kişiler

Kişisel verileriniz Şirketimiz tarafından; iş ortaklarımıza, tedarikçilerimize, taşeronlarımıza, hissedar ve yetkililerimize, iştiraklerimize, işbirliği içinde bulunduğumuz Şirket ve kurum ile kuruluşlara, akdi veya kanuni yükümlülüklerimizi yerine getirmek amacıyla dışarıdan hizmet aldığımız şirketlere (güvenlik, sağlık, iş güvenliği, hukuk vb. konularda) ve yurtiçinde veya yurtdışında bulunan özel hukuk kişilerine aktarılabilir.

 

              V.          KİŞİSEL VERİLERİN İMHA POLİTİKASI VE SAKLAMA SÜRELERİ

1.      Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirketimiz, 5237 sayılı Türk Ceza Kanunu’nun 138. maddesinde, Kanun’un 7. maddesinde ve 28.10.2017 tarihli Resmi Gazete’de Yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) hükümlerinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hale getirir.

 

Öte yandan Yönetmelik’in ‘İlkeler’ başlıklı 7. Maddesi uyarınca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili yapılan bütün işlemler Şirketimiz tarafından kayıt altına alınır ve söz konusu kayıtlar diğer hukuki yükümlülüklerimiz saklı kalmak kaydıyla en az 3 yıl boyunca saklanır.

 

Kişisel verilerin silinmesi ile bu veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Buna göre veri sorumlusu olarak Şirketimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.

Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha edilmesini ifade etmektedir.

Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

 

2.      Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri

a.      Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel verileri silebilir veya yok edebilir.

 

Şirketimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

  • Fiziksel Olarak Yok Etme (Physical Destruction): Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak silinmesi/yok edilmesi sistemi uygulanmaktadır.
  • Yazılımdan Güvenli Olarak Silme (Secure Deletion Software): Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler ile dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcıların erişim haklarının kaldırılması yöntemleri kullanılır.
  • Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion) Şirketimiz bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

 

b.     Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirketimiz veri sorumlusu sıfatıyla, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirket olarak hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmekteyiz. Kanun’unun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamının dışında olup, ilgili kişinin açık rızası aranmayacaktır. Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır:

  • Maskeleme (Masking): Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006)
  • Toplulaştırma (Aggregation)/Kümülatif Data Yaratma: Verilerin kümülatif hale getirilerek toplam değerlerinin yansıtılmasını ifade eder. Örneğin, Şirkette kadın çalışan sayısının Z adet olması ve sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına ilişkin veriler anonim hâle getirilmiştir.
  • Veri Türetme (Data Derivation): Mevcuttaki detay verilerin daha genel karşılıklarıyla değiştirilmesidir. Örneğin, doğum tarihi bilgisinin Gün/Ay/Yıl detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek suretiyle anonimleştirme yapılmıştır.
  • Veri Karma (Data Shuffling, Permutation): Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Örneğin, ses kayıtlarının niteliği değiştirilerek seslerle ilgili kişinin ilişkilendirilemeyecek hale getirilmesi.

 

Bunlara ek olarak Şirketimiz tarafından Kurum tarafından belirtilen[1] ve aşağıda sayılan diğer anonimleştirme teknikleri kullanılabilecektir:

  • Değişkenleri Çıkartma
  • Kayıtları Çıkartma
  • Alt ve Üst Sınır Kodlama
  • Bölgesel Gizleme
  • Örnekleme
  • Mikro-Birleştirme
  • Veri Değiş-Tokuşu
  • Gürültü Ekleme
  • Tekrar Örnekleme
  • K-Anonimlik
  • L-Çeşitlilik
  • T-Yakınlık

 

3.      Kişisel Verilerin Saklanma ve Periyodik İmha Süreleri

Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin kanunlarda ve sair mevzuatta bir süre düzenlemesi bulunmuyorsa, kişisel veriler Şirketimizin o kişisel veriyi işlediği zaman yürütülen faaliyet kapsamında kişisel veriyi işleme amacının gerçekleşmesine kadar süre boyunca işlenmekte, imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha tarihi ve işleminde silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

Şirketimiz, işleme amacı sona ermiş kişisel verileri imha etmek amacıyla ……………………………………. tarihlerini periyodik imha tarihleri olarak belirlemiştir. Bu tarihlerde, işlenmesini gerektiren sebepleri ortadan kalkan kişisel veriler otomatik, yarı otomatik veya manuel olarak imha edilecektir.

 

            VI.          KİŞİSEL VERİLERİN İŞLENMESİ BAKIMINDAN AYDINLATMA VE İLGİLİ KİŞİNİN KANUNDA YER ALAN HAKLARI

1.      İlgili Kişinin Aydınlatılması

Şirketimiz, Kanun’unun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini –ilgileri kişileri- aydınlatmaktadır. Bu kapsamda yukarıda da ifade edildiği üzere varsa, Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.

2.      İlgili Kişinin Kanunda Yer Alan Hakları

Şirketimiz, Kanun’un 10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir. Şirketimiz, Kanun’un 11.maddesi uyarınca ilgili kişilere;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kanun’un 11. maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarının olduğunu açıklar.

 

Kanun’un uygulanmasıyla ilgili taleplerinizi Kişisel Verilerin Korunması Kanunu İlgili Kişi Başvuru Formu’nu kullanarak yazılı olarak veya güvenli elektronik imzalı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuru formunda yer alan adrese göndererek Şirketimize iletebilirsiniz. Şirketimiz, Kanun’un 13/2. maddesi gereğince anılan başvuru formunda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir.

 

Şirketimiz, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirketimiz gereğini yerine getirir. Başvurunun Şirketimizin hatasından kaynaklanması hâlinde alınan ücret ilgili kişiye iade edilir. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

 

3.      Politika ve Kanunun Tamamen veya Kısmen Uygulanmayacağı Haller

Bu Politika ve Kanun hükümleri Kanun’un 28/1. maddesi gereğince aşağıdaki hâllerde uygulanmayacaktır:

  • Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

 

Bu Politika’nın ve Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10., zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddeleri, Kanun’un 28/2. maddesi gereğince aşağıdaki hâllerde uygulanmayacaktır:

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 

         VII.          İLGİLİ KİŞİLERİN SINIFLANDIRILMASI VE KİŞİSEL VERİLER İLE EŞLEŞTİRİLMESİ

1.      İlgili Kişilerin Sınıflandırılması

Bu Politika ve Kanun’un koruması kapsamından, Kanun’un 3. maddesi gereğince sadece gerçek kişiler faydalanabilmektedir; bu kapsamda ilgili kişiler aşağıdaki şekilde gruplandırılmıştır:

Şirket Müşterisi: Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.

Potansiyel Müşteri: Ürün ve hizmetlerimizi kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir.

Şirket Çalışanı: Şirket bünyesinde çalışan gerçek kişilerdir.

Şirket Hissedarı:  Şirket hissedarı olan kişilerdir.

Şirket Yetkilisi: Şirket yönetim kurulu üyesi ve diğer yetkili kişilerdir.

Çalışan Adayı: Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişilerdir.

Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı: Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek kişiler ile Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerde (tedarikçi, hizmet sağlayıcı, taşeron, alt yüklenici gibi) çalışan, hissedarları ve yetkilileri dâhil olmak üzere, tüm gerçek kişilerdir.

Şirket Taşeronları: Şirketimizin koymuş olduğu kurallar ve yasal yükümlülükler çerçevesinde Şirketimizin güvenliğinin ve düzeninin sağlanmasında yardımcı olan taşeronların yetkili gerçek kişileri ve bu taşeronlar tarafından görevlendirilen gerçek kişi çalışanlardır.

Üçüncü Kişi: Şirket Çalışanları için hazırlanan Şirket Politikası kapsamına girmeyen ve bu Politika’da herhangi bir ilgili kişi kategorisine girmeyen diğer kişilerdir.

Ziyaretçiler: Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.

 

2.      Kişisel Veriler ile İlgili Kişilerin Eşleştirilmesi, Veri Sorumlusu ve Veri İşleyenler

Yukarıda tanım ve kapsamları verilen sınıflandırılmış kişisel verilerin, sınıflandırılmış kişisel veri sahipleri ile eşleştirmesi aşağıda sunulmaktadır.

 

Veri KategorileriVeri İçeriğiİlgili Kişi
Kimlik bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgilerŞirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Şirket Taşeronları; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.
İletişim bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail gibi bilgilerŞirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Şirket Taşeronları; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.
Müşteri bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde müşterinin yetkilisi veya çalışanı ilgili kişi hakkında elde edilen bilgiler (müşteri numarası vb)Potansiyel Müşteri, Müşteri, Ziyaretçi, Üçüncü Kişiler.
Müşteri işlem bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgilerPotansiyel Müşteri, Müşteri, Ziyaretçi, Üçüncü Kişiler.
Fiziksel mekân güvenlik bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler (giriş çıkış logları, ziyaret bilgileri vb)Şirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Şirket Taşeronları; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.
İşlem güvenliği bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari yükümlülüklerin gerçekleştirilmesinin temini amaçları için işlenen kişisel verileriniz (internet sitesi şifre ve parola bilgileri gibi)Şirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Şirket Taşeronları; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.
Risk yönetimi bilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel verilerŞirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Şirket Taşeronları; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.
Finansal bilgiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Müşterinin her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin Müşterinin yetkilisi veya çalışanının kişisel verileriŞirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Şirket Taşeronları; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.
Özlük BilgisiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veriŞirket İş Ortağı, İş Ortaklarının Yetkilisi, Çalışanı; Çalışan Adayı, Üçüncü Kişiler.
Özel Nitelikli Kişisel BilgiKimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini içerir bilgilerŞirket Hissedarı; Şirket Yetkilisi; Şirket Müşterisi; Grup Şirket Müşterisi; Potansiyel Müşteri; Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı; Çalışan Adayı; Ziyaretçi, Üçüncü Kişiler.

 

[1]http://www.kvkk.gov.tr/yayinlar/Kisisel_Verilerin_Silinmesi_Yok_Edilmesi_veya_Ananonim_Hale_Getirilmesi.pdf s.16 vd.