KVKK AYDINLATMA METNİ

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU

KVKK UYARINCA

PELİN TEMELLİ EĞİTİM

DANIŞMANLIK ORGANİZASYON

LİMİTED ŞİRKETİ KİŞİSEL VERİ

İŞLEME, SAKLAMA VE İMHA POLİTİKASI

HAZIRLIYAN

BvT Hukuk ve Danışmanlık

İÇİNDEKİLER

1.GİRİŞ 3

2.AMAÇ 3

3. KAPSAM 3

4.HEDEF 4

5.KISALTMA VE TANIMLAR 4

6.SORUMLULUK VE GÖREV DAĞILIMI 6

7.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR 6

8.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER

7

8.1.Gizlilik İlkesi 7

8.2.Temel İlkeler 7

9.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 8

10.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

9

11.KİŞİSEL VERİLERİN İŞLENMESİ VE TOPLANMASI VE HUKUKİ SEBEPLERİ

9

11.1.Kişisel Verilerin İşlenmesi 10

12.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR

13

12.1.Kişisel Verilerin Saklanması 13

12.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler 13

12.3.Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları 14

3

12.4.Kişisel Verilerin İmhasını Gerektiren Sebepler 15

13. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKKİN ESASLAR

16

14.Kişisel Verileri İşleme, Saklama Ve İmhasına İlişkin Teknik Ve İdari Tedbirler

16

14.1 Teknik Tedbirler 17

14.2 İdari Tedbirler 17

15.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR

18

15.1.Kişisel Verilerin Silinmesi 18

15.2.Kişisel Verilerin Yok Edilmesi 18

15.3.Kişisel Verilerin Anonim Hale Getirilmesi 18

16.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

19

17.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

19

18.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )

19

18.1.Kişisel Veri Sahibinin Başvuru Hakkı 20

18.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları

20

18.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı 20

19. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

21

20.KİŞİSEL VERİLERİN PERİYODİK İMHA VE DENETİM SÜRESİ

21

21.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ

22

22.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ

22

4

23.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

22

1.GİRİŞ

Kişisel Verileri Saklama, İşleme ve İmha Politikası, Pelin Temelli Eğitim Danışmanlık

Organizasyon Limited Şirketi tarafından (“Şirket”) gerçekleştirilmekte olan işleme,

saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları

belirlemek amacıyla hazırlanmıştır. Şirket; Stratejik Planda belirlenen misyon, vizyon

ve temel ilkeler doğrultusunda; Şirket çalışanları, hizmet alan müşteriler, hizmet

sağlayıcıları, hizmet sağlayıcı çalışanları, iş yeri hekimi, iş güvenliği uzmanı,

ziyaretçiler, iş ortakları ve diğer üçüncü kişiler, irtibatlı olduğumuz kamu kurum ve

kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri

kapsayacak şekilde tüm şahıslara ait her türlü kişisel verilerin, 6698 sayılı Kişisel

Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak işlenmesine, korunmasına

büyük önem vermekteyiz. Bu amaçla, şirketimiz yasal düzenleme ve alınan kararlar

uyarınca, gerekli her türlü idari ve teknik tedbirleri almaktadır. İşbu Kişisel Verileri

Koruma, İşleme, Saklama ve İmha Politikası ve ekleri; veri sorumlusu sıfatıyla “Pelin

Temelli Eğitim Danışmanlık Organizasyon Ltd. Şti” tarafından hazırlanmıştır.

2.AMAÇ

Şirketimiz tarafından hazırlanmış olan bu politika metni ile Kişisel Verileri Koruma

Kanununa uyum sürecinin tamamlanması bakımından aşağıda yazılı temel ilkeler

doğrultusunda; yukarıda belirtilen ilgili kişilere ait kişisel verilerin; Kişisel Verileri

Koruma Kurumu’nun yayınladığı kararlar, belirlediği ilkeler ile T.C. Anayasası,

5

Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel

Sağlık Verileri Hakkında Yönetmelik ve ilgili mevzuata uygun olarak işlenmesi ve ilgili

kişilerin haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin

saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak

gerçekleştirilmektedir. Şirketimiz tarafından işlenen kişisel veriler, verilen hizmetlere

ve işleme amacına bağlı olarak değişebilmekle birlikte otomatik ya da otomatik

olmayan yöntemlerle toplanmaktadır.

3.KAPSAM

Şirket çalışanları, hizmet alan müşteriler, hizmet sağlayıcıları, hizmet sağlayıcı

çalışanları, iş yeri hekimi, iş güvenliği uzmanı, ziyaretçiler ve diğer üçüncü kişiler,

irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin

çalışanları ve ilgili üçüncü kişileri kapsayacak kişisel veriler ; hazırlanmış olan bu

politika kapsamında olup, şirketimiz nezdinde tamamen veya kısmen otomatik olan

ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan

yollarla işlenen, kişisel verilerin bulunduğu her türlü kişisel verilerin işlenmesine

yönelik şirket faaliyetlerde işbu politika uygulanmaktadır.

4. HEDEF

Kişisel verilerin işlenme, saklanma ve imha Politikası ile, Pelin Temelli Eğitim

Danışmanlık Organizasyon Limited Şirketi bünyesinde kişisel verilerin hukuka uygun

olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi

doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için

gereken düzenin kurulması hedeflenmektedir. Bu kapsamda Pelin Temelli Eğitim

Danışmanlık Organizasyon Limited Şirketi KVK Politikası, KVK Kanunu ve ilgili sair

mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme

amacı taşımaktadır.

5.KISALTMA VE TANIMLAR

Şirket : Pelin Temelli Eğitim Danışmanlık Organizasyon Limited Şirketi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle

açıklanan rıza.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel

kişi kategorisi

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir

surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale

getirilmesi

Çalışan: Şirketimiz çalışanlarını kapsamaktadır.

6

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,

okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı,

görsel vb. diğer ortamlar

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden

sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu

içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel

verileri işleyen kişilerdir.

İlgili Kişi/Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt

sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin

bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal

sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya

da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla

elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden

düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,

sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde

gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle

eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde

erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde

erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Veri İrtibat Kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri

sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri

sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil

düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi

sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kurul: Kişisel Verileri Koruma Kurulu Kurum: Kişisel Verileri Koruma Kurumu

7

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,

dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika

üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri

ile biyometrik ve genetik verileri

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının

ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen

ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale

getirme işlemi.

Politika: Kişisel Veri İşleme, Saklama ve İmha Genel Politikasını

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına

kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği

kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri

kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin

Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

6.SORUMLULUK VE GÖREV DAĞILIMI

6698 sayılı KVK Kanunu ve ilgili mevzuat uyarınca, kişisel verilerin korunması

mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında, şirket

bünyesinde gerekli koordinasyonu sağlamak amacıyla şirket Kişisel Verileri Koruma

Komitesi belirlenmiş, görev ve sorumlulukları tanımlanarak gerekli kararlar alınarak,

ilgililere tebliğ edilmiştir. İşbu politika kapsamında alınan teknik ve idari tedbirlerin

gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve farkındalığının

arttırılması, denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin,

erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması

amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik

teknik ve idari tedbirler Kişisel Verileri Koruma Komitesi ve sorumlu birimlerce yerine

getirilmektedir.

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta

olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve

farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka

aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak

erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması

amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik

ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

7.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR

8

Şirketimizce tutulan kişisel veriler, kişisel bilgisayarlar, telefon, tablet gibi mobil

cihazlar, sunucular-server, donanım, yazılım programları, optik diskler, çıkarılabilir

bellekler, internet sitesinde kullanılan çerezler, ve kağıt olarak tutulan kişisel veriler,

sunulan hizmet bilgilerinin yer aldığı formlar, özlük dosyaları, iş başvuru formları,

şirket ile üçüncü kişiler arasında yapılan sözleşmeler, manuel veri kayıt sistemleri,

yazılı, basılı, görsel ortamlarda tutulan kişisel veriler, birim dolapları, arşiv odaları gibi

elektronik olmayan fiziksel ortamlarda kaydedilmektedir.

Kişisel veriler, 6698 sayılı Kişisel Verileri Koruma Kanunu ve uluslararası veri

güvenliği prensiplerine uygun olarak güvenli bir şekilde saklanmaktadır. Kişisel

verileriniz, tamamen veya kısmen, otomatik olarak veyahut herhangi bir veri kayıt

sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilerek,

kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek, kişisel verileriniz

üzerinde gerçekleştirilen her türlü işleme konu olarak, şirketimiz tarafından

işlenmektedir

8.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER

8.1.Gizlilik İlkesi

İşbu politikada açıklandığı üzere, şirketimiz ile irtibatlı kişisel veri sahibi olan ilgili tüm

kişilerin verileri gizlidir. Bu politika ve alınan tedbirler kapsamda, kanunda belirtilen

haller dışında, hiç kimse başkaca hiçbir amaç için kişilerin verilerini başka amaçla

kullanamaz, çoğaltamaz, kopyalayamaz, başkalarına aktaramaz ve politikalarla

belirlenen amaçlar dışında kullanılamaz., Sosyal Sigortalar Ve Genel Sağlık Sigortası

Kanunu, Türk Ticaret Kanunu, İş Kanunu, İş Sağlığı Ve Güvenliği Kanunu, Kişisel

Verilerin Korunması Kanunu İle Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim

Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuat uyarınca gizlilik ilkesine uygun

uygun olarak işlenmektedir.

8.2.Temel İlkeler

Şirketimiz tarafından işlenmekte olan Kişisel Veriler, 6698 sayılı KVK Kanunu’nun 4.

maddesinde belirtilen ilkelere uygun işlenmektedir. Şirket, Kişisel Verilerin işlenmesi,

korunması, silinmesi ve imha süreçlerinde aşağıda yazılı ilkelere göre, kanunda

öngörülen usul ve esaslara uygun olarak işlenmektedir:

▪ Hukuka ve dürüstlük kurallarına uygun olması.

Şirketimiz yasal dayanağı olan işleme faaliyeti kapsamında veri işlerken, ilgili kişinin

çıkarlarını dikkate almaktadır. Buna binaen dayanak yapılan hukuk kuralının amacı

esas alınarak şirketimiz tarafından en az miktarda veri toplanmaktadır. Hangi kişisel

verinin ne oranda gerektiği somut olaya göre belirlenerek şirketimiz tarafından asgari

miktarda veri toplanmaktadır. Şirketimiz, kişisel verilerin işlenmesinde orantılılık

gerekliliklerini dikkate almaktadır, kişisel verileri amacın dışında kullanmamaktadır.

9

▪ Doğru ve gerektiğinde güncel olması.

Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi yasal menfaatlerini dikkate

alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlayacak gerekli önlemleri

almaktadır. Kişisel verilerin yanlış işlendiği anlaşıldığı anda gerekli tedbirler alınmakta

ve düzeltilmektedir. Ancak verinin arşiv vs. herhangi bir meşru amaçla tutulması

yönünde şirketimiz tarafından meşru ve makul gerekçeler varsa verinin yanlış olduğu

belirtilerek tutulmaya devam edilebilmektedir.

▪ Belirli, açık ve meşru amaçlar için işlenmesi.

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin

olarak belirlemektedir. Kurumumuz, kişisel verileri sunmakta olduğu hizmetle

bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Kurumumuz tarafından kişisel

verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan

bildirilmektedir.

▪ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.

Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir

biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç

duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin sonradan ortaya

çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti

yürütülmemektedir. Toplanan kişisel verilerle alakalı veri işleme amacı ile

bağdaşmayan yeni bir işleme amacı ortaya çıkması halinde verilerin ilk defa

toplanması halinde gerekli olan şartlar yeniden sağlanmaktadır.

▪ Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza

edilmesi.

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için

gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili

mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit

etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre

belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar

saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan

kalkması halinde kişisel veriler Kurumumuz tarafından silinmekte, yok edilmekte veya

anonim hale getirilmektedir.

9.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirketimiz tarafından işlenen kişisel veriler, 6698 sayılı Kanunun 5. Ve 6. Maddesine

uygun olarak işlenmektedir. Kural olarak kişisel veriler ilgili kişinin açık rızası

10

olmaksızın işlenemez. Ancak, aşağıda belirtmiş olduğumuz ilkelerden birinin varlığı

hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

▪ Kanunlarda açıkça öngörülmesi. Kanunilik ilkesi

▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına

hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya

beden bütünlüğünün korunması için zorunlu olması. Fiili imkânsızlık.

▪ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,

sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Sözleşmenin

ifası.

▪ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

Hukuki yükümlülük.

▪ İlgili kişinin kendisi tarafından alenileştirilmiş olması. Aleniyet.

▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

Zorunluluk.

▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri

sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Meşru

menfaat.

10.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

Şirketimiz tarafından işlenen Özel Nitelikli Kişisel Veriler, 6698 sayılı Kanunun 6.

maddesine uygun olarak işlenmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,

felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da

sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili

verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel

verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu kanun maddesi ile

düzenlenmiştir. Buna göre, ilgili kişinin açık rızası olmaksızın Özel Nitelikli Kişisel

Veriler işlenemez. Ancak, kanun maddesinde yazılı olduğu üzere; Kanunun 6/1.

fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda

öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel

hayata ilişkin kişisel veriler ise ancak;

▪ Kamu sağlığının korunması, ▪ Koruyucu hekimlik, ▪ Tıbbî teşhis, tedavi ve bakım

hizmetlerinin yürütülmesi, ▪ Sağlık hizmetleri ile finansmanının planlanması ve

yönetimi amacıyla, ▪ Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili

kurum ve kuruluşlar tarafından İlgilinin açık rızası aranmaksızın işlenebilir.

Şirketimiz Özel nitelikli kişisel verilerin işlenmesinde, 6698 sayılı Kişisel Verilerin

Korunması Kanunu, ve ilgili yasal mevzuata uygun olarak ve ayrıca Kişisel Verileri

Koruma Kurulu tarafından belirlenen yeterli önlemler alınarak işlenmektedir.

11

11.KİŞİSEL VERİLERİN TOPLANMASI VE HUKUKİ SEBEPLERİ:

Kişisel verileriniz; sunduğumuz hizmetler, yukarıda belirtilen kişisel veri işleme

amaçları doğrultusunda; elektronik posta kanallarıyla, , matbu formların

düzenlenmesi, sözleşmeden kaynaklanan teslim, hizmet ve sair yükümlülüklerin

yerine getirilmesi, şirket hizmet işleyici, özlük dosyalarının oluşturulması,

sözleşmelerin düzenlenmesi, ifası, muhasebe, finans, mali, hukuki işlem bilgilerinin

işlenmesi suretiyle, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt

sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verileriniz

işlenmekte ve toplanmaktadır. Kişisel verileriniz ve özel nitelikli kişisel verileriniz;

şirketimizin tabi olduğu yasal düzenlemelere uygun olarak, ilgili kişinin açık rızasına

dayalı olarak işlenmektedir. Ayrıca, açık rıza aranmaksızın aşağıda yazılı hukuki

sebeplere bağlı olarak kişisel verileriniz işlenmektedir. Buna göre; kişisel verileriniz,

▪ Kanunlarda açıkça öngörülmesi sebebiyle,

▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına

hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya

beden bütünlüğünün korunması için zorunlu olması.

▪ Şirketimiz ile gerçek ve tüzel kişiler arasındaki sözleşmelerin kurulması veya

ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel

verilerin işlenmesinin gerekli olması,

▪ Kişisel verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması,

▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri

sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle,

Kişisel Verilerin Korunması Kanununun 5. ve 6. maddelerine, Aydınlatma

Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin

5/1-h. maddesine uygun olarak belirtilen amaçlara sınırlı olarak işlenmekte,

toplanmakta ve aktarılmaktadır. Kişisel verileriniz şirket faaliyetleri kapsamında ilgili

mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır.

11.1.Kişisel Verilerin İşlenmesi

▪Kimlik Bilgileri (Ad-soyad, doğum tarihi, doğduğu ülke, doğduğu şehir, cinsiyet,

medeni durumu, TC kimlik kartı bilgileri, TC kimlik bilgileri, SGK sicil numarası , baba

adı, anne adı, nüfusa kayıtlı olduğu il , vergi kimlik no ve sizi tanımlayabileceğimiz

diğer kimlik verileriniz)

▪İletişim bilgileri (Telefon numaralarınız, faks numaraları, iletişim adresi, elektronik

posta adresiniz , ev adresi, işyeri adresi ve sair iletişim verileriniz, tarafımıza iletişime

geçtiğinizde elde edilen sair kişisel verileriniz.)

12

▪ Özlük Bilgileri (Çalışanlar bakımından doldurulan sözleşmeler üzerindeki kişisel

bilgiler, eğitim, diploma bilgileri, sertifika bilgisi, sosyal güvenlik sicil numarası bilgisi,

SGK işe giriş, çıkış bildirgesi, bakmakla yükümlü olduğu kişiler, eş, çocuk yakınlık

bilgisi, aile bireylerinin nüfus kayıt bilgileri, çalışma bilgileri, bordro bilgileri, disiplin

soruşturması bilgileri, hizmet dökümü, özgeçmiş bilgileri, izin bilgileri, personel

performans değerlendirme raporları, meslek ve iş kazası bilgileri, banka hesap

bilgileri, IBAN numarası bilgisi iş sağlığı ve güvenliği kapsamında alınan kişisel

bilgiler, askerlik bilgisi, personel devam kontrol sistemi, , iş başvuru formunda yer

alan bilgiler,)

▪ Finans Bilgileri (Faturalandırma ve ödeme bilgileri, banka hesap numarası, IBAN

numarası, kredi kartı bilgileri, SGK ve yetkili kurum ve kuruluşlara yapılacak

bildirimler kapsamında alınan finansal bilgiler, maaş bordrosu, masraf avans bilgileri,

vergi kimlik numarası, vergi dairesi bilgisi, fatura, üçüncü kişiler ile yapılan sözleşme

eklerinde yer alan bilgiler)

▪ Hukuki İşlem Bilgileri (İlgili kişiler ile olan hukuki irtibat ve sunulan hizmetler, hukuki

uyuşmazlıklar kapsamında mahkemeler, savcılıklar, arabulucular, hakem heyetleri,

adli makamlarla yapılan yazışmalardaki kişisel bilgiler, hukuki uyuşmazlık ve sair

durumlarda tutulan tutanaklarda, formlarda yer alan kişisel bilgiler,)

▪ Mesleki deneyim bilgileri (Eğitim durum bilgisi, okul, diploma bilgileri, çalışma

hayatı, staj, seminer, meslek içi eğitim bilgileri, sertifikalar, bildirilen formlardaki diğer

bilgiler, uzmanlık, unvan, görev bilgileri),

▪ Görsel ve İşitsel Kayıtlar (Şirket faaliyetleri kapsamında düzenlenen sağlık raporları,

belgeler üzerinde yer alan fotoğraflarınız, iş başvuru formları, elektronik ve fiziki

ortamlarda doldurulan, basılı formlar, evrak ve resmi kimlik belgeleriniz üzerinde yer

alan fotoğraf bilgisi, videolar/kamera kayıtlarındaki görüntüleriniz, aynı kayıtlardaki

ses kayıt verileriniz)

▪Fiziksel Mekan Güvenliği Bilgileri (Görüntü ve ses kaydı alan kamera kayıt

bilgileriniz, ,tutulan formlardaki bilgiler, araç plaka bilgileri)

▪ Şirket faaliyetleri kapsamında, yapılan iş sözleşmesi ve şirketin meşru menfaatleri

uyarınca, tanıtım, reklam ve bilgilendirme amaçlı olarak, çalışanlara ait mesleki

deneyim, bilgilendirme, özgeçmiş ve fotoğraf bilgisi,

▪ Talep ve Şikayet Bilgisi (İlgili kişilerin, elektronik ve fiziki ortamlardan toplanan

bilgiler ve kayıtlar, internet ve online sistem üzerinden gelen talep ve şikayetleri ile

ilgili değerlendirme, yönetim sürecine dair bilgiler)

▪Ceza Mahkûmiyeti Ve Güvenlik Tedbirlerine dair bilgiler (Sabıka kaydı, hükümlülük,

mahkumiyet bilgisi, adli durum bilgileri),

▪ Sağlık Bilgileri (İş göremezlik, istirahat raporu, muayene, hasta tanı, teşhis doktor

analiz ve yorumları, sağlık raporları, iş başvuru formunda yazılı sağlık durum bilgileri,

çalışanlar için sağlık raporları, kişisel sağlık ve fiziksel engellilik durum bilgileri, sağlık

kurulu raporları, her türlü kişisel sağlık verileri)

13

▪ Diğer; İmza Verisi

olmak üzere veri sorumlusu olan şirketimiz tarafından, Anayasa’nın 20.

maddesine ve Kişisel Verileri Koruma Kanununun 4. Maddesi, Kişisel Sağlık Verileri

Hakkında Yönetmelik hükümlerine uygun olarak, yukarıda yazılı amaç ve hukuki

sebeplere istinaden kişisel verileriniz işlenmekte ve korunmaktadır.

Hizmet alan Müşterilere veya Müşteri Çalışanlarına Ait Kişisel Veriler

Bakımından

Şirket işlemlerinin yapılması ve Şirket tarafından sunulan hizmetlere ilişkin yasal

bildirimlerin gerçekleştirilmesi ile Şirket içi süreçlerin yürütülebilmesi amaçlarıyla;

müşterilerin veya müşteri çalışanlarının ad, soyad, TC kimlik numarası, imza, kişiyi

tanımaya ve kimliğini teşhis etmeye yönelik sair kişisel verileri,

Müşteri veya müşteri çalışanlarına ilişkin olarak yetkili kurum ve kuruluşlara yapılması

gereken kanuni bildirimlerin yerine getirilmesi amacıyla kullanılan kişisel veriler,

İletişimin sağlanabilmesi ve ilgili iş süreçlerin yürütülmesi amacıyla telefon, adres, e-

posta adresi bilgileri, vergi dairesi, vergi kimlik numarası bilgileri,

Faturalama işlemlerinin yapılabilmesi amacıyla banka bilgileri , sair finansal verileri ,

gerek şirket içi işlemlerin gerekse sözleşmesel ilişkiler ve kanuni yükümlülükler

çerçevesinde sigorta şirketleri, Sosyal Güvenlik Kurumu’na yapılacak bildirimlerin

yerine getirilmesi,

İlgili kişiler tarafında herhangi bir şikayet, bildirim veya soru yöneltilmesi halinde

bunların takibinin sağlanabilmesi ve gerekli süreçlerin yürütülebilmesi için yazılı yolla

iletişime geçilmesi halinde ilgili fiziki veya elektronik yazılı evraklar,

şirket tarafından işlenebilecektir.

 

Ziyaretçilere Ait Kişisel Veriler Bakımından

 

Şirket içi düzen ve güvenliğin sağlanabilmesi amacıyla gerçekleştirilen kamera ile

görüntüleme ve kayıt faaliyetleri çerçevesinde şirketi ziyaret eden kişilerin görüntüleri

ve belli alanlarda ses kayıtları,

Çalışanlara Ait Kişisel Veriler Bakımından

Şirket içi düzen ve güvenliğin sağlanabilmesi amacıyla kamera ile görüntüleme kaydı

ve belli alanlarda ses kaydı yapılması,

Şirket içerisinde iş akışları kapsamında ve ayrıca performans değerlendirmelerinin

yapılabilmesi amacıyla ilgili programların kullanılması, işe giriş ve çıkış saatlerinin

kayıt altına alınması,

14

İş sağlığı ve güvenliğine ilişkin mevzuat gereği sağlık taramaları yapılması, iş kazası

halinde kanuni bildirimlerin yerine getirilmesi ile kamu sağlığının korunması amacıyla

gerekli tetkik ve takiplerin yapılabilmesi,

İlgili mevzuat ve iş akdi gereği doğmuş olan borç ve yükümlülüklerin yerine

getirilebilmesi,

İlgili mevzuat kapsamında kamu kurum ve kuruluşlarına ve yetkili tüm kamu/özel

tüzel kişilerine bildirimlerin yapılabilmesi ile denetimlerde gerekli belgelerin

sağlanabilmesi amaç ve yöntemleri doğrultusunda kimlik bilgisi, özlük bilgisi, banka

hesap bilgisi, iletişim bilgisi, irtibat bilgisi, sağlık bilgisi ve sair kişisel verileriniz

işlenebilmektedir.

 

12.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR

Şirketimiz tarafından oluşturulan bu politika ile çalışanlarımız, müşteriler, tedarikçiler,

hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket ortakları, işyeri

hekimleri, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin

çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; ilgili mevzuata, usul ve yasaya

uygun olarak saklanır ve imha edilir. Saklama ve imhaya ilişkin ayrıntılı açıklamalar

aşağıda belirlenmiştir.

12.1.Kişisel Verilerin Saklanması

6698 Sayılı Yasanın 3.maddesinde kişisel verilerin işlenmesi tanımlanmış, 4. madde

işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili

mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza

edilmesi gerektiği düzenlenmiş olup, 6698 sayılı yasanın 5. ve 6. maddelerde kişisel

verilerin işleme şartları sayılmıştır. Buna ilişkin ayrıntılı açıklamalar yukarıda işbu

politika metninde yazılı olup, şirket faaliyetleri kapsamında kişisel veriler, ilgili

mevzuatlarda öngörülen veya işleme amaçlarımıza uygun olarak gerekli süre kadar

idari ve teknik tedbirler alınmak suretiyle saklanmaktadır. İlgili kanun hükümlerine

uygun olarak işlenmiş olmasına rağmen, saklama süresi dolan, işlenmesini gerektiren

sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi

üzerine mevzuata uygun olarak kişisel veriler silinir, yok edilir veya imha edilir.

Yapılan işlemler, Kişisel Sağlık Verileri Hakkında Yönetmelik ile Kişisel Verilerin

Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili

yasal düzenlemelerde belirtilen sürelere, usul ve esaslara uygun olarak yerine

getirilmektedir. Kişisel verilerin silinmesi, imha edilmesine dair tüm işlemler kayıt

altına alınarak, gerekli yasal yükümlülüklere uygun olarak saklanır.

12.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler

15

İşbu politika ile şirketimiz faaliyetleri kapsamında işlenen kişisel veriler, ilgili

mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır. Yukarıda sayılan

ve şirket faaliyetleri kapsamında kişilerin tabi oldukları kanunlarda öngörülen süreler

ve ikincil düzenlemeler çerçevesinde yazılı saklama süreleri ve kanunlarda öngörülen

suçların tabi olduğu zamanaşımı süreleri kadar kişisel veriler saklanmaktadır.

Şirketimizin faaliyetleri kapsamında tabi olduğu yasal mevzuatta öngörülen

zamanaşımı süreleri ile şirketin hukuki irtibat içerisinde olduğu üçüncü kişiler ile olan

veya oluşabilecek uyuşmazlıklar, şirket kurumsal hafızası ve ticari iş ve faaliyetleri

dikkate alınarak, kanunlarda öngörülen süreler dışında, şirketin meşru menfaati ve

ilgili veri sahipleri ile yapmış olduğu veya yapacağı sözleşmelerin kurulması ve ifa

süreçleri dikkate alınarak, kişisel verilerin saklama ve imha süreleri kurumsal karar

olarak işbu politika ile belirlenmiştir.

12.3.Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları

Şirket, işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda, şirket

faaliyetleri ile sınırlı olmak üzere ilgili mevzuata uygun olarak saklamaktadır. Buna

göre; kişisel verileri saklamayı gerektiren işleme amaçları aşağıda maddeler halinde

belirlenmiştir.

▪ Tabi olduğumuz ilgili mevzuat uyarınca edindiğimiz kişisel verileri Sosyal Güvenlik

Kurumu ve ilgili diğer kamu kurum ve kuruluşları ile paylaşmak, kurumların taleplerine

yanıt vermek, ilgili kamu kurum ve kuruluşlarına gerekli bildirimlerde bulunmak, yasal

yükümlülükleri yerine getirmek,

▪ Sunmuş olduğumuz hizmet ve şirket faaliyetleri kapsamında mevzuat gereği

saklanması gereken verilerin muhafaza edilmesini sağlamak,

▪ Kimliğinizi teyit etmek, sunulan hizmet kapsamında anlaşmalı kurumlarla hukuki

irtibatınızın teyit edilmesi, faturalandırma ve finansal mutabakatın sağlanması, ilgili

kurum ve kuruluşlara mevzuattan kaynaklanan bildirimlerde bulunmak,

▪ Talep ve şikayet süreçlerinin takibi, sunulan hizmetlerin gereği olan inceleme ve

değerlendirmelerin yapılması,

▪ Şirket hizmetlerini geliştirmek, kurumsal gelişim faaliyetlerinin sürdürülmesi,

pazarlama faaliyetlerinin sürdürülmesi, şirketin finans ve muhasebe, idari, hukuki,

teknik iş süreçlerini sürdürmek, risk yönetimi ve kalite geliştirme süreçlerinin yerine

getirilmesi,

▪ İnsan kaynakları süreçlerinin planlanması ve icra edilmesi, çalışma başvuru

süreçlerinin yerine getirilmesi, çalışanlar bakımından özlük dosyalarının

oluşturulması, mali yükümlülüklerin yerine getirilmesi, şirket ücret politikasının

belirlenmesi,

▪ Şirketimiz, müşteriler, müşteri çalışanları, tedarikçiler, hizmet sağlayıcıları,

çalışanlar ve hukuki ilişki içinde bulunduğu danışmanlar, ilgili kurum ve kuruluşlar,

16

üçüncü kişiler arasında yapılan veya yapılacak sözleşmelerin kurulması ve ifasının

sağlanması,

▪ Şirketin üçüncü kişilerle olan hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,

▪ Şirketimiz ile ilgili kişi ve kuruluşlar arasındaki iletişimi sağlamak, fiziksel formları

doldurmanız için gerekli süreçlerin sürdürülmesi, ilgili kişilerin işlem güvenliğinin

sağlanması,

▪ Düzenleyici ve denetleyici resmi kurumlara, özel hukuk tüzel kişilerine gerekli

bilgilerin sağlanması,

▪ Sunulan hizmetler ile ilgili faturalandırma, ödeme ve teslim işlemlerinin yapılmasını

sağlamak;

▪ Kamera kayıt sistemi vasıtasıyla, hizmet sağlanan müşterilerin, ziyaretçilerin,

çalışanların ve ilgili üçüncü kişilerin güvenliğinin takibi, hukuki, teknik ve ticari iş

güvenliğinin sağlanması, şirket bina ve eklentileri ile çevresinin fiziksel güvenliğinin

sağlanması,

▪ Çalışanlar ile yapılan iş sözleşmesi, şirket menfaati kapsamında, personel devam

kontrol sistemi vasıtasıyla performans değerlendirme, işe devam ve kontrolün

sağlanması, şirket bina ve eklentilerinin giriş, çıkışlarının kontrolünün sağlanması,

▪ Veri güvenliğine ilişkin önlemler kapsamında gerekli tüm teknik ve idari tedbirlerin

alınması,

▪ Yargı organlarının ve/veya idari makamların istediği bilgi ve belge taleplerinin yerine

getirilmesi,

▪ Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,

▪ Finans Ve Muhasebe İşlerinin Yürütülmesi,

▪ Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,

▪ Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,

Amaçlarıyla, kişisel verileriniz Kanun’un 5. ve 6. maddelerine uygun olarak belirlenen

şartlar ve amaçlar doğrultusunda işlenmektedir. Kişisel veriler, şirketimizin faaliyetleri

dışında başka bir amaçla kullanılmamaktadır.

12.4.Kişisel Verilerin İmhasını Gerektiren Sebepler

Kişisel veriler; aşağıda belirtilen sebeplerle ilgili kişinin talebi üzerine, başvuru

formunu doldurmak suretiyle, şirket tarafından politika, yasa ve yönetmelikte

öngörülen usul ve esaslara uygun olarak silinir, yok edilir veya anonim hale getirilir.

Buna göre;

17

▪ Şirket tarafından kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın

ortadan kalkması halinde.

▪ Kişisel verilerin işlenmesine esas olan ilgili mevzuat hükümlerinin değiştirilmesi

veya yürürlükten kalkması.

▪ Şirket tarafından kişisel verileri işlemenin sadece açık rıza şartına bağlı olarak

yapıldığı hallerde, ilgili kişinin açık rızasını geri alması,

▪ 6698 sayılı KVK Kanununun 11. maddesi uyarınca ilgili kişinin şirkete başvuru

hakları kapsamında kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı

başvurunun KVK Kurumunca kabul edilmesi,

▪ KVK Kurumunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya

anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği

cevabı yetersiz bulması veya 6698 sayılı Kanunda öngörülen süre içinde cevap

vermemesi hallerinde; KVK Kuruluna şikâyette bulunması ve bu talebin KVK

Kurulunca uygun bulunması halinde.

▪ İlgili yasal düzenleme uyarınca, kişisel verilerin saklanmasını gerektiren azami

sürenin geçmiş olması ve kişisel verileri saklamayı gerektirecek herhangi bir sebebin

bulunmaması.

13. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN ESASLAR

Şirketimiz tarafından ilgili kişilere ait kişisel veriler 6698 sayılı kişisel verilerin

korunması kanunu “Veri aktarılması” başlıklı 8.maddesine uygun olarak

işlenmektedir. Buna göre 3. Kişilere aktarılacak kişisel veriler için 6698 sayılı

Kanunun 5. Ve 6. Maddesindeki işleme şartlarının bulunması durumunda 3. Kişilere

aktarım yapılmaktadır. Kanunun 5. Ve 6. Maddesindeki işleme şartlarının varlığının

bulunmaması durumunda ise ilgili kişilerin açık rızası alınarak 3. Kişilere veri aktarımı

yapılmakladır.

Kanunun öngördüğü şartlarda kişisel veri aktarımı sayılması için şirketimiz tarafından

başkaca bir şirkete veyahut şirket bünyesinde çalışmayan 3. Kişilere veri aktarımı

yapılmış olması gerekmektedir. Şirketimiz tarafından yurtdışı tabanlı (Gmail,yahoo

vs..) gibi elektronik posta adreslerinden veri aktarımı yapılmamaktadır. Kişisel veri

aktarımı yapılmasını gerektirecek durumların ortaya çıkması durumunda yerli veri

tabanlı elektronik posta adresi kullanılmaktadır. Şirketimiz tarafından dosyaların

tutulduğu, saklandığı, yedeklendiği programlar yerli veri tabanlı sistemler olup

şirketimiz tarafından yurtdışına veri aktarımı sağlanmamasına azami özen

gösterilmektedir. Şirketimiz tarafından yurtdışına veri aktarımı olmamaktadır.

14.KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHASINA İLİŞKİN TEKNİK VE

İDARİ TEDBİRLER

18

Kişisel verilerin işlenmesinde Kanunun 4.maddesinde yer alan genel ilkeler başta

olmak üzere, kanunda yer alan tüm esaslara riayet edilmektedir. Şirket çalışanları

tarafından; banko, masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını

önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri

duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte

gerekli fiziki, teknik ve idari tedbirler alınmaktadır.

Bu politika ile belirlenen düzenlemeler kapsamında, kişisel verilerin güvenli ve

mevzuata uygun bir şekilde saklanması, hukuka aykırı olarak işlenmesinin,

erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi ile kişisel verilerin hukuka

uygun olarak imha edilmesi için, 6698 sayılı KVK Yasasının 6. maddesinde

düzenlenen Özel Nitelikli Kişisel Verilerin 6/4. maddesine göre “Özel nitelikli kişisel

verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması

şarttır.” hükmü ile aynı yasanın 12. maddesinde belirtilen Kişisel Verilerin güvenliğini

sağlamak amacıyla Kişisel Verileri Koruma Kurulu tarafından belirlenen ve ilan edilen

gerekli yeterli önlemler muvacehesinde veri sorumlusu olarak şirket tarafından

aşağıda yazılı teknik ve idari tedbirler alınmaktadır.

14.1.Teknik Tedbirler:

Kişisel Verileri Koruma Kurumu tarafından alınması gereken teknik tedbirler

https://www.kvkk.gov.tr adresinden duyurulmuş olup, Kişisel Verileri Koruma

Kurumunca ilan edilen teknik tedbirler ile ilgili, veri sorumlusu olarak şirket tarafından

gerekli tedbirler alınmaktadır.

14.2 İdari Tedbirler:

Şirket adresimize noter veyahut iadeli taahhütlü mektupla ya da şirket mail adresimiz

üzerinden herkes, veri sorumlusu olan şirketimize başvurarak kendisiyle ilgili olarak

Kanunun 11 inci maddesinde yer alan hakları kullanabilecektir. Veri sorumlusu olan

şirketimize başvuruda, Kanunun 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve

Esasları Hakkında Tebliğ hükümlerine, aydınlatma yükümlülüğünün yerine

getirilmesinde ise Kanunun 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine

Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet

edilmektedir. Kişisel Verileri Koruma Kurulu tarafından ilan edilen idari tedbirler ile

ilgili, veri sorumlusu olarak şirket tarafından gerekli idari tedbirler alınmıştır. Şirket

tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum kapsamında

kurumsal olarak gerekli kararları almış, yasa kapsamındaki yükümlülükleri yerine

getirmiş, yayımlanması gereken politikaları oluşturarak ilan etmiştir.

Kişisel veri koruma, işleme, saklama ve imha politikası belirlenmiş, şirket içerisinde

KVK komitesi tarafından uygulanması sağlanmaktadır. Çalışanların niteliğinin

geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi,

kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin

muhafazasının sağlanması amacıyla gerekli farkındalık çalışmaları başlatılmıştır.

KVK komitesi belirlenmiş, yetki, görev ve sorumlulukları belirlenmiştir. Kişisel verilere

ilişkin saklama ve imha gereklerinin yerine getirilmesine ilişkin çalışmalar

başlatılmıştır. KVK Kanununa uyumun sağlanması amacıyla gerekli aksiyonlar

alınmış, şirket sözleşmeleri ve kişisel veri barındıran metinler taranarak KVKK’ ya

uyumlu hale getirilmektedir.

19

15.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR

Şirketimizce işlenmiş olan kişisel veriler ile ilgili yasal mevzuatta öngörülen süre veya

işlendikleri amaç için öngörülen gerekli saklama süresinin sonunda kişisel veriler

imha edilir. İmha işlemi, şirket yetkili birimlerince kendiliğinden veya ilgili kişisel veri

sahibinin şirketimize başvurusu üzerine, 6698 sayılı Kişisel Verileri Koruma Kanunu

ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen yöntem ve tekniklerle

yapılmaktadır.

15.1.Kişisel Verilerin Silinmesi

▪ Veri Kayıt Ortamı Olan Sunucuda Yer Alan Kişisel Veriler: Sunucularda yer alan

kişisel verilerden, saklanmasını gerektiren süre sona erenler için sistem yöneticisi

tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

▪ Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel

verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç

diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz

hale getirilir.

▪ Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden

saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim

yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz

hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek

karartma işlemi de uygulanır.

▪ Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında

tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi

tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek

şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

15.2.Kişisel Verilerin Yok Edilmesi

▪ Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden

saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri

döndürülemeyecek şekilde yok edilir.

▪ Optik -Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik

medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin

eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi

uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde

manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

15.3.Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka 3.kişilere ait verilerle

eşleştirilmesinde dahi, ilgili kişinin kimliği belirli veya belirlenebilir olmaktan

çıkarılarak, bir gerçek kişiyle hiçbir surette irtibatlandırılamayacak hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu

veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle

20

eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin

kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle

irtibatlandırılamayacak / ilişkilendirilemeyecek hale getirilmesi şeklinde olmaktadır.

16.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirketin, işbu politika ve ilgili yasal mevzuat kapsamında işlediği kişisel verileri,

işlenen verinin kategorisine göre, tabi olduğu ilgili mevzuatta öngörülen veya işleme

amacının gerektirdiği süreler boyunca KVK Kanunu ile bu politika ile belirlenen usul

ve esaslara uygun olarak yapılmaktadır. Şirketin meşru menfaati ve ilgili veri sahibi ile

yapılan, yapılacak sözleşmelerin kurulması ve ifası süreçleri, açılabilecek dava ve

hukuki işlemler dikkate alınarak, kişisel verilerin saklama ve imha süreleri

belirlenmiştir. Şirketimiz faaliyetleri kapsamında tutulan kişisel veriler, işlenen verilerin

niteliğine göre ilgili mevzuatta belirtilen veya kişisel verinin işlendiği amaç için gerekli

olan süre kadar muhafaza etmektedir. İşlenen kişisel veriler ile ilgili olarak öncelikle,

ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği

tespit edilerek, belirtilen süreye uygun olarak kişisel veriler saklanmakta, herhangi bir

sürenin öngörülmemiş olması halinde ise işlenen kişisel verilerin işlendikleri amaç için

gerekli olan ve şirketimizce uygulanmakta olan politikalara uygun olarak belirlenen

süre kadar saklamaktadır.

17.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirketimiz; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak,

kişisel verilerinizin işlenmesine, korunmasına azami özen göstermektedir. Veri

sorumlusu olarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel

verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını

sağlamak amacıyla gerekli her türlü teknik ve idari tedbirler alınmıştır. Kanunun 10.

maddesi uyarınca; hizmet alan müşteriler, müşteri çalışanları, ziyaretçiler ve

çalışanlarımız, tedarikçiler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm

ortakları, işyeri hekimleri, şirket ortakları, irtibatlı olduğumuz kamu kurum ve

kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel

veriler kapsayacak şekilde oluşturulan politikalar ve aydınlatma metni ile sizleri

bilgilendiriyoruz. Söz konusu aydınlatma yükümlülüğü gereğince, kişisel veri

sahiplerine bildirilmesi gereken bilgiler kanunda sayıldığı şekilde aşağıda belirtilmiştir:

1.Veri sorumlusunun ve varsa temsilcisinin kimliği,

2.Kişisel verilerin hangi amaçla işleneceği,

3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4.Kişisel veri toplamanın yöntemi ve hukuki sebebi, 5.KVK Kanunu’nun 11.

maddesinde sayılan başvuru ve diğer haklar.

18.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )

21

6698 sayılı Kişisel Verileri Koruma Kanununun “ilgili kişinin haklarını düzenleyen” 11

inci maddesi kapsamında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında

Tebliğe göre veri sorumlusu olarak, şirketimize iadeli taahhütlü mektupla, noter

kanalıyla veya mail yolu ile başvurabilirsiniz.

18.1.Kişisel Veri Sahibinin Başvuru Hakkı

Kanunun 11. maddesi uyarıca; herkes, veri sorumlusuna başvurarak kendisiyle ilgili

olarak;

1. Kişisel veri işlenip işlenmediğini öğrenme,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp

kullanılmadığını öğrenme

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini

isteme,

6. KVKK’ nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin

silinmesini veya yok edilmesini isteme,

7. Kişisel verilerin düzeltilmesi, silinmesi, yok edilmesi halinde bu işlemlerin, kişisel

verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,

8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi

suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde

zararın giderilmesini talep etme, haklarına sahiptir.

18.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları

6698 sayılı KVK Kanunu 13/1. maddesi uyarınca, yukarıda belirtilen haklarınızı

kullanmak amacıyla yapacağınız başvurularınızı yazılı olarak veya KVK Kurumunun

belirlediği yukarıda yazılı yöntemlerle şirketimize iletmeniz gerekmektedir. Şirketimiz,

başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz

gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti

gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret talep edilecektir. Bu

kapsamda ilgili kişinin başvurusuna yazılı olarak cevap verilmesi halinde, on sayfaya

kadar ücret alınmayacak, on sayfanın üzerindeki her bir sayfa için 1 TL işlem ücreti

alınacaktır. Başvuruya karşı verilecek cevabın CD, flaş bellek gibi elektronik kayıt

ortamında verilmesi halinde şirketimiz tarafından talep edilebilecek ücret kayıt

ortamının gerektirdiği maliyet miktarını geçmeyecektir. Başvurunun veri

sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

22

18.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde

başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını

öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün

içinde Kurula şikâyette bulunabilir. Kanunun 13. maddesi uyarınca başvuru yolu

tüketilmeden şikâyet yoluna başvurulamaz.

19.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

6698 Sayılı KVK Kanunu’nun 28/1. maddesi gereğince, aşağıda yazılı hususlar

kanunun uygulama kapsamı dışında ( istisnalar ) tutulmuş olup, kişisel veri sahipleri

yukarıda 16. maddede sayılan haklarını ileri süremezler.

▪ Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin

yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya

aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

▪ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,

planlama ve istatistik gibi amaçlarla işlenmesi.

▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,

ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da

suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da

ifade özgürlüğü kapsamında işlenmesi.

▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini

veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş

kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari

faaliyetler kapsamında işlenmesi.

▪ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin

olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 6698 Sayılı KVK

Kanunu’nun 28/2. maddesi gereğince, bu kanunun amacına ve temel ilkelerine uygun

ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen

10.maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını

düzenleyen 11.maddesi ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen

16. maddesinde belirtilen haklar bakımından aşağıdaki hâllerde uygulanmaz:

▪ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli

olması. ▪ İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

▪ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu

kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme

veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması

için gerekli olması.

▪ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik

ve mali çıkarlarının korunması için gerekli olması.

23

20.KİŞİSEL VERİLERİN PERİYODİK İMHA VE DENETİM SÜRESİ

Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri Yönetmeliğin

11. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; kişisel veri

saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok

etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk

periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel

veri saklama ve imha politikasında belirlenir. Buna göre şirketimizde imha periyotları

1 Ocak ve 1 Haziran olarak kararlaştırılmıştır.

21.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ

İlgili kişinin başvurusu üzerine kişisel verinin silinmesi, yok edilmesi süreleri

Yönetmeliğin 12. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna

göre; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu

talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu,

ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel

veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir;

üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin

eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri

sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi

açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak

ya da elektronik ortamda bildirilir.

22.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ

Şirket tarafından hazırlanan işbu politika, ıslak imzalı olarak (basılı kâğıt) yayımlanır.

Basılı kâğıt nüshası veri irtibat kişisi tarafından KVKK dosyasında saklanır.

Oluşturulan bu politika, belirlenen veri irtibat kişisi/KVK komitesi tarafından yetki ve

sorumlulukları kapsamında, yayınlandığı tarihten itibaren, her yılın sonunda yılda bir

olmak üzere, ihtiyaç duyuldukça gözden geçirilir ve gerekli olduğu şekilde ilgili

bölümler güncellenecektir. Ayrıca işbu politika şirketin https://wola.com.tr/ adlı internet

sitesinde de yayınlanmaktadır.

23.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Yukarıda maddeler halinde yazılı işbu politika, şirketin https://wola.com.tr/ adlı internet

sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilecektir. Veri

sorumlusunun onayı ve kişisel veri irtibat kişisinin kararı ile politikanın yürürlükten

kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları veri

irtibat kişisi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak)

imzalanır ve en az 5 yıl süre ile kişisel veri irtibat kişisi tarafından ilgili birimde

saklanır.

24

error: Tüm hakları saklıdır