KVKK AYDINLATMA METNİ
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU
KVKK UYARINCA
PELİN TEMELLİ EĞİTİM
DANIŞMANLIK ORGANİZASYON
LİMİTED ŞİRKETİ KİŞİSEL VERİ
İŞLEME, SAKLAMA VE İMHA POLİTİKASI
HAZIRLIYAN
BvT Hukuk ve Danışmanlık
İÇİNDEKİLER
1.GİRİŞ 3
2.AMAÇ 3
3. KAPSAM 3
4.HEDEF 4
5.KISALTMA VE TANIMLAR 4
6.SORUMLULUK VE GÖREV DAĞILIMI 6
7.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR 6
8.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER
7
8.1.Gizlilik İlkesi 7
8.2.Temel İlkeler 7
9.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 8
10.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
9
11.KİŞİSEL VERİLERİN İŞLENMESİ VE TOPLANMASI VE HUKUKİ SEBEPLERİ
9
11.1.Kişisel Verilerin İşlenmesi 10
12.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR
13
12.1.Kişisel Verilerin Saklanması 13
12.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler 13
12.3.Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları 14
3
12.4.Kişisel Verilerin İmhasını Gerektiren Sebepler 15
13. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKKİN ESASLAR
16
14.Kişisel Verileri İşleme, Saklama Ve İmhasına İlişkin Teknik Ve İdari Tedbirler
16
14.1 Teknik Tedbirler 17
14.2 İdari Tedbirler 17
15.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR
18
15.1.Kişisel Verilerin Silinmesi 18
15.2.Kişisel Verilerin Yok Edilmesi 18
15.3.Kişisel Verilerin Anonim Hale Getirilmesi 18
16.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
19
17.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
19
18.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )
19
18.1.Kişisel Veri Sahibinin Başvuru Hakkı 20
18.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları
20
18.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı 20
19. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
21
20.KİŞİSEL VERİLERİN PERİYODİK İMHA VE DENETİM SÜRESİ
21
21.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ
22
22.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ
22
4
23.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
22
1.GİRİŞ
Kişisel Verileri Saklama, İşleme ve İmha Politikası, Pelin Temelli Eğitim Danışmanlık
Organizasyon Limited Şirketi tarafından (“Şirket”) gerçekleştirilmekte olan işleme,
saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları
belirlemek amacıyla hazırlanmıştır. Şirket; Stratejik Planda belirlenen misyon, vizyon
ve temel ilkeler doğrultusunda; Şirket çalışanları, hizmet alan müşteriler, hizmet
sağlayıcıları, hizmet sağlayıcı çalışanları, iş yeri hekimi, iş güvenliği uzmanı,
ziyaretçiler, iş ortakları ve diğer üçüncü kişiler, irtibatlı olduğumuz kamu kurum ve
kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri
kapsayacak şekilde tüm şahıslara ait her türlü kişisel verilerin, 6698 sayılı Kişisel
Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak işlenmesine, korunmasına
büyük önem vermekteyiz. Bu amaçla, şirketimiz yasal düzenleme ve alınan kararlar
uyarınca, gerekli her türlü idari ve teknik tedbirleri almaktadır. İşbu Kişisel Verileri
Koruma, İşleme, Saklama ve İmha Politikası ve ekleri; veri sorumlusu sıfatıyla “Pelin
Temelli Eğitim Danışmanlık Organizasyon Ltd. Şti” tarafından hazırlanmıştır.
2.AMAÇ
Şirketimiz tarafından hazırlanmış olan bu politika metni ile Kişisel Verileri Koruma
Kanununa uyum sürecinin tamamlanması bakımından aşağıda yazılı temel ilkeler
doğrultusunda; yukarıda belirtilen ilgili kişilere ait kişisel verilerin; Kişisel Verileri
Koruma Kurumu’nun yayınladığı kararlar, belirlediği ilkeler ile T.C. Anayasası,
5
Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel
Sağlık Verileri Hakkında Yönetmelik ve ilgili mevzuata uygun olarak işlenmesi ve ilgili
kişilerin haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin
saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak
gerçekleştirilmektedir. Şirketimiz tarafından işlenen kişisel veriler, verilen hizmetlere
ve işleme amacına bağlı olarak değişebilmekle birlikte otomatik ya da otomatik
olmayan yöntemlerle toplanmaktadır.
3.KAPSAM
Şirket çalışanları, hizmet alan müşteriler, hizmet sağlayıcıları, hizmet sağlayıcı
çalışanları, iş yeri hekimi, iş güvenliği uzmanı, ziyaretçiler ve diğer üçüncü kişiler,
irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin
çalışanları ve ilgili üçüncü kişileri kapsayacak kişisel veriler ; hazırlanmış olan bu
politika kapsamında olup, şirketimiz nezdinde tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan
yollarla işlenen, kişisel verilerin bulunduğu her türlü kişisel verilerin işlenmesine
yönelik şirket faaliyetlerde işbu politika uygulanmaktadır.
4. HEDEF
Kişisel verilerin işlenme, saklanma ve imha Politikası ile, Pelin Temelli Eğitim
Danışmanlık Organizasyon Limited Şirketi bünyesinde kişisel verilerin hukuka uygun
olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi
doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için
gereken düzenin kurulması hedeflenmektedir. Bu kapsamda Pelin Temelli Eğitim
Danışmanlık Organizasyon Limited Şirketi KVK Politikası, KVK Kanunu ve ilgili sair
mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme
amacı taşımaktadır.
5.KISALTMA VE TANIMLAR
Şirket : Pelin Temelli Eğitim Danışmanlık Organizasyon Limited Şirketi
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel
kişi kategorisi
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi
Çalışan: Şirketimiz çalışanlarını kapsamaktadır.
6
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,
okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı,
görsel vb. diğer ortamlar
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu
içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel
verileri işleyen kişilerdir.
İlgili Kişi/Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal
sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya
da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Veri İrtibat Kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri
sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri
sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil
düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi
sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul: Kişisel Verileri Koruma Kurulu Kurum: Kişisel Verileri Koruma Kurumu
7
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
ile biyometrik ve genetik verileri
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen
ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemi.
Politika: Kişisel Veri İşleme, Saklama ve İmha Genel Politikasını
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına
kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
6.SORUMLULUK VE GÖREV DAĞILIMI
6698 sayılı KVK Kanunu ve ilgili mevzuat uyarınca, kişisel verilerin korunması
mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında, şirket
bünyesinde gerekli koordinasyonu sağlamak amacıyla şirket Kişisel Verileri Koruma
Komitesi belirlenmiş, görev ve sorumlulukları tanımlanarak gerekli kararlar alınarak,
ilgililere tebliğ edilmiştir. İşbu politika kapsamında alınan teknik ve idari tedbirlerin
gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve farkındalığının
arttırılması, denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin,
erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması
amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik
teknik ve idari tedbirler Kişisel Verileri Koruma Komitesi ve sorumlu birimlerce yerine
getirilmektedir.
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta
olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve
farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka
aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak
erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması
amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik
ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
7.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR
8
Şirketimizce tutulan kişisel veriler, kişisel bilgisayarlar, telefon, tablet gibi mobil
cihazlar, sunucular-server, donanım, yazılım programları, optik diskler, çıkarılabilir
bellekler, internet sitesinde kullanılan çerezler, ve kağıt olarak tutulan kişisel veriler,
sunulan hizmet bilgilerinin yer aldığı formlar, özlük dosyaları, iş başvuru formları,
şirket ile üçüncü kişiler arasında yapılan sözleşmeler, manuel veri kayıt sistemleri,
yazılı, basılı, görsel ortamlarda tutulan kişisel veriler, birim dolapları, arşiv odaları gibi
elektronik olmayan fiziksel ortamlarda kaydedilmektedir.
Kişisel veriler, 6698 sayılı Kişisel Verileri Koruma Kanunu ve uluslararası veri
güvenliği prensiplerine uygun olarak güvenli bir şekilde saklanmaktadır. Kişisel
verileriniz, tamamen veya kısmen, otomatik olarak veyahut herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilerek,
kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek, kişisel verileriniz
üzerinde gerçekleştirilen her türlü işleme konu olarak, şirketimiz tarafından
işlenmektedir
8.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER
8.1.Gizlilik İlkesi
İşbu politikada açıklandığı üzere, şirketimiz ile irtibatlı kişisel veri sahibi olan ilgili tüm
kişilerin verileri gizlidir. Bu politika ve alınan tedbirler kapsamda, kanunda belirtilen
haller dışında, hiç kimse başkaca hiçbir amaç için kişilerin verilerini başka amaçla
kullanamaz, çoğaltamaz, kopyalayamaz, başkalarına aktaramaz ve politikalarla
belirlenen amaçlar dışında kullanılamaz., Sosyal Sigortalar Ve Genel Sağlık Sigortası
Kanunu, Türk Ticaret Kanunu, İş Kanunu, İş Sağlığı Ve Güvenliği Kanunu, Kişisel
Verilerin Korunması Kanunu İle Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim
Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuat uyarınca gizlilik ilkesine uygun
uygun olarak işlenmektedir.
8.2.Temel İlkeler
Şirketimiz tarafından işlenmekte olan Kişisel Veriler, 6698 sayılı KVK Kanunu’nun 4.
maddesinde belirtilen ilkelere uygun işlenmektedir. Şirket, Kişisel Verilerin işlenmesi,
korunması, silinmesi ve imha süreçlerinde aşağıda yazılı ilkelere göre, kanunda
öngörülen usul ve esaslara uygun olarak işlenmektedir:
▪ Hukuka ve dürüstlük kurallarına uygun olması.
Şirketimiz yasal dayanağı olan işleme faaliyeti kapsamında veri işlerken, ilgili kişinin
çıkarlarını dikkate almaktadır. Buna binaen dayanak yapılan hukuk kuralının amacı
esas alınarak şirketimiz tarafından en az miktarda veri toplanmaktadır. Hangi kişisel
verinin ne oranda gerektiği somut olaya göre belirlenerek şirketimiz tarafından asgari
miktarda veri toplanmaktadır. Şirketimiz, kişisel verilerin işlenmesinde orantılılık
gerekliliklerini dikkate almaktadır, kişisel verileri amacın dışında kullanmamaktadır.
9
▪ Doğru ve gerektiğinde güncel olması.
Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi yasal menfaatlerini dikkate
alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlayacak gerekli önlemleri
almaktadır. Kişisel verilerin yanlış işlendiği anlaşıldığı anda gerekli tedbirler alınmakta
ve düzeltilmektedir. Ancak verinin arşiv vs. herhangi bir meşru amaçla tutulması
yönünde şirketimiz tarafından meşru ve makul gerekçeler varsa verinin yanlış olduğu
belirtilerek tutulmaya devam edilebilmektedir.
▪ Belirli, açık ve meşru amaçlar için işlenmesi.
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin
olarak belirlemektedir. Kurumumuz, kişisel verileri sunmakta olduğu hizmetle
bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Kurumumuz tarafından kişisel
verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan
bildirilmektedir.
▪ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması.
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir
biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin sonradan ortaya
çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti
yürütülmemektedir. Toplanan kişisel verilerle alakalı veri işleme amacı ile
bağdaşmayan yeni bir işleme amacı ortaya çıkması halinde verilerin ilk defa
toplanması halinde gerekli olan şartlar yeniden sağlanmaktadır.
▪ Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilmesi.
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için
gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle ilgili
mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit
etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre
belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar
saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan
kalkması halinde kişisel veriler Kurumumuz tarafından silinmekte, yok edilmekte veya
anonim hale getirilmektedir.
9.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından işlenen kişisel veriler, 6698 sayılı Kanunun 5. Ve 6. Maddesine
uygun olarak işlenmektedir. Kural olarak kişisel veriler ilgili kişinin açık rızası
10
olmaksızın işlenemez. Ancak, aşağıda belirtmiş olduğumuz ilkelerden birinin varlığı
hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
▪ Kanunlarda açıkça öngörülmesi. Kanunilik ilkesi
▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması. Fiili imkânsızlık.
▪ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Sözleşmenin
ifası.
▪ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
Hukuki yükümlülük.
▪ İlgili kişinin kendisi tarafından alenileştirilmiş olması. Aleniyet.
▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
Zorunluluk.
▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Meşru
menfaat.
10.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
Şirketimiz tarafından işlenen Özel Nitelikli Kişisel Veriler, 6698 sayılı Kanunun 6.
maddesine uygun olarak işlenmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,
felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel
verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu kanun maddesi ile
düzenlenmiştir. Buna göre, ilgili kişinin açık rızası olmaksızın Özel Nitelikli Kişisel
Veriler işlenemez. Ancak, kanun maddesinde yazılı olduğu üzere; Kanunun 6/1.
fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda
öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel
hayata ilişkin kişisel veriler ise ancak;
▪ Kamu sağlığının korunması, ▪ Koruyucu hekimlik, ▪ Tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, ▪ Sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, ▪ Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından İlgilinin açık rızası aranmaksızın işlenebilir.
Şirketimiz Özel nitelikli kişisel verilerin işlenmesinde, 6698 sayılı Kişisel Verilerin
Korunması Kanunu, ve ilgili yasal mevzuata uygun olarak ve ayrıca Kişisel Verileri
Koruma Kurulu tarafından belirlenen yeterli önlemler alınarak işlenmektedir.
11
11.KİŞİSEL VERİLERİN TOPLANMASI VE HUKUKİ SEBEPLERİ:
Kişisel verileriniz; sunduğumuz hizmetler, yukarıda belirtilen kişisel veri işleme
amaçları doğrultusunda; elektronik posta kanallarıyla, , matbu formların
düzenlenmesi, sözleşmeden kaynaklanan teslim, hizmet ve sair yükümlülüklerin
yerine getirilmesi, şirket hizmet işleyici, özlük dosyalarının oluşturulması,
sözleşmelerin düzenlenmesi, ifası, muhasebe, finans, mali, hukuki işlem bilgilerinin
işlenmesi suretiyle, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verileriniz
işlenmekte ve toplanmaktadır. Kişisel verileriniz ve özel nitelikli kişisel verileriniz;
şirketimizin tabi olduğu yasal düzenlemelere uygun olarak, ilgili kişinin açık rızasına
dayalı olarak işlenmektedir. Ayrıca, açık rıza aranmaksızın aşağıda yazılı hukuki
sebeplere bağlı olarak kişisel verileriniz işlenmektedir. Buna göre; kişisel verileriniz,
▪ Kanunlarda açıkça öngörülmesi sebebiyle,
▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması.
▪ Şirketimiz ile gerçek ve tüzel kişiler arasındaki sözleşmelerin kurulması veya
ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin gerekli olması,
▪ Kişisel verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması,
▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle,
Kişisel Verilerin Korunması Kanununun 5. ve 6. maddelerine, Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin
5/1-h. maddesine uygun olarak belirtilen amaçlara sınırlı olarak işlenmekte,
toplanmakta ve aktarılmaktadır. Kişisel verileriniz şirket faaliyetleri kapsamında ilgili
mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır.
11.1.Kişisel Verilerin İşlenmesi
▪Kimlik Bilgileri (Ad-soyad, doğum tarihi, doğduğu ülke, doğduğu şehir, cinsiyet,
medeni durumu, TC kimlik kartı bilgileri, TC kimlik bilgileri, SGK sicil numarası , baba
adı, anne adı, nüfusa kayıtlı olduğu il , vergi kimlik no ve sizi tanımlayabileceğimiz
diğer kimlik verileriniz)
▪İletişim bilgileri (Telefon numaralarınız, faks numaraları, iletişim adresi, elektronik
posta adresiniz , ev adresi, işyeri adresi ve sair iletişim verileriniz, tarafımıza iletişime
geçtiğinizde elde edilen sair kişisel verileriniz.)
12
▪ Özlük Bilgileri (Çalışanlar bakımından doldurulan sözleşmeler üzerindeki kişisel
bilgiler, eğitim, diploma bilgileri, sertifika bilgisi, sosyal güvenlik sicil numarası bilgisi,
SGK işe giriş, çıkış bildirgesi, bakmakla yükümlü olduğu kişiler, eş, çocuk yakınlık
bilgisi, aile bireylerinin nüfus kayıt bilgileri, çalışma bilgileri, bordro bilgileri, disiplin
soruşturması bilgileri, hizmet dökümü, özgeçmiş bilgileri, izin bilgileri, personel
performans değerlendirme raporları, meslek ve iş kazası bilgileri, banka hesap
bilgileri, IBAN numarası bilgisi iş sağlığı ve güvenliği kapsamında alınan kişisel
bilgiler, askerlik bilgisi, personel devam kontrol sistemi, , iş başvuru formunda yer
alan bilgiler,)
▪ Finans Bilgileri (Faturalandırma ve ödeme bilgileri, banka hesap numarası, IBAN
numarası, kredi kartı bilgileri, SGK ve yetkili kurum ve kuruluşlara yapılacak
bildirimler kapsamında alınan finansal bilgiler, maaş bordrosu, masraf avans bilgileri,
vergi kimlik numarası, vergi dairesi bilgisi, fatura, üçüncü kişiler ile yapılan sözleşme
eklerinde yer alan bilgiler)
▪ Hukuki İşlem Bilgileri (İlgili kişiler ile olan hukuki irtibat ve sunulan hizmetler, hukuki
uyuşmazlıklar kapsamında mahkemeler, savcılıklar, arabulucular, hakem heyetleri,
adli makamlarla yapılan yazışmalardaki kişisel bilgiler, hukuki uyuşmazlık ve sair
durumlarda tutulan tutanaklarda, formlarda yer alan kişisel bilgiler,)
▪ Mesleki deneyim bilgileri (Eğitim durum bilgisi, okul, diploma bilgileri, çalışma
hayatı, staj, seminer, meslek içi eğitim bilgileri, sertifikalar, bildirilen formlardaki diğer
bilgiler, uzmanlık, unvan, görev bilgileri),
▪ Görsel ve İşitsel Kayıtlar (Şirket faaliyetleri kapsamında düzenlenen sağlık raporları,
belgeler üzerinde yer alan fotoğraflarınız, iş başvuru formları, elektronik ve fiziki
ortamlarda doldurulan, basılı formlar, evrak ve resmi kimlik belgeleriniz üzerinde yer
alan fotoğraf bilgisi, videolar/kamera kayıtlarındaki görüntüleriniz, aynı kayıtlardaki
ses kayıt verileriniz)
▪Fiziksel Mekan Güvenliği Bilgileri (Görüntü ve ses kaydı alan kamera kayıt
bilgileriniz, ,tutulan formlardaki bilgiler, araç plaka bilgileri)
▪ Şirket faaliyetleri kapsamında, yapılan iş sözleşmesi ve şirketin meşru menfaatleri
uyarınca, tanıtım, reklam ve bilgilendirme amaçlı olarak, çalışanlara ait mesleki
deneyim, bilgilendirme, özgeçmiş ve fotoğraf bilgisi,
▪ Talep ve Şikayet Bilgisi (İlgili kişilerin, elektronik ve fiziki ortamlardan toplanan
bilgiler ve kayıtlar, internet ve online sistem üzerinden gelen talep ve şikayetleri ile
ilgili değerlendirme, yönetim sürecine dair bilgiler)
▪Ceza Mahkûmiyeti Ve Güvenlik Tedbirlerine dair bilgiler (Sabıka kaydı, hükümlülük,
mahkumiyet bilgisi, adli durum bilgileri),
▪ Sağlık Bilgileri (İş göremezlik, istirahat raporu, muayene, hasta tanı, teşhis doktor
analiz ve yorumları, sağlık raporları, iş başvuru formunda yazılı sağlık durum bilgileri,
çalışanlar için sağlık raporları, kişisel sağlık ve fiziksel engellilik durum bilgileri, sağlık
kurulu raporları, her türlü kişisel sağlık verileri)
13
▪ Diğer; İmza Verisi
olmak üzere veri sorumlusu olan şirketimiz tarafından, Anayasa’nın 20.
maddesine ve Kişisel Verileri Koruma Kanununun 4. Maddesi, Kişisel Sağlık Verileri
Hakkında Yönetmelik hükümlerine uygun olarak, yukarıda yazılı amaç ve hukuki
sebeplere istinaden kişisel verileriniz işlenmekte ve korunmaktadır.
Hizmet alan Müşterilere veya Müşteri Çalışanlarına Ait Kişisel Veriler
Bakımından
Şirket işlemlerinin yapılması ve Şirket tarafından sunulan hizmetlere ilişkin yasal
bildirimlerin gerçekleştirilmesi ile Şirket içi süreçlerin yürütülebilmesi amaçlarıyla;
müşterilerin veya müşteri çalışanlarının ad, soyad, TC kimlik numarası, imza, kişiyi
tanımaya ve kimliğini teşhis etmeye yönelik sair kişisel verileri,
Müşteri veya müşteri çalışanlarına ilişkin olarak yetkili kurum ve kuruluşlara yapılması
gereken kanuni bildirimlerin yerine getirilmesi amacıyla kullanılan kişisel veriler,
İletişimin sağlanabilmesi ve ilgili iş süreçlerin yürütülmesi amacıyla telefon, adres, e-
posta adresi bilgileri, vergi dairesi, vergi kimlik numarası bilgileri,
Faturalama işlemlerinin yapılabilmesi amacıyla banka bilgileri , sair finansal verileri ,
gerek şirket içi işlemlerin gerekse sözleşmesel ilişkiler ve kanuni yükümlülükler
çerçevesinde sigorta şirketleri, Sosyal Güvenlik Kurumu’na yapılacak bildirimlerin
yerine getirilmesi,
İlgili kişiler tarafında herhangi bir şikayet, bildirim veya soru yöneltilmesi halinde
bunların takibinin sağlanabilmesi ve gerekli süreçlerin yürütülebilmesi için yazılı yolla
iletişime geçilmesi halinde ilgili fiziki veya elektronik yazılı evraklar,
şirket tarafından işlenebilecektir.
Ziyaretçilere Ait Kişisel Veriler Bakımından
Şirket içi düzen ve güvenliğin sağlanabilmesi amacıyla gerçekleştirilen kamera ile
görüntüleme ve kayıt faaliyetleri çerçevesinde şirketi ziyaret eden kişilerin görüntüleri
ve belli alanlarda ses kayıtları,
Çalışanlara Ait Kişisel Veriler Bakımından
Şirket içi düzen ve güvenliğin sağlanabilmesi amacıyla kamera ile görüntüleme kaydı
ve belli alanlarda ses kaydı yapılması,
Şirket içerisinde iş akışları kapsamında ve ayrıca performans değerlendirmelerinin
yapılabilmesi amacıyla ilgili programların kullanılması, işe giriş ve çıkış saatlerinin
kayıt altına alınması,
14
İş sağlığı ve güvenliğine ilişkin mevzuat gereği sağlık taramaları yapılması, iş kazası
halinde kanuni bildirimlerin yerine getirilmesi ile kamu sağlığının korunması amacıyla
gerekli tetkik ve takiplerin yapılabilmesi,
İlgili mevzuat ve iş akdi gereği doğmuş olan borç ve yükümlülüklerin yerine
getirilebilmesi,
İlgili mevzuat kapsamında kamu kurum ve kuruluşlarına ve yetkili tüm kamu/özel
tüzel kişilerine bildirimlerin yapılabilmesi ile denetimlerde gerekli belgelerin
sağlanabilmesi amaç ve yöntemleri doğrultusunda kimlik bilgisi, özlük bilgisi, banka
hesap bilgisi, iletişim bilgisi, irtibat bilgisi, sağlık bilgisi ve sair kişisel verileriniz
işlenebilmektedir.
12.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR
Şirketimiz tarafından oluşturulan bu politika ile çalışanlarımız, müşteriler, tedarikçiler,
hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket ortakları, işyeri
hekimleri, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin
çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; ilgili mevzuata, usul ve yasaya
uygun olarak saklanır ve imha edilir. Saklama ve imhaya ilişkin ayrıntılı açıklamalar
aşağıda belirlenmiştir.
12.1.Kişisel Verilerin Saklanması
6698 Sayılı Yasanın 3.maddesinde kişisel verilerin işlenmesi tanımlanmış, 4. madde
işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza
edilmesi gerektiği düzenlenmiş olup, 6698 sayılı yasanın 5. ve 6. maddelerde kişisel
verilerin işleme şartları sayılmıştır. Buna ilişkin ayrıntılı açıklamalar yukarıda işbu
politika metninde yazılı olup, şirket faaliyetleri kapsamında kişisel veriler, ilgili
mevzuatlarda öngörülen veya işleme amaçlarımıza uygun olarak gerekli süre kadar
idari ve teknik tedbirler alınmak suretiyle saklanmaktadır. İlgili kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, saklama süresi dolan, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi
üzerine mevzuata uygun olarak kişisel veriler silinir, yok edilir veya imha edilir.
Yapılan işlemler, Kişisel Sağlık Verileri Hakkında Yönetmelik ile Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili
yasal düzenlemelerde belirtilen sürelere, usul ve esaslara uygun olarak yerine
getirilmektedir. Kişisel verilerin silinmesi, imha edilmesine dair tüm işlemler kayıt
altına alınarak, gerekli yasal yükümlülüklere uygun olarak saklanır.
12.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
15
İşbu politika ile şirketimiz faaliyetleri kapsamında işlenen kişisel veriler, ilgili
mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır. Yukarıda sayılan
ve şirket faaliyetleri kapsamında kişilerin tabi oldukları kanunlarda öngörülen süreler
ve ikincil düzenlemeler çerçevesinde yazılı saklama süreleri ve kanunlarda öngörülen
suçların tabi olduğu zamanaşımı süreleri kadar kişisel veriler saklanmaktadır.
Şirketimizin faaliyetleri kapsamında tabi olduğu yasal mevzuatta öngörülen
zamanaşımı süreleri ile şirketin hukuki irtibat içerisinde olduğu üçüncü kişiler ile olan
veya oluşabilecek uyuşmazlıklar, şirket kurumsal hafızası ve ticari iş ve faaliyetleri
dikkate alınarak, kanunlarda öngörülen süreler dışında, şirketin meşru menfaati ve
ilgili veri sahipleri ile yapmış olduğu veya yapacağı sözleşmelerin kurulması ve ifa
süreçleri dikkate alınarak, kişisel verilerin saklama ve imha süreleri kurumsal karar
olarak işbu politika ile belirlenmiştir.
12.3.Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları
Şirket, işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda, şirket
faaliyetleri ile sınırlı olmak üzere ilgili mevzuata uygun olarak saklamaktadır. Buna
göre; kişisel verileri saklamayı gerektiren işleme amaçları aşağıda maddeler halinde
belirlenmiştir.
▪ Tabi olduğumuz ilgili mevzuat uyarınca edindiğimiz kişisel verileri Sosyal Güvenlik
Kurumu ve ilgili diğer kamu kurum ve kuruluşları ile paylaşmak, kurumların taleplerine
yanıt vermek, ilgili kamu kurum ve kuruluşlarına gerekli bildirimlerde bulunmak, yasal
yükümlülükleri yerine getirmek,
▪ Sunmuş olduğumuz hizmet ve şirket faaliyetleri kapsamında mevzuat gereği
saklanması gereken verilerin muhafaza edilmesini sağlamak,
▪ Kimliğinizi teyit etmek, sunulan hizmet kapsamında anlaşmalı kurumlarla hukuki
irtibatınızın teyit edilmesi, faturalandırma ve finansal mutabakatın sağlanması, ilgili
kurum ve kuruluşlara mevzuattan kaynaklanan bildirimlerde bulunmak,
▪ Talep ve şikayet süreçlerinin takibi, sunulan hizmetlerin gereği olan inceleme ve
değerlendirmelerin yapılması,
▪ Şirket hizmetlerini geliştirmek, kurumsal gelişim faaliyetlerinin sürdürülmesi,
pazarlama faaliyetlerinin sürdürülmesi, şirketin finans ve muhasebe, idari, hukuki,
teknik iş süreçlerini sürdürmek, risk yönetimi ve kalite geliştirme süreçlerinin yerine
getirilmesi,
▪ İnsan kaynakları süreçlerinin planlanması ve icra edilmesi, çalışma başvuru
süreçlerinin yerine getirilmesi, çalışanlar bakımından özlük dosyalarının
oluşturulması, mali yükümlülüklerin yerine getirilmesi, şirket ücret politikasının
belirlenmesi,
▪ Şirketimiz, müşteriler, müşteri çalışanları, tedarikçiler, hizmet sağlayıcıları,
çalışanlar ve hukuki ilişki içinde bulunduğu danışmanlar, ilgili kurum ve kuruluşlar,
16
üçüncü kişiler arasında yapılan veya yapılacak sözleşmelerin kurulması ve ifasının
sağlanması,
▪ Şirketin üçüncü kişilerle olan hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
▪ Şirketimiz ile ilgili kişi ve kuruluşlar arasındaki iletişimi sağlamak, fiziksel formları
doldurmanız için gerekli süreçlerin sürdürülmesi, ilgili kişilerin işlem güvenliğinin
sağlanması,
▪ Düzenleyici ve denetleyici resmi kurumlara, özel hukuk tüzel kişilerine gerekli
bilgilerin sağlanması,
▪ Sunulan hizmetler ile ilgili faturalandırma, ödeme ve teslim işlemlerinin yapılmasını
sağlamak;
▪ Kamera kayıt sistemi vasıtasıyla, hizmet sağlanan müşterilerin, ziyaretçilerin,
çalışanların ve ilgili üçüncü kişilerin güvenliğinin takibi, hukuki, teknik ve ticari iş
güvenliğinin sağlanması, şirket bina ve eklentileri ile çevresinin fiziksel güvenliğinin
sağlanması,
▪ Çalışanlar ile yapılan iş sözleşmesi, şirket menfaati kapsamında, personel devam
kontrol sistemi vasıtasıyla performans değerlendirme, işe devam ve kontrolün
sağlanması, şirket bina ve eklentilerinin giriş, çıkışlarının kontrolünün sağlanması,
▪ Veri güvenliğine ilişkin önlemler kapsamında gerekli tüm teknik ve idari tedbirlerin
alınması,
▪ Yargı organlarının ve/veya idari makamların istediği bilgi ve belge taleplerinin yerine
getirilmesi,
▪ Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
▪ Finans Ve Muhasebe İşlerinin Yürütülmesi,
▪ Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
▪ Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,
Amaçlarıyla, kişisel verileriniz Kanun’un 5. ve 6. maddelerine uygun olarak belirlenen
şartlar ve amaçlar doğrultusunda işlenmektedir. Kişisel veriler, şirketimizin faaliyetleri
dışında başka bir amaçla kullanılmamaktadır.
12.4.Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler; aşağıda belirtilen sebeplerle ilgili kişinin talebi üzerine, başvuru
formunu doldurmak suretiyle, şirket tarafından politika, yasa ve yönetmelikte
öngörülen usul ve esaslara uygun olarak silinir, yok edilir veya anonim hale getirilir.
Buna göre;
17
▪ Şirket tarafından kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın
ortadan kalkması halinde.
▪ Kişisel verilerin işlenmesine esas olan ilgili mevzuat hükümlerinin değiştirilmesi
veya yürürlükten kalkması.
▪ Şirket tarafından kişisel verileri işlemenin sadece açık rıza şartına bağlı olarak
yapıldığı hallerde, ilgili kişinin açık rızasını geri alması,
▪ 6698 sayılı KVK Kanununun 11. maddesi uyarınca ilgili kişinin şirkete başvuru
hakları kapsamında kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı
başvurunun KVK Kurumunca kabul edilmesi,
▪ KVK Kurumunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya
anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği
cevabı yetersiz bulması veya 6698 sayılı Kanunda öngörülen süre içinde cevap
vermemesi hallerinde; KVK Kuruluna şikâyette bulunması ve bu talebin KVK
Kurulunca uygun bulunması halinde.
▪ İlgili yasal düzenleme uyarınca, kişisel verilerin saklanmasını gerektiren azami
sürenin geçmiş olması ve kişisel verileri saklamayı gerektirecek herhangi bir sebebin
bulunmaması.
13. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN ESASLAR
Şirketimiz tarafından ilgili kişilere ait kişisel veriler 6698 sayılı kişisel verilerin
korunması kanunu “Veri aktarılması” başlıklı 8.maddesine uygun olarak
işlenmektedir. Buna göre 3. Kişilere aktarılacak kişisel veriler için 6698 sayılı
Kanunun 5. Ve 6. Maddesindeki işleme şartlarının bulunması durumunda 3. Kişilere
aktarım yapılmaktadır. Kanunun 5. Ve 6. Maddesindeki işleme şartlarının varlığının
bulunmaması durumunda ise ilgili kişilerin açık rızası alınarak 3. Kişilere veri aktarımı
yapılmakladır.
Kanunun öngördüğü şartlarda kişisel veri aktarımı sayılması için şirketimiz tarafından
başkaca bir şirkete veyahut şirket bünyesinde çalışmayan 3. Kişilere veri aktarımı
yapılmış olması gerekmektedir. Şirketimiz tarafından yurtdışı tabanlı (Gmail,yahoo
vs..) gibi elektronik posta adreslerinden veri aktarımı yapılmamaktadır. Kişisel veri
aktarımı yapılmasını gerektirecek durumların ortaya çıkması durumunda yerli veri
tabanlı elektronik posta adresi kullanılmaktadır. Şirketimiz tarafından dosyaların
tutulduğu, saklandığı, yedeklendiği programlar yerli veri tabanlı sistemler olup
şirketimiz tarafından yurtdışına veri aktarımı sağlanmamasına azami özen
gösterilmektedir. Şirketimiz tarafından yurtdışına veri aktarımı olmamaktadır.
14.KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHASINA İLİŞKİN TEKNİK VE
İDARİ TEDBİRLER
18
Kişisel verilerin işlenmesinde Kanunun 4.maddesinde yer alan genel ilkeler başta
olmak üzere, kanunda yer alan tüm esaslara riayet edilmektedir. Şirket çalışanları
tarafından; banko, masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını
önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri
duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte
gerekli fiziki, teknik ve idari tedbirler alınmaktadır.
Bu politika ile belirlenen düzenlemeler kapsamında, kişisel verilerin güvenli ve
mevzuata uygun bir şekilde saklanması, hukuka aykırı olarak işlenmesinin,
erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi ile kişisel verilerin hukuka
uygun olarak imha edilmesi için, 6698 sayılı KVK Yasasının 6. maddesinde
düzenlenen Özel Nitelikli Kişisel Verilerin 6/4. maddesine göre “Özel nitelikli kişisel
verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması
şarttır.” hükmü ile aynı yasanın 12. maddesinde belirtilen Kişisel Verilerin güvenliğini
sağlamak amacıyla Kişisel Verileri Koruma Kurulu tarafından belirlenen ve ilan edilen
gerekli yeterli önlemler muvacehesinde veri sorumlusu olarak şirket tarafından
aşağıda yazılı teknik ve idari tedbirler alınmaktadır.
14.1.Teknik Tedbirler:
Kişisel Verileri Koruma Kurumu tarafından alınması gereken teknik tedbirler
https://www.kvkk.gov.tr adresinden duyurulmuş olup, Kişisel Verileri Koruma
Kurumunca ilan edilen teknik tedbirler ile ilgili, veri sorumlusu olarak şirket tarafından
gerekli tedbirler alınmaktadır.
14.2 İdari Tedbirler:
Şirket adresimize noter veyahut iadeli taahhütlü mektupla ya da şirket mail adresimiz
üzerinden herkes, veri sorumlusu olan şirketimize başvurarak kendisiyle ilgili olarak
Kanunun 11 inci maddesinde yer alan hakları kullanabilecektir. Veri sorumlusu olan
şirketimize başvuruda, Kanunun 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve
Esasları Hakkında Tebliğ hükümlerine, aydınlatma yükümlülüğünün yerine
getirilmesinde ise Kanunun 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet
edilmektedir. Kişisel Verileri Koruma Kurulu tarafından ilan edilen idari tedbirler ile
ilgili, veri sorumlusu olarak şirket tarafından gerekli idari tedbirler alınmıştır. Şirket
tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum kapsamında
kurumsal olarak gerekli kararları almış, yasa kapsamındaki yükümlülükleri yerine
getirmiş, yayımlanması gereken politikaları oluşturarak ilan etmiştir.
Kişisel veri koruma, işleme, saklama ve imha politikası belirlenmiş, şirket içerisinde
KVK komitesi tarafından uygulanması sağlanmaktadır. Çalışanların niteliğinin
geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi,
kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin
muhafazasının sağlanması amacıyla gerekli farkındalık çalışmaları başlatılmıştır.
KVK komitesi belirlenmiş, yetki, görev ve sorumlulukları belirlenmiştir. Kişisel verilere
ilişkin saklama ve imha gereklerinin yerine getirilmesine ilişkin çalışmalar
başlatılmıştır. KVK Kanununa uyumun sağlanması amacıyla gerekli aksiyonlar
alınmış, şirket sözleşmeleri ve kişisel veri barındıran metinler taranarak KVKK’ ya
uyumlu hale getirilmektedir.
19
15.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR
Şirketimizce işlenmiş olan kişisel veriler ile ilgili yasal mevzuatta öngörülen süre veya
işlendikleri amaç için öngörülen gerekli saklama süresinin sonunda kişisel veriler
imha edilir. İmha işlemi, şirket yetkili birimlerince kendiliğinden veya ilgili kişisel veri
sahibinin şirketimize başvurusu üzerine, 6698 sayılı Kişisel Verileri Koruma Kanunu
ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen yöntem ve tekniklerle
yapılmaktadır.
15.1.Kişisel Verilerin Silinmesi
▪ Veri Kayıt Ortamı Olan Sunucuda Yer Alan Kişisel Veriler: Sunucularda yer alan
kişisel verilerden, saklanmasını gerektiren süre sona erenler için sistem yöneticisi
tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
▪ Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel
verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç
diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilir.
▪ Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim
yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek
karartma işlemi de uygulanır.
▪ Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında
tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi
tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek
şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
15.2.Kişisel Verilerin Yok Edilmesi
▪ Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri
döndürülemeyecek şekilde yok edilir.
▪ Optik -Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik
medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin
eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi
uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde
manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
15.3.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka 3.kişilere ait verilerle
eşleştirilmesinde dahi, ilgili kişinin kimliği belirli veya belirlenebilir olmaktan
çıkarılarak, bir gerçek kişiyle hiçbir surette irtibatlandırılamayacak hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu
veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle
20
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin
kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle
irtibatlandırılamayacak / ilişkilendirilemeyecek hale getirilmesi şeklinde olmaktadır.
16.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Şirketin, işbu politika ve ilgili yasal mevzuat kapsamında işlediği kişisel verileri,
işlenen verinin kategorisine göre, tabi olduğu ilgili mevzuatta öngörülen veya işleme
amacının gerektirdiği süreler boyunca KVK Kanunu ile bu politika ile belirlenen usul
ve esaslara uygun olarak yapılmaktadır. Şirketin meşru menfaati ve ilgili veri sahibi ile
yapılan, yapılacak sözleşmelerin kurulması ve ifası süreçleri, açılabilecek dava ve
hukuki işlemler dikkate alınarak, kişisel verilerin saklama ve imha süreleri
belirlenmiştir. Şirketimiz faaliyetleri kapsamında tutulan kişisel veriler, işlenen verilerin
niteliğine göre ilgili mevzuatta belirtilen veya kişisel verinin işlendiği amaç için gerekli
olan süre kadar muhafaza etmektedir. İşlenen kişisel veriler ile ilgili olarak öncelikle,
ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği
tespit edilerek, belirtilen süreye uygun olarak kişisel veriler saklanmakta, herhangi bir
sürenin öngörülmemiş olması halinde ise işlenen kişisel verilerin işlendikleri amaç için
gerekli olan ve şirketimizce uygulanmakta olan politikalara uygun olarak belirlenen
süre kadar saklamaktadır.
17.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Şirketimiz; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak,
kişisel verilerinizin işlenmesine, korunmasına azami özen göstermektedir. Veri
sorumlusu olarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel
verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını
sağlamak amacıyla gerekli her türlü teknik ve idari tedbirler alınmıştır. Kanunun 10.
maddesi uyarınca; hizmet alan müşteriler, müşteri çalışanları, ziyaretçiler ve
çalışanlarımız, tedarikçiler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm
ortakları, işyeri hekimleri, şirket ortakları, irtibatlı olduğumuz kamu kurum ve
kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel
veriler kapsayacak şekilde oluşturulan politikalar ve aydınlatma metni ile sizleri
bilgilendiriyoruz. Söz konusu aydınlatma yükümlülüğü gereğince, kişisel veri
sahiplerine bildirilmesi gereken bilgiler kanunda sayıldığı şekilde aşağıda belirtilmiştir:
1.Veri sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4.Kişisel veri toplamanın yöntemi ve hukuki sebebi, 5.KVK Kanunu’nun 11.
maddesinde sayılan başvuru ve diğer haklar.
18.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )
21
6698 sayılı Kişisel Verileri Koruma Kanununun “ilgili kişinin haklarını düzenleyen” 11
inci maddesi kapsamında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğe göre veri sorumlusu olarak, şirketimize iadeli taahhütlü mektupla, noter
kanalıyla veya mail yolu ile başvurabilirsiniz.
18.1.Kişisel Veri Sahibinin Başvuru Hakkı
Kanunun 11. maddesi uyarıca; herkes, veri sorumlusuna başvurarak kendisiyle ilgili
olarak;
1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
6. KVKK’ nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin
silinmesini veya yok edilmesini isteme,
7. Kişisel verilerin düzeltilmesi, silinmesi, yok edilmesi halinde bu işlemlerin, kişisel
verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme, haklarına sahiptir.
18.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları
6698 sayılı KVK Kanunu 13/1. maddesi uyarınca, yukarıda belirtilen haklarınızı
kullanmak amacıyla yapacağınız başvurularınızı yazılı olarak veya KVK Kurumunun
belirlediği yukarıda yazılı yöntemlerle şirketimize iletmeniz gerekmektedir. Şirketimiz,
başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz
gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti
gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret talep edilecektir. Bu
kapsamda ilgili kişinin başvurusuna yazılı olarak cevap verilmesi halinde, on sayfaya
kadar ücret alınmayacak, on sayfanın üzerindeki her bir sayfa için 1 TL işlem ücreti
alınacaktır. Başvuruya karşı verilecek cevabın CD, flaş bellek gibi elektronik kayıt
ortamında verilmesi halinde şirketimiz tarafından talep edilebilecek ücret kayıt
ortamının gerektirdiği maliyet miktarını geçmeyecektir. Başvurunun veri
sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
22
18.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde
başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını
öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün
içinde Kurula şikâyette bulunabilir. Kanunun 13. maddesi uyarınca başvuru yolu
tüketilmeden şikâyet yoluna başvurulamaz.
19.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
6698 Sayılı KVK Kanunu’nun 28/1. maddesi gereğince, aşağıda yazılı hususlar
kanunun uygulama kapsamı dışında ( istisnalar ) tutulmuş olup, kişisel veri sahipleri
yukarıda 16. maddede sayılan haklarını ileri süremezler.
▪ Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin
yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
▪ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi.
▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da
ifade özgürlüğü kapsamında işlenmesi.
▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş
kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi.
▪ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 6698 Sayılı KVK
Kanunu’nun 28/2. maddesi gereğince, bu kanunun amacına ve temel ilkelerine uygun
ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen
10.maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını
düzenleyen 11.maddesi ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen
16. maddesinde belirtilen haklar bakımından aşağıdaki hâllerde uygulanmaz:
▪ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması. ▪ İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
▪ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme
veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması
için gerekli olması.
▪ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması.
23
20.KİŞİSEL VERİLERİN PERİYODİK İMHA VE DENETİM SÜRESİ
Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri Yönetmeliğin
11. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; kişisel veri
saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok
etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk
periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel
veri saklama ve imha politikasında belirlenir. Buna göre şirketimizde imha periyotları
1 Ocak ve 1 Haziran olarak kararlaştırılmıştır.
21.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ
İlgili kişinin başvurusu üzerine kişisel verinin silinmesi, yok edilmesi süreleri
Yönetmeliğin 12. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna
göre; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu
talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu,
ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel
veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir;
üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin
eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri
sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi
açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirilir.
22.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Şirket tarafından hazırlanan işbu politika, ıslak imzalı olarak (basılı kâğıt) yayımlanır.
Basılı kâğıt nüshası veri irtibat kişisi tarafından KVKK dosyasında saklanır.
Oluşturulan bu politika, belirlenen veri irtibat kişisi/KVK komitesi tarafından yetki ve
sorumlulukları kapsamında, yayınlandığı tarihten itibaren, her yılın sonunda yılda bir
olmak üzere, ihtiyaç duyuldukça gözden geçirilir ve gerekli olduğu şekilde ilgili
bölümler güncellenecektir. Ayrıca işbu politika şirketin https://wola.com.tr/ adlı internet
sitesinde de yayınlanmaktadır.
23.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Yukarıda maddeler halinde yazılı işbu politika, şirketin https://wola.com.tr/ adlı internet
sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilecektir. Veri
sorumlusunun onayı ve kişisel veri irtibat kişisinin kararı ile politikanın yürürlükten
kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları veri
irtibat kişisi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak)
imzalanır ve en az 5 yıl süre ile kişisel veri irtibat kişisi tarafından ilgili birimde
saklanır.
24