KVKK Hakkında Genel Bilgilendirme
Mahal Gayrimenkul Değerleme ve Danışmanlık A.Ş. olarak veri sorumlusu sıfatıyla, kişisel verilerinizin güvenliği hususuna verdiğimiz önem doğrultusunda bünyemizde barındırdığımız her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak işlenmekte, saklanmakta ve aktarılmaktadır. Şirketimiz; hizmet sağlayıcıları, tedarikçiler ve çalışanları, danışmanlar, müşteriler, iş ortakları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanununa uygun olarak işlenmesine ve korunmasına büyük önem vermektedir.
10.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğin;1. maddesinde tebliğin amacı, “6698 sayılı Kişisel Verilerin Korunması Kanununun 10. maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.” şeklinde tanımlanmıştır,
İşbu aydınlatma metni, veri sorumlusu sıfatıyla şirketimiz tarafından kişisel verilerin toplanan, saklanan ve işlenen; şirketimiz müşterilerinin, , mal ve hizmet tedarikçilerinin ve tedarikçi çalışanlarının, şirketimizin iş ilişkisi yürüttüğü sözleşmeli danışmanlarının, iş ortaklarının , ziyaretçiler ve diğer üçüncü kişilerin, Kişisel Verilerin Korunması Kanununun “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. Maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ uyarınca, bilgilendirilmeleri amacıyla hazırlanmıştır.
Kişisel Verilerin Korunması Politikamız Hakkında
Veri Sorumlusu Şirket Ünvanı: Mahal Gayrimenkul Değerleme ve Danışmanlık A.Ş.
Telefon Numarası: +90 312 474 05 60
E-Posta : info@mahaldegerleme.com
Adres : Aşağı Öveçler Mahallesi 1314. Cadde No:14-16/8 Çankaya-Ankara
Kişisel Verilerin Korunması Kanununun Genel İlkeleri içeren 4. Maddesi kapsamında, Hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine bağlı olarak kategori edilen kişisel verileriniz aşağıda yer alan amaçlar doğrultusunda işlenmektedir:
Kimlik bilgileriniz; (Ad, soyadı, doğum tarihi, TC kimlik kartı bilgileri, TC Kimlik No, fotoğraf), ve İletişim bilgileriniz; (İkamet adresi, iş adresi, telefon numarası , mobil telefon numarası , e-posta adresi, KEP adresi) ;
Kurumsal iletişimi sağlamak. İstatistiksel çalışmalar yapabilmek. İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek, Müşteri ilişkilerini yönetmek, Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak, Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak. Yasal raporlamalar yapmak, Mal hizmet satış süreçlerinin yürütülmesi sağlamak, Tanıtım çalışmalarını yürütmek, Saklama ve arşiv faaliyetlerini yönetmek, İş sürekliliğinin sağlanması faaliyetlerini yürütmek, Kurumsal iletişim ve yönetim faaliyetlerinin planlanmak ve icra etmek, İş ortakları ve tedarikçilerle olan ilişkilerini yönetmek, Ziyaretçi kayıtlarını oluşturmak, Fiziksel mekân güvenliğini sağlamak, Mevzuattan kaynaklanan yükümlülükleri yerine getirmek, Yetkili ve görevli kamu kurum ve kuruluşlarına karşı diğer hukuki yükümlülüklerini yerine getirmek, bize ilettiğiniz sorun ve şikayetlerinizi çözümlemek, gerektiğinde buna ilişkin olarak müşteri ilişkileri yönetimi süreçlerini yürütülmek, müşteri memnuniyetine yönelik aktiviteleri yürütmek amaçlarıyla,
Finansal bilgileriniz (vergi no, vergi dairesi, banka hesap no, banka iban no ve fatura),ile birlikte kimlik ve iletişim bilgileriniz; Muhasebe kaydı ve cari kart açılması ve Finans ve Muhasebe İşlerinin Yürütülmesinin sağlanması ve bu konularla ilgili sizlerle iletişim kurmak amaçlarıyla,
Kameralar vasıtasıyla işlediğimiz, Görüntü kayıtlarınızı; Fiziksel mekân güvenliğinin sağlanması ve Ziyaretçi kayıtlarının oluşturulması ve takibi, amaçlarıyla,
Hukuki işlem bilgilerinizi; yetkili ve görevli kamu kurum ve kuruluşlarına karşı diğer hukuki yükümlüklerimizi yerine getirmek, ve aramızda doğabilecek uyuşmazlıklarda delil olarak kullanılmak amaçlarıyla, işlemekte ve saklamaktayız.
Şirket, Kanunun 5. Maddesine, 6. maddesinde yer alan Özel Nitelikli Kişisel verilerin işlenmesine ilişkin ve 8. ve 9. maddeler de yer alan kişisel verilerin aktarılması konusunda öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan esaslara uygun davranmaktadır. Özel nitelikli veriler veri sahibinin açık rızasının alınmadan aktarılmamaktadır.
Kişisel verileriniz, Kanun ve sair mevzuat kapsamında mevzuattan kaynaklanan yükümlülükleri yerine getirmek amacıyla yetkili ve görevli kamu kurum ve kuruluşlarına, Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amacıyla denetleyici ve düzenleyici kurumlara, Aramızda doğabilecek hukuki uyuşmazlıklarda delil olarak kullanılmak amacıyla, ,her türlü yargı makamına, yetki vermiş olduğunuz temsilcileriniz, ve avukatlara, İş faaliyetlerinin yürütülmesi / Denetimi ve faaliyetlerin mevzuata uygun yürütülmesi amaçlarıyla, vergi ve finans danışmanları da dâhil olmak üzere danışmanlık aldığımız üçüncü kişilere, sözleşmeye dayalı iş ilişkisinde olduğumuz mesleki uzman ve uzman yardımcılarına danışman ve müşavirlerine, hizmet tedarikçilerine, kargo şirketlerine, faaliyetin getirdiği yasal zorunluluklar kapsamında diğer kamu kuruluşları ve bankalara, çalışma mevzuatımız kapsamında SPK ve Türkiye Değerleme Uzmanları Birliğine, aktarabilmektedir.
Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir.
Kişisel veriler, meşru menfaat gereği sizden bizzat talep ettiğimiz bilgiler, iş ilişkisi kapsamında bizimle fiziksel ve digital yolla paylaştığınız kişisel verileriniz; sözleşme bilgileriniz, ilettiğiniz finansal veri ve fatura bilgileriniz, web sitelerimiz üzerinden yapılmış olan dijital başvurularınız e-posta ve KEP yoluyla ilettiğiniz bilgiler, dilekçe ve başvurularınız, hukuki tebligatlar, şirketimiz ile yapılan yazışmalarınız yoluyla elde edilen bilgileriniz KVKK Mad.11 kapsamında şirketimize yapılan başvuru bilgileri, vasıtasıyla ile elektronik ve fiziksel ortamlarda toplanmakta olup yasal süreler ve işin gerektirdiği şartlar kapsamında saklanmaktadır.
Kişisel verileriniz, Kişisel Verilerin Korunması Kanunu Mad. 5/2-c : “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-ç: “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-e: “ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve 5/2-f maddesinde belirtilen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması” hukuki sebeplerinden en az birine ve gerektiğinde Açık Rıza hükmüne dayanarak toplanmakta ve işlenmektedir.
Şirketimiz de geçerli bir amaç ve geçerli bir hukuki sebebe veya açık rıza uygulamasına dayanmadan veri toplanmamaktadır.
Şirket KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda veri sahibine yol göstermektedir
KVKK’nın 11. Maddesi uyarınca Şirkete başvurarak;
Kişisel verilerinin işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse bunun hakkında bilgi talep etme, Kişisel verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, Kişisel verilerini yurt içinde veya yurt dışında aktarıldığı 3. kişileri bilme, Kişisel verileri eksik veya yanlış işlenmişse, bunların düzeltilmesini isteme, KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde şirketimizin hukuki yükümlülükleri saklı kalmak kaydı ile silinmesini veya yok edilmesini isteme, Kişisel verilerinin aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme, Kişisel verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini; talep etme hakkınız vardır.
Kanun 11.madde kapsamındaki, ıslak imzalı yazılı başvurunuzu adresimize getirerek Aşağı Öveçler Mahallesi 1314. Cadde No:14-16/8 Çankaya-Ankara adresine bizzat teslim edebilir, noter kanalıyla gönderebilir veya 24td@hs01.kep.tr (KEP) adresine gönderebilir ya da ilgili kişi tarafından şirketimize daha önce bildirilen ve şirketimiz sisteminde kayıtlı bulunan elektronik postanız kanalıyla iletebilirsiniz.
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin şirket için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen tarifedeki ücret alınabilir.
Kişisel Verilerin Korunması Ve İşlenmesi Politikası
Kişisel Verilerin Korunması hakkı, Türkiye Cumhuriyeti Anayasası MADDE 20’ de aşağıdaki şekilde yer almaktadır.
“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz (Ek fıkra: 12/9/2010-5982/2 md.). Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlayan, 6698 sayılı Kişisel Verilerin Korunması Kanunu, önceki metinler üzerinde yapılan çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiş ve 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12.nci maddesinin (1) numaralı fıkrasında Veri Sorumlusunun;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu olarak; Şirketimiz tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada şeffaflığı ve hukuka uygunluğu sağlamak ve kişisel verileri birlik tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek amacıyla bu politika hazırlanmıştır.
Bu Politika ile çalışanlarımızın, çalışan adaylarımızın, gerçek kişi müşterilerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışan ve hissedarlarının, yetkililerinin, mal ve hizmet tedarikçilerimizin ve bunların çalışanlarının, kurum ile iş ilişkisi bulunan danışman ve diğer üçüncü kişilerin kişisel verilerinin hukuka uygun şekilde korunması ve işlenmesi prensipleri oluşturulmaktadır.
Şirket bu Politika ile bir Anayasal hak olan Kişisel Verilerinin Korunmasını bir Şirket Politikası haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir. KVK Politikası ile, şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması ve tüm süreçlerde mevzuata uyumu temin etmek için sürdürülebilir ve denetlenebilir sistemin kurulması amaçlanmaktadır.
Kişisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak şirket içerisinde gerekli politika ve prosedürler düzenlenmekte, aydınlatma metinleri oluşturulmakta, açık rızalar uygulanmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için şirketimiz tarafından mevzuata uygun idari ve teknik güvenlik tedbirleri alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır.
Kişisel Verileri Koruma Kanunu ve Şirketin Kişisel Verilerin Korunması ve İşlenmesi Politikasında yer alan bazı tanımların açıklamalarına aşağıda yer verilmiştir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi müşteriler, çalışanlar, çalışan adayları, tedarikçiler ve çalışanları, ortaklar, Şirketle yapılmış sözleşme kapsamındaki diğer üçüncü şahıs gerçek kişiler.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Örneğin; adı-soyadı, TCKN, e-posta, adres, iş adresi, doğum tarihi, doğum yeri, kredi kartı numarası, ehliyet no, banka hesap numarası, pasaport no, ruhsat no, diploma vb.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde işlendiği ve saklandığı veri kayıt sistemini kuran ve yöneten kişi veri sorumlusudur.
Veri İşleyen: Veri sorumlusunun verdiği yetki kapsamında onun adına veri işleyen gerçek veya tüzel kişi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.
KVKK: 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu
KVK Kurulu: Kişisel Verileri Koruma Kurulu
Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan Şirket “Kişisel Veri Saklama ve İmha Politikası”.
Veri Sorumluları Sicili: KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ: 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.
Kişisel Verilerin İşlenmesi Genel İlkelerde;
“KANUN MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” hükümleri yer almaktadır.
Şirketimiz uygulamalarında; Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven, dürüstlük ve şeffaflık kuralına uygun hareket edilmektedir. Bu çerçevede, kişisel veriler iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
Kişisel verilerin işlenme amaçları açıkça ortaya konulmakta ve bunlara veri envanterin de ve Aydınlatma metinlerin de yer verilmektedir. Veriler iş faaliyetleriyle bağlantılı amaçlar kapsamında işlenmektedir.
Kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemler alınmaktadır
Şirket Kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
Şirketimiz kişisel verileri işlendikleri amaç için gerekli olan süre ve faaliyetle ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
Şirket tarafından özel nitelikli kişisel verileriniz ve genel nitelikli kişisel verileriniz, aşağıda veri kategorileri başlığı altında yer alanlar dâhil ve bunlarla sınırlı olmaksızın, veri envanterinde yer alan veri kategorileri ile bağlantılı ve ölçülü şekilde envanterde yer alan amaca bağlı ve Kanunun 5. Ve 6. Maddesinde yer alan hukuki sebepler belirlenerek işlenebilmektedir. Aydınlatma Metinlerinde, işlenen kişisel verilerinize, işleme amacı ve hukuki sebepleriyle eşleştirilerek her veri kategorisi bazında ayrı ayrı yer verilmektedir.
Şirket tarafından elde edilen ve bu bölümde yer verilen her türlü kişisel veriniz (Özel nitelikli kişisel veriler de dahil fakat bunlarla sınırlı olmamak kaydıyla) aşağıdaki amaçlar ile işlenebilecektir;
Mal / Hizmet Pazarlama ve Satış Süreçlerinin Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
Finans Ve Muhasebe İşlerinin Yürütülmesi,
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,
İş birliği yapılan Şirketler Kurum ve kuruluşlar ve tedarikçilerle olan ilişkilerin yönetimi ve icrası,
Fiziksel Mekan Güvenliğinin Temini; Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi,
Bilgi Güvenliği Süreçlerinin Yürütülmesi,
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi; Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,
Performans Değerlendirme Süreçlerinin Yürütülmesi, Görevlendirme Süreçlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması,
İş Sağlığı İş Güvenliği Faaliyetlerinin Yürütülmesi,
Eğitim Faaliyetlerinin Yürütülmesi,
Çalışan Adayı / Stajyer / Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi,
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,
Müşteri/Üye, Çalışan ve Dış Eğitim Faaliyetlerinin Yürütülmesi,
Hukuki Süreçlerin Yürütülmesi; Hukuki İşlem ve Uyum Bilgisi hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin yerine getirilmesi
İşlenen Veri kategorileri:
Kimlik Bilgisi; Kişinin kimliğine dair bilgiler; ad soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyet bilgileri, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, ehliyet, nüfus cüzdanı ve pasaport gibi belgelerin bilgileri.
İletişim bilgileri; Telefon numarası, açık adres bilgisi, e-posta adresi, şirket içi iletişim bilgileri (dahili telefon numarası, kurumsal e-posta adresi) faks bilgileri, kayıtlı elektronik posta adresi (KEP),
Lokasyon Verisi; Şirket araçlarını ve cihazlarını kullanırken bulunduğu yerin konumunu tespit eden kişisel veriler; GPS lokasyonu, seyahat verileri.
Aile Bireyleri ve Yakın Bilgisi; Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Birliğin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler.
Hukuki İşlem ve Uyum Bilgisi; Birliğin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler Birlik politikalarına uyum kapsamında işlenen kişisel veriler.
Özel Nitelikli Kişisel Veri; KVK Kanunu’nun 6. maddesinde belirtilen veriler (kan grubu da dahil çalışanlara ait sağlık verileri, biyometrik veriler, engellilik durumu, kullanılan cihaz ve protez bilgileri).
Talep/Şikayet Yönetimi Bilgisi; Şirkete yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.
Finansal Bilgiler; IBAN, kart bilgisi, banka adı, finansal profil, mail order formu, kredi notu, sözleşme bilgileri, vergi dairesi no.
Çalışan Özlük Bilgileri; Özgeçmişi (cv), sosyal güvenlik no, savunma ve ihtar belgeleri/tutanaklar, aile yakını verileri; evlilik cüzdanı; eş ve çocuklarının adı, soyadı, AGİ belgesi, T.C. kimlik numarası, performans değerlendirme formu, aktivite bilgileri, geri bildirim formları, e-mailleri, acil durumda aranacak yakınlarının adı, soyadı ve telefon numarası, sicil no, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik tahsis no.
Ceza Mahkumiyetine İlişkin Bilgiler; Güvenlik tedbirlerine ilişkin bilgiler: Sabıka kaydı, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Hukuki belgeler Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler.
Mesleki deneyim bilgisi; Diploma bilgileri, kurs bilgileri, meslek içi eğitim bilgileri, sertifikalar, tecrübe belgesi, lisans belgesi.
KVKK mevzuatına uyumlu olarak elde edilen ve işlenen kişisel verileriniz Şirketimize ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza edilecek, güvenlik tedbirleri alınarak kontrolü Şirketimizde olmak üzere Şirket dışındaki teknolojik ortamlarda yedeklenebilecektir.
Şirketimiz KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır.10. madde kapsamında Şirket , veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre ilgili kişilere bilgilendirme yapmaktadır.
Şirketimiz kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte, kişisel verileri amacın gerektirdiği faaliyetler dışında kullanmamaktadır.
Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını ve aktarma amacını açık ve kesin olarak belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Veri kategorisi bazında amaçlar belirlenmekte ve her kategori için Kanunun 5. Ve 6. Maddelerinde yer alan hukuki şartlardan hangisine dayalı olarak veri işlendiğine ve verilerin kimlere aktarılabileceğine ve aktarma amaçlarına Aydınlatma Metninde yer verilmektedir. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
Şirketimiz kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Kurum tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır.
Bu prensipler Kanun 10. Madde kapsamında, KVKK Aydınlatma Metni ile verisi işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Müşteri, Ziyaretçi ve Çalışanlara yönelik Aydınlatma metinleri kendilerine iletilmekte ve Şirket içerisinde görülebilecek şekilde yazılı olarak yer verilmektedir. Genel Aydınlatma Metni Şirket internet sitesinde yer almakta, veri sahipleri iş ilişkisi ve sözleşme kurulmasından önce açık bir şekilde bilgilendirilmektedir.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkına yer verilmiştir.
Şirket KVK Kanunu’nun 11. maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda, ilgili kişiye gerekli bilgilendirmeleri süresi içinde yapmaktadır. Başvuru cevaplanmasının zamanında ve hukuka uygun yapılmasını teminen ‘Başvuru Cevaplama Prosedürü’ düzenleyerek Şirket içinde sorumlu kişiler belirlenmiş ve görevlendirilmiştir.
Kişisel veriler; Şirketimizin meşru menfaati gereği sizden bizzat talep ettiği bilgi ve dokümanlar, faaliyet konularımıza uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çağrı merkezi, internet sitesi, sözlü, yazılı, maille iletilen ve elde edilen bilgiler, iş ilişkisi kapsamında bizimle fiziksel ve dijital yolla paylaştığınız verileriniz, ilettiğiniz finansal verileriniz, sözleşmelerde yer alan bilgileriniz, web sitelerimiz üzerinden yapılmış olan dijital başvurularınız, e -posta ve KEP yoluyla ilettiğiniz bilgiler, dilekçe ve başvurularınız, hukuki tebligatlar, şirketimiz ile yapılan yazışmalarınız, tarafınızdan alenileştirilen kişisel bilgiler, Şirkete hizmet vermekte olan İK kuruluşları, ve hukuki yükümlülüklerimizi yerine getirmek için bize iletilen hukuki belge ve tebligatlar vasıtasıyla fiziksel ve dijital yollarla toplanmaktadır.
Kanunun 5. Maddesinin 1. Fıkrasında yer alan ‘Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez’ düzenlemesi çerçevesinde, Şirketimiz kanunun tanıdığı istisnai haller dışında, açık rızanın bulunması halinde kişisel veri işlemektedir.
Kanun 5. Madde 2.fıkra kapsamında, aşağıda belirtilen durumlarda Şirket kişisel veri sahiplerinin verilerini açık rıza almaksızın işleyebilmektedir;
‘’5/2-a:Kanunlarda açıkça öngörülmesi, 5/2-b: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendi sinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,5/2-c: “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait ait kişisel verilerin işlenmesinin gerekli olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-ç: “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-e: “ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” Kişisel Verilerin Korunması Kanunu Mad. 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. ve hukuki sebep veya sebeplerine dayanarak işlenmektedir.
Şirketimiz Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kuralına uygunluk, doğru ve güncel tutma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyarak öngörülen usul ve esaslara bağlı olarak kişisel veri işleme faaliyetinde bulunmaktadır.
Veri işleme faaliyeti başlamadan önce Kanun 5. maddesi ve özel nitelikli verilerle ilgili 6. Maddesinde yer alan hukuki sebeplerden en az birinin varlığı tespit edilmediği takdirde mutlaka açık rıza teminine gidilmekte, açık rıza alınamaması durumunda veri işlenmemekte işleme hemen durdurulmaktadır.
Şirketimiz için KVK Kanunu ile “Özel Nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunması özel öneme sahiptir. KVKK’nın 6.maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir.
KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ‘ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle ve özel olarak uygulanmaktadır.
Özel Nitelikli veri kapsamında, Şirket bünyesinde sağlık verileri işlenmekte ve bazı durumlarda adli sicil belgesi kayıtları açık rıza alınarak tutulmaktadır. Bu özel nitelikli kişisel verilere erişebilen kişilerin erişim yetkisi kapsamı mevzuata uygun şekilde düzenlenmekte ve ilgililere eğitim verilmekte, periyodik olarak denetimler yapılmakta, gizlilik sözleşmeleri imzalanmaktadır .İlgili personelin işten ayrılması durumunda erişim yetkisi derhal iptal edilmektedir.
Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece sağlık personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere ve kurumlara aktarabilmektedir.
Kişisel verilerin aktarılmasına ilişkin KVKK 8. Ve 9. Madde hükümlerine aşağıda yer verilmiştir.
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
Kanun 5. Madde kapsamında, aşağıda belirtilen durumlarda Şirket kişisel veri sahiplerinin verilerini açık rıza almaksızın aktarabilmektedir.
Kişisel verileriniz, Kişisel Verilerin Korunması Kanunu Mad. 5/2-c: “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait ait kişisel verilerin işlenmesinin gerekli olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-ç: “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-e: “ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve Sosyal Güvenlik Kurumuna ve 4857 Sayılı İş Kanuna karşı yükümlülüklerin yerine getirilmesi hukuki sebeplerine dayanarak aktarılabilmektedir.
Özel nitelikteki verilerin aktarılabilmesi için Kanun 6. Madde de yer verilen ve aşağıda yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur.
‘Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan’ aktarılabilmektedir.
Şirketimiz KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak veri kişisel verilerini aşağıda sıralanan kişi ve kurumlara belirtilen amaçlarla aktarabilir:
Kişisel veriler, Mal ve Hizmet Tedarikçilerine, tedarikçiden temin edilen ve Şirketin ticari faaliyetlerini yerine getirmek amacıyla sınırlı olarak, Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak avukatlara, Finans Ve Muhasebe İşlerinin Yürütülmesi amacıyla bordrolama ve muhasebe sürecini yürütmek üzere anlaşmalı Mali Müşavirlik firmasına, maaş ödemelerinin sağlanması amacıyla bankalara, Çalışanlar için iş akdi ve mevzuat kaynaklı yükümlülüklerin yerine getirilmesini teminen işyeri hekimine, İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile kapsamında gereklilikleri yerine getirmek amacıyla, Çalışma ve Sosyal Güvenlik Bakanlığı, Türkiye İş Kurumu (İş-Kur)/Sosyal Güvenlik Kurumuna, Finans Ve Muhasebe İşlerinin Yürütülmesi kapsamında bordrolama ve muhasebe sürecini yürütmek üzere anlaşmalı Mali Müşavirlik firmasına, danışmanlara, Veri Sorumlusunun meşru menfaati kapsamında yararlanabileceğimiz mevzuat teşviklerinin tespiti ve hesabı hususunda çalıştığımız danışmanlık firmalarına, tedarikçilere, Denetim Faaliyetlerinin Yürütülmesi amacıyla denetim faaliyetlerinde kullanmaları için Şirket denetçilerine, yetkili denetleyici ve düzenleyici kurumlara, SPK ve Mevzuata bağlı İş Faaliyetlerinin Yürütülmesi / Denetimi kapsamında çeşitli raporlar ve bilgi vermek amacıyla Türkiye Değerleme Uzmanları Birliğine, Birlik yönetim kurulu, denetim kurulu ve disiplin kurulu üyelerine, aktarılabilmektedir.
Kişisel Verilerin Hukuka Aykırı Erişiminin Engellenmesi ve Kişisel Verilerin Güvenli Ortamlarda Saklanması İçin Alınan İdari ve Teknik Tedbirler:
Şirket , bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak alt yapıyı ve kontrolleri hayata geçirmiştir. Kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi önlemek için ve oluşabilecek diğer teknik tehditler karşısında korunacak verinin niteliğine göre, aşağıda yer verilen teknik ve idari tedbirleri uygulamaya koymuştur.
Teknik Tedbirler:
Güvenlik sistemi kişisel verilerin kişilere ait bilgi sistemlerinde bulunduğu esnada tüm tehditlere karşı korunmasıdır.
Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır.
Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirilmiştir.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemleri altyapısı , yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı Kurum bilgi sistem birimi tarafından düzenli olarak kontrol edilmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Kişisel veri kaynaklarına erişim için personel veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonların dan oluşan, akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler kullanılmaktadır.
Şirkette dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir. Kurum Bilgisayar sistemlerinde antivirüs yazılımları, güvenlik duvarları, merkezi yönetim yazılımları kullanılmaktadır.
Sunucu bilgisayarları üzerine kurulan virüs koruma yazılımları ve Kurum çalışanlarının sistemlerini kontrol edecek yazılımlarla Kurum içerisinde kurumsal antivirüs çözümü sağlanmış olmaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından Veri İhlali Bildirim prosedürü hazırlanmış, uygun bir sistem ve altyapı oluşturulmuştur.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir.
Yedekleme için kritik sistemlerin yedekleri periyodik olarak alınmakta, yedekler belirli aralıklarla dış ortama taşınmaktadır.
Şİrket silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır
İdari Tedbirler:
Şirketin Veri Güvenliğine ilişkin hazırladığı politikaların temel amacı, yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, kişisel verileri Kurum tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek, uygulamada şeffaflığı ve veri güvenliğini ve Kanuna uyumu sağlamaktır.
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, KVK Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Şirketimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır, Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak cezai maddeleri içeren disiplin prosedürü uygulanmaktadır.
Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyenlerden taahhütname alınması zorunlu kılınmıştır.
Çalışanlar, danışmanlar, bilgi sistem destek şirketleri ve diğer üçüncü kişi veya şirketler yapılan sözleşmelere de bu kapsamda gizlilik taahhütnameleri eklenmektedir.
Kişisel veri işlemeye başlamadan önce Şirket ilgili kişileri aydınlatma yükümlülüğünü yerine getirmektedir
Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikelerin işlendiği ‘Risk ve Tehditler Tablosu’ Veri Koruma Görevlisi tarafından periyodik incelenmekte ve tedbirler güncellenmektedir
Uygulamalar üzerinde teknik kontrol sistemleri kurulmuştur. Veri sorumlusu olarak kurum içi sistematik periyodik denetimleri Veri Koruma Görevlisi kanalıyla yapmaktadır. Denetimler gerek görüldüğünde uzman şirketlere veya bağımsız denetim şirketlerine yaptırılacaktır.
Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek, veri güvenliğini sağlamak, hukuka uygun saklama ve imha işlemleri uygulamaları için ilgili alanlarda, ‘Erişim ve Yetkilendirme Prosedürü’, ve ‘Kişisel Veri Saklama ve İmha Politikası‘ hazırlanmış ve uygulamaya alınmıştır. Veri ihlalinin tespiti halinde Kişisel Verilerin Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ihlalle ilgili önleyici tedbirlerin derhal alınmasının sağlanmasını teminen Veri Müdahale Planı ve Veri İhlali Bildirim Prosedürü yürürlüğe konularak görevlendirmeler yapılmıştır.
Şirket mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, eğitimler vermekte konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır.
Kanunun 3.ncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4.ncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6.ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde yer alır.
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki 28 Ekim 2017 tarihli Yönetmelik‘te ‘’Kişisel Veri Saklama ve İmha Politikasına İlişkin Esaslar’’ bölümünde; ‘’Kanunun 16. maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan Veri Sorumluları, kişisel veri işleme envanterine uygun olarak ‘Kişisel Veri Saklama ve İmha Politikası’ hazırlamakla yükümlüdür’’ hükmü yer almaktadır.
28 Ekim 2017 tarihinde yürürlüğe giren Yönetmelik de işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir.
Şİrket, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirket uygulamaları kapsamında işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bu kapsamda, Şirket öncelikle kanunlar da ve ilgili mevzuat ta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanuni süreler göz önüne alınarak saklanabilmektedir.
Kanun’un 4. maddesi uyarınca kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir ve Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde resen veya veri sahibi talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Gelecekte kullanma ihtimali ile Şirket tarafından kişisel veriler saklanmamaktadır.
Kanunun 7. maddesinde, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir. Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir
Özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir.
Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
İlgili kişinin, Kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması;
Belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez şekilde silinmesi sağlanmaktadır
Kişisel verilerin silinmesi ve yok edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar, teknik detaylarda Veri Koruma Görevlisi tarafından verilir.
Silme işlemine konu teşkil edecek kişisel veriler belirlenir. Silme işlemleri önceden belirlenmiş personel vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir. Silme işlemi yapan personelin silinen datayı geri getirme, tekrar kullanma erişim yetkileri kaldırılır.
Silinmesi gereken verilerin silme, yok etme veya anonimleştirilmesinin, kanun, yönetmelik ve şirket politika ve prosedürlerine uygun olarak yapıldığının ve işlemlere ilişkin oluşturulan bilgi kaydı doğruluğunun kontrolü (KVKK Uyum Ekibi ) tarafından yapılır.
Şirket KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir. Şirket kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için iç işleyişe ait idari ve teknik düzenlemeleri uygulamaya koymuştur.
Kişisel veri sahipleri Kişisel Verilerin Korunması Kanunu 11. Madde gereğince aşağıdaki haklara sahiptir;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
Kişisel Veri Sahibinin Haklarını Kullanması;
Veri sahibi KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda 11. madde açıklamasında belirtilen hakları kullanabilir
Kanun 11.madde kapsamındaki, ıslak imzalı yazılı başvurunuzu adresimize getirerek Aşağı Öveçler Mah. 1328. Cad. ABC Plaza No:9/1 Çankaya / ANKARA Türkiye adresine bizzat teslim edebilir, noter kanalıyla gönderebilir veya 24td@hs01.kep.tr (KEP) adresine gönderebilir ya da ilgili kişi tarafından şirketimize daha önce bildirilen ve şirketimiz sisteminde kayıtlı bulunan elektronik postanız kanalıyla iletebilirsiniz.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, Şirketin cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün içinde KVK Kuruluna şikayette bulunabilir.
Şirket başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir ve kişisel veri sahibine başvurusunda yer alan hususlarla ilgili soru yöneltebilir.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Şirket Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Şirket tarafından düzenlenen bu Politika 01/01/2021 tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Politika Şirketin internet sitesinde yayınlanır, bu Politikanın gözden geçirme ve güncellenmesi Şirket tarafından yetkilendirilen Veri Koruma Görevlisi tarafından yerine getirilir Politika her yıl en az bir kez gözden geçirilir.