KİŞİSEL VERİLERİ KORUMA VE GİZLİLİK POLİTİKASI
KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ
Kişisel verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer almaktadır.
Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve iş bu
politika oluşturulmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu sıfatıyla, E-YÖNETİCİ
PROFESYONEL PROJE YÖNETİMİ’nin ‘’Bundan sonra ŞİRKET olarak anılacaktır’’, Aydınlatma
Yükümlülüğünü yerine getirmek ve Şirketimiz kişisel veri işleme kurallarının temel esaslarını
belirlemek üzere işbu Politika yapılmakta ve bu kapsamda mevcut müşterilerimizin, potansiyel
müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, tedarikçi/alt işveren çalışanlarının ve
yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, iş ortaklarımızın, ziyaretçilerimizin ve
diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar
düzenlenmektedir.
POLİTİKANIN AMACI
Bu Politikanın temel amacı, ŞİRKET tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme
faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri
şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.
KAPSAM
Bu Politika; “mevcut müşterilerimiz ,potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız,
tedarikçi/alt işveren çalışanları ve yetkilileri, şirket hissedarlarımız ve şirket ortaklarımız, iş
ortaklıklarımız, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler” başlıkları altında kategorize
ettiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkin bilgileri kapsamaktadır.
POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler
öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk
bulunması durumunda, ŞİRKET yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
ERİŞİM VE GÜNCELLEME
Politika Şirketimiz internet sitesinde e-yonetici.com.tr yayımlanır ve kişisel veri sahiplerinin talebi
üzerine ilgili kişilerin erişimine sunulur ve gerektiğinde güncellenir.
KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz, Anayasa’nın 20.maddesine ve KVK Kanunu’nun 4.maddesine uygun olarak, kişisel
verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde
güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir
biçimde kişisel veri işleme faaliyetinde bulunmaktadır.
Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel
verileri saklamaktadır.
Şirketimiz, Anayasa’nın 20.ve KVK Kanunu’nun 5.maddesi gereğince, kişisel verileri, kişisel
verilerin işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı
olarak işlemektedir.
Şirketimiz, Borçlar Kanunu’nun 419.maddesi gereğince, 6698 sayılı KVK Kanunu saklı kalmak
kaydıyla, çalışanların ve çalışan adaylarının kişisel verilerini, işe yatkınlık ve iş sözleşmesinin ifası
amaçlarına dayalı olarak işlemektedir.
Şirketimiz, Kat Mülkiyeti Kanunu gereğince,6698 sayılı Kişisel Verileri Koruma Kanunu saklı
kalmak kaydıyla, hizmet verdiği kat malikleri ve kiracıların kişisel verilerini, hizmet sözleşmesinin
ifası amaçlarına dayalı olarak işlemektedir.
Şirketimiz, Anayasa’nın 20. Maddesi ve Kişisel Verileri Koruma Kanun’un 10.maddelerine uygun
olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri ve
kanundan doğan haklarını kullanmak üzere başvurmaları durumunda gerekli bilgilendirmeyi
yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.
Şirketimiz Kişisel Verileri Koruma Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel
verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, Kişisel verileri koruma Kanunu’nun 8.ve 9.maddelerine uygun olarak, kişisel verilerin
aktarılması konusunda kanunda öngörülen kurallara uymakta ve KVK Kurulu tarafından alınan
karar ve yayınlanan tebliğler ile güvenli ülke listelerini dikkate alarak uygulama yapmaktadır.
KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKE VE KURALLARA UYGUN OLARAK İŞLENME
Kişisel Verilerin İşlenmesi İlkeleri
Hukuka ve Dürüstlük Kuralına Uygun İşleme;
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük
kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini gerektirecek
hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel
verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti
yapmamaktadır.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
ŞİRKET kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlemekte,
kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu
kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Özellikle müşteri ve
potansiyel müşteri verileri özenle güncellenmekte, kişilere rızalarına aykırı biçimde pazarlama ve
tanıtım amaçlı eposta ve teklifler gönderilmemektedir.
Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak
belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli
olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi
belirlenmekte ve “Kişisel Veri Envanteri”ne de işlenmektedir.
İşlendikleri Amaçla Bağlantılı, Sınırlı v e Ölçülü Olma
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte
ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden
kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, Kişisel Verilerin Azaltılması
İlkesi hayata geçirilmeye çalışılmaktadır.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre
kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin
saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye
uygun davranmakta, bu kapsamda hukuk ve ceza zaman aşımı sürelerini dikkate almakta ve kişisel
verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini
gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin “Kişisel Verileri Saklama ve
İmha” politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Genel Nitelikli Kişisel Verilerin İşlenmesi
Kişisel verilerin korunması Anayasal bir hak olup, Anayasa'nın20.maddesinin üçüncü fıkrası gereğince,
kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir.
Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası
aranmaksızın kişisel verileri işlenmektedir;
1. Kanunlarda açıkça ön görülmesi,
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması
Yukarıdaki şartların bulunmaması halinde Şirketimizce ilgilinin açık, özgür iradeye ve bilgilendirmeye
dayalı rızasına başvurulmaktadır.
Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları
Şirketimiz tarafından, Kişisel Verileri Koruma Kanunu ile “özel nitelikli” olarak belirlenen kişisel
verilerin işlenmesinde, Kişisel Verileri Koruma Kanunu’nda öngörülen düzenlemelere uygun
davranılmaktadır. Kişisel Verileri Koruma Kanunu’nun 6.maddesinde, hukuka aykırı olarak
işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri
“özel nitelikli” olarak belirlenmiş olup, bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi
gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
lık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verileri Koruma Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler,
gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: Kişisel veri sahibinin sağlığı
ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya kişisel veri
sahibinin açık rızası var ise buna dayalı olarak, Kişisel veri sahibinin sağlığına ilişkin özel nitelikli kişisel
veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedaviye bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veya kişisel
veri sahibinin açık rızası ile işlenmektedir. Hangi nedene dayanırsa dayansın, işleme süreçlerinde
daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi
Şirketimiz, Kişisel Verileri Koruma Kanunu’nun 10.maddesine uygun olarak, kişisel verilerin elde
edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda
Verisi işlenen ilgili kişiye kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi ile
Kişisel verisi işlenen ilgili kişinin hakları konusunda aydınlatma yapılmaktadır.
Yine, Kişisel Verileri Koruma Kanunu’nun 11.maddesinde kişisel verisi işlenen ilgili kişinin hakları
arasında “Bilgi Talep Etme” de sayılmış olup, Şirketimiz bu kapsamda, Anayasa’nın 20.ve Kişisel
Verileri Koruma Kanunu’nun 11. maddelerine uygun olarak kişisel verisi işlenen ilgili kişinin bilgi talep
etmesi durumunda gerekli bilgilendirme yapılmaktadır. Aynı zamanda e-yonetici.com.tr internet
sitemizde aydınlatma yükümlülüğü yayınlanmış olup, bilgilendirme detayları mevcuttur.
KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini
alarak kişisel verisi işlenen ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere
aktarabilmektedir. Şirketimiz bu doğrultuda Kişisel Verileri Koruma Kanunu’nun 8.maddesinde
öngörülen düzenlemelere uygun hareket etmektedir.
Kişisel Verilerin Aktarılma Esasları
Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun
5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel
verileri üçüncü kişilere aktarabilmektedir:
Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak veya
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise
ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına
hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verinin aktarılması gerekli ise,
Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
Kişisel verisi işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır.
Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate
alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
Özel Nitelikli Kişisel Verilerin Aktarılması
Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kişisel Verileri Koruma
Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme
amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin özel nitelikli verilerini aşağıdaki durumlarda
üçüncü kişilere aktarabilmektedir. İlgili kişinin
Açık rızası var ise buna dayalı olarak veya ilgili kişinin açık rızası yok ise;
Kişisel ilgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken,
siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da
sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir), kanunlarda öngörülen hallerde,
İlgili kişinin sağlığına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate
alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
Kişisel Verilerin Yurtdışına Aktarılması
Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak
işlediği kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimiz
tarafından kişisel veriler; Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan
edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması
durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak
taahhüt ettiği ve Kişisel verileri koruma Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli
Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır.
Şirketimiz bu doğrultuda Kişisel verileri koruma Kanunu’nun 9. maddesinde öngörülen düzenlemelere
uygun hareket etmektedir. Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları
doğrultusunda kişisel verisi işlenen ilgili kişinin açık rızası var ise veya kişisel verisi işlenen ilgili kişinin
açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip
veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere
aktarabilmektedir:
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
Kişisel verisi işlenen ilgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için
zorunlu ise ve
Kişisel verisi işlenen ilgili kişi fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verinin aktarılması gerekli ise,
Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya
Korunması için zorunlu ise,
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru
menfaatler için kişisel veri aktarımı zorunlu ise
Şirketimiz Tarafından Kişisel Verilerin Aktarılma Amaçları ve Aktarma Yapılan Kişi Kategorileri
Veri Aktarım Amaçları
Şirketimizin faaliyet ve kuruluş amaçlarının yerine getirilmesini sağlamak, Şirketimizin tedarikçiden
dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli
hizmetlerin Şirketimize sunulmasını sağlamak, Şirketimizin insan kaynakları ve istihdam politikalarının
yürütülmesini sağlamak, Şirketimizin iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine
getirilmesi ve gerekli tedbirlerin alınmasını sağlamak gibi amaçlarla veri aktarımı
gerçekleştirilmektedir.
Verilerin Aktarıldığı Kişiler
Şirketimiz Kişisel Verileri Koruma Kanunu’nun 8. ve 9. maddelerine uygun olarak kişisel verileri
aşağıda belirtilen kişi kategorilerine aktarılabilir:
Yetkili Kamu Kuruluşları : Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve
kuruluşlarına İlgili mevzuat hükümlerine göre
Yetkili Özel Hukuk Kişilerine : Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerine
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Hissedar : Şirketimiz hissedarlarına Şirketimizin ticari faaliyetlerine ilişkin stratejilerin
tasarlanması ve denetim amaçları ile sınırlı olarak
Tedarikçi : Şirketimizin ticari faaliyetlerini yürütürken şirketimize hizmet sunan tarafların
Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine
getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak
İş Ortaklarımıza : Şirketimizin ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı
kurduğu taraflar İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla
sınırlı olarak.
Şirketimiz tarafından gerçekleştirilen aktarımlarda iş bu Politika’da düzenlenmiş ilkeve kurallara
uygun olarak hareket edilmektedir.
ALINAN KİŞİSEL VERİ KATEGORİLERİ
Şirketimizde verisi işlenen kişiler ve bu kapsamda işlenen veriler aşağıdaki şekilde kategorize
edilmektedir.
Veri
Kategorisi
Kişisel Veri Açıklama
İlgiliKişisel Veri İçerisine Giren
Kişisel Veri Tipleri
Kimlik Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt systemi içerisinde yer alan, ehliyet,
nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği,
evlilik cüzdanı gibi dokümanlarda yer alan bilgiler
TCKN, pasaport no., nüfus cüzdanı seri no, ad-
soyad, fotoğraf, doğum yeri, doğum tarihi, yaş,
nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı
örneği, imza
İletişim
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, kişiyle
iletişim kurulması amacıyla kullanılan bilgiler
E-mail adresi, telefon numarası, cep numarası,
telefon, adres v.b.
Lokasyon
Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, veri
sahibinin konumunu tespit etmeye yarayan veriler
E-mail adresi, telefon numarası, cep numarası,
konum verisi, adres vb.
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, veri
sahibinin konumunu tespit etmeye yarayan veriler
Şirket araçlarının kullanımı sırasında edinilen
lokasyon verileri
Aile
Bireyleri ve
Yakın Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, ilgili
şirket ve veri sahibinin hukuki menfaatlerini korumak
amacıyla işlenen kişisel veri sahibinin aile bireyleri ve
yakınları hakkındaki bilgiler
Kişisel veri sahibinin çocukları, eşleri ile ilgili
kimlik bilgisi, iletişim bilgisi ve profesyonel,
eğitim bilgileri v.b.bilgiler
Müşteri
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, ürün ve
hizmetlerimizden faydalanan müşterilere ait bilgiler
Müşteri no, meslekbilgisi, v.b.
Müşteri
İşlem Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, ürün ve
hizmetlerimizden faydalanan müşteriler tarafından
gerçekleştirilen her türlü işleme ilişkin bilgiler
Talep ve talimatlar, sipariş ve sepet bilgileri, v.b.
Fiziksel
Mekan
Güvenlik
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, fiziksel
mekana girişte, fiziksel mekanın bilgileri
Giriş çıkış logları, ziyaret bilgileri, kamera kayıtlar
v.b.
İşlem
Güvenliği
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan,
Şirketimiz ve ilgili tarafların teknik, idari, hukuki ve ticari
güvenliğini sağlamak amacıyla işlenen kişisel veriler
Kişisel veri sahibiyle ilişkilendirilen işlem ile o
kişiyi eşleştirmeye ve kişinin o işlemi yapmaya
yetkili olduğunu gösteren bilgiler (örn.Internet
sitesi şifre ve parola bilgileri)
Risk
Yönetmi
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan,
Şirketimizin ticari, teknik ve idari risklerini yönetebilmek
için işlenen kişisel veriler
IP adresi, Mac ID vb. kayıtlar
Veri
Kategorisi
Kişisel Veri Açıklama
İlgili Kişisel Veri İçerisine Giren
Kişisel Veri Tipleri
Finansal
Bilgi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, kişisel veri
sahibi ile mevcut hukuki ilkinin tipine göre yaratılan her
türlü finansal sonucu gösteren bilgi, belge ve kayıtlar
kapsamındaki kişisel veriler
Veri sahibinin yapmış olduğu işlemlerin
finansal sonucunu gösteren bilgiler,
kredi kartı borcu, kredi tutarı, kredi
ödemeleri, ödenecek faiz tutarı ve
oranı,borç bakiyesi, alacak bakiyesi v.b.
Özlük Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan,çalışanların
özlük haklarının oluşmasına teme olan kişisel veriler
Kanunen özlük dosyasına girmesi
gereken her türlü bilgi ve belge (örn.
Maaş miktarı, SGK pirimleri, bordrolar
v.b.)
Çalışan
Adayı Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, Şirketimiz
nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri
sahiplerine ait, başvuru değerlendirme sürecinde kullanılan
kişisel veriler
Özgeçmiş, mülakat notları, kişilik
testleri sonuçları v.b.
Çalışan
İşlem Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan,çalışanların
veya isle ilgili gerçekleştirdiği her türlü işleme ilişkin kişisel
veriler
İşe giriş-çıkış kayıtları, iş
seyahatleri, katıldığı toplantılara ilişkin
bilgiler,güvenlik sorgusu, mail trafikleri
izleme bilgisi, araç kullanım bilgisi,
şirket kredi kartı harcama bilgisi v.b.
Çalışan
Performans
ve Kariyer
Gelişim
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, çalışanların
performanslarının ölçülmesi ve kariyer gelişimlerinin insan
kaynakları politikaları kapsamında planlanması ve
yürütülmesi amacıyla işlenen kişisel veriler
Performans değerlendirme raporları
, mülakat sonuçları, kariyer gelişimine
yönelik eğitimler v.b.
Yan Haklar
ve
Menfaatler
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait oldu
açık olan ve veri kayıt sistemi içerisinde yer alan, çalışanlara
sunulan yan hak ve menfaatlerin planlanması ve çalışanların
bunlardan faydalandırılmasına yönelik işlenen kişisel veriler
Özel sağlık sigortası, araç tahsisi v.b.
Pazarlama
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, Şirketimizin
tarafından pazarlama faaliyetlerinde kullanılacak veriler
Pazarlama amcıyla kullanılmak üzere
toplanan kişinin alışkanlıkları,
beğenilerini gösteren raporlar ve
değerlendirmeler, hedefleme bilgileri,
cookie kayıtları, veri zengileştirme
faaliyetleri, v.b.
Hukuki
İşlem ve
UyumBilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olanve veri kayıt sistemi içerisinde yer alan, hukuki
alacak ve hakların tespiti ve takibi ile borç ve kanuni
yükümlülüklerini fası amacıyla işlenen kişiselveriler
Mahkeme ve idari merci kararları gibi
belgelerde yer alan veriler
Denetim ve
Teftiş Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan ve veri kayıt sistemi içerisinde yer alan, Şirketimizin
kanuni yükümlülükleri ve şirket politikalarına uyumu
kapsamında işlenen kişisel veriler
Denetim ve teftiş raporları, ilgili
görüşme kayıtları ve benzeri kayıtlar
Veri
Kategorisi
Kişisel Veri Açıklama
Özel
Nitelikli
Kişisel Veri
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan ve veri kayıt sistemi içerisinde yer alan, kişilerin ırkı, etnik
kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, kan
grubu, sağlığı,cinsel hayatı,ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Talep /
Şikayet
Yönetimi
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan veveri kayıt sistemi içerisinde yer alan, Şirketimiz’e
yöneltilmiş olan her
türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin
kişisel veriler
İtibar
Yönetimi
Bilgisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan ve veri kayıt sistemi içerisinde yer alan, Şirketimizin
hissedarlarının, çalışanlarının,iş ortaklarının veya müşterilerinin
itibarını etkileme ihtimali bulunan kişisel veriler
Görsel ve
İşitsel Veri
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan ve veri kayıt sistemi içerisinde yer alan, kişisel veri sahibiyle
ilişkilendirilen görsel ve işitsel kayıtlar
Veri Kategorileri
KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE AMAÇLARI KİŞİSEL VERİLERİN
İŞLENMESİNİN HUKUKİ DAYANAKLARI
Genel İlkeler: Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık
gösterse de her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4.maddesinde genel ilkelere
uygun olarak hareket edilmektedir. Buna göre; her türlü veri işlemesinde
Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme genel ilkeleri göz önünde tutulmaktadır.
Hukuka Uygunluk Sebepleri
Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli
bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak
işlenebilecektir. Örneğin, Kimlik Bildirme Mevzuatı uyarınca Çalışanlarımızın kimliklerinin yetkili
mercilere bildirilmesi.
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik
tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü
korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir. Örneğin, baygınlık geçiren çalışanın kan grubu bilgisinin hekim ile paylaşılması.
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi
mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında
tebligat yapılabilmesi için adres alınması.
Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu
olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden
Çalışanı yararlandırmak için, aile bilgisinin işlenmesi.
Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler
işlenebilecektir. Örneğin, Şirketimiz müşterilerinin internet üzerinde herkese açık bir platformda
şikâyet, talep veya önerilerini sunması halinde bu müşteriler ilgili bilgilerini alenileştirmiş olur. Bu
durumda Şirketimiz yetkilisi tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı
olmak kaydıyla verilerin işlenmesi mümkündür.
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin
kişisel verileri işlenebilecektir. Örneğin, ispat niteliği olan verilerin saklanması ve gerekli olduğu anda
kullanılması.
Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru
menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örneğin, güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi.
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Hukuka Uygunluk Sebepleri
Şirketimiz tarafından özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, Kişisel
verileri koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak
kanunlarda öngörülen hallerde işlenebilir.
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate
alınmakta ve bu ilkelere uygunluk sağlanmaktadır.
KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimiz 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddenin
Fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel
veriler işlemektedir.
Veri işleme sürecinde yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk
sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. Burada da 4.Madde kapsamında genel
ilkeler denetimi yapılmakta, her şeyden önce veri işleme faaliyetinin genel olarak hukuka uygunluk
ilkelerine uyumlu olması aranmaktadır.
İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır.
Kişisel verilerin işlenme amaçları ayrıca Şirketimizin “Kişisel Veri Envanteri”nde de belirtilmektedir.
Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir.
İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için
çalışanların kişisel verilerinin işlenmesi gerekmektedir. Çalışanların kişisel verileri; hukuka ve
dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar
doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlenmekte ve saklanmaktadır. Bu
kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar
doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde
yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Şirketin meşru menfaatleri,
kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki
yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması
için veri işlemenin zorunlu olması durumları ve bunların dışında kalan durumlarda çalışanlardan talep
edilecek açık, bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri
işlemesinin hukuki dayanaklarını oluşturmaktadır.
Şirketin iştigal konusunun gerektirdiği faaliyetler kapsamında, işverenin meşru menfaatleri
çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim, suistimallerin önlenmesi,
hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle
çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir. Ancak, bu durumda da çalışanların
temel hak ve özgürlüklerine zarar verilmemesine büyük bir özen gösterilmektedir. İşlenmekte
olan çalışanların kişisel verilerinin büyük bir çoğunluğu çalışanlar tarafından Şirkete verilen bilgilerden
elde edilmektedir. Yine bazı durumlarda, Şirket yöneticileri gibi iç kaynaklardan veya çalışanların
referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurum ve kuruluşları tarafından
tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri Şirkete gelebilmektedir.
İşlenmekte olan çalışanların kişisel verileri, başvuru formaları ve çalışanların referansları, iş
sözleşmeleri ve değişiklikleri, çalışanların iletişim bilgileri, bordro için gerekli olan bilgiler, acil
durumlarda iletişim kurulacak kişiler gibi aile veya yakın bilgileri, çalışanların eğitim kayıtları,
performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerden oluşmaktadır.
Çalışanların kişisel bilgilerinin işlenmesi ile ilgili olarak, birçok Şirket politika ve prosedüründe kurallar
bulunmaktadır. İnsan Kaynakları birimi tarafından uygulanmaktadır. Çalışanların sağlık bilgileri de
işlenen kişisel veriler arasında yer almaktadır. Çalışanların sağlık ve cinsel hayatlarına ilişkin bilgiler
kural olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir. Bu
kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde ve sağlık
biriminde bulunmaktadır. “Çalışan” statüsüne geçildikten sonra (çalışan adaylığı kategorisinde talep
edilmemektedir) çalışanın sendikaya üye olması durumunda sendika üyeliği de yasal mevzuatın
gerekliliklerinin yapılabilmesi için kanunun açık hükümleri gereği işlenebilmektedir. Bunun dışında
çalışanların, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet ile biyometrik ve genetik verileri kural olarak kanunda açıkça öngörülmüş olmadığı sürece,
işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya gidilecek ise, kişisel veriler
işlenmeden önce gereklilikler özenle değerlendirilmektedir. Şirketin bilgi iletişim araçları (telefon,
mobil telefonlar, bilgisayarlar ve internet) üzerinde denetim ve gözetimleri söz konusudur. 5651 sayılı
Kanun ve Şirketimizin meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarını
oluşturmaktadır. Şirketimiz araçlarında" güvenlik, araçların ve personelin daha etkili bir biçimde
yönetimi" gerekçeleriyle araç takip sistemi uygulanabilmektedir. Sözkonusu faaliyette şirketimizin
meşru menfaatlerine dayanmakla birlikte çalışanların temel hak ve özgürlüklerine zarar vermemek
kaydıyla gerçekleştirilmektedir. Şirketimizin insan kaynakları politikalarının yürütülmesinin
sağlanması amacı doğrultusunda; Şirketimizin insan kaynakları politikalarına uygun şekilde açık
pozisyonlara uygun personel temini, Şirketimizin insan kaynakları politikalarına uygun şekilde insan
kaynakları operasyonlarının yürütülmesi, çalışan adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve
kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi
ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarını oluşturmaktadır.
Tedarikçi/alt işveren çalışanlarının kişisel verileri de şirketimizce işlenebilmektedir. Nitekim 6331
sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile
ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı şekilde 4857
sayılı iş kanununda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren
işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi
gereken hususlar belirtilmiştir. Buna göre tedarikçi ve başka işverene bağlı olarak işyerimizde çalışan
işçilerin kişisel verilerinin işlenmesi başta söz konusu yasal düzelmeler olmak üzere işletmemizin
meşru menfaatlerine dayanmaktadır.
Ürün veya Hizmet alan kişilerin, kişisel verileri de şirketimizce işlenebilmektedir. Gerek Kat Malikleri
Kanunu gerekse verilen hizmetin daha etkili bir biçimde yönetimi gerekçeleriyle söz konusu veri
işleme faaliyeti, şirketimizin meşru menfaatlerine dayanmakla birlikte müşterilerin / hizmet alan
vermemek kaydıyla gerçekleştirilmektedir. Müşteri/hizmet alanların profil yönetimi, satış, reklam,
pazarlama faaliyetlerinin yürütülmesi, şirketimizin faaliyet alanına giren entegre tesis yönetimini
içerir proje alanlarındaki faaliyetlerin sürdürülmesi, kat malikleri ve kiracılarla ilgili sözleşmeden
doğan faaliyetlerin sürdürülmesi (aidat toplanması, toplanan aidatların raporlanması, hukuki
takiplerin yapılması, bağımsız bölümlerdeki teknik arızalara müdahale edilmesi vs), proje
alanlarındaki güvenliğin sağlanması ve kanundan doğan yükümlülüklerin yerine getirilebilmesi
amacıyla veri işleme faaliyetleri gerçekleştirilebilmektedir.
Kişisel veriler ayrıca;
Acil durum yönetimi süreçlerinin yürütülmesi
Bilgi güvenliği süreçlerinin yürütülmesi
Denetim/etik faaliyetlerinin yürütülmesi
Eğitim faaliyetlerinin yürütülmesi
Erişim yetkilerinin yürütülmesi
Faaliyetlerin mevzuata uygun yürütülmesi
Finans ve muhasebe işlerinin yürütülmesi
Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi
Fiziksel mekan güvenliğinin temini
Görevlendirme süreçlerinin yürütülmesi
Hukuk işlerinin takibi ve yürütülmesi
İç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi
İletişim faaliyetlerinin yürütülmesi
Mal/hizmet/üretim ve operasyon süreçlerinin yürütülmesi
Müşteri ilişkileri süreçlerinin yürütülmesi
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
Organizasyon ve etkinlik yönetimi
Pazarlama analiz çalışmalarının yürütülmesi
Performans değerlendirme süreçlerinin yürütülmesi
Reklam/kampanya/promosyon süreçlerinin yürütülmesi
Risk yönetimi süreçlerinin yürütülmesi
Saklama ve arşiv faaliyetlerinin yürütülmesi
Sözleşme süreçlerinin yürütülmesi
Stratejik planlama faaliyetlerinin yürütülmesi
Talep / şikayetlerin takibi
Taşınır mal ve kaynakların güvenliğinin temini
Tedarik zinciri yönetimi süreçlerinin yürütülmesi
Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi
Veri sorumlusu operasyonlarının güvenliğinin temini
Yabancı personel çalışma ve oturma izni işlemleri
Yatırım süreçlerinin yürütülmesi
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
Yönetim faaliyetlerinin yürütülmesi
Ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla İlgili Birimlerimizde
işlenmektedir.
İş sağlığı ve güvenliği, genel güvenlik, ürün güvenliği amaçlarıyla işyerinde kamera ile izleme faaliyeti,
Şirketin meşru menfaatleri dikkate alınarak, ziyaretçilerimizin, bu kapsamda verisi işlenen kişilerin ve
özellikle çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir.
KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Şirketimiz, Türk Ceza Kanunu’nun 138.maddesinde ve KVKKanunu’nun7.maddesinde düzenlendiği
üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin
talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.
KİŞİSEL VERİLERİN SAKLANMASI VE SAKLAMA SÜRELERİ
Şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili mevzuatta
belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine
ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu
hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini
gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği
saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil
teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi
amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine
yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda
Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu
durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki
uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi
geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Bu kapsamda;
Kişisel Verilerin Silinmesi
Kişisel Verilerin Silinmesi İşlemi
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine
kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimizce, silinen kişisel verilerin ilgili
kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler
alınmaktadır.
Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel
veri için ilgili kullanıcıların tespit edilmesi.
İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve
yöntemlerinin tespit edilmesi.
İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar
kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.
Kişisel Verilerin Silinmesi Yöntemleri Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden
kayıt ortamlarına uygun yöntemlerle silinmektedir.
Kişisel Verilerin Yok Edilmesi
Kişisel Verilerin Yok Edilmesi İşlemi
Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine
kişisel verileri yok edebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir
şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel
verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin
bulunduğu sistemler yok edilir.
Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel Verilerin Anonimleştirilmesi İşlemi
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Şirketimiz,
hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında
kişisel verileri anonimleştirebilmektedir. Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından
geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet
alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemez hale getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir. Şirketimiz,
kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. KVK
Kanunu’nun 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler araştırma,
planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kişisel verileri koruma Kanunu
kapsamı dışında olup, kişisel veri sahibinin açık rızasıaranmayacaktır.
Kişisel Verilerin Anonimleştirilmesi Yöntemleri
Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak
ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya
kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde
kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret
etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin
tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki
kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme,
rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale
getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir
kişiyi tanımlayamaz olması gerekmektedir.
ÇEREZLER VE BENZERİ TEKNOLOJİLER
Şirketimize ait internet sitelerine, elektronik platformlara, uygulamalara veya Şirket tarafından
gönderilen elektronik posta iletilerine veya reklamlara erişim sırasında, kullanıcıların bilgisayarına,
cep telefonuna, tabletine veya kullanılan diğer cihazlara belirli verilerin kaydedilmesi ve toplanmasını
sağlayan küçük veri dosyaları yerleştirilebilmektedir. Bilgisayar ve diğer cihazlara yerleştirilen bu veri
dosyaları, çerez, piksel tag, flashcookies ve web işaretçileri olabileceği gibi, veri depolama amaçlı
benzeri diğer teknolojiler de olabilecektir.
İşbu Politika’da Şirket tarafından kullanılabilecek çerez ve benzeri teknolojileri ifade etmek
üzere “çerez” ifadesi kullanılmaktadır. Çerezler aracılığı ile kişisel veri toplanması mümkün olmakla
birlikte, çerezler aracılığıyla toplanan her türlü veri kişisel veri niteliği taşımayabilecektir. Bu nedenle
çerezler aracılığıyla elde edilen verilerin ancak Türk hukuku çerçevesinde kişisel veri teşkil ettikleri
ölçüde, işbu Politika ve Kişisel verileri koruma Kanunu kapsamında değerlendirileceği dikkate
alınmalıdır.
ÇEREZ TÜRLERİ
Çerezler süre bakımından veya ait oldukları alan adına göre sınıflandırılabilmektedir. Çerezler, süre
bakımından sınıflandırılmaları durumunda, oturum çerezleri ve kalıcı çerezler olmak üzere ikiye
ayrılmaktadır. Oturum çerezleri, kullanıcının tarayıcıyı kapatması üzerine silinen çerezleri ifade
ederken, Kalıcı çerezler ise önceden belirlenen bir süre boyunca kullanıcının bilgisayarında/cihazında
kalan çerezlerdir. Çerezler ait oldukları alan adına (domain) göre sınıflandırılmaları durumunda ise
İlişkili taraf çerezi ve Üçüncü kişi çerezi olmak üzere ikiye ayrılır. Ziyaret edilen alan tarafından
yerleştirilen çerezler ilişkili taraf çerezleri olarak adlandırılırken, ziyaret edilen farklı bir alan
tarafından yerleştirilen çerezler ise üçüncü kişi çerezi olarak ifade edilmektedir. Ziyaret edilen alan
dışındaki kişilerin, ziyaret edilen alan üzerinden kullanıcı cihazına çerez yerleştirmeleri durumunda
üçüncü kişi çerezi söz konusudur.
ÇEREZLERİN KULLANIM AMAÇLARI
Şirket, internet sitelerinde, platformlarında, uygulamalarında, reklam ve iletilerinde kullandığı
çerezlerden, aşağıda belirtilen amaçlar ile faydalanabilmektedir.
Operasyonel amaçlı kullanımlar: Şirket internet sitesi, platform, uygulama ve hizmetlerinin idaresi ve
güvenliği için gerekli gördüğümüz çerezleri kullanabiliriz. Operasyonel amaçlar için kullanılan
çerezlere örnek olarak, internet sitesi, uygulama ve platformlarda yer alan fonksiyonlardan
yararlanılmasına olanak tanıyan teknolojiler ile bu mecralardaki düzensiz davranışları tespit etmek
için kullanılan çerezler gösterilebilir.
İşlevselliğe yönelik kullanımlar: Şirket internet sitesi, platform, uygulama ve hizmetlerinin
kullanımını kolaylaştırmak ve bunları kullanıcılar için özelleştirmek amacıyla çerez kullanabilecektir.
İşlevsellik amacıyla kullanan çerezlere, kullanıcı bilgilerini ve tercihlerini hatırlamamızı
sağlayan teknolojiler örnek gösterilebilir.
Performansa yönelik kullanımlar: Şirket internet sitesi, uygulama, platform ve hizmetlerine ilişkin
performansın artırılması ve ölçülmesi amacıyla da çerez kullanabilmektedir. Bu amaçla kullanılan
çerezlere örnek olarak, kullanıcıların Şirket internet sitesi, uygulama, platform ve hizmetlerini nasıl
kullandığını anlamamızı ve kullanıcı davranışlarını analiz etmemizi sağlayan çerezler ile gönderdiğimiz
iletiler ile etkileşime geçilip geçilmediğini anlamamıza imkân veren teknolojiler gösterilebilir.
Reklam amaçlı kullanımlar: Şirket’e veya üçüncü kişilere ait internet sitesi, platform ve uygulamalar
üzerinden, kullanıcıların ilgi alanlarına yönelik reklam ve benzeri içerikleri iletmek amacı ile ilişkili
taraf çerezleri ve üçüncü kişi çerezleri kullanabiliriz. Reklam amaçlı kullanımlara örnek olarak,
reklamların etkinliğini ölçen çerezler ile belirli bir reklama tıklanıp tıklanmadığını veya reklamın kaç
kere görüntülendiğini gösteren çerezler gösterilebilir.
ÇEREZLERİ REDDETME VE SİLME
Çoğu tarayıcı çerez kullanımına izin vermekle birlikte, kullanıcılar diledikleri zaman tarayıcı ayarlarını
değiştirerek çerezleri reddedebilir veya silebilir. Ayarların değiştirilmesi yöntemi kullanılan tarayıcıya
göre değişmekte olup, çerezlerin nasıl devre dışı bırakılabileceğinin kullanılan arayıcıya ilişkin hizmet
sağlayıcıdan öğrenilmesi gerekmektedir. Çerezlerin devre dışı bırakılması durumunda Şirket internet
sitesi, uygulama, platform ve hizmetlerinin bazı özelliklerinden yararlanılamaması söz konusu
olabilecektir.
YETKİLİ HİZMET SAĞLAYICILAR
Şirket internet sitesi, platform ve uygulamaları ile hizmetlerinin yürütülmesi ve tanıtımı için
yetkilendirdiğimiz bazı hizmet sağlayıcılardan yardım alabiliriz. Bu hizmet sağlayıcılarda kullanıcıların
bilgisayarına/cihazına çerezler ve benzeri teknolojiler (üçüncü kişi çerezleri) yerleştirebilecek ve
kullanıcı cihazını tespit etmeye yönelik IP adresi, benzersiz tanımlayıcı (uniqueidentifier) ve cihaz
tanımlayıcı gibi bilgileri toplayabilecektir.
ÜÇÜNCÜ KİŞİLERE AİT SİTE, ÜRÜN VE HİZMETLER
Şirket internet siteleri, platform ve uygulamaları, üçüncü kişilere ait internet sitesi, ürün ve
hizmetlere ilişkin linkler içerebilir. Söz konusu linkler, üçüncü kişilere ait gizlilik politikalarına tabi
olup, üçüncü kişiler ve üçüncü kişilere ait sitelerin Şirket’ten bağımsız olduğu ve Şirket’in üçün
kişilerin gizlilik uygulamalarından sorumlu olmadığının farkında olunmalıdır. Link verilen internet
sitelerinin ziyaret edilmesi durumunda, bu sitelere ait gizlilik politikalarının okunmasını tavsiye
etmekteyiz.
İLGİLİ KİŞİLERİN HAKLARI İLGİLİ KİŞİLERİN HAKLARININ KAPSAMI VE BU HAKLARIN KULLANILMASI
İlgili Kişilerin Hakları
Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok
edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.
İlgili Kişilerin Haklarını Kullanması
İlgili Kişilerin KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını
kullanmakla ilgili taleplerini, internet sitemizdeki başvuru formu aracılığıyla ve orada gösterilen
yöntemlerle şirketimize iletmesi gereklidir .Başvuruda; Ad-Soyada ve başvuru yazılı ise imza, T.C.
vatandaşları için T.C. Kimlik Numarası, yabancıları için uyruğu, pasaport numarası veya varsa kimlik
numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi,
telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgelerde
başvuruya eklenir. Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün
değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak
kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname
bulunmalıdır. Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak
için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep
ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası
adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi,
başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin
eklenmesi gerekmektedir. Veri sahiplerine ilişkin başvuru formu, Şirketimizin e-yonetici.com.tr
adresinde bulunmaktadır.
Başvurulara Cevap Verilmesi
Kişisel veri sahibinin, talebini öngörülen usule uygun olarak Şirketimize iletmesi durumunda
Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak
sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından
başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Şirketimiz, başvuruda
bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.
Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri
sahibine başvurusu ile ilgili soru yöneltebilir.
KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ
SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari
tedbirler almaktadır. Bu kapsamda, Şirketimiz kapsamında VERBİS sistemine uyumlu Veri Envanteri
çıkarılmakta burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.
Şirketimizin ilgili kişilere ait aydınlatma yükümlülüğünün eksiksiz olarak ve doğru biçimde yerine
getirilebilmesi için her bir ilgili kişi grubuna “Aydınlatma Metinleri” hazırlanmış bulunmaktadır.
Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi
konusunda bilgilendirilmektedir.
Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek,
bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme
faaliyetleri ortaya konulmaktadır.
Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı
Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan
gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve
kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama
yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve
denetimler yürütülmektedir.
Şirketimiz ile Şirketimizin sorumlu olduğu verileri işleyen üçüncü taraflar arasındaki hukuki ilişkiyi
yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel
verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu
konuda “Üçüncü Taraflarla Gizlilik Ve Kişisel Verilerin Korunmasına İlişkin” ek Gizlik protokolleri
imzalanmaktadır.
ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİNDE ALINAN TEKNİK VE İDARİ TEDBİRLER
Kişisel verileri koruma Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek,
vakıf ya da sendika üyeliği, kan grubu, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili veriler ile biyometrik ve genetik verilerdir. Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli
olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında
hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için
alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli
denetimler sağlanmaktadır.
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı
yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,
gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve
süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan yada
işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından
kendisine tahsis edilen envanter iade alınmaktadır.
Verilere bir yazılım aracılığı ile erişilmesi durumunda bu yazılıma ait kullanıcı yetkilendirmeleri
yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına
alınmaktadır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistem
sağlanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,
özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik
kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu ortamların fiziksel güvenliği
sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak
kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması
sağlanmaktadır. Özel verilerin, farklı fiziksel ortamlardaki sunucular arasında aktarma
gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımı
gerçekleştirilmektedir. Özel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması,
kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve
evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK VE İDARİ
TEDBİRLER
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını
veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır.
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler Şirketimiz tarafından
kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda
sıralanmaktadır:
Siber Güvenliğin Sağlanması Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik
ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır. Güvenlik duvarı ve ağ
geçidi gibi tedbirler alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır.
Siber Saldırı Politikası ve Ağ Yönetimi Politikası uygulanmaktadır
Yazılım güncellemeleri Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların
düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının
düzenli olarak kontrol edilmesi sağlanmaktadır. Değişim yönetim politikası uygulanmaktadır
Erişim Sınırlamaları Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda
çalışanlara, yapmakta oldukları iş ve görev yetki ve sorumlulukları için gerekli olduğu ölçüde
erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim
sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay
tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden
oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve
kontrol matrisi oluşturulmaktadır. Erişim yetki politikasına ve Ağ Erişim politikasına uygun
yapılmaktadır.
Şifreleme Güçlü şifre ve parola kullanımının yanı sıra, şifre girişi deneme sayısının
sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici
hesabı ve yönetim yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri
sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da
girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır. Bu kapsamda Şifre
Güvenliği Politikası uygulanmaktadır.
Anti Virüs Yazılımları Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli
olarak tarayan ve tehlikeleri tespit eden anti virüs, antispam gibi ürünler kullanılmakta, ayrıca
bunlar güncel tutularak gereken dosyalar düzenli olarak taranmaktadır. Farklı İnternet siteleri
ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da
daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır. Antivirüs politikası ve Zararlı
yazılımlardan korunma politikası uygulanmaktadır.
İnternet Erişim Yetkisi İnternetin uygun olmayan kullanımı, kurumun yasal
kümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenmeyen sonuçlara neden
olabilir. Bilerek yada bilmeyerek bu türden olumsuzluklara neden olunmaması ve internetin
kurallarına, etiğe ve yasalara uygun kullanımının sağlanması için İnternet Erişim Politikası
Uygulanmaktadır.
Kişisel Veri Güvenliğinin Takibi
1. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
2. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtlarıgibi)
3. Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
4. Gerçekleştirilmekte, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları
kullanan tehditleri bildirmesi için Olay ihlal prosedürü oluşturulmaktadır.
Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi,
gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda
deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda yada kâğıt ortamında saklanıyor
ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik
önlemleri alınmaktadır. Şirketimiz tarafından uygulamalar Fiziksel Ortam Güvenliği politikasına uygun
yapılmaktadır.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında
erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır. Erişim Yetkilendirme
politikası uygulanmaktadır.
Aynı seviyedeki önlemler Şirket yerleşkesi dışında yer alan ve Şirkete ait kişisel veri içeren kâğıt
ortamları, elektronik ortam ve cihazlar (dizüstü bilgisayar, cep telefonu, flaş bellekler) için de
alınmaktadır. Elektronik postaya da posta ile aktarılacak kişisel verilerinde dikkatli bir şekilde ve
yeterli tedbirler alınarak gönderilmektedir. Şirketimizde E-Posta Politikası uygulanmaktadır.
Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol
yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu
kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim
önlenmektedir.
Kişisel veri içeren kâğıt ortamındaki evraklarda kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği
ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir. Ayrıca kişisel veri
barındıran çalışma alanlarında Temiz masa temiz ekran politikası uygulanmaktadır.
Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulutta depolanması uygulamalarına da gerektiğinde başvurulabilmektedir. Bu
durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve
uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, KVK
Kurulunun rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.
Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili
ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.
Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi
hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır.
Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ
dışında tutulmaktadır.
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek içinAlınan İdari Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari
tedbirler aşağıda sıralanmaktadır:
Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler
konusunda bilgilendirilmekte ve eğitilmektedir.
Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına
açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden
ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda
kendilerinden gerekli taahhütler alınmaktadır.
Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler
kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte,
geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya
çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
Kişisel veriler, doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli
olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini
yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının
değerlendirilmekte ve ihtiyaç duyulmayan kişisel verileri kişisel veri saklama ve imha politikası ile
silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Veri İşleyenler ile İlişkilerin Yönetimi:
Şirket BT ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu
veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini
sağlandığından emin olarak işlem yapılmaktadır. Bu kapsamda, veri işleyen ile imzalanan
sözleşmelere kişisel verilerin ile ilgili koruyucu düzenlemeler getirilmektedir.
KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini,
kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre
gerekli teknik ve idari tedbirleri almaktadır.
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler
aşağıda sıralanmaktadır:
1. Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler
kullanılmaktadır.
2. Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler
periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk
teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
3. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm
gerekli altyapılar kullanılmaktadır.
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler
aşağıda sıralanmaktadır:
1. Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda
bilgilendirilmektedirler.
2. Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle
dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili
firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması
amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlanacağına ilişkin hükümlere yer verilmektedir.
EĞİTİM
Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve prosedürleri KVKK
Düzenlemeleri kapsamında gerekli eğitimleri verilmektedir.
Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimizilgili
çalışanına bu erişimler özelinde Bilgi güvenliği politikaları eğitim verilmektedir.
Ayrıca iş alım süreçlerinde Oryantasyon Eğitimleri verilmektedir.
DENETİM
İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması Ve
Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini
önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine
gerekli bildirimlerin yapılmasını sağlamaktadır.
İş Ortakları Ve Tedarikçilerin Kişisel Verilerin Korunması Ve İşlenmesi Konusundaki
Farkındalıklarının Arttırılması Ve Denetimi
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak
erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş
ortaklarına gerekli bilgilendirmeler Aydınlatma yükümlülükleri ile yapılmaktadır. Ayrıca sözleşmelerde
gizlilik taahhütleri alınmaktadır.
İHLALLER
Şirketin her bir çalışanı, KVKK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve
esaslara aykırı olduğunu düşündüğü iş ,işlem yahut eylemi ilgili İrtibat kişisini bilgilendirir. rİ
tibat kişisi,
Olay ihlalin içeriğine göre Olay ihlal prosedürü kapsamında işlem yapar. Yapılan bilgilendirmeler
sonucunda İrtibat Kişisi KVKK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki
mevzuat hükümlerini dikkate alarak ihlale ilişkin Kurum’a yapılacak bildirimi hazırlar. Ve yazışmaları
ve iletişimi yürütür.
SORUMLULUKLAR
Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri Sorumlusu Temsilcisi olan irtibat
kişisi seklindedir. Bu kapsamda; Politikanın uygulanmasından sorumlu İrtibat Kişisi Şirket
yönetim kurulu tarafından yönetim kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan
yolla yapılır.
POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir. Şirket, Politika
üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e- posta yolu ile
çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine
sunar.
llgili web adresi: e-yonetici.com.tr
POLİTİKANIN YÜRÜRLÜK TARİHİ Kişisel Verilerin Korunması ve İşlenmesi Politikasının işbu
versiyonu 10.09.2021 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.