KİŞİSEL VERİLERİ KORUMA VE GİZLİLİK POLİTİKASI

KİŞİSEL VERİLERİN KORUNMASININ ÖNEMİ

Kişisel verilerin korunması, Anayasal bir hak olup, Şirketimizin öncelikleri kapsamında yer almaktadır.

Nitekim bu amaçla, Şirketimizde devamlı olarak güncellenen bir sistem kurulması amaçlanmış ve iş bu

politika oluşturulmuştur.

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Veri Sorumlusu sıfatıyla, E-YÖNETİCİ

PROFESYONEL PROJE YÖNETİMİ’nin ‘’Bundan sonra ŞİRKET olarak anılacaktır’’, Aydınlatma

Yükümlülüğünü yerine getirmek ve Şirketimiz kişisel veri işleme kurallarının temel esaslarını

belirlemek üzere işbu Politika yapılmakta ve bu kapsamda mevcut müşterilerimizin, potansiyel

müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, tedarikçi/alt işveren çalışanlarının ve

yetkililerinin, şirket hissedarlarımızın ve şirket ortaklarımızın, iş ortaklarımızın, ziyaretçilerimizin ve

diğer verisini işlediğimiz üçüncü kişilerin kişisel verilerinin korunması konusundaki temel esaslar

düzenlenmektedir.

POLİTİKANIN AMACI

Bu Politikanın temel amacı, ŞİRKET tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme

faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri

şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.

KAPSAM

Bu Politika; “mevcut müşterilerimiz ,potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız,

tedarikçi/alt işveren çalışanları ve yetkilileri, şirket hissedarlarımız ve şirket ortaklarımız, iş

ortaklıklarımız, ziyaretçilerimiz ve diğer verisini işlediğimiz üçüncü kişiler” başlıkları altında kategorize

ettiğimiz kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla

otomatik olmayan yollarla işlediğimiz tüm kişisel verilerine ilişkin bilgileri kapsamaktadır.

POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler

öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk

bulunması durumunda, ŞİRKET yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

ERİŞİM VE GÜNCELLEME

Politika Şirketimiz internet sitesinde e-yonetici.com.tr yayımlanır ve kişisel veri sahiplerinin talebi

üzerine ilgili kişilerin erişimine sunulur ve gerektiğinde güncellenir.

KİŞİSEL VERİLERİN İŞLENMESİ

• Şirketimiz, Anayasa’nın 20.maddesine ve KVK Kanunu’nun 4.maddesine uygun olarak, kişisel

verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde

güncel; belirli, açık ve meşru amaçlar doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir

biçimde kişisel veri işleme faaliyetinde bulunmaktadır.

• Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel

verileri saklamaktadır.

• Şirketimiz, Anayasa’nın 20.ve KVK Kanunu’nun 5.maddesi gereğince, kişisel verileri, kişisel

verilerin işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı

olarak işlemektedir.

• Şirketimiz, Borçlar Kanunu’nun 419.maddesi gereğince, 6698 sayılı KVK Kanunu saklı kalmak

kaydıyla, çalışanların ve çalışan adaylarının kişisel verilerini, işe yatkınlık ve iş sözleşmesinin ifası

amaçlarına dayalı olarak işlemektedir.

• Şirketimiz, Kat Mülkiyeti Kanunu gereğince,6698 sayılı Kişisel Verileri Koruma Kanunu saklı

kalmak kaydıyla, hizmet verdiği kat malikleri ve kiracıların kişisel verilerini, hizmet sözleşmesinin

ifası amaçlarına dayalı olarak işlemektedir.

• Şirketimiz, Anayasa’nın 20. Maddesi ve Kişisel Verileri Koruma Kanun’un 10.maddelerine uygun

olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri ve

kanundan doğan haklarını kullanmak üzere başvurmaları durumunda gerekli bilgilendirmeyi

yapmakta, başvurulara yasal süresi içinde yanıt vermektedir.

• Şirketimiz Kişisel Verileri Koruma Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel

verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.

• Şirketimiz, Kişisel verileri koruma Kanunu’nun 8.ve 9.maddelerine uygun olarak, kişisel verilerin

aktarılması konusunda kanunda öngörülen kurallara uymakta ve KVK Kurulu tarafından alınan

karar ve yayınlanan tebliğler ile güvenli ülke listelerini dikkate alarak uygulama yapmaktadır.

KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKE VE KURALLARA UYGUN OLARAK İŞLENMESİ

Kişisel Verilerin İşlenmesi İlkeleri

Hukuka ve Dürüstlük Kuralına Uygun İşleme;

Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile dürüstlük

kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesini gerektirecek

hukuksal dayanakları tespit ederek işlem yapmakta, ölçülülük gerekliliklerini dikkate almakta, kişisel

verileri amacın gerektirdiği dışında kullanmamakta, kişilerin bilgisi dışında işleme faaliyeti

yapmamaktadır.

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

ŞİRKET kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlemekte,

kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu

kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmaktadır. Özellikle müşteri ve

potansiyel müşteri verileri özenle güncellenmekte, kişilere rızalarına aykırı biçimde pazarlama ve

tanıtım amaçlı eposta ve teklifler gönderilmemektedir.

Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak

belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli

olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi

belirlenmekte ve “Kişisel Veri Envanteri”ne de işlenmektedir.

İşlendikleri Amaçla Bağlantılı, Sınırlı v e Ölçülü Olma

Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte

ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden

kaçınmaktadır. Bu kapsamda süreçler sürekli gözden geçirilmekte, Kişisel Verilerin Azaltılması

İlkesi hayata geçirilmeye çalışılmaktadır.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre

kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin

saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye

uygun davranmakta, bu kapsamda hukuk ve ceza zaman aşımı sürelerini dikkate almakta ve kişisel

verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini

gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin “Kişisel Verileri Saklama ve

İmha” politikasına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Genel Nitelikli Kişisel Verilerin İşlenmesi

Kişisel verilerin korunması Anayasal bir hak olup, Anayasa'nın20.maddesinin üçüncü fıkrası gereğince,

kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir.

Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası

aranmaksızın kişisel verileri işlenmektedir;

1. Kanunlarda açıkça ön görülmesi,

2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki

geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün

korunması için zorunlu olması

3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin

taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,

6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun

meşru menfaatleri için veri işlenmesinin zorunlu olması

Yukarıdaki şartların bulunmaması halinde Şirketimizce ilgilinin açık, özgür iradeye ve bilgilendirmeye

dayalı rızasına başvurulmaktadır.

Özel Nitelikli Kişisel Verilerin İşlenmesi Kuralları

Şirketimiz tarafından, Kişisel Verileri Koruma Kanunu ile “özel nitelikli” olarak belirlenen kişisel

verilerin işlenmesinde, Kişisel Verileri Koruma Kanunu’nda öngörülen düzenlemelere uygun

davranılmaktadır. Kişisel Verileri Koruma Kanunu’nun 6.maddesinde, hukuka aykırı olarak

işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri

“özel nitelikli” olarak belirlenmiş olup, bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi

gerekmektedir. Bunlar; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,

kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik

tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kişisel Verileri Koruma Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler,

gerekli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: Kişisel veri sahibinin sağlığı

ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya kişisel veri

sahibinin açık rızası var ise buna dayalı olarak, Kişisel veri sahibinin sağlığına ilişkin özel nitelikli kişisel

veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedaviye bakım

hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır

saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından veya kişisel

veri sahibinin açık rızası ile işlenmektedir. Hangi nedene dayanırsa dayansın, işleme süreçlerinde

daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

Verisi İşlenen İlgili Kişilerin Aydınlatılması ve Bilgilendirilmesi

Şirketimiz, Kişisel Verileri Koruma Kanunu’nun 10.maddesine uygun olarak, kişisel verilerin elde

edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda

• Verisi işlenen ilgili kişiye kişisel verilerin hangi amaçla işleneceği,

• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebebi ile

• Kişisel verisi işlenen ilgili kişinin hakları konusunda aydınlatma yapılmaktadır.

Yine, Kişisel Verileri Koruma Kanunu’nun 11.maddesinde kişisel verisi işlenen ilgili kişinin hakları

arasında “Bilgi Talep Etme” de sayılmış olup, Şirketimiz bu kapsamda, Anayasa’nın 20.ve Kişisel

Verileri Koruma Kanunu’nun 11. maddelerine uygun olarak kişisel verisi işlenen ilgili kişinin bilgi talep

etmesi durumunda gerekli bilgilendirme yapılmaktadır. Aynı zamanda e-yonetici.com.tr internet

sitemizde aydınlatma yükümlülüğü yayınlanmış olup, bilgilendirme detayları mevcuttur.

KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini

alarak kişisel verisi işlenen ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere

aktarabilmektedir. Şirketimiz bu doğrultuda Kişisel Verileri Koruma Kanunu’nun 8.maddesinde

öngörülen düzenlemelere uygun hareket etmektedir.

Kişisel Verilerin Aktarılma Esasları

Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun

5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel

verileri üçüncü kişilere aktarabilmektedir:

• Kişisel verisi işlenen ilgili kişinin açık rızası var ise buna dayalı olarak veya

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise

ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına

hukuki geçerlilik tanınmıyorsa;

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin

taraflarına ait kişisel verinin aktarılması gerekli ise,

• Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

• Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,

• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

• Kişisel verisi işlenen ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,

Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu ise aktarılmaktadır.

Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate

alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

Özel Nitelikli Kişisel Verilerin Aktarılması

Şirketimiz gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kişisel Verileri Koruma

Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme

amaçları doğrultusunda kişisel verisi işlenen ilgili kişinin özel nitelikli verilerini aşağıdaki durumlarda

üçüncü kişilere aktarabilmektedir. İlgili kişinin

• Açık rızası var ise buna dayalı olarak veya ilgili kişinin açık rızası yok ise;

• Kişisel ilgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken,

siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da

sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik

verilerdir), kanunlarda öngörülen hallerde,

• İlgili kişinin sağlığına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının

korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık

hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında

bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Hangi nedene dayanırsa dayansın, aktarım süreçlerinde daima genel veri işleme ilkeleri dikkate

alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

Kişisel Verilerin Yurtdışına Aktarılması

Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak

işlediği kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimiz

tarafından kişisel veriler; Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan

edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması

durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak

taahhüt ettiği ve Kişisel verileri koruma Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli

Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır.

Şirketimiz bu doğrultuda Kişisel verileri koruma Kanunu’nun 9. maddesinde öngörülen düzenlemelere

uygun hareket etmektedir. Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları

doğrultusunda kişisel verisi işlenen ilgili kişinin açık rızası var ise veya kişisel verisi işlenen ilgili kişinin

açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip

veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere

aktarabilmektedir:

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

• Kişisel verisi işlenen ilgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için

zorunlu ise ve

• Kişisel verisi işlenen ilgili kişi fiili imkânsızlık nedeniyle rızasını

açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin

taraflarına ait kişisel verinin aktarılması gerekli ise,

• Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

• Kişisel veriler, ilgili kişinin kendisi tarafından alenileştirilmiş ise,

• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya

• Korunması için zorunlu ise,

• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru

menfaatler için kişisel veri aktarımı zorunlu ise

Şirketimiz Tarafından Kişisel Verilerin Aktarılma Amaçları ve Aktarma Yapılan Kişi Kategorileri

Veri Aktarım Amaçları

Şirketimizin faaliyet ve kuruluş amaçlarının yerine getirilmesini sağlamak, Şirketimizin tedarikçiden

dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli

hizmetlerin Şirketimize sunulmasını sağlamak, Şirketimizin insan kaynakları ve istihdam politikalarının

yürütülmesini sağlamak, Şirketimizin iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine

getirilmesi ve gerekli tedbirlerin alınmasını sağlamak gibi amaçlarla veri aktarımı

gerçekleştirilmektedir.

Verilerin Aktarıldığı Kişiler

Şirketimiz Kişisel Verileri Koruma Kanunu’nun 8. ve 9. maddelerine uygun olarak kişisel verileri

aşağıda belirtilen kişi kategorilerine aktarılabilir:

• Yetkili Kamu Kuruluşları : Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve

kuruluşlarına İlgili mevzuat hükümlerine göre

• Yetkili Özel Hukuk Kişilerine : Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerine

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

• Hissedar : Şirketimiz hissedarlarına Şirketimizin ticari faaliyetlerine ilişkin stratejilerin

tasarlanması ve denetim amaçları ile sınırlı olarak

• Tedarikçi : Şirketimizin ticari faaliyetlerini yürütürken şirketimize hizmet sunan tarafların

Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine

getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak

• İş Ortaklarımıza : Şirketimizin ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı

kurduğu taraflar İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla

sınırlı olarak.

Şirketimiz tarafından gerçekleştirilen aktarımlarda iş bu Politika’da düzenlenmiş ilkeve kurallara

uygun olarak hareket edilmektedir.

ALINAN KİŞİSEL VERİ KATEGORİLERİ

Şirketimizde verisi işlenen kişiler ve bu kapsamda işlenen veriler aşağıdaki şekilde kategorize

edilmektedir.

Veri

Kategorisi

Kişisel Veri Açıklama

İlgiliKişisel Veri İçerisine Giren

Kişisel Veri Tipleri

Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt systemi içerisinde yer alan, ehliyet,

nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği,

evlilik cüzdanı gibi dokümanlarda yer alan bilgiler

TCKN, pasaport no., nüfus cüzdanı seri no, ad-

soyad, fotoğraf, doğum yeri, doğum tarihi, yaş,

nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı

örneği, imza

İletişim

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, kişiyle

iletişim kurulması amacıyla kullanılan bilgiler

E-mail adresi, telefon numarası, cep numarası,

telefon, adres v.b.

Lokasyon

Verisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, veri

sahibinin konumunu tespit etmeye yarayan veriler

E-mail adresi, telefon numarası, cep numarası,

konum verisi, adres vb.

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, veri

sahibinin konumunu tespit etmeye yarayan veriler

Şirket araçlarının kullanımı sırasında edinilen

lokasyon verileri

Aile

Bireyleri ve

Yakın Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, ilgili

şirket ve veri sahibinin hukuki menfaatlerini korumak

amacıyla işlenen kişisel veri sahibinin aile bireyleri ve

yakınları hakkındaki bilgiler

Kişisel veri sahibinin çocukları, eşleri ile ilgili

kimlik bilgisi, iletişim bilgisi ve profesyonel,

eğitim bilgileri v.b.bilgiler

Müşteri

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, ürün ve

hizmetlerimizden faydalanan müşterilere ait bilgiler

Müşteri no, meslekbilgisi, v.b.

Müşteri

İşlem Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, ürün ve

hizmetlerimizden faydalanan müşteriler tarafından

gerçekleştirilen her türlü işleme ilişkin bilgiler

Talep ve talimatlar, sipariş ve sepet bilgileri, v.b.

Fiziksel

Mekan

Güvenlik

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, fiziksel

mekana girişte, fiziksel mekanın bilgileri

Giriş çıkış logları, ziyaret bilgileri, kamera kayıtlar

v.b.

İşlem

Güvenliği

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan,

Şirketimiz ve ilgili tarafların teknik, idari, hukuki ve ticari

güvenliğini sağlamak amacıyla işlenen kişisel veriler

Kişisel veri sahibiyle ilişkilendirilen işlem ile o

kişiyi eşleştirmeye ve kişinin o işlemi yapmaya

yetkili olduğunu gösteren bilgiler (örn.Internet

sitesi şifre ve parola bilgileri)

Risk

Yönetmi

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan,

Şirketimizin ticari, teknik ve idari risklerini yönetebilmek

için işlenen kişisel veriler

IP adresi, Mac ID vb. kayıtlar

Veri

Kategorisi

Kişisel Veri Açıklama

İlgili Kişisel Veri İçerisine Giren

Kişisel Veri Tipleri

Finansal

Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, kişisel veri

sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her

türlü finansal sonucu gösteren bilgi, belge ve kayıtlar

kapsamındaki kişisel veriler

Veri sahibinin yapmış olduğu işlemlerin

finansal sonucunu gösteren bilgiler,

kredi kartı borcu, kredi tutarı, kredi

ödemeleri, ödenecek faiz tutarı ve

oranı,borç bakiyesi, alacak bakiyesi v.b.

Özlük Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan,çalışanların

özlük haklarının oluşmasına teme olan kişisel veriler

Kanunen özlük dosyasına girmesi

gereken her türlü bilgi ve belge (örn.

Maaş miktarı, SGK pirimleri, bordrolar

v.b.)

Çalışan

Adayı Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, Şirketimiz

nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri

sahiplerine ait, başvuru değerlendirme sürecinde kullanılan

kişisel veriler

Özgeçmiş, mülakat notları, kişilik

testleri sonuçları v.b.

Çalışan

İşlem Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan,çalışanların

veya isle ilgili gerçekleştirdiği her türlü işleme ilişkin kişisel

veriler

İşe giriş-çıkış kayıtları, iş

seyahatleri, katıldığı toplantılara ilişkin

bilgiler,güvenlik sorgusu, mail trafikleri

izleme bilgisi, araç kullanım bilgisi,

şirket kredi kartı harcama bilgisi v.b.

Çalışan

Performans

ve Kariyer

Gelişim

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, çalışanların

performanslarının ölçülmesi ve kariyer gelişimlerinin insan

kaynakları politikaları kapsamında planlanması ve

yürütülmesi amacıyla işlenen kişisel veriler

Performans değerlendirme raporları

, mülakat sonuçları, kariyer gelişimine

yönelik eğitimler v.b.

Yan Haklar

Menfaatler

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, çalışanlara

sunulan yan hak ve menfaatlerin planlanması ve çalışanların

bunlardan faydalandırılmasına yönelik işlenen kişisel veriler

Özel sağlık sigortası, araç tahsisi v.b.

Pazarlama

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, Şirketimizin

tarafından pazarlama faaliyetlerinde kullanılacak veriler

Pazarlama amcıyla kullanılmak üzere

toplanan kişinin alışkanlıkları,

beğenilerini gösteren raporlar ve

değerlendirmeler, hedefleme bilgileri,

cookie kayıtları, veri zengileştirme

faaliyetleri, v.b.

Hukuki

İşlem ve

UyumBilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olanve veri kayıt sistemi içerisinde yer alan, hukuki

alacak ve hakların tespiti ve takibi ile borç ve kanuni

yükümlülüklerini fası amacıyla işlenen kişiselveriler

Mahkeme ve idari merci kararları gibi

belgelerde yer alan veriler

Denetim ve

Teftiş Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu

açık olan ve veri kayıt sistemi içerisinde yer alan, Şirketimizin

kanuni yükümlülükleri ve şirket politikalarına uyumu

kapsamında işlenen kişisel veriler

Denetim ve teftiş raporları, ilgili

görüşme kayıtları ve benzeri kayıtlar

Veri

Kategorisi

Kişisel Veri Açıklama

İlgili Kişisel Veri İçerisine Giren

Kişisel Veri Tipleri

Özel

Nitelikli

Kişisel Veri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık

olan ve veri kayıt sistemi içerisinde yer alan, kişilerin ırkı, etnik

kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer

inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, kan

grubu, sağlığı,cinsel hayatı,ceza mahkûmiyeti ve güvenlik

tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Irk, etnik köken, siyasi düşünce,

felsefi inanç, din, mezhep veya

diğer inanç, kılık ve kıyafet, dernek,

vakıf ya da sendika üyelik

bilgisi,sağlık ve cinsel hayat ile ilgili

veriler, ceza mahkûmiyeti

ve güvenlik tedbirleriyle ilgili veriler,

biyometrik veriler, genetik veriler

Talep /

Şikayet

Yönetimi

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık

olan veveri kayıt sistemi içerisinde yer alan, Şirketimiz’e

yöneltilmiş olan her

türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin

kişisel veriler

Şirketlere yönelik her türlü talep ve

şikayetler, bunlarla ilgili kayıt ve

raporlar

İtibar

Yönetimi

Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık

olan ve veri kayıt sistemi içerisinde yer alan, Şirketimizin

hissedarlarının, çalışanlarının,iş ortaklarının veya müşterilerinin

itibarını etkileme ihtimali bulunan kişisel veriler

Şirket ile ilgili sosyal medyada çıkan

olumsuz haberlerde yer alan kişisel

veriler vb bilgiler

Görsel ve

İşitsel Veri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık

olan ve veri kayıt sistemi içerisinde yer alan, kişisel veri sahibiyle

ilişkilendirilen görsel ve işitsel kayıtlar

Fotoğraflar,kamera kayıtları ve ses

kayıtları

Veri Kategorileri

KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ DAYANAKLARI VE AMAÇLARI KİŞİSEL VERİLERİN

İŞLENMESİNİN HUKUKİ DAYANAKLARI

Genel İlkeler: Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık

gösterse de her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4.maddesinde genel ilkelere

uygun olarak hareket edilmektedir. Buna göre; her türlü veri işlemesinde

• Hukuka ve dürüstlük kurallarına uygun olma,

• Doğru ve gerektiğinde güncel olma,

• Belirli, açık ve meşru amaçlar için işlenme,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar

muhafaza edilme genel ilkeleri göz önünde tutulmaktadır.

Hukuka Uygunluk Sebepleri

Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli

bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak

işlenebilecektir. Örneğin, Kimlik Bildirme Mevzuatı uyarınca Çalışanlarımızın kimliklerinin yetkili

mercilere bildirilmesi.

Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik

tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü

korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri

işlenebilecektir. Örneğin, baygınlık geçiren çalışanın kan grubu bilgisinin hekim ile paylaşılması.

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin

taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi

mümkündür. Örneğin, iş sözleşmesinin kurulması için adaydan CV alınması, sözleşme kapsamında

tebligat yapılabilmesi için adres alınması.

Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu

olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Asgari Geçim İndiriminden

Çalışanı yararlandırmak için, aile bilgisinin işlenmesi.

Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler

işlenebilecektir. Örneğin, Şirketimiz müşterilerinin internet üzerinde herkese açık bir platformda

şikâyet, talep veya önerilerini sunması halinde bu müşteriler ilgili bilgilerini alenileştirmiş olur. Bu

durumda Şirketimiz yetkilisi tarafından, şikâyet, talep veya önerilere cevap verme amacıyla sınırlı

olmak kaydıyla verilerin işlenmesi mümkündür.

Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin

kişisel verileri işlenebilecektir. Örneğin, ispat niteliği olan verilerin saklanması ve gerekli olduğu anda

kullanılması.

Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru

menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Örneğin, güvenlik kamerası ile hırsızlığa karşı veya iş güvenliği amacıyla kritik noktalarının izlenmesi.

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Hukuka Uygunluk Sebepleri

Şirketimiz tarafından özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, Kişisel

verileri koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak

kanunlarda öngörülen hallerde işlenebilir.

Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu

sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında

bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate

alınmakta ve bu ilkelere uygunluk sağlanmaktadır.

KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirketimiz 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddenin

Fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel

veriler işlemektedir.

Veri işleme sürecinde yukarıda belirtilen hukuki dayanaklar dikkate alınmakta, diğer hukuka uygunluk

sebepleri bulunmuyor ise ilgilinin rızası talep edilmektedir. Burada da 4.Madde kapsamında genel

ilkeler denetimi yapılmakta, her şeyden önce veri işleme faaliyetinin genel olarak hukuka uygunluk

ilkelerine uyumlu olması aranmaktadır.

İlgilinin rızası ise "açık, bilgilendirmeye ve özgür iradeye dayalı biçimde" alınmaktadır.

Kişisel verilerin işlenme amaçları ayrıca Şirketimizin “Kişisel Veri Envanteri”nde de belirtilmektedir.

Şirketimiz birimlerinde kişisel veriler özellikle aşağıdaki amaçlarla işlenmektedir.

İşveren olarak iş sözleşmesinden doğan karşılıklı yükümlülüklerin yerine getirebilmesi için

çalışanların kişisel verilerinin işlenmesi gerekmektedir. Çalışanların kişisel verileri; hukuka ve

dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar

doğrultusunda; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlenmekte ve saklanmaktadır. Bu

kapsamda, çalışanların kanunlara uygun olarak çalıştırılabilmesi için gerekli olan amaçlar

doğrultusunda, iş sözleşmesinin kurulması, ifası ve sona ermesi süreçlerinin hukuka uygun şekilde

yürütülmesi, temel hak ve özgürlüklere aykırı olmamak koşuluyla Şirketin meşru menfaatleri,

kanunda açık olarak öngörülen durumlar, çalışan istihdamına bağlı hukuki

yükümlülüklerin yerine getirilmesi, yasal takip durumlarında hakkın tesisi, kullanılması ve korunması

için veri işlemenin zorunlu olması durumları ve bunların dışında kalan durumlarda çalışanlardan talep

edilecek açık, bilgilendirmeye dayanan ve çalışanların özgür iradesi ile açıklayacağı rızası, kişisel veri

işlemesinin hukuki dayanaklarını oluşturmaktadır.

Şirketin iştigal konusunun gerektirdiği faaliyetler kapsamında, işverenin meşru menfaatleri

çalışanların kişisel verilerinin işlenmesini gerekli kılmaktadır. Nitekim, suistimallerin önlenmesi,

hırsızlığın engellenmesi, genel güvenlik veya iş sağlığı ve güvenliğinin sağlanması gibi nedenlerle

çalışanların kişisel verilerini işleme faaliyeti yapılabilmektedir. Ancak, bu durumda da çalışanların

temel hak ve özgürlüklerine zarar verilmemesine büyük bir özen gösterilmektedir. İşlenmekte

olan çalışanların kişisel verilerinin büyük bir çoğunluğu çalışanlar tarafından Şirkete verilen bilgilerden

elde edilmektedir. Yine bazı durumlarda, Şirket yöneticileri gibi iç kaynaklardan veya çalışanların

referanslarından veya çalışma hayatı gereklilikleri nedeniyle kamu kurum ve kuruluşları tarafından

tesis edilmiş olan sistemlerdeki verilerden de çalışanların kişisel verileri Şirkete gelebilmektedir.

İşlenmekte olan çalışanların kişisel verileri, başvuru formaları ve çalışanların referansları, iş

sözleşmeleri ve değişiklikleri, çalışanların iletişim bilgileri, bordro için gerekli olan bilgiler, acil

durumlarda iletişim kurulacak kişiler gibi aile veya yakın bilgileri, çalışanların eğitim kayıtları,

performans değerlendirme kayıtları, disiplin kayıtları, kamera kayıtları gibi bilgilerden oluşmaktadır.

Çalışanların kişisel bilgilerinin işlenmesi ile ilgili olarak, birçok Şirket politika ve prosedüründe kurallar

bulunmaktadır. İnsan Kaynakları birimi tarafından uygulanmaktadır. Çalışanların sağlık bilgileri de

işlenen kişisel veriler arasında yer almaktadır. Çalışanların sağlık ve cinsel hayatlarına ilişkin bilgiler

kural olarak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin

yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama

yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir. Bu

kapsamda, çalışanların sağlık verileri ve bunlarla ilgili detaylar kural olarak işyeri hekiminde ve sağlık

biriminde bulunmaktadır. “Çalışan” statüsüne geçildikten sonra (çalışan adaylığı kategorisinde talep

edilmemektedir) çalışanın sendikaya üye olması durumunda sendika üyeliği de yasal mevzuatın

gerekliliklerinin yapılabilmesi için kanunun açık hükümleri gereği işlenebilmektedir. Bunun dışında

çalışanların, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve

kıyafet ile biyometrik ve genetik verileri kural olarak kanunda açıkça öngörülmüş olmadığı sürece,

işlenen kişisel veriler arasında yer almamakta, istisnai bir uygulamaya gidilecek ise, kişisel veriler

işlenmeden önce gereklilikler özenle değerlendirilmektedir. Şirketin bilgi iletişim araçları (telefon,

mobil telefonlar, bilgisayarlar ve internet) üzerinde denetim ve gözetimleri söz konusudur. 5651 sayılı

Kanun ve Şirketimizin meşru menfaatleri söz konusu uygulamaların hukuki dayanaklarını

oluşturmaktadır. Şirketimiz araçlarında" güvenlik, araçların ve personelin daha etkili bir biçimde

yönetimi" gerekçeleriyle araç takip sistemi uygulanabilmektedir. Sözkonusu faaliyette şirketimizin

meşru menfaatlerine dayanmakla birlikte çalışanların temel hak ve özgürlüklerine zarar vermemek

kaydıyla gerçekleştirilmektedir. Şirketimizin insan kaynakları politikalarının yürütülmesinin

sağlanması amacı doğrultusunda; Şirketimizin insan kaynakları politikalarına uygun şekilde açık

pozisyonlara uygun personel temini, Şirketimizin insan kaynakları politikalarına uygun şekilde insan

kaynakları operasyonlarının yürütülmesi, çalışan adayı seçimi, özlük işlerinin yönetilmesi, eğitim ve

kariyer planlarının belirlenmesi, iş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi

ve gerekli tedbirlerin alınması kişisel verilerin işlenme amaçlarını oluşturmaktadır.

Tedarikçi/alt işveren çalışanlarının kişisel verileri de şirketimizce işlenebilmektedir. Nitekim 6331

sayılı Kanunda asıl işverene iş sağlığı ve güvenliği ile ilgili olarak başka işyerinden gelen çalışanlar ile

ilgili olarak kontrol edilmesi gereken belgeler ve bilgiler belirtilmiş bulunmaktadır. Aynı şekilde 4857

sayılı iş kanununda ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nda da alt işveren

işçileri ve geçici işçiler ile ilgili asıl işverene yükümlülükler getirilmiş ve bu kapsamda kontrol edilmesi

gereken hususlar belirtilmiştir. Buna göre tedarikçi ve başka işverene bağlı olarak işyerimizde çalışan

işçilerin kişisel verilerinin işlenmesi başta söz konusu yasal düzelmeler olmak üzere işletmemizin

meşru menfaatlerine dayanmaktadır.

Ürün veya Hizmet alan kişilerin, kişisel verileri de şirketimizce işlenebilmektedir. Gerek Kat Malikleri

Kanunu gerekse verilen hizmetin daha etkili bir biçimde yönetimi gerekçeleriyle söz konusu veri

işleme faaliyeti, şirketimizin meşru menfaatlerine dayanmakla birlikte müşterilerin / hizmet alan

vermemek kaydıyla gerçekleştirilmektedir. Müşteri/hizmet alanların profil yönetimi, satış, reklam,

pazarlama faaliyetlerinin yürütülmesi, şirketimizin faaliyet alanına giren entegre tesis yönetimini

içerir proje alanlarındaki faaliyetlerin sürdürülmesi, kat malikleri ve kiracılarla ilgili sözleşmeden

doğan faaliyetlerin sürdürülmesi (aidat toplanması, toplanan aidatların raporlanması, hukuki

takiplerin yapılması, bağımsız bölümlerdeki teknik arızalara müdahale edilmesi vs), proje

alanlarındaki güvenliğin sağlanması ve kanundan doğan yükümlülüklerin yerine getirilebilmesi

amacıyla veri işleme faaliyetleri gerçekleştirilebilmektedir.

Kişisel veriler ayrıca;

• Acil durum yönetimi süreçlerinin yürütülmesi

• Bilgi güvenliği süreçlerinin yürütülmesi

• Denetim/etik faaliyetlerinin yürütülmesi

• Eğitim faaliyetlerinin yürütülmesi

• Erişim yetkilerinin yürütülmesi

• Faaliyetlerin mevzuata uygun yürütülmesi

• Finans ve muhasebe işlerinin yürütülmesi

• Firma/ürün/hizmetlere bağlılık süreçlerinin yürütülmesi

• Fiziksel mekan güvenliğinin temini

• Görevlendirme süreçlerinin yürütülmesi

• Hukuk işlerinin takibi ve yürütülmesi

• İç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi

• İletişim faaliyetlerinin yürütülmesi

• Mal/hizmet/üretim ve operasyon süreçlerinin yürütülmesi

• Müşteri ilişkileri süreçlerinin yürütülmesi

• Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi

• Organizasyon ve etkinlik yönetimi

• Pazarlama analiz çalışmalarının yürütülmesi

• Performans değerlendirme süreçlerinin yürütülmesi

• Reklam/kampanya/promosyon süreçlerinin yürütülmesi

• Risk yönetimi süreçlerinin yürütülmesi

• Saklama ve arşiv faaliyetlerinin yürütülmesi

• Sözleşme süreçlerinin yürütülmesi

• Stratejik planlama faaliyetlerinin yürütülmesi

• Talep / şikayetlerin takibi

• Taşınır mal ve kaynakların güvenliğinin temini

• Tedarik zinciri yönetimi süreçlerinin yürütülmesi

• Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi

• Veri sorumlusu operasyonlarının güvenliğinin temini

• Yabancı personel çalışma ve oturma izni işlemleri

• Yatırım süreçlerinin yürütülmesi

• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi

• Yönetim faaliyetlerinin yürütülmesi

• Ziyaretçi kayıtlarının oluşturulması ve takibi amacıyla İlgili Birimlerimizde

işlenmektedir.

İş sağlığı ve güvenliği, genel güvenlik, ürün güvenliği amaçlarıyla işyerinde kamera ile izleme faaliyeti,

Şirketin meşru menfaatleri dikkate alınarak, ziyaretçilerimizin, bu kapsamda verisi işlenen kişilerin ve

özellikle çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirilmektedir.

KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

Şirketimiz, Türk Ceza Kanunu’nun 138.maddesinde ve KVKKanunu’nun7.maddesinde düzenlendiği

üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren

sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin

talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilmektedir.

KİŞİSEL VERİLERİN SAKLANMASI VE SAKLAMA SÜRELERİ

Şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili mevzuatta

belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine

ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu

hizmetlerle bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini

gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale

getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği

saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil

teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi

amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine

yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda

Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu

durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki

uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi

geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale

getirilmektedir. Bu kapsamda;

Kişisel Verilerin Silinmesi

Kişisel Verilerin Silinmesi İşlemi

Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren

sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine

kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde

erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimizce, silinen kişisel verilerin ilgili

kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler

alınmaktadır.

Kişisel Verilerin Silinmesi Süreci

Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:

• Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.

• Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel

veri için ilgili kullanıcıların tespit edilmesi.

• İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve

yöntemlerinin tespit edilmesi.

• İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar

kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

Kişisel Verilerin Silinmesi Yöntemleri Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden

kayıt ortamlarına uygun yöntemlerle silinmektedir.

Kişisel Verilerin Yok Edilmesi

Kişisel Verilerin Yok Edilmesi İşlemi

Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren

sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine

kişisel verileri yok edebilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir

şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirketimiz, kişisel

verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

Kişisel Verilerin Yok Edilmesi Yöntemleri

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilir ve verilerin

bulunduğu sistemler yok edilir.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel Verilerin Anonimleştirilmesi İşlemi

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette

kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Şirketimiz,

hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında

kişisel verileri anonimleştirebilmektedir. Kişisel veriler, veri sorumlusu veya alıcı grupları tarafından

geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet

alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek

kişiyle ilişkilendirilemez hale getirilmesi suretiyle anonimleştirilmesi gerçekleştirilmektedir. Şirketimiz,

kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almaktadır. KVK

Kanunu’nun 28. maddesine uygun olarak anonim hale getirilmiş olan kişisel veriler araştırma,

planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kişisel verileri koruma Kanunu

kapsamı dışında olup, kişisel veri sahibinin açık rızasıaranmayacaktır.

Kişisel Verilerin Anonimleştirilmesi Yöntemleri

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak

ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya

kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde

kaybetmesidir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret

etmeyen veriler, anonim hale getirilmiş veri sayılır. Anonim hale getirmedeki amaç, veri ile bu verinin

tanımladığı kişi arasındaki bağın kopartılmasıdır. Kişisel verinin tutulduğu veri kayıt sistemindeki

kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleştirme,

rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale

getirme yöntemleri adı verilir. Bu yöntemlerin uygulanması sonucunda elde edilen verilerin belirli bir

kişiyi tanımlayamaz olması gerekmektedir.

ÇEREZLER VE BENZERİ TEKNOLOJİLER

Şirketimize ait internet sitelerine, elektronik platformlara, uygulamalara veya Şirket tarafından

gönderilen elektronik posta iletilerine veya reklamlara erişim sırasında, kullanıcıların bilgisayarına,

cep telefonuna, tabletine veya kullanılan diğer cihazlara belirli verilerin kaydedilmesi ve toplanmasını

sağlayan küçük veri dosyaları yerleştirilebilmektedir. Bilgisayar ve diğer cihazlara yerleştirilen bu veri

dosyaları, çerez, piksel tag, flashcookies ve web işaretçileri olabileceği gibi, veri depolama amaçlı

benzeri diğer teknolojiler de olabilecektir.

İşbu Politika’da Şirket tarafından kullanılabilecek çerez ve benzeri teknolojileri ifade etmek

üzere “çerez” ifadesi kullanılmaktadır. Çerezler aracılığı ile kişisel veri toplanması mümkün olmakla

birlikte, çerezler aracılığıyla toplanan her türlü veri kişisel veri niteliği taşımayabilecektir. Bu nedenle

çerezler aracılığıyla elde edilen verilerin ancak Türk hukuku çerçevesinde kişisel veri teşkil ettikleri

ölçüde, işbu Politika ve Kişisel verileri koruma Kanunu kapsamında değerlendirileceği dikkate

alınmalıdır.

ÇEREZ TÜRLERİ

Çerezler süre bakımından veya ait oldukları alan adına göre sınıflandırılabilmektedir. Çerezler, süre

bakımından sınıflandırılmaları durumunda, oturum çerezleri ve kalıcı çerezler olmak üzere ikiye

ayrılmaktadır. Oturum çerezleri, kullanıcının tarayıcıyı kapatması üzerine silinen çerezleri ifade

ederken, Kalıcı çerezler ise önceden belirlenen bir süre boyunca kullanıcının bilgisayarında/cihazında

kalan çerezlerdir. Çerezler ait oldukları alan adına (domain) göre sınıflandırılmaları durumunda ise

İlişkili taraf çerezi ve Üçüncü kişi çerezi olmak üzere ikiye ayrılır. Ziyaret edilen alan tarafından

yerleştirilen çerezler ilişkili taraf çerezleri olarak adlandırılırken, ziyaret edilen farklı bir alan

tarafından yerleştirilen çerezler ise üçüncü kişi çerezi olarak ifade edilmektedir. Ziyaret edilen alan

dışındaki kişilerin, ziyaret edilen alan üzerinden kullanıcı cihazına çerez yerleştirmeleri durumunda

üçüncü kişi çerezi söz konusudur.

ÇEREZLERİN KULLANIM AMAÇLARI

Şirket, internet sitelerinde, platformlarında, uygulamalarında, reklam ve iletilerinde kullandığı

çerezlerden, aşağıda belirtilen amaçlar ile faydalanabilmektedir.

Operasyonel amaçlı kullanımlar: Şirket internet sitesi, platform, uygulama ve hizmetlerinin idaresi ve

güvenliği için gerekli gördüğümüz çerezleri kullanabiliriz. Operasyonel amaçlar için kullanılan

çerezlere örnek olarak, internet sitesi, uygulama ve platformlarda yer alan fonksiyonlardan

yararlanılmasına olanak tanıyan teknolojiler ile bu mecralardaki düzensiz davranışları tespit etmek

için kullanılan çerezler gösterilebilir.

İşlevselliğe yönelik kullanımlar: Şirket internet sitesi, platform, uygulama ve hizmetlerinin

kullanımını kolaylaştırmak ve bunları kullanıcılar için özelleştirmek amacıyla çerez kullanabilecektir.

İşlevsellik amacıyla kullanan çerezlere, kullanıcı bilgilerini ve tercihlerini hatırlamamızı

sağlayan teknolojiler örnek gösterilebilir.

Performansa yönelik kullanımlar: Şirket internet sitesi, uygulama, platform ve hizmetlerine ilişkin

performansın artırılması ve ölçülmesi amacıyla da çerez kullanabilmektedir. Bu amaçla kullanılan

çerezlere örnek olarak, kullanıcıların Şirket internet sitesi, uygulama, platform ve hizmetlerini nasıl

kullandığını anlamamızı ve kullanıcı davranışlarını analiz etmemizi sağlayan çerezler ile gönderdiğimiz

iletiler ile etkileşime geçilip geçilmediğini anlamamıza imkân veren teknolojiler gösterilebilir.

Reklam amaçlı kullanımlar: Şirket’e veya üçüncü kişilere ait internet sitesi, platform ve uygulamalar

üzerinden, kullanıcıların ilgi alanlarına yönelik reklam ve benzeri içerikleri iletmek amacı ile ilişkili

taraf çerezleri ve üçüncü kişi çerezleri kullanabiliriz. Reklam amaçlı kullanımlara örnek olarak,

reklamların etkinliğini ölçen çerezler ile belirli bir reklama tıklanıp tıklanmadığını veya reklamın kaç

kere görüntülendiğini gösteren çerezler gösterilebilir.

ÇEREZLERİ REDDETME VE SİLME

Çoğu tarayıcı çerez kullanımına izin vermekle birlikte, kullanıcılar diledikleri zaman tarayıcı ayarlarını

değiştirerek çerezleri reddedebilir veya silebilir. Ayarların değiştirilmesi yöntemi kullanılan tarayıcıya

göre değişmekte olup, çerezlerin nasıl devre dışı bırakılabileceğinin kullanılan arayıcıya ilişkin hizmet

sağlayıcıdan öğrenilmesi gerekmektedir. Çerezlerin devre dışı bırakılması durumunda Şirket internet

sitesi, uygulama, platform ve hizmetlerinin bazı özelliklerinden yararlanılamaması söz konusu

olabilecektir.

YETKİLİ HİZMET SAĞLAYICILAR

Şirket internet sitesi, platform ve uygulamaları ile hizmetlerinin yürütülmesi ve tanıtımı için

yetkilendirdiğimiz bazı hizmet sağlayıcılardan yardım alabiliriz. Bu hizmet sağlayıcılarda kullanıcıların

bilgisayarına/cihazına çerezler ve benzeri teknolojiler (üçüncü kişi çerezleri) yerleştirebilecek ve

kullanıcı cihazını tespit etmeye yönelik IP adresi, benzersiz tanımlayıcı (uniqueidentifier) ve cihaz

tanımlayıcı gibi bilgileri toplayabilecektir.

ÜÇÜNCÜ KİŞİLERE AİT SİTE, ÜRÜN VE HİZMETLER

Şirket internet siteleri, platform ve uygulamaları, üçüncü kişilere ait internet sitesi, ürün ve

hizmetlere ilişkin linkler içerebilir. Söz konusu linkler, üçüncü kişilere ait gizlilik politikalarına tabi

olup, üçüncü kişiler ve üçüncü kişilere ait sitelerin Şirket’ten bağımsız olduğu ve Şirket’in üçüncü

kişilerin gizlilik uygulamalarından sorumlu olmadığının farkında olunmalıdır. Link verilen internet

sitelerinin ziyaret edilmesi durumunda, bu sitelere ait gizlilik politikalarının okunmasını tavsiye

etmekteyiz.

İLGİLİ KİŞİLERİN HAKLARI İLGİLİ KİŞİLERİN HAKLARININ KAPSAMI VE BU HAKLARIN KULLANILMASI

İlgili Kişilerin Hakları

Şirketimizce kişisel verisi işlenen kişiler aşağıda yer alan haklara sahiptir:

• Kişisel veri işlenip işlenmediğini öğrenme,

• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu

kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

• KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,

işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok

edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere

bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin

kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın

giderilmesini talep etme.

İlgili Kişilerin Haklarını Kullanması

İlgili Kişilerin KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda belirtilen haklarını

kullanmakla ilgili taleplerini, internet sitemizdeki başvuru formu aracılığıyla ve orada gösterilen

yöntemlerle şirketimize iletmesi gereklidir .Başvuruda; Ad-Soyada ve başvuru yazılı ise imza, T.C.

vatandaşları için T.C. Kimlik Numarası, yabancıları için uyruğu, pasaport numarası veya varsa kimlik

numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi,

telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgelerde

başvuruya eklenir. Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün

değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak

kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname

bulunmalıdır. Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak

için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep

ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası

adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi,

başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin

eklenmesi gerekmektedir. Veri sahiplerine ilişkin başvuru formu, Şirketimizin e-yonetici.com.tr

adresinde bulunmaktadır.

Başvurulara Cevap Verilmesi

Kişisel veri sahibinin, talebini öngörülen usule uygun olarak Şirketimize iletmesi durumunda

Şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak

sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz tarafından

başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Şirketimiz, başvuruda

bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.

Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri

sahibine başvurusu ile ilgili soru yöneltebilir.

KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ

SAĞLAMAK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için gerekli tüm teknik ve idari

tedbirler almaktadır. Bu kapsamda, Şirketimiz kapsamında VERBİS sistemine uyumlu Veri Envanteri

çıkarılmakta burada hukuka ve amaca uygunluk denetimleri yapılmaktadır.

Şirketimizin ilgili kişilere ait aydınlatma yükümlülüğünün eksiksiz olarak ve doğru biçimde yerine

getirilebilmesi için her bir ilgili kişi grubuna “Aydınlatma Metinleri” hazırlanmış bulunmaktadır.

Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi

konusunda bilgilendirilmektedir.

Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek,

bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde kişisel veri işleme

faaliyetleri ortaya konulmaktadır.

Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı

Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan

gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.

Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirketin talimatları ve

kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama

yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve

denetimler yürütülmektedir.

Şirketimiz ile Şirketimizin sorumlu olduğu verileri işleyen üçüncü taraflar arasındaki hukuki ilişkiyi

yöneten sözleşme ve belgelere, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel

verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu

konuda “Üçüncü Taraflarla Gizlilik Ve Kişisel Verilerin Korunmasına İlişkin” ek Gizlik protokolleri

imzalanmaktadır.

ÖZEL NİTELİKLİ VERİLERİN İŞLENMESİNDE ALINAN TEKNİK VE İDARİ TEDBİRLER

Kişisel verileri koruma Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin

mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk,

etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek,

vakıf ya da sendika üyeliği, kan grubu, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle

ilgili veriler ile biyometrik ve genetik verilerdir. Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli”

olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında

hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için

alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli

denetimler sağlanmaktadır.

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı

yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,

gizlilik sözleşmeleri yapılmakta, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve

süreleri net olarak tanımlanmakta, yetki kontrolleri gerçekleştirilmekte, görev değişikliği olan yada

işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılmakta ve veri sorumlusu tarafından

kendisine tahsis edilen envanter iade alınmaktadır.

Verilere bir yazılım aracılığı ile erişilmesi durumunda bu yazılıma ait kullanıcı yetkilendirmeleri

yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta, test sonuçları kayıt altına

alınmaktadır. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistem

sağlanmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise,

özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik

kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, bu ortamların fiziksel güvenliği

sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

Özel nitelikli kişisel veriler aktarılacaksa, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak

kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması

sağlanmaktadır. Özel verilerin, farklı fiziksel ortamlardaki sunucular arasında aktarma

gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımı

gerçekleştirilmektedir. Özel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması,

kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve

evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

KİŞİSEL VERİLERİN HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK VE İDARİ

TEDBİRLER

Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını

veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır.

Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler Şirketimiz tarafından

kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda

sıralanmaktadır:

• Siber Güvenliğin Sağlanması Kişisel veri güvenliğinin sağlanması için öncelikle siber güvenlik

ürünleri kullanılmakta ancak tedbirler bununla sınırlı bırakılmamaktadır. Güvenlik duvarı ve ağ

geçidi gibi tedbirler alınmaktadır. Kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır.

Siber Saldırı Politikası ve Ağ Yönetimi Politikası uygulanmaktadır

• Yazılım güncellemeleri Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların

düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının

düzenli olarak kontrol edilmesi sağlanmaktadır. Değişim yönetim politikası uygulanmaktadır

• Erişim Sınırlamaları Kişisel veri içeren sistemlere erişim de sınırlandırılmaktadır. Bu kapsamda

çalışanlara, yapmakta oldukları iş ve görev yetki ve sorumlulukları için gerekli olduğu ölçüde

erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim

sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay

tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden

oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve

kontrol matrisi oluşturulmaktadır. Erişim yetki politikasına ve Ağ Erişim politikasına uygun

yapılmaktadır.

• Şifreleme Güçlü şifre ve parola kullanımının yanı sıra, şifre girişi deneme sayısının

sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici

hesabı ve yönetim yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri

sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da

girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır. Bu kapsamda Şifre

Güvenliği Politikası uygulanmaktadır.

• Anti Virüs Yazılımları Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli

olarak tarayan ve tehlikeleri tespit eden anti virüs, antispam gibi ürünler kullanılmakta, ayrıca

bunlar güncel tutularak gereken dosyalar düzenli olarak taranmaktadır. Farklı İnternet siteleri

ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da

daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır. Antivirüs politikası ve Zararlı

yazılımlardan korunma politikası uygulanmaktadır.

• İnternet Erişim Yetkisi İnternetin uygun olmayan kullanımı, kurumun yasal

yükümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenmeyen sonuçlara neden

olabilir. Bilerek yada bilmeyerek bu türden olumsuzluklara neden olunmaması ve internetin

kurallarına, etiğe ve yasalara uygun kullanımının sağlanması için İnternet Erişim Politikası

Uygulanmaktadır.

• Kişisel Veri Güvenliğinin Takibi

1. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

2. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtlarıgibi)

3. Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

4. Gerçekleştirilmekte, çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları

kullanan tehditleri bildirmesi için Olay ihlal prosedürü oluşturulmaktadır.

Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi,

gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda

deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda yada kâğıt ortamında saklanıyor

ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik

önlemleri alınmaktadır. Şirketimiz tarafından uygulamalar Fiziksel Ortam Güvenliği politikasına uygun

yapılmaktadır.

Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında

erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır. Erişim Yetkilendirme

politikası uygulanmaktadır.

Aynı seviyedeki önlemler Şirket yerleşkesi dışında yer alan ve Şirkete ait kişisel veri içeren kâğıt

ortamları, elektronik ortam ve cihazlar (dizüstü bilgisayar, cep telefonu, flaş bellekler) için de

alınmaktadır. Elektronik postaya da posta ile aktarılacak kişisel verilerinde dikkatli bir şekilde ve

yeterli tedbirler alınarak gönderilmektedir. Şirketimizde E-Posta Politikası uygulanmaktadır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol

yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu

kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim

önlenmektedir.

Kişisel veri içeren kâğıt ortamındaki evraklarda kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği

ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir. Ayrıca kişisel veri

barındıran çalışma alanlarında Temiz masa temiz ekran politikası uygulanmaktadır.

Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması uygulamalarına da gerektiğinde başvurulabilmektedir. Bu

durumda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve

uygun olup olmadığının Şirket tarafından değerlendirilmesi gerekmektedir. Bu kapsamda, KVK

Kurulunun rehber ve tavsiyelerinde belirtilen önlemler dikkate alınmaktadır.

Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı

Şirket tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili

ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi

hallerde Şirket yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır.

Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ

dışında tutulmaktadır.

Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek içinAlınan İdari Tedbirler

Şirketimiz tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari

tedbirler aşağıda sıralanmaktadır:

• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler

konusunda bilgilendirilmekte ve eğitilmektedir.

• Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına

açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden

ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda

kendilerinden gerekli taahhütler alınmaktadır.

• Kişisel Veri Güvenliği Politikalarının ve Prosedürler belirlenmekte, politika ve prosedürler

kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte,

geliştirilmesi gereken hususlar belirlenmektedir. Yine, her kişisel veri kategorisi için ortaya

çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir.

Kişisel Verilerin Mümkün Olduğunca Azaltılması

Kişisel veriler, doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli

olan süre kadar muhafaza edilmelidir. Ancak, doğru olmayan, güncelliğini

yitirmiş ve herhangi bir amaca hizmet etmeyen verilere hala ihtiyaç olup olmadığının

değerlendirilmekte ve ihtiyaç duyulmayan kişisel verileri kişisel veri saklama ve imha politikası ile

silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Veri İşleyenler ile İlişkilerin Yönetimi:

Şirket BT ihtiyacını karşılamak için veri işleyenlerden hizmet aldığı zaman, hizmet alırken söz konusu

veri işleyenlerin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini

sağlandığından emin olarak işlem yapılmaktadır. Bu kapsamda, veri işleyen ile imzalanan

sözleşmelere kişisel verilerin ile ilgili koruyucu düzenlemeler getirilmektedir.

KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI

Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini,

kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre

gerekli teknik ve idari tedbirleri almaktadır.

Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler

aşağıda sıralanmaktadır:

1. Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler

kullanılmaktadır.

2. Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler

periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk

teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

3. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm

gerekli altyapılar kullanılmaktadır.

Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler

Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler

aşağıda sıralanmaktadır:

1. Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda

bilgilendirilmektedirler.

2. Şirketimiz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle

dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili

firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması

amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını

sağlanacağına ilişkin hükümlere yer verilmektedir.

EĞİTİM

Şirketimiz, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve prosedürleri KVKK

Düzenlemeleri kapsamında gerekli eğitimleri verilmektedir.

Şirketimiz çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirketimizilgili

çalışanına bu erişimler özelinde Bilgi güvenliği politikaları eğitim verilmektedir.

Ayrıca iş alım süreçlerinde Oryantasyon Eğitimleri verilmektedir.

DENETİM

İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması Ve

Denetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini

önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine

gerekli bildirimlerin yapılmasını sağlamaktadır.

İş Ortakları Ve Tedarikçilerin Kişisel Verilerin Korunması Ve İşlenmesi Konusundaki

Farkındalıklarının Arttırılması Ve Denetimi

Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak

erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş

ortaklarına gerekli bilgilendirmeler Aydınlatma yükümlülükleri ile yapılmaktadır. Ayrıca sözleşmelerde

gizlilik taahhütleri alınmaktadır.

İHLALLER

Şirketin her bir çalışanı, KVKK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve

esaslara aykırı olduğunu düşündüğü iş ,işlem yahut eylemi ilgili İrtibat kişisini bilgilendirir. rİ

tibat kişisi,

Olay ihlalin içeriğine göre Olay ihlal prosedürü kapsamında işlem yapar. Yapılan bilgilendirmeler

sonucunda İrtibat Kişisi KVKK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki

mevzuat hükümlerini dikkate alarak ihlale ilişkin Kurum’a yapılacak bildirimi hazırlar. Ve yazışmaları

ve iletişimi yürütür.

SORUMLULUKLAR

Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri Sorumlusu Temsilcisi olan irtibat

kişisi seklindedir. Bu kapsamda; Politikanın uygulanmasından sorumlu İrtibat Kişisi Şirket

yönetim kurulu tarafından yönetim kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan

yolla yapılır.

POLİTİKADA YAPILACAK DEĞİŞİKLİKLER

Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir. Şirket, Politika

üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e- posta yolu ile

çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine

sunar.

llgili web adresi: e-yonetici.com.tr

POLİTİKANIN YÜRÜRLÜK TARİHİ Kişisel Verilerin Korunması ve İşlenmesi Politikasının işbu

versiyonu 10.09.2021 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.