LİMİT GAYRİMENKUL DEĞERLEME
HİZMETLERİ A.Ş
KİŞİSEL VERİLERİN KORUNMASI VE
İŞLENMESİ POLİTİKASI
BÖLÜM 1 – POLİTİKANIN AMACI;
Kişisel Verilerin Korunması hakkı, Türkiye Cumhuriyeti Anayasası MADDE
20’ de aşağıdaki şekilde yer almaktadır.
“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına
sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz (Ek fıkra:
12/9/2010-5982/2 md). Herkes, kendisiyle ilgili kişisel verilerin korunmasını
isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler
hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya
silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını
öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas
ve usuller kanunla düzenlenir.”
Bireyin
temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı
amaçlayan, 6698 sayılı Kişisel Verilerin Korunması Kanunu, önceki metinler
üzerinde yapılan çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM
Başkanlığı’na sevk edilmiş ve 24 Mart 2016 tarihinde TBMM Genel Kurulu
tarafından kabul edilerek kanunlaşmış, 7 Nisan 2016 tarih ve 29677 sayılı Resmi
Gazete’de yayımlanarak yürürlüğe girmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12.nci maddesinin (1) numaralı fıkrasında Veri Sorumlusunun;
· Kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek,
· Kişisel
verilere hukuka aykırı olarak erişilmesini önlemek,
· Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini
temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda
olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan
yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu
durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul)
bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya
da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.
6698 sayılı Kişisel Verilerin
Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu olarak; Şirketimiz tarafından
yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına
yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada şeffaflığı ve
hukuka uygunluğu sağlamak ve kişisel verileri birlik tarafından işlenen veri
sahibi gerçek kişileri bilgilendirmek amacıyla bu politika hazırlanmıştır.
Bu Politika ile çalışanlarımızın,
çalışan adaylarımızın, gerçek kişi müşterilerimizin, ziyaretçilerimizin,
işbirliği içinde olduğumuz kurumların çalışan ve hissedarlarının,
yetkililerinin, mal ve hizmet tedarikçilerimizin ve bunların çalışanlarının,
kurum ile iş ilişkisi bulunan danışman ve diğer üçüncü kişilerin kişisel
verilerinin hukuka uygun şekilde korunması ve işlenmesi prensipleri
oluşturulmaktadır.
Şirket bu Politika ile bir Anayasal
hak olan Kişisel Verilerinin Korunmasını bir Şirket Politikası haline
getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma
Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir. KVK Politikası
ile, şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve
korunması konusunda farkındalığın oluşması ve tüm süreçlerde mevzuata uyumu
temin etmek için sürdürülebilir ve denetlenebilir sistemin kurulması
amaçlanmaktadır.
Kişisel Verilerin Korunması Kanunu
ve ek mevzuatların uygulanmasına yönelik olarak şirket içerisinde gerekli
politika ve prosedürler düzenlenmekte, aydınlatma metinleri oluşturulmakta,
açık rızalar uygulanmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları
revize edilmekte, kişisel verilerin korunması için şirketimiz tarafından
mevzuata uygun idari ve teknik güvenlik tedbirleri alınmakta, bu kapsamda
gerekli denetimler yapılmakta veya yaptırılmaktadır.
BÖLÜM 2- TANIMLAR
Kişisel Verilerin Korunması Kanunu
ve şirketimizin ‘Kişisel Verilerin Korunması ve İşlenmesi Politikasında’ yer
alan bazı tanımların açıklamalarına aşağıda yer verilmiştir.
Kişisel Verilerin İşlenmesi: Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Sahibi: Kişisel
verisi işlenen gerçek kişi müşteriler, çalışanlar, çalışan adayları,
tedarikçiler ve çalışanları, ortaklar, Şirketle yapılmış sözleşme kapsamındaki
diğer üçüncü şahıs gerçek kişiler.
Kişisel Veri: Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Örneğin; adı-soyadı, TCKN, e-posta,
adres, iş adresi, doğum tarihi, doğum yeri, kredi kartı numarası, ehliyet no,
banka hesap numarası, pasaport no, ruhsat no, diploma vb.
Özel Nitelikli Kişisel Veri: Irk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık
kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
veriler özel nitelikli verilerdir.
Veri Sorumlusu: Kişisel
verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik
bir şekilde işlendiği ve saklandığı veri kayıt sistemini kuran ve yöneten kişi
veri sorumlusudur.
Veri İşleyen: Veri sorumlusunun
verdiği yetki kapsamında onun adına veri işleyen gerçek veya tüzel kişi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye
dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Verilerin Silinmesi: Kişisel
verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar
kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok edilmesi: Kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir
Anonim Hale Getirme: Kişisel
verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.
KVKK: 7 Nisan
2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin
Korunması Kanunu
KVK Kurulu: Kişisel
Verileri Koruma Kurulu
Kişisel Veri Saklama ve İmha
Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim
Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel
verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile
silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan ‘’Şirket
Kişisel Veri Saklama ve İmha Politikası”.
Veri Sorumluları Sicili: KVK Kurulu
gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve
kamuya açık olan Veri Sorumluları Sicili.
Veri Sorumlusuna Başvuru Usul ve
Esasları Hakkında Tebliğ: 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de
yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ.
BÖLÜM 3 – KİŞİSEL VERİLERİN
İŞLENMESİNE İLİŞKİN GENEL İLKELER
Kişisel Verilerin İşlenmesi Genel
İlkelerde;
“KANUN MADDE 4- (1) Kişisel veriler,
ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak
işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki
ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için
işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme” hükümleri yer almaktadır.
Şirketimiz uygulamalarında; Kişisel
verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel
güven, dürüstlük ve şeffaflık kuralına uygun hareket edilmektedir. Bu
çerçevede, kişisel veriler iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla
sınırlı olarak işlenmektedir.
Kişisel verilerin işlenme amaçları
açıkça ortaya konulmakta ve bunlara aydınlatma metinlerin de yer verilmektedir.
Veriler iş faaliyetleriyle bağlantılı amaçlar kapsamında işlenmektedir.
Kişisel verilerin işlendiği süre
boyunca doğru ve güncel olması için gerekli önlemler alınmaktadır
Şirket, kişisel verileri yalnızca iş
faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen
amaçlarla sınırlı olarak işlemektedir.
Şirketimiz,
kişisel verileri işlendikleri amaç için gerekli olan süre ve faaliyetle ilgili
yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Mevzuatta kişisel
verilerin saklanması için bir süre belirlenmişse bu süreye uygun
davranmaktadır.
Yasal bir
süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre
kadar saklanmaktadır. Kişisel veriler saklama sürelerinin sonunda periyodik
imha sürelerine veya veri sahibi başvurusuna uygun olarak ve veri sorumlusu
tarafından belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya
anonimleştirme) ile imha edilmektedir
BÖLÜM 4- İŞLENEN KİŞİSEL VERİLER VE
KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, tarafından özel nitelikli
kişisel verileriniz ve diğer kişisel verileriniz, veri kategorileri ile
bağlantılı ve ölçülü şekilde aydınlatma metinlerinde yer verilen yer alan amaçlara
bağlı ve Kanunun 5. Ve 6. Maddesinde yer alan hukuki sebepler belirlenerek
işlenebilmektedir. Aydınlatma Metinlerinde, işlenen kişisel verilerinize, işleme
amacı ve hukuki sebepleriyle eşleştirilerek her veri kategorisi bazında ayrı
ayrı yer verilmektedir. İlgili tüm kişilere bilgi verilmesi amacıyla şirket
müşterilerine, çalışan ve çalışan adaylarına, danışman, hizmet sağlayıcı ve
tedarikçilere, çözüm ortaklarına, ziyaretçilere yönelik ayrı aydınlatma
metinleri hazırlanmış ve uygulamaya alınmıştır.
KVKK mevzuatına uyumlu olarak elde edilen ve işlenen kişisel verileriniz Şirketimize ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza edilecek, güvenlik tedbirleri alınarak kontrolü Şirketimizde olmak üzere Şirket dışındaki teknolojik ortamlarda yedeklenebilecektir.
BÖLÜM 5- KİŞİSEL VERİ SAHİBİNİN
AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz KVK
Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında kişisel veri sahiplerini aydınlatmaktadır.10. madde kapsamında Şirket
veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi
amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel
veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri
işleme sürecine göre ilgili kişilere bilgilendirme yapmaktadır.
Şirketimiz kişisel verilerin
işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve
dürüstlük kuralına uygun hareket etmekte, kişisel verileri amacın gerektirdiği
faaliyetler dışında kullanmamaktadır.
Şirket, meşru ve hukuka uygun olan
kişisel veri işleme amacını ve aktarma amacını açık ve kesin olarak
belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri
işleme faaliyeti başlamadan ortaya konulmaktadır. Veri kategorisi bazında
amaçlar belirlenmekte ve her kategori için Kanunun 5. Ve 6. Maddelerinde yer
alan hukuki şartlardan hangisine dayalı olarak veri işlendiğine ve verilerin
kimlere aktarılabileceğine ve aktarma amaçlarına Aydınlatma Metninde yer
verilmektedir. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
Şirketimiz kişisel verileri ancak
ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre
kadar muhafaza etmektedir. Bir süre belirlenmişse bu süreye uygun davranmakta,
bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan
süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin
ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim
hale getirilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler
saklanmamaktadır.
Bu prensipler Kanun 10. Madde
kapsamında, KVKK Aydınlatma Metni ile verisi işlenecek
gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Müşteri, Ziyaretçi ve
Çalışanlar ve çalışan adaylarına yönelik Aydınlatma metinleri kendilerine
iletilmekte ve Şirket içerisinde görülebilecek şekilde ayrıca yazılı olarak yer
verilmektedir. Genel Aydınlatma Metni ve Çözüm ortakları aydınlatma metnine şirket
internet sitesinde yer verilmektedir. Veri sahipleri iş ilişkisi ve sözleşme
kurulmasından önce açık bir şekilde bilgilendirilmektedir.
Anayasa’nın 20. maddesinde herkesin,
kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu
ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri
sahibinin hakları arasında “bilgi talep etme” hakkına yer verilmiştir.
Şirket KVK Kanunu’nun 11.
maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda,
ilgili kişiye gerekli bilgilendirmeleri süresi içinde yapmaktadır. Başvuru
cevaplanmasının zamanında ve hukuka uygun yapılması için ‘Başvuru Cevaplama
Prosedürü’ düzenlenerek şirket içinde sorumlu kişiler belirlenmiş ve
görevlendirilmiştir.
BÖLÜM 6- KİŞİSEL VERİLERİN TOPLANMA
YÖNTEMİ VE HUKUKİ SEBEBİ
Kişisel veriler, Faaliyet
konularımıza uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik
ortamda, çağrı merkezi, internet sitesi kanalıyla, e -posta ve KEP yoluyla
iletilen bilgiler, web sitelerimiz üzerinden yapılmış olan dijital başvurular, iş
ilişkisi kapsamında bizimle paylaşılan vergisel ve veriler, finansal veriler, sözleşmelerde
yer alan bilgiler, e -posta ve KEP yoluyla ilettiğiniz bilgiler, dilekçe ve
başvurularınız, hukuki tebligatlar, şirketimiz ile yapılan yazışmalarınız, tarafınızdan
alenileştirilen kişisel bilgiler vasıtasıyla, fiziksel ve elektronik ortamla toplanmaktadır.
Kanunun 5. Maddesinin 1. Fıkrasında
yer alan ‘Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez’ düzenlemesi
çerçevesinde, Şirketimiz Kanunun 5. Maddede yer verdiği istisnai haller
dışında, kişisel veri işlemek için açık rızanın alınmasını şartını uygulamaktadır.
Kanun 5. Madde 2.fıkra kapsamında,
aşağıda maddeleri belirtilen durumlarda Şirket kişisel veri sahiplerinin
verilerini açık rıza almaksızın işleyebilmektedir;
KVKK ’5/2-a:Kanunlarda
açıkça öngörülmesi, 5/2-b: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendi sinin
ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,5/2-c: “Bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili
olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin
gerekli olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-ç: “Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”,
Kişisel Verilerin Korunması Kanunu Mad. 5/2-e: “Bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olması” Kişisel
Verilerin Korunması Kanunu Mad. 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Şirketimiz, Anayasa’nın
20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin
işlenmesi konusunda; hukuka ve dürüstlük kuralına uygunluk, doğru ve güncel
tutma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı
ve ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza edilme ilkelerine uyarak, öngörülen usul ve esaslara bağlı
olarak kişisel veri işleme faaliyetinde bulunmaktadır.
Veri işleme faaliyeti başlamadan önce Kanun 5. maddesi ve özel nitelikli verilerle ilgili 6. Maddesinde yer alan hukuki sebeplerden en az birinin varlığı tespit edilmediği takdirde mutlaka açık rıza teminine gidilmekte, açık rıza alınamaması durumunda veri işlenmemektedir.
BÖLÜM 7- ÖZEL NİTELİKLİ
KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile birtakım
kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine
veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. KVKK’nın
6.maddesinde açıklanan bu veriler; ‘ırk, etnik köken, siyasi düşünce,
felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf
ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli”
olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel
verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından,
kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel
nitelikli kişisel veriler bakımından özenle ve özel olarak uygulanmaktadır.
Özel
Nitelikli veri kapsamında, Şirket bünyesinde sağlık verileri ve bazı durumlarda
alınan adli sicil belgesi kayıtları açık rıza alınarak işlenmektedir. Dijital
ortamda saklanan özel nitelikli kişisel veriler kuvvetli şifre parametreleri
ile korunmaktadır. Özel nitelikli kişisel verilere erişebilen kişilerin erişim
yetkisi kısıtlanmakta, yetkiler mevzuata uygun şekilde düzenlenmekte, ilgililere
veri koruma ve gizlilik eğitimleri verilmektedir. Özel nitelikli verilere
erişen kişilere gizlilik sözleşmeleri imzalanmaktadır.
Sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu dosyalar kilitli ve sadece sağlık personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların ve sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.
BÖLÜM 8- KİŞİSEL VERİLERİN
AKTARILMASI
Şirketimiz kişisel veri işleme
amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri
sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü
kişilere ve kurumlara hukuka uygunluk tedbirlerini alarak aktarabilmektedir.
Kişisel verilerin aktarılmasına
ilişkin KVKK hükümlerine aşağıda yer verilmiştir.
MADDE 8- (1) Kişisel veriler, ilgili
kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci
maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6.ncı
maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde,
ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin
aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. İlgili kişi
açık rızası olmaksızın yurtdışına veri aktarılmamaktadır
MADDE 5- 2) fıkrası
kapsamında maddede yer alan aşağıdaki şartlardan birinin varlığı hâlinde,
ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkün
olacaktır.
a)
Kanunlarda açıkça öngörülmesi.
b) Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili
kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir
hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikteki verilerin
aktarılabilmesi için Kanun 6. Madde de yer verilen ve aşağıda yer verilen
istisnalar dışında veri sahibinin açık rızasının alınması zorunludur.
‘Kişisel veri sahibinin sağlığına ve
cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından açık rıza almadan’ aktarılabilmektedir.
.
BÖLÜM 9- KİŞİSEL VERİLERİN
GÜVENLİĞİNİN SAĞLANMASI
Şirket, bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak güvenli alt yapıyı ve güvenlik kontrollerini hayata geçirmiştir. Kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi önlemek için ve oluşabilecek diğer teknik tehditler karşısında aşağıda yer verilen teknik ve idari tedbirleri uygulamaya koymuştur.
Teknik Tedbirler:
Bilgi
güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin
oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz
iç tehditler çok önemli bir yer tutmaktadır.
Organizasyon
bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler
dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek
için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirilmiştir.
Bilgi
güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak
izlenmektedir.
Bilişim
sistemleri alt yapısı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınmaktadır.
Çalışanların
günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı Kurum bilgi
sistem birimi tarafından düzenli olarak kontrol edilmektedir.
Bilişim
sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki
matrisi üzerinden kimlik yönetimi politikaları aracılığı ile yapılmaktadır.
Kişisel
verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu
risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere
yönelik teknik kontroller yapılmaktadır. Kişisel veri kaynaklarına erişim için
personel veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler
için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak
düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonların
dan oluşan, akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler
kullanılmaktadır.
Şirkette dış
ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis
edilmiştir. Bilgisayar sistemlerinde antivirüs yazılımları, güvenlik duvarları
kullanılmaktadır.
Veri
ihlallerini önleyecek tedbirler Veri Koruma Görevlisi tarafından gözden
geçirilmektedir.
Kişisel
verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu
durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından Veri İhlali
Bildirim prosedürü hazırlanmış, uygulanabilir bir sistem ve müdahale ekibi oluşturulmuştur.
Özel
nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, yetkisiz giriş
çıkışlar engellenmektedir. Özel nitelikli veriler dijital ortamlarda
şifrelenerek saklanmaktadır.
Kritik
sistemlerin ve yazılımların yedekleri periyodik olarak alınmakta, yedekler
belirli aralıklarla dış ortama taşınmaktadır. Yedekten dönüş testleri
yapılmaktadır.
Şirket silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli güvenlik tedbirlerini almaktadır
İdari Tedbirler:
Şirket kişisel veri işlemeye
başlamadan önce ilgili kişileri aydınlatma yükümlülüğünü yerine getirmektedir
Kişisel verilerin hukuka aykırı
olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak
erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması amacıyla personele
veri güvenliği eğitimleri verilmektedir.
Veri gizliliğinin sağlanması ve
güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri
işleyenlerden taahhütname alınması zorunlu kılınmıştır.
Güvenlik politika ve prosedürlerine
uymayan çalışanlara yönelik uygulanacak cezai maddeleri içeren disiplin
prosedürü uygulanmaktadır.
Çalışanlar, danışmanlar, bilgi
sistem destek şirketleri ve diğer üçüncü kişi veya şirketler yapılan
sözleşmelere de bu kapsamda gizlilik taahhütnameleri eklenmektedir.
Organizasyon bünyesinde çalışan
kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan
gelebilecek tehlikelerin işlendiği ‘Risk ve Tehditler Tablosu’ Veri Koruma
Görevlisi tarafından periyodik incelenmekte ve tedbirler güncellenmektedir
Uygulamalar üzerinde teknik kontrol
sistemleri kurulmuştur. Veri sorumlusu olarak kurum içi sistematik periyodik
denetimleri Veri Koruma Görevlisi kanalıyla yapmaktadır. Denetimler gerek
görüldüğünde uzman şirketlere veya bağımsız denetim şirketlerine
yaptırılacaktır.
Bilgiye erişimi kontrol etmek ve
yetkisiz erişimleri önlemek, veri güvenliğini sağlamak, hukuka uygun saklama ve
imha işlemleri uygulamaları için ilgili alanlarda, ‘Erişim ve Yetkilendirme
Prosedürü’, ve ‘Kişisel Veri Saklama ve İmha Politikası‘ hazırlanmış ve
uygulamaya alınmıştır. Veri ihlalinin tespiti halinde Kişisel Verilerin
Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ihlalle ilgili önleyici
tedbirlerin derhal alınmasının sağlanmasını teminen Veri Müdahale Planı
yürürlüğe konularak personel görevlendirmeleri yapılmıştır.
Şirket mevcut çalışanlarının ve
bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda
farkındalığının oluşması için gerekli sistemler kurmakta, eğitimler vermekte
konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır.
BÖLÜM 10–İŞLENEN KİŞİSEL VERİLERİN
SAKLANMA SÜRELERİ
Buna göre, Şirket faaliyetleri
çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme
amaçlarımıza uygun süre kadar saklanır.
Süreçlere bağlı olarak
gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel
veri bazında hukuki saklama süreleri şirket ’Kişisel Veri Saklama ve İmha
Politikasında’ yer almaktadır.
28 Ekim 2017 tarihinde yürürlüğe
giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Hakkındaki Yönetmelik’te işleme nedenleri ortadan kalkan kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları
belirlemektedir.
Kanun'un 4. maddesi uyarınca kişisel
veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza edilir ve Kanunun 5. ve 6. maddelerinde yer alan kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması halinde resen veya
veri sahibi talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Şirket, ilgili kanunlarda ve
mevzuatta öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta
belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca
saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler
şirketin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirket uygulamaları
kapsamında işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte,
yok edilmekte veya anonim hale getirilmektedir.
Bu kapsamda, Şirket öncelikle kanunlar
da ve ilgili mevzuat ta kişisel verilerin saklanması için bir süre öngörülüp
öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun
davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için
gerekli olan süre kadar saklamaktadır. Kişisel verilerin işlenme amacı sona
ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna
gelinmişse, kişisel veriler yalnızca
olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı
ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla
kanuni süreler göz önüne alınarak saklanabilmektedir. Gelecekte kullanma
ihtimali ile şirket tarafından kişisel veriler saklanmamaktadır.
BÖLÜM 11- VERİLERİ SİLME YOKETME VE
ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ
Kanunun 7. maddesinde, kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir.
Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen
veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok
edilir veya anonim hâle getirilir
Özellikle aşağıda sayılan hallerde
kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir.
·
Kişisel verileri işlemeye esas teşkil eden ilgili
mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
·
Taraflar arasındaki sözleşmenin hiç kurulmamış olması,
sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi,
sözleşmenin feshi veya sözleşmeden dönülmesi,
·
Kişisel verilerin işlenmesini gerektiren amacın
ortadan kalkması,
·
Kişisel verileri işlemenin hukuka veya dürüstlük
kuralına aykırı olması,
·
Kişisel verileri işlemenin sadece açık rıza şartına
istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
·
İlgili kişinin, Kanunun 11. maddesinin (e) ve (f)
bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin
yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi
tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine
yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda
öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunulması
ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını
gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun
süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Kanunun 5. ve 6. maddelerindeki
kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması;
Belirtilen hallerde kişisel veriler,
veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok
edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi işlemi,
“söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu
kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması
halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez
şekilde silinmesi sağlanmaktadır
Kişisel verilerin silinmesi ve yok
edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden
hangisinin uygulanacağına dair karar, teknik detayları Veri Sorumlusu tarafından
verilir.
Silme işlemine konu teşkil edecek
kişisel veriler belirlenir. Silme işlemleri önceden belirlenmiş personel
vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir.
Silme işlemi yapan personelin silinen datayı geri getirme, tekrar kullanma
erişim yetkileri kaldırılır.
Silinmesi gereken verilerin silme,
yok etme veya anonimleştirilmesinin, kanun, yönetmelik ve şirket politika ve
prosedürlerine uygun olarak yapıldığının ve işlemlere ilişkin oluşturulan bilgi
kaydı doğruluğunun kontrolü Veri Koruma Görevlisi tarafından yapılır.
BÖLÜM 12 - VERİ SAHİBİNİN HAKLARI VE
BU HAKLARINI KULLANMASI
Şirket, KVK
Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını
kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri
sahibine yol göstermektedir. Şirket kişisel veri sahiplerinin haklarının
değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin
yapılması için iç işleyişe ait idari ve teknik düzenlemeleri uygulamaya
koymuştur.
Kişisel veri sahipleri Kişisel
Verilerin Korunması Kanunu 11. Madde gereğince aşağıdaki haklara sahiptir;
a) Kişisel
veri işlenip işlenmediğini öğrenme,
b) Kişisel
verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel
verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
ç) Yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel
verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme,
e) 7nci maddede öngörülen şartlar
çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca
yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
g) İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı
olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep
etme,
Kişisel Veri Sahibinin Haklarını
Kullanması;
Veri sahibi KVK Kanunu’nun 13. maddesinin
1. fıkrası gereğince yukarıda 11. madde açıklamasında belirtilen hakları
kullanabilir.
Kişisel veri sahipleri adına üçüncü
kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi
dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri
sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname
bulunmalıdır.
Veri
sorumlusuna başvuru Kanun Madde 13.te aşağıda yer aldığı gibi düzenlenmiştir.
MADDE 13- (1)
İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya
Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
(2) Veri
sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede
ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca
bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret
alınabilir.
(3) Veri
sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını
ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer
alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir.
Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret
ilgiliye iade edilir.
Başvurunuzda
yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içinde
ücretsiz olarak sonuçlandırılacaktır. Başvuruda bulunma yöntemleri
ilgili kişilere iletilen Aydınlatma Metinlerinde yer almaktadır.
Şirket başvuruda bulunan kişinin
kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi
ve belge talep edebilir ve kişisel veri sahibine başvurusunda yer alan
hususlarla ilgili soru yöneltebilir.
Kişisel veri sahibi, KVK Kanunu’nun
14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz
bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, Şirketin cevabını
öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün
içinde KVK Kuruluna şikayette bulunabilir.
BÖLÜM 13- POLİTİKA’NIN VE İLGİLİ
MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve
korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle
uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Şirket Politika
arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın
uygulama alanı bulacağını kabul etmektedir.
BÖLÜM 14- POLİTİKA’NIN YÜRÜRLÜĞÜ
Veri sorumlusu tarafından düzenlenen
bu Politika 01/01/2024 tarihlidir. Politika’nın tamamının veya belirli
maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi
güncellenecektir. Politika Şirketin internet sitesinde yayınlanır, bu politikanın
gözden geçirme ve güncellenmesi Veri Koruma Görevlisi tarafından yerine
getirilir. Politika her yıl en az bir kez gözden geçirilir.