KVKK
Kişisel Verilerin Korunmasına ilişkin Aydınlatma ve Rıza Metni
DİKTAŞ LTD.ŞTİ.
İNTERNET SİTESİ
AYDINLATMA METNİ
DİKTAŞ
LTD.ŞTİ. (“DİKTAŞ” veya “Şirket”)
tarafından, işlettiği https://www.diktasltd.com.tr/ internet sitesini ziyaret edenlerin
gizliliğini korumak Şirketimizin önde gelen ilkelerindendir.
İşbu
Aydınlatma Metni’nde, kişisel verilerinizin, 6698 sayılı Kişisel Verilerin
Korunması Kanunu (“Kanun”)
ve ilgili mevzuata uygun olarak, Ostim OSB, 100.Yıl Bulvarı 1232.Cadde
Yenimahalle/ANKARA adresinde
yer alan veri sorumlusu Şirket nezdinde işlenmesine ilişkin esaslar aşağıda
belirtilmiştir.
- Kişisel Verilerin İşlenme Amacı
İnternet
sitemizi ziyaret etmeniz dolayısıyla elde edilen kişisel verileriniz aşağıda
sıralanan amaçlarla DİKTAŞ tarafından KVK Kanunu’nun 5. ve 6. maddelerine uygun
olarak işlenebilecektir:
- Web sitesine üye olunması ile ilgili
kişilerin web sitesi üzerindeki hizmetlerden faydalandırılması,
- İlgili kişi tarafından iletişim sekmesinde
yer alan kanallardan talepte bulunulması halinde, bilgi alınmasının
sağlanması, dilek/önerilerin değerlendirmeye alınması ve şikayette
bulunulabilmesinin sağlanması,
- Şirket tarafından sunulan hizmetlerin
ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre
özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli
olan aktivitelerin planlanması ve icrası,
- Şirket tarafından yürütülen ticari
faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından
gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
- Şirket’in ticari ve/veya iş stratejilerinin
planlanması ve icrası,
- Şirket’in ve Şirket’le iş ilişkisi
içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş güvenliğinin
temininin sağlanması.
- İşlenen Kişisel Verilerin
Aktarıldığı Yerler ve Aktarım Amacı
Elde
edilen kişisel verileriniz, kişisel verilerinizin işlenme amaçları
doğrultusunda, iş ortaklarımıza (dış kaynak hizmet sağlayıcıları, barındırma (hosting) hizmet sağlayıcıları, araştırma şirketleri,
çağrı merkezleri gibi), şirket iştiraklerimize ve kanunen yetkili kamu
kurumları ile özel kişilere KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen
kişisel veri işleme şartları ve amaçları dahilinde aktarılabilecektir.
- Kişisel Verilerin Toplanma
Yöntemi ve Hukuki Sebebi
Kişisel
verileriniz, DİKTAŞ tarafından internet sitemizi ziyaret etmeniz dolayısıyla
teknik iletişim dosyaları olan çerezler (cookies) vasıtasıyla
ve işbu Aydınlatma Metni’nde belirtilmiş olan amaçlar doğrultusunda doldurmuş
olduğunuz formlar vasıtasıyla otomatik yolla toplanmaktadır. Çerezler (cookie) hakkında detaylı bilgi için Çerez Politikası’nı inceleyiniz.
Kişisel
verileriniz aşağıda yer alan hukuki sebepler uyarınca işlenmektedir:
- KVKK m. 5/2 (f) hükmü uyarınca temel hak ve
özgürlüklerinize zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için
veri işlenmesinin zorunlu olması,
- KVKK m. 5/2 (c) hükmü uyarınca sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olması nedeniyle işlemenin
gerekli olması (Kullanım Koşulları vb. için sözleşmenin ifası, hakkın
tesisi ile korunması).
- Veri Sorumlusuna Başvuru Yolları
ve Haklarınız
Kanun’un
11. maddesi uyarınca, Şirketimize başvurarak, kişisel verilerinizin; a) işlenip
işlenmediğini öğrenme, b) işlenmişse bilgi talep etme, c) işlenme amacını ve
amacına uygun kullanılıp kullanılmadığını öğrenme, d) yurt içinde / yurt
dışında transfer edildiği tarafları öğrenme, e) eksik / yanlış işlenmişse
düzeltilmesini isteme, f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde
silinmesini / yok edilmesini isteme, g) aktarıldığı 3. kişilere yukarıda
sayılan (e) ve (f) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
h) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir
sonucun ortaya çıkmasına itiraz etme, ve i) kanuna aykırı olarak işlenmesi
sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına
sahipsiniz.
Belirtilmiş olan haklarınıza ilişkin
taleplerinizi Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
uyarınca tarafımıza iletebilirsiniz. Bilgi ve başvuru taleplerinizi internet
sitemizde yer alan Başvuru Formu’nu doldurarak “Ostim Osb Mah. 100.Yıl Bulvarı 1232.Cadde No:55
Yenimahalle/Ankara” adresine
gönderme yöntemiyle de tarafımıza iletebilirsiniz.
Şirketimiz
taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün
içinde, ilk talep ücretsiz olmak üzere sonuçlandırır. Ancak aynı konuyla ilgili
takip eden taleplerde veya ilk talepte işlemin ayrıca bir maliyeti gerektirmesi
hâlinde, ücret alınabilir. Şirketimiz talebi kabul edip işleme koyabilir veya
gerekçesini açıklayarak talebi yazılı usulle reddedebilir.
Yukarıda
belirtilen prosedür takip edilerek gerçekleştirilen başvurunun reddedilmesi,
verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; cevabın tebliğini takiben otuz ve her hâlde başvuru tarihinden
itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na (“Kurul”) şikâyette bulunma hakkı mevcuttur. Ancak
başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
Kurul,
şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına
giren konularda gerekli incelemeyi yapar. Şikâyet üzerine Kurul, talebi
inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün
içinde cevap verilmezse talep reddedilmiş sayılır. Şikâyet üzerine veya resen
yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul,
tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine
karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren
gecikmeksizin ve en geç otuz gün içinde yerine getirilir. Kurul, telafisi güç
veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması hâlinde,
veri işlenmesinin veya verinin yurt dışına aktarılmasının durdurulmasına karar
verebilir.
Verilerinizin
Şirketimiz nezdinde hassasiyetle korunduğunu belirtir; bize duyduğunuz güven
için teşekkür ederiz.
KVKK - Kişisel Verilerin
İşlenmesi ve Korunması Politikası
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
§ 1.GİRİŞ
1.1. Giriş
DİKTAŞ LTD.ŞTİ. (“Şirket”) olarak 6698 sayılı
Kişisel Verilerin Korunması Kanunu(“Kanun”) uyarınca kişisel verilerin hukuka
uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve
faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek Kanun’un 10.
maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel
verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik
tedbirleri bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması
Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.
1.2.
Politikanın Amacı
İşbu Politika’nın temel amacı, hukuka ve
Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına
yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Şirket
Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız,
Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve
Üçüncü Kişiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen
kişileri bilgilendirmektir. Bu şekilde Şirketimiz tarafından gerçekleştirilen
kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun
sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan
kaynaklanan tüm haklarının korunması hedeflenmektedir.
1.3.
Politikanın Kapsamı ve Kişisel Veri Sahipleri
Bu Politika; otomatik olan ya da herhangi bir
veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Şirket
Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan Adayları’mız,
Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel Müşteriler ve
Üçüncü Kişiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen
kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır.
Bu Politika, hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır.
Şirketimiz bu Politikayı internet sitesinde
yayımlamak suretiyle bahse konu Kişisel Veri Sahipleri’ni Kanun hakkında
bilgilendirmektedir. Şirketimiz çalışanları için, Çalışanlar için Kişisel
Verilerin İşlenmesi Politikası uygulanacaktır. Verinin aşağıda belirtilen
kapsamda “Kişisel Veri” kapsamında yer almaması veya Şirketimiz
tarafından gerçekleştirilen Kişisel Veri işleme faaliyetinin yukarıda
belirtilen yollarla olmaması halinde de işbu Politika uygulanmayacaktır.
Bu kapsamda işbu Politika kapsamındaki kişisel
veri sahipleri aşağıdaki gibidir:
Şirket Paydaşı | Şirket’in
Paydaşı gerçek kişilerdir. |
Şirket Gerçek Kişi İş Ortağı | Şirket’in
her türlü iş ilişkisi içerisinde bulunduğu gerçek kişilerdir. |
Şirket İş Ortaklarının Paydaşı,
Yetkilisi, Çalışanı | Şirket’in
her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin
(iş ortağı, tedarikçi gibi) çalışanları, Paydaşları ve
yetkilileri dâhil olmak üzere, tüm gerçek kişilerdir. |
Şirket Yetkilisi | Şirket’in
yönetim kurulu üyesi ve diğer yetkili gerçek kişilerdir. |
Çalışan Adayı | Şirket’e
herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili
bilgilerini Şirket’in incelemesine açmış olan gerçek kişilerdir. |
Şirket Müşterisi | Şirket
ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in
sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek
kişilerdir. |
Grup Şirket Müşterisi | Şirket’in
Grup Şirketleri ile herhangi bir sözleşmesel ilişkisi olup olmadığına
bakılmaksızın Şirket Grup Şirketleri’nin sunmuş olduğu ürün ve hizmetleri
kullanan veya kullanmış olan gerçek kişilerdir. |
Potansiyel Müşteri | Şirket’in
ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu
ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak
değerlendirilmiş gerçek kişilerdir. |
Ziyaretçi | Şirket’in
sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet
sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
Üçüncü Kişi | Şirket
Çalışanları için hazırlanan Kişisel Verilerin Korunması ve İşlenmesi
Politikası kapsamına ve bu Politikada herhangi bir kişisel veri sahibi
kategorisine girmeyen diğer gerçek kişilerdir. |
1.4.Tanımlar
İşbu Politika’da yer verilen kavramlar aşağıda
belirtilen anlamları ifade eder:
Şirket/ Şirketimiz | DİKTAŞ LTD.ŞTİ.’dir. |
Kişisel Veri/Veriler | Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Özel Nitelikli Kişisel Veri/Veriler | Irk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir. |
Kişisel Verilerin İşlenmesi | Kişisel
Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü
işlemdir. |
Kişisel Veri Sahibi/İlgili Kişi | Kişisel
verisi şirket tarafından işlenen kişileri ifade eder. |
Grup Şirket | Şirket’in
bağlı olduğu gruba bağlı şirket/şirketleri ifade eder. |
Veri Kayıt Sistemi | Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini
ifade eder. |
Veri Sorumlusu | Kişisel
verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Veri İşleyen | Veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek
ve tüzel kişidir. |
Açık Rıza | Belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızadır. |
Anonim Hale Getirme | Daha
öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Kanun | 6698
sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
KVK Kurulu | Kişisel
Verileri Koruma Kurulu’dur. |
§ 2. KİŞİSEL
VERİLERİN İŞLENMESİ VE AKTARILMASI
2.1. Kişisel
Verilerin İşlenmesinde Genel İlkeler
Şirket tarafından Kişisel Veriler, Kanunda ve bu
Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, Kişisel
Verileri işlerken aşağıdaki ilkelerle hareket eder:
- Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük
kuralının gereklerine uygun olarak
işlenir.
- Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde
edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi,
güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar
özenle dikkate alınır.
- Kişisel Veriler; belirli, açık ve meşru
amaçlarla işlenir.
Amacın meşru olması, Şirketin işlediği Kişisel Verilerin, yapmış olduğu iş
veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması
anlamına gelir.
- Kişisel Veriler, Şirket tarafından
belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup,
amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan
Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın
gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen
Kişisel Veriler, işlendikleri
amaçla bağlantılı, sınırlı ve ölçülüdür.
- İlgili mevzuatta verilerin saklanması için
öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi
durumda Kişisel Veriler’i, ancak işlendikleri
amaç için gerekli olan süre kadar muhafaza Kişisel Veri’nin daha fazla muhafaza
edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri
silinir, yok edilir veya anonim hale getirilir.
2.2.
Kişisel Verilerin İşlenme Şartları
Şirket Kişisel Veriler’i veri sahibinin açık
rızası olmaksızın işlemez. Aşağıdaki şartlardan birinin varlığı hâlinde, veri
sahibinin açık rızası aranmaksızın Kişisel Veriler işlenebilecektir.
- Şirket, Kişisel Veri Sahipleri’nin Kişisel Veriler’ini
açık rıza olmasa dahi kanunlarda açıkça öngörülen hallerde işleyebilir.
Örneğin; Vergi Usul Kanunu’nun 230. Maddesi uyarınca fatura üzerinde
ilgili kişinin adına yer verilmesi için ilgili kişinin açık rızası
aranmayacaktır.
- Fiili imkânsızlık nedeni ile rızasını
açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan
kişilerin kendisinin ya da başka bir kişinin hayat veya beden bütünlüğünün
korunması için Kişisel Veriler açık rıza olmadan işlenebilir. Örneğin
kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle
rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün
korunması amacıyla, tıbbi müdahale yapılması sırasında, Kişisel Veri
Sahibi’nin Kişisel Veriler’i işlenebilecektir. Bu bağlamda kan grubu,
geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler,
ilgili sağlık sistemi üzerinden işlenebilir.
- Şirket tarafından bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait Kişisel Veriler işlenebilecektir. Örneğin, yapılan bir
sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası
bilgisi alınabilecektir.
- Şirket, veri sorumlusu olarak hukuki
yükümlülüklerini yerine getirebilmek için zorunlu ise, Kişisel Veri
Sahipleri’nin Kişisel Veriler’ini işleyebilir.
- Şirket tarafından Kişisel Veri
Sahipleri’nin kendisi tarafından alenileştirilen bir başka ifadeyle
herhangi bir şekilde kamuoyuna açıklanmış olan Kişisel Veriler’i,
korunması gereken hukuki yarar ortadan kalktığından işlenebilir.
- Şirket, hukuken meşru bir hakkın
kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde
Kişisel Veri Sahipleri’nin Kişisel Veriler’ini açık rıza aramaksızın
işleyebilir.
- Şirket, Kişisel Veri Sahipleri’nin Kanun ve
Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek
kaydıyla meşru menfaatlerinin temini için Kişisel Veriler’in işlenmesinin
zorunlu olduğu durumlarda Kişisel Veri Sahipleri’nin Kişisel Veriler’ini
işleyebilir. Şirket, Kişisel Veriler’in korunmasına ilişkin temel ilkelere
uyulması ve Kişisel Veri Sahipleri’nin menfaat dengesinin gözetilmesi
konusunda gerekli hassasiyeti göstermektedir.
2.3.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Şirket, Özel Nitelikli Kişisel Veriler’i,
ilgilinin açık rızası olmaksızın işlemez. Ancak sağlık ve cinsel hayat
dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık
rıza aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin
Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama
yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası
aranmaksızın işlenir. Şirket Özel Nitelikteki Kişisel Veriler’in işlenmesinde
Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli
işlemleri yürütmektedir.
2.4. Kişisel
Verilerin Aktarılma Şartları
Şirketimiz Kişisel Verileri işleme amaçları
doğrultusunda gerekli gizlilik koşullarını oluşturarak ve güvenlik önlemlerini
alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel
Verileri üçüncü kişilere Kanuna uygun olarak aktarabilir. Şirketimiz Kişisel
Verilerin aktarılması sırasında Kanunda öngörülen düzenlemelere uygun hareket
etmektedir. Bu kapsamda Şirketimiz meşru ve hukuka uygun Kişisel Veri işleme
amaçları doğrultusunda aşağıda sayılan, Kanunun 5. maddesinde belirtilen
Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak
Kişisel Verileri üçüncü kişilere:
- Kişisel Veri sahibinin açık rızası var ise;
- Kanunlarda Kişisel Verinin aktarılacağına
ilişkin açık bir düzenleme var ise, Kişisel Veri sahibinin veya başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu ise ve
- Kişisel Veri sahibi fiili imkânsızlık
nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki
geçerlilik tanınmıyorsa,
- Bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel
Verinin aktarılması gerekli ise,
- Şirketimizin hukuki yükümlülüğünü yerine
getirmesi için Kişisel Veri aktarımı zorunlu ise,
- Kişisel Veriler, Kişisel Veri sahibi
tarafından alenileştirilmiş ise,
- Kişisel Veri aktarımı bir hakkın tesisi,
kullanılması veya korunması için zorunlu ise,
- Kişisel Veri sahibinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri
için Kişisel Veri aktarımı zorunlu ise aktarabilir.
2.4.1.
Kişisel Verilerin Yurt Dışına Aktarılma Şartları
Şirketimiz Kişisel Veri işleme amaçları
doğrultusunda gerekli güvenlik önlemleri alarak Kişisel Veri Sahiplerinin
Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü
kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler; KVK Kurulu
tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya
yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki
veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK
Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir.
2.5. Özel
Nitelikli Kişisel Verilerin Aktarılma Şartları
Şirket, gerekli özeni göstererek, gerekli
güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli
önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları
doğrultusunda Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini
aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
- Kişisel Veri Sahibi’nin açık rızası olması
halinde veya
- Aşağıdaki şartların varlığı halinde Kişisel
Veri Sahibi’nin açık rızası aranmaksızın;
- Kişisel Veri Sahibi’nin sağlığı ve cinsel
hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik köken,
siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve
kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir),
kanunlarda öngörülen hallerde,
- Kişisel Veri Sahibi’nin sağlığına ve cinsel
hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması
ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından.
2.5.1.
Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması
Şirket, gerekli özeni göstererek, gerekli
güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli
önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları
doğrultusunda Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini
aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden
veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
- Kişisel Veri Sahibi’nin açık rızası olması
halinde veya
- Aşağıdaki şartların varlığı halinde Kişisel
Veri Sahibi’nin açık rızası aranmaksızın;
- Kişisel
Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel
Veriler’i (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep
veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel Veri Sahibi’nin sağlığına ve cinsel
hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması
ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya
yetkili kurum ve kuruluşlar tarafından.
§ 3. KİŞİSEL
VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER
3.1. Kişisel
Verilerin İşlenme ve Aktarılma Amaçları
Kişisel Veriler; hukuka ve Kanun’un
amacına uygun olarak Şirket’in,
- İnsan kaynakları politikalarının en iyi
şekilde planlanması ve uygulanması,
- Ticari ortaklıklarının ve stratejilerinin
doğru olarak planlanması, yürütülmesi ve yönetilmesi,
- Kendisinin ve iş ortaklarının hukuki,
ticari ve fiziki güvenliğinin temini,
- Kurumsal işleyişinin sağlanması, yönetim ve
iletişim faaliyetlerinin planlanması ve icrası,
- Ürün ve hizmetlerinden Kişisel Veri
Sahipleri’nin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç
ve isteklerine göre özel hale getirilerek önerilmesi,
- Veri güvenliğinin en üst düzeyde sağlanması,
- Veri tabanlarının oluşturulması,
- İnternet sitesinde sunulan hizmetlerin
geliştirilmesi ve sitede oluşan hataların giderilmesi,
- Kendisine talep ve şikâyetlerini ileten
Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet
yönetiminin sağlanması,
- Etkinlik yönetimi,
- İş ortakları veya tedarikçilerle olan
ilişkilerin yönetimi,
- Personel temin süreçlerinin yürütülmesi,
- Grup Şirketleri’nin personel temin
süreçlerine ve ilgili mevzuta uyum konusunda destek olunması,
- Grup Şirketleri’nin faaliyetlerinin ilgili
mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin
planlanması ve icrası,
- Kendisi ve Grup Şirketleri üst düzey
yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası
süreçlerine destek olunması,
- Grup Şirketleri’nin şirketler ve ortaklık
hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
- Finansal raporlama ve risk yönetimi
işlemlerinin icrası/takibi,
- Şirket hukuk işlerinin icrası/takibi,
- İtibarının korunmasına yönelik çalışmaların
gerçekleştirilmesi,
- Yatırımcı ilişkilerinin yönetilmesi,
- Yetkili kuruluşlara mevzuattan kaynaklı
bilgi verilmesi,
- Ziyaretçi kayıtlarının oluşturulması ve
takibi.
amaçlarıyla sınırlı olarak Kanun’un 5. ve 6.
maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi
geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında
öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme
sürecine ilişkin olarak Şirket tarafından açık rızanız temin edilmektedir.
3.2. Kişisel
Verilerin Aktarılacağı Kişiler
Kişisel Veriler, tarafınıza sunulan hizmetlerin
tam ve kusursuz olmasını temin edebilmek amacıyla ve yalnızca hizmetin
niteliğiyle uygun düştüğü ölçüde iş ve çözüm ortaklarımız, bankalar ile teknik,
lojistik ve benzeri diğer işlemleri bizim adımıza gerçekleştiren üçüncü
kişilerle paylaşılabilmektedir. Bu üçüncü kişiler ilgili hizmetlerin tam ve kusursuz
temin edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden
ibarettir.
Bunların haricinde hizmetin tam ve kusursuz
olarak verilebilmesi için başkaca üçüncü kişilerle verilerin paylaşılmak
zorunda kalınması, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için
zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak
verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel
Verileriniz -yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere-
aktarılabilecektir.
Kişisel Verilerin bir kısmı, reklamların hedef
kitleye uyarlanabilmesini sağlamak amacıyla, yalnızca diğer kullanıcılara ait
bilgilerle birlikte toplu olarak anonimleştirilmiş bir şekilde reklam
verenlerle paylaşılabilir.
Anonimleştirilmiş veriler siz
ziyaretçilerimiz/müşterilerimizle eşleştirilemeyecek bilgiler olup, kimlik
bilgilerinizi içerme ya da kimliğinizi belirlenebilir kılmaz. Anonimleştirilmiş
verilerde gizliliğiniz güvence altındadır.
§ 4. KİŞİSEL
VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLİNMESİ YOK EDİLMESİ VE ANONİM
HALE GETİRİLMESİ VE SAKLANMA SÜRESİ
4.1. Kişisel
Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kanun’un amacını düzenleyen 1. Madde ile
Kanun’un kapsamını düzenleyen 2. Madde’ye uygunluğunun denetimi amacıyla,
Kişisel Veriler; her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair
yöntemlerle, mağazalar, satış noktaları, çağrı merkezi, Şirket internet sitesi,
mobil uygulama gibi muhtelif yollardan, Politika’da yer verilen amaçların
gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki
sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir
şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket tarafından
görevlendirilen veri işleyenler tarafından işlenir.
4.2. Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi
Kişisel Veriler’in silinmesi, yok edilmesi
veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı
kalmak kaydı ile Şirket, bu Kanun ve diğer kanun hükümlerine uygun olarak
işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde Kişisel Veriler’i resen veya veri sahibinin talebi üzerine siler, yok
eder veya anonim hale getirir. Kişisel Veriler’in silinmesi ile bu veriler
tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha
edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket,
hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel
Veriler’in yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve
kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya,
CD, disket, hard disk gibi veri saklamaya elverişli materyallerin
yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel
Veriler’in başka verilerle eşleştirilse dahi kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
kastedilmektedir.
4.3. Kişisel
Verilerin Saklanma Süresi
Şirket, Kişisel Veriler’i mevzuatta öngörülmesi
durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel
verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir
süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen
faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri
uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte,
yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş;
ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna
gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil
etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya
savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin
tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri
ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e
yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri
belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka
amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği
zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre
sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
Kişisel Veriler’in saklanması, silinmesi, yok
edilmesi ve anonim hale getirilmesi ile ilgili Şirket tekniklerine dair detaylı
düzenlemeler Şirket’in Kişisel Veri Saklama Ve İmha Politikası’nda yer
almaktadır.
§ 5. KİŞİSEL
VERİLERİN KORUNMASI DAİR HUSUSLAR
Şirket, Kanun’un 12. maddesine uygun olarak,
işlemekte olduğu Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek,
verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını
sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari
tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya
yaptırmaktadır.
5.1. Kişisel
Verilerin Güvenliğinin Sağlanması
5.1.1.
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari
Tedbirler
Şirket, Kişisel Veriler’in hukuka uygun
işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre
teknik ve idari tedbirler almaktadır.
- Kişisel Verilerin Hukuka Uygun
İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka
uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda
sıralanmaktadır:
- Şirket bünyesinde gerçekleştirilen Kişisel
Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.
- Alınan teknik önlemler periyodik olarak iç
denetim mekanizması gereği ilgilisine raporlanmaktadır.
- Teknik konularda bilgili personel istihdam
edilmektedir.
- Kişisel Verilerin Hukuka Uygun
İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka
uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda
sıralanmaktadır:
- Çalışanlar, Kişisel Veriler’in korunması
hukuku ve Kişisel Veriler’in hukuka uygun olarak işlenmesi konusunda
bilgilendirilmekte ve eğitilmektedir.
- Şirket’in yürütmekte olduğu tüm faaliyetler
detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz
neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler
özelinde Kişisel Veri işleme faaliyetleri ortaya konulmaktadır.
- Şirket’in iş birimlerinin yürütmekte olduğu
Kişisel Veri işleme faaliyetleri; bu faaliyetlerin Kanun’nun aradığı
Kişisel Veri işleme şartlarına uygunluğun sağlanması için yerine
getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu
detay faaliyet özelinde belirlenmektedir.
- İş birimi bazında belirlenen hukuksal uyum
gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık
yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini
ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket
içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
- Şirket ile çalışanlar arasındaki hukuki
ilişkiyi yöneten sözleşme ve belgelere, Şirket’in talimatları ve kanunla
getirilen istisnalar dışında, Kişisel Veri’leri işlememe, ifşa etmeme ve
kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda
çalışanların farkındalığı yaratılmakta ve denetimler yürütülerek Kanun’dan
doğan yükümlülükler yerine getirilmektedir.
5.1.2.
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve
İdari Tedbirler
Şirket, Kişisel Veriler’in tedbirsizlikle veya
yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki
tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik
imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
- Kişisel Verilerin Hukuka Aykırı
Erişimini Engellemek için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka
aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda
sıralanmaktadır:
- Teknolojideki gelişmelere uygun teknik
önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve
yenilenmektedir.
- İş birimi bazında belirlenen hukuksal uyum
gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri
devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta,
yetkiler düzenli olarak gözden geçirilmektedir.
- Alınan teknik önlemler periyodik olarak iç
denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden
hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik
duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda bilgili personel istihdam
edilmektedir.
- Kişisel Veriler’in toplandığı
uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik
taramalarından geçirilmektedir. Bulunan açıkların kapatılması
sağlanmaktadır.
- Kişisel Verilerin Hukuka Aykırı
Erişimini Engellemek için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka
aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda
sıralanmaktadır:
- Çalışanlar, Kişisel Veri’lere hukuka aykırı
erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
- İş birimi bazında Kişisel Veri işlenmesi
hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel
Veri’lere erişim ve yetkilendirme süreçleri tasarlanmakta ve
uygulanmaktadır.
- Çalışanlar, öğrendikleri Kişisel Veri’leri
Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı
dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra
da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda
kendilerinden gerekli taahhütler alınmaktadır.
- Şirket tarafından Kişisel Veriler’in hukuka
uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel
Veriler’in aktarıldığı kişilerin, Kişisel Veriler’in korunması amacıyla
gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu
tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
5.1.3.
Kişisel Verilerin Güvenli Ortamlarda Saklanması
Şirket, Kişisel Veriler’in güvenli ortamlarda
saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya
değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre
gerekli teknik ve idari tedbirleri almaktadır.
- Kişisel Verilerin Güvenli
Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in güvenli
ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda
sıralanmaktadır:
- Kişisel Veriler’in güvenli ortamlarda
saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Teknik konularda uzman personel istihdam
edilmektedir.
- Saklanma alanlarına yönelik teknik güvenlik
sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik
zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları
yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut
ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik
önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine
raporlanmaktadır.
- Kişisel Veriler’in güvenli bir biçimde
saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları
kullanılmaktadır.
- Kişisel Veriler’in tutulduğu ortamlara
veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin
saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte,
Kişisel Veriler’in bulunduğu veri depolama alanlarına erişimler loglanarak
uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak
iletilmektedir.
- Kişisel Verilerin Güvenli
Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in güvenli
ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda
sıralanmaktadır:
- Çalışanlar, Kişisel Veriler’in güvenli bir
biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
- Bilgi güvenliği, özel hayatın gizliliği ve
kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli
aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Şirket tarafından Kişisel Veriler’in
saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet
alınması durumunda, Kişisel Veriler’in hukuka uygun olarak aktarıldığı
ilgili firmalar ile akdedilen sözleşmelere; Kişisel Veriler’in aktarıldığı
kişilerin, Kişisel Veriler’in korunması amacıyla gerekli güvenlik
tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlanacağına ilişkin hükümlere yer verilmektedir.
5.1.4.
Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket, Kanun’un 12. maddesine uygun olarak,
kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim
sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta
ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
5.1.5.
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, Kanun’un 12. maddesine uygun olarak
işlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde
edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibi’ne ve KVK
Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından
gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka
bir yöntemle ilan edilebilecektir.
5.2. Kişisel
Veri Sahiplerinin Yasal Haklarının Gözetilmesi
Şirket, Kişisel Veri Sahipleri’nin Politika ve
Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması
için gerekli tüm önlemleri alır. Kişisel Veri Sahipleri’nin hakları ile ilgili
ayrıntılı bilgiye işbu Politika’nın altıncı bölümünde yer verilmiştir.
5.3. Özel
Nitelikli Kişisel Verilerin Korunması
Kanun birtakım Kişisel Veri’lere, hukuka aykırı
olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma
riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen
özel nitelikli Kişisel Veriler’in korunmasına Şirket tarafından azami
hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin
korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler
bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli
denetimler sağlanmaktadır.
§ 6. KİŞİSEL
VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
6.1. Kişisel
Veri Sahibinin Aydınlatılması
Şirket, Kanun’un 10. maddesine uygun olarak,
Kişisel Veriler’in elde edilmesi sırasında Kişisel Veri Sahipleri’ni
aydınlatmaktadır. Bu kapsamda varsa, Şirket temsilcisinin kimliği, Kişisel
Veriler’in hangi amaçla işleneceği, işlenen Kişisel Veriler’in kimlere ve hangi
amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile
Kişisel Veri Sahibi’nin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
6.2. Kişisel
Veri Sahibi’nin KVK Kanunu Uyarınca Hakları
Şirket, Kanun’un 10.maddesi uyarınca size
haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol
göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik
düzenlemeleri gerçekleştirmektedir. Şirket, Kanun’un 11.maddesi uyarınca
Kişisel Veriler’i alınan kişilere;
- Kişisel Veri işlenip işlenmediğini öğrenme,
- Kişisel Veriler’i işlenmişse buna ilişkin
bilgi talep etme,
- Kişisel Veriler’in işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında Kişisel
Veriler’in aktarıldığı üçüncü kişileri bilme,
- Kişisel Veriler’in eksik veya yanlış
işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kanun’un 7. maddesinde öngörülen şartlar
çerçevesinde Kişisel Veriler’in silinmesini veya yok edilmesini isteme,
- Kanun’un 11. Maddesinin (d) ve
(e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine
bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Veriler’in kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep
etme
haklarının olduğunu açıklar.
6.3. Kişisel
Veri Sahibi’nin Haklarını İleri Süremeyeceği Haller
Kanun’un 28. maddesi gereğince aşağıdaki haller
Kanun kapsamı dışında tutulduğundan, Kişisel Veri Sahipleri aşağıdaki hallerde,
işbu Politika’nın (6.2.) maddesinde sayılan haklarını ileri süremezler:
- Kişisel Veriler’in, üçüncü kişilere
verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan
aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel Veriler’in resmi istatistik ile
anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi
amaçlarla işlenmesi.
- Kişisel Veriler’in millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel
hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil
etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi.
- Kişisel Veriler’in millî savunmayı, millî
güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve
kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi.
- Kişisel Veriler’in soruşturma, kovuşturma,
yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz
mercileri tarafından işlenmesi.
Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan
hallerde Kişisel Veri Sahipleri zararın giderilmesini talep etme hakkı hariç,
işbu Politika’nın (6.2.) maddesinde sayılan haklarını ileri süremezler:
- Kişisel Veri işlemenin suç işlenmesinin
önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel Veri Sahibi tarafından kendisi
tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel Veri işlemenin kanunun verdiği
yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu
kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme
görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için
gerekli olması.
- Kişisel Veri işlemenin bütçe, vergi ve mali
konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması
için gerekli olması.
6.4.
Kişisel Veri Sahibi’nin Haklarını Kullanması
Kişisel
Veri Sahipleri işbu Politika’nın (6.2.) maddesinde sayılan haklarına ilişkin
taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda
belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle https://www.diktasltd.com.tr/bilgilendirme/kvkk-form-s2 bağlantısından
ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak
iletebileceklerdir:
- Başvuru formu doldurulduktan sonra ıslak
imzalı bir nüshasının bizzat elden veya noter aracılığı ile Cumhuriyet
Mahallesi Yeni Yol 1 Sk. Now Bomonti Apt. No: 2/12 Şişli/İstanbul adresine
iletilmesi,
- Başvuru formu doldurulup 5070 Sayılı
Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla
imzalandıktan sonra güvenli elektronik imzalı
formun info@diktasltd.com.tr adresine kayıtlı elektronik posta
ile gönderilmesi,
- Başvuru sahibinin bizzat gelerek kimliğini
tevsik edici belge ve başvuru konusuna ilişkin bilgi ve belgeler ile
başvurarak Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı
bulunan elektronik posta adresini kullanmak suretiyle başvuru formunun
iletilmesi
Kişisel veri sahipleri adına üçüncü kişilerin
başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak
kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
6.5.
Şirket’in Başvurulara Cevap Verme Usulü Ve Süresi
Şirket, başvuruda yer alan talepleri, talebin
niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz
olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi
hâlinde, KVK Kurul’u tarafından belirlenen tarifedeki ücret alınabilir. Şirket,
talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını
yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin
kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.
6.6. Kişisel
Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Başvurunun reddedilmesi, verilen cevabın
yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; veri
sahibi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden
itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.
§ 7.
ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
UYARINCA YÖNETİM YAPISI
Şirket bünyesinde işbu Politika ve bu
Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst
yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur.
Kişisel Veri Komitesi, Kişisel Veri Sahipleri’nin verilerinin hukuka,
işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun
olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir.
Kişisel Veri Komitesi’nde görevlendirilenler ve görevlerine dair Şirket’in
internet sitesinde yayımlanan Kişisel Veri Saklama Ve İmha Politikası’nda
detaylı düzenlemeler yer almaktadır.
§ 8.
GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER
8.1.
Güncelleme ve Uyum
Şirket, Kanun’da yapılan değişiklikler
nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim
alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve
ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. İşbu
Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere
ilişkin açıklamalar Politika’nın sonunda açıklanır.
KVKK - Kişisel Veri Saklama
ve İmha Politikası
DİKTAŞ LTD.ŞTİ.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. BÖLÜM:
İMHA POLİTİKASI'NIN NİTELİĞİ VE AMACI
1.1. GİRİŞ
İşbu
imha politikası DİKTAŞ
LTD.ŞTİ. kısaca
(“DİKTAŞ”) olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel
verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı
uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesine ilişkin DİKTAŞ tarafından
uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan
adaylarımızın, müşterilerimizin ve herhangi bir nedenle DİKTAŞ nezdinde kişisel
verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin
İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha
Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
1.2. TANIMLAR
Doğrudan tanımlayıcılar | : | Tek
başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden
ve ayırt edilebilir kılan tanımlayıcıları, |
Dolaylı tanımlayıcılar | : | Diğer
tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa
çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları, |
İlgili kişi | : | Kişisel
verisi işlenen gerçek kişiyi, |
İmha | : | Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, |
Kanun | : | 07.04.2016
tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin
Korunması Kanununu, |
Yönetmelik | : | 28.10.2017
tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini |
Kurul | : | Kişisel
Verileri Koruma Kurulunu |
Kayıt ortamı | : | Tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu
her türlü ortamı, |
Kişisel Verilerin İşlenmesi ve Korunması
Politikası | : | “www.diktasltd.com.tr” adresinden
ulaşılabilecek, DİKTAŞ elinde bulunan kişisel verilerin yönetilmesine ilişkin
usul ve esasları belirleyen politikayı, |
Veri kayıt sistemi | : | Kişisel
verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, |
ifade eder.
2. BÖLÜM:
ORTAMLAR VE GÜVENLİK TEDBİRLERİ
2.1. KİŞİSEL
VERİLERİN SAKLANDIĞI ORTAMLAR
DİKTAŞ nezdinde saklanan kişisel veriler, ilgili
verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında
tutulur.
Kişisel verilerin saklanması için kullanılan
kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım
veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz
nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. DİKTAŞ
her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a,
Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri
Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
a) Matbu ortamlar | : | Verilerin
kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır. |
b) Yerel dijital ortamlar | : | DİKTAŞ
bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler
gibi sair dijital ortamlardır. |
c) Bulut ortamlar | : | DİKTAŞ
bünyesinde yer almamakla birlikte, DİKTAŞ’nın kullanımında olan, kriptografik
yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır. |
2.2.
ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
DİKTAŞ, kişisel verilerin güvenli bir şekilde
saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için
ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli
tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere,
ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde
aşağıdaki idari ve teknik tedbirleri kapsar.
2.2.1. Teknik Tedbirler
DİKTAŞ, kişisel verilerin saklandığı tüm
ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun
olarak aşağıdaki teknik tedbirleri almaktadır:
- Kişisel verilerin tutulduğu ortamlarda
yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler
kullanılmaktadır.
- Kişisel verilerin tutulduğu ortamlara
yönelik güvenlik sistemleri kullanılmaktadır.
- Bilişim sistemleri üzerindeki güvenlik
zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları
yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut
ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Kişisel verilerin tutulduğu ortamlara
veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin
saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte
ve tüm erişimler kayıt altına alınmaktadır.
- DİKTAŞ bünyesinde kişisel verilerin
tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel
bulundurmaktadır.
2.2.2. İdari Tedbirler
DİKTAŞ, kişisel verilerin saklandığı tüm
ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun
olarak aşağıdaki idari tedbirleri almaktadır:
- Kişisel verilere erişimi olan tüm DİKTAŞ
çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği
konularında farkındalıklarının artırılması ve bilinçlendirilmesi için
çalışmalar yapılmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve
kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli
aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Kişisel verilerin teknik ya da hukuki
gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü
kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta,
ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için
gerekli tüm özen gösterilmektedir.
2.2.3. Şirket İçi Denetim
DİKTAŞ, Kanun’un 12’nci maddesi uyarınca Kanun
hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel
Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin
şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin
uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu
eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde DİKTAŞ
sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edildiğinin anlaşılması hâlinde, DİKTAŞ bu durumu en kısa
sürede ilgilisine ve Kurula bildirir.
3. BÖLÜM:
KİŞİSEL VERİLERİN İMHASI
3.1. SAKLAMA
VE İMHA NEDENLERİ
3.1.1. Saklama Nedenleri
DİKTAŞ bünyesinde tutulan kişisel veriler Kanun
ve Kişisel Veriler Politikamız (ilgili politikaya “www.diktasltd.com.tr”
adresinden ulaşabilirsiniz) uyarınca, burada belirtilen amaç ve nedenlerle
saklanmaktadır.
3.1.2. İmha Nedenleri
DİKTAŞ bünyesinde bulunan kişisel veriler ilgili
kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan
nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca
silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan
nedenler aşağıdakilerden ibarettir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait
kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü
yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından
alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya
korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlenmesinin zorunlu olması.
3.2.
İMHA YÖNTEMLERİ
DİKTAŞ, Kanuna ve sair mevzuatı ile Kişisel
Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel
verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha
Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale
getirir.
DİKTAŞ tarafından en çok kullanılan silme, yok
etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:
3.2.1.1 Silme Yöntemleri
Matbu Ortamda Tutulan
Kişisel Veriler İçin Silme Yöntemleri | ||
Karartma | : | Matbu
ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir.
Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan
durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve
teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak
görünemez hale getirilmesi şeklinde yapılır. |
Bulut ve Yerel Dijital Ortamda Tutulan Kişisel
Veriler İçin Silme Yöntemleri | ||
Yazılımdan güvenli olarak silme | : | Bulut
ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha
kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere
tekrar ulaşılamaz. |
3.2.1.2 Yok Etme Yöntemleri
Matbu Ortamda Tutulan
Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Matbu
ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya
getirilemeyecek şekilde yok edilir. |
Yerel Dijital Ortamda Tutulan Kişisel Veriler
İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Kişisel
veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz
haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya
manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal
öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
De-manyetize etme (degauss) | : | Manyetik
medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin
okunamaz biçimde bozulması işlemidir. |
Üzerine yazma | : | Manyetik
medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden
oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının
önüne geçilir. |
Bulut Ortamda Tutulan Kişisel Veriler İçin Yok
Etme Yöntemleri | ||
Yazılımdan güvenli olarak silme | : | Bulut
ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital
komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel
verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm
kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
3.2.1.3. Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka
verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Değişkenleri çıkarma | : | İlgili
kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi
bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir
kaçının çıkarılmasıdır. Bu
yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi,
kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin
bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir. |
Bölgesel gizleme | : | Kişisel
verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna
durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin
silinmesi işlemidir. |
Genelleştirme | : | Birçok
kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri
kaldırılarak istatistiki veri haline getirilmesi işlemidir. |
Alt ve üst sınır kodlama / Global kodlama | : | Belli bir
değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir.
Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine
yakın veriler kategorilendirilir. Aynı
kategori içinde kalan değerler birleştirilir. |
Mikro birleştirilme | : | Bu yöntem
ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip
sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her
alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt
kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede
veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin
ilgili kişiyle ilişkilendirilmesi zorlaştırılır. |
Veri karma ve bozma | : | Kişisel
veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle
karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve
tanımlayıcı niteliklerini kaybetmeleri sağlanır. |
DİKTAŞ, kişisel verilerin anonim hale
getirilmesi için ilgili verinin niteliğine göre bu sayılan anonimleştirme
yöntemlerinden bir ya da birkaçını kullanır. DİKTAŞ, bu anonimleştirme
yöntemlerini kullanırken K-Anonimlik (K-Anonymity), L-Çeşitlilik (L-Diversity)
ve T-Yakınlık (T-Closeness) istatistik yöntemlerini kullanabilir.
3.3. SAKLAMA
VE İMHA SÜRELERİ
3.3.1. Saklama Süreleri
VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
Çalışan | İşe alım
evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve
ücrete dair bildirimlere esas özlük verileri | İş
İlişkisinin sona ermesinden itibaren 10 Yıl muhafaza edilir. |
Çalışan | İşe alım
evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve
ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri | Hizmet
akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de
15(onbeş) yıl müddetle muhafaza edilir. |
Çalışan | İşyeri
Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet
akdinin devamında ve hitamından itibaren 30(otuz) yıl müddetle muhafaza
edilir. |
İş Ortağı/Çözüm Ortağı/Danışman | İş
Ortağı/Çözüm Ortağı/Danışman ile DİKTAŞ arasındaki ticari ilişkinin
yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon
aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı
verileri | İş
Ortağı/Çözüm Ortağı/Danışmanın, DİKTAŞ'la olan iş/ticari ilişkisi süresince
ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret
Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Ziyaretçi | DİKTAŞ'a
ait fiziki mekana girişte alınan Ziyaretçi'ye ait ad, soyad, T.C.K.N., araç
plakası ile kamera kayıtları, telefon aramalarında alınan ses kayıtları | 2 yıl
süre ile saklanır. |
İnternet Sitesi Ziyaretçisi | İnternet
Sitesi Ziyaretçisi'ne ait ad, soyad, e-posta adresi, gezinme hareketleri
bilgileri | 2 yıl
süre ile saklanır. |
Çalışan Adayı | Çalışan
Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla
2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır. |
Stajyer(öğrenci) | Stajyer'e
ait staj dosyasında yer alan bilgiler | Staj
ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren
de 10(on) yıl müddetle muhafaza edilir. |
Müşteri | Müşteri'ye
ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri,
gezinme hareketleri bilgileri, telefon aramalarında alınan ses
kayıtları, ürün/hizmet tercihleri, işlem geçmişi, özel gün bilgileri | Müşteri'nin,
satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar
Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Müşteri | Kamera
görüntüleri, araç plaka bilgisi | 2 yıl
süre ile saklanır. |
Potansiyel Müşteri | Potansiyel
Müşteri ile DİKTAŞ arasındaki ticari ilişki kurulmasına dair sözleşme
görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal
bilgiler, telefon aramalarında alınan ses kayıtları | 2 yıl
süre ile saklanır. |
DİKTAŞ’nın İşbirliği İçinde Olduğu
Kurum/Firmalar (Tedarikçi, Fason Üretici, Bayi/Franchise | DİKTAŞ’nın
İşbirliği İçinde Olduğu Kurum/Firmalar ile DİKTAŞ arasındaki ticari ilişkinin
yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon
aramalarında alınan ses kayıtları, DİKTAŞ’nın İşbirliği İçinde Olduğu
Kurum/Firma çalışanı verileri | DİKTAŞ’nın
İşbirliği İçinde Olduğu Kurum/Firmaların, DİKTAŞ'yla olan iş/ticari ilişkisi
süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk
Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
*
Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da
mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha
uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami
saklama süresi olarak kabul edilir.
3.3.2. İmha Süreleri
DİKTAŞ, Kanun, ilgili mevzuat, Kişisel Verilerin
İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha
Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim
hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha
işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 13’ncü maddesine istinaden
DİKTAŞ’ya başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini
talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı
ortadan kalkmışsa; DİKTAŞ talebe konu kişisel verileri talebi aldığı
günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha
yöntemi ile siler, yok eder veya anonim hale getirir. DİKTAŞ’nın
talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin
İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir.
DİKTAŞ, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı
ortadan kalkmamışsa, bu talep DİKTAŞ tarafından Kanunun 13’ncü maddesinin
üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı
ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik
ortamda bildirilir.
3.4.
PERİYODİK İMHA
Kanunda yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması durumunda; DİKTAŞ işleme şartları
ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha
Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek
bir işlemle siler, yok eder veya anonim hale getirir.
Periyodik imha süreçleri ilk kez 30.06.2018
tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.
3.5. İMHA
İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ
DİKTAŞ, gerek talep üzerine gerekse periyodik
imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair
mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel
Veri Saklama ve İmha Politikasına uygun olarak yapar.
DİKTAŞ, imha işlemlerinin bu düzenlemelere uygun
olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler
almaktadır.
3.5.1. Teknik Tedbirler
- DİKTAŞ, işbu politikada yer alan her bir
imha yöntemine uygun teknik araç ve ekipman bulundurur.
- DİKTAŞ, imha işlemlerinin yapıldığı yerin
güvenliğini sağlar.
- DİKTAŞ, imha işlemini yapan kişilerin
erişim kayıtlarını tutar.
- DİKTAŞ, imha işlemini yapacak yetkin ve
tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü
kişilerden hizmet alır.
3.5.2. İdari Tedbirler
- DİKTAŞ, imha işlemini yapacak
çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği
konularında farkındalıklarının artırılması ve bilinçlendirilmesi için
çalışmalar yapar.
- DİKTAŞ, bilgi güvenliği, özel hayatın
gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri
alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere
hukuki ve teknik danışmanlık hizmeti alır.
- DİKTAŞ, teknik ya da hukuki gereklilikler
nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili
üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar,
ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için
gerekli tüm özeni gösterir.
- DİKTAŞ, imha işlemlerinin hukuka ve işbu
Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve
yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler,
gereken aksiyonları alır.
- DİKTAŞ, kişisel verilerin silinmesi, yok
edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri
kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler
hariç olmak üzere en az üç yıl süreyle saklar.
4.
BÖLÜM: KİŞİSEL VERİ KOMİTESİ
DİKTAŞ bünyesinde bir Kişisel Veri Komitesi
kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel
Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha
Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri
yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi bir yönetici, bir idari
uzman ve bir teknik uzman olmak üzere üç kişiden oluşur. Kişisel Veri
Komitesinde görevli DİKTAŞ çalışanlarının unvanları ve görev tanımları aşağıda
belirtilmiştir:
Unvan | | Görev
Tanımı |
Kişisel Veri Komitesi Yöneticisi | : | Kanuna
uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz,
araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel
Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha
Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili
kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
KVK Uzmanı (Teknik ve İdari) | : | İlgili
kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri
Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi
tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin
işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine
getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu
denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve
imha süreçlerinin yürütülmesinden sorumludur. |
5. BÖLÜM:
GÜNCELLEME VE UYUM
DİKTAŞ, Kanunda yapılan değişiklikler nedeniyle,
Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler
doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu
Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında
yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin
açıklamalar politikanın sonunda açıklanır.
5.1
DEĞİŞİKLİK NOTLARI
01.01.2018 | : | Kişisel
Veri Saklama ve İmha Politikası yayınlanmıştır. |
*daha eski tarihli bir değişiklik bulunmamaktadır.*