KVKK
Kişisel Verilerin Korunmasına ilişkin Aydınlatma ve Rıza Metni
DİKTAŞ LTD.ŞTİ.
İNTERNET SİTESİ
AYDINLATMA METNİ
DİKTAŞ LTD.ŞTİ. (“DİKTAŞ”
veya “Şirket”) tarafından, işlettiği https://www.diktasltd.com.tr/ internet
sitesini ziyaret edenlerin gizliliğini korumak Şirketimizin önde gelen
ilkelerindendir.
İşbu Aydınlatma
Metni’nde, kişisel verilerinizin, 6698 sayılı Kişisel Verilerin Korunması
Kanunu (“Kanun”) ve ilgili mevzuata uygun olarak, Ostim OSB,
100.Yıl Bulvarı 1232.Cadde Yenimahalle/ANKARA adresinde yer alan
veri sorumlusu Şirket nezdinde işlenmesine ilişkin esaslar aşağıda
belirtilmiştir.
1. Kişisel Verilerin
İşlenme Amacı
İnternet sitemizi
ziyaret etmeniz dolayısıyla elde edilen kişisel verileriniz aşağıda sıralanan
amaçlarla DİKTAŞ tarafından KVK Kanunu’nun 5. ve 6. maddelerine uygun olarak
işlenebilecektir:
- Web sitesine üye olunması ile
ilgili kişilerin web sitesi üzerindeki hizmetlerden faydalandırılması,
- İlgili kişi tarafından iletişim
sekmesinde yer alan kanallardan talepte bulunulması halinde, bilgi
alınmasının sağlanması, dilek/önerilerin değerlendirmeye alınması ve
şikayette bulunulabilmesinin sağlanması,
- Şirket tarafından sunulan
hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve
ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve
tanıtılması için gerekli olan aktivitelerin planlanması ve icrası,
- Şirket tarafından yürütülen
ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz
tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin
yürütülmesi,
- Şirket’in ticari ve/veya iş
stratejilerinin planlanması ve icrası,
- Şirket’in ve Şirket’le iş
ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş
güvenliğinin temininin sağlanması.
2. İşlenen Kişisel
Verilerin Aktarıldığı Yerler ve Aktarım Amacı
Elde edilen kişisel
verileriniz, kişisel verilerinizin işlenme amaçları doğrultusunda, iş
ortaklarımıza (dış kaynak hizmet sağlayıcıları, barındırma (hosting)
hizmet sağlayıcıları, araştırma şirketleri, çağrı merkezleri gibi), şirket
iştiraklerimize ve kanunen yetkili kamu kurumları ile özel kişilere KVK
Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve
amaçları dahilinde aktarılabilecektir.
3. Kişisel Verilerin
Toplanma Yöntemi ve Hukuki Sebebi
Kişisel verileriniz,
DİKTAŞ tarafından internet sitemizi ziyaret etmeniz dolayısıyla teknik iletişim
dosyaları olan çerezler (cookies) vasıtasıyla ve işbu Aydınlatma
Metni’nde belirtilmiş olan amaçlar doğrultusunda doldurmuş olduğunuz formlar
vasıtasıyla otomatik yolla toplanmaktadır. Çerezler (cookie) hakkında
detaylı bilgi için Çerez Politikası’nı inceleyiniz.
Kişisel verileriniz
aşağıda yer alan hukuki sebepler uyarınca işlenmektedir:
- KVKK m. 5/2 (f) hükmü uyarınca
temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Şirket’in meşru
menfaatleri için veri işlenmesinin zorunlu olması,
- KVKK m. 5/2 (c) hükmü uyarınca
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
nedeniyle işlemenin gerekli olması (Kullanım Koşulları vb. için
sözleşmenin ifası, hakkın tesisi ile korunması).
4. Veri Sorumlusuna
Başvuru Yolları ve Haklarınız
Kanun’un 11. maddesi
uyarınca, Şirketimize başvurarak, kişisel verilerinizin; a) işlenip
işlenmediğini öğrenme, b) işlenmişse bilgi talep etme, c) işlenme amacını ve
amacına uygun kullanılıp kullanılmadığını öğrenme, d) yurt içinde / yurt
dışında transfer edildiği tarafları öğrenme, e) eksik / yanlış işlenmişse
düzeltilmesini isteme, f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde
silinmesini / yok edilmesini isteme, g) aktarıldığı 3. kişilere yukarıda
sayılan (e) ve (f) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
h) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir
sonucun ortaya çıkmasına itiraz etme, ve i) kanuna aykırı olarak işlenmesi
sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına
sahipsiniz.
Belirtilmiş olan
haklarınıza ilişkin taleplerinizi Veri Sorumlusuna Başvuru Usul ve Esasları
Hakkında Tebliğ uyarınca tarafımıza iletebilirsiniz. Bilgi ve başvuru
taleplerinizi internet sitemizde yer alan Başvuru Formu’nu doldurarak “Ostim
Osb Mah. 100.Yıl Bulvarı 1232.Cadde No:55 Yenimahalle/Ankara” adresine
gönderme yöntemiyle de tarafımıza iletebilirsiniz.
Şirketimiz
taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün
içinde, ilk talep ücretsiz olmak üzere sonuçlandırır. Ancak aynı konuyla ilgili
takip eden taleplerde veya ilk talepte işlemin ayrıca bir maliyeti gerektirmesi
hâlinde, ücret alınabilir. Şirketimiz talebi kabul edip işleme koyabilir veya
gerekçesini açıklayarak talebi yazılı usulle reddedebilir.
Yukarıda belirtilen
prosedür takip edilerek gerçekleştirilen başvurunun reddedilmesi, verilen
cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi
hâllerinde; cevabın tebliğini takiben otuz ve her hâlde başvuru tarihinden
itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na (“Kurul”)
şikâyette bulunma hakkı mevcuttur. Ancak başvuru yolu tüketilmeden şikâyet
yoluna başvurulamaz.
Kurul, şikâyet üzerine
veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda
gerekli incelemeyi yapar. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere
bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse
talep reddedilmiş sayılır. Şikâyet üzerine veya resen yapılan inceleme
sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka
aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere
tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün
içinde yerine getirilir. Kurul, telafisi güç veya imkânsız zararların doğması
ve açıkça hukuka aykırılık olması hâlinde, veri işlenmesinin veya verinin yurt
dışına aktarılmasının durdurulmasına karar verebilir.
Verilerinizin
Şirketimiz nezdinde hassasiyetle korunduğunu belirtir; bize duyduğunuz güven
için teşekkür ederiz.
KVKK - Kişisel Verilerin İşlenmesi ve Korunması Politikası
KİŞİSEL VERİLERİN
İŞLENMESİ VE KORUNMASI POLİTİKASI
§ 1.GİRİŞ
1.1. Giriş
DİKTAŞ LTD.ŞTİ. (“Şirket”)
olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu(“Kanun”) uyarınca kişisel
verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve
tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle,
gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek
gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari
ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin İşlenmesi ve
Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.
1.2. Politikanın Amacı
İşbu Politika’nın
temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin
işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu
kapsamda Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışan
Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri, Potansiyel
Müşteriler ve Üçüncü Kişiler başta olmak üzere kişisel verileri Şirketimiz
tarafından işlenen kişileri bilgilendirmektir. Bu şekilde Şirketimiz tarafından
gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde
mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere
dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.
1.3. Politikanın
Kapsamı ve Kişisel Veri Sahipleri
Bu Politika; otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla, Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları,
Çalışan Adayları’mız, Ziyaretçiler’imiz, Şirket ve Grup Şirket Müşterileri,
Potansiyel Müşteriler ve Üçüncü Kişiler başta olmak üzere kişisel verileri
Şirketimiz tarafından işlenen kişiler için hazırlanmıştır ve bu belirtilen
kişiler kapsamında uygulanacaktır. Bu Politika, hiçbir şekilde tüzel kişilere
ve tüzel kişi verilerine uygulanmayacaktır.
Şirketimiz bu
Politikayı internet sitesinde yayımlamak suretiyle bahse konu Kişisel Veri
Sahipleri’ni Kanun hakkında bilgilendirmektedir. Şirketimiz çalışanları için,
Çalışanlar için Kişisel Verilerin İşlenmesi Politikası uygulanacaktır.
Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer
almaması veya Şirketimiz tarafından gerçekleştirilen Kişisel Veri işleme
faaliyetinin yukarıda belirtilen yollarla olmaması halinde de işbu Politika
uygulanmayacaktır.
Bu kapsamda işbu
Politika kapsamındaki kişisel veri sahipleri aşağıdaki gibidir:
Şirket Paydaşı | Şirket’in Paydaşı
gerçek kişilerdir. |
Şirket Gerçek Kişi
İş Ortağı | Şirket’in her türlü
iş ilişkisi içerisinde bulunduğu gerçek kişilerdir. |
Şirket İş
Ortaklarının Paydaşı, Yetkilisi, Çalışanı | Şirket’in her türlü
iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin (iş
ortağı, tedarikçi gibi) çalışanları, Paydaşları ve yetkilileri
dâhil olmak üzere, tüm gerçek kişilerdir. |
Şirket Yetkilisi | Şirket’in yönetim
kurulu üyesi ve diğer yetkili gerçek kişilerdir. |
Çalışan Adayı | Şirket’e herhangi
bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini
Şirket’in incelemesine açmış olan gerçek kişilerdir. |
Şirket Müşterisi | Şirket ile herhangi
bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in sunmuş
olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir. |
Grup Şirket
Müşterisi | Şirket’in Grup
Şirketleri ile herhangi bir sözleşmesel ilişkisi olup olmadığına
bakılmaksızın Şirket Grup Şirketleri’nin sunmuş olduğu ürün ve hizmetleri
kullanan veya kullanmış olan gerçek kişilerdir. |
Potansiyel Müşteri | Şirket’in ürün ve
hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip
olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak
değerlendirilmiş gerçek kişilerdir. |
Ziyaretçi | Şirket’in sahip
olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini
herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
Üçüncü Kişi | Şirket Çalışanları
için hazırlanan Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına
ve bu Politikada herhangi bir kişisel veri sahibi kategorisine girmeyen diğer
gerçek kişilerdir. |
1.4.Tanımlar
İşbu Politika’da yer
verilen kavramlar aşağıda belirtilen anlamları ifade eder:
Şirket/ Şirketimiz | DİKTAŞ LTD.ŞTİ.’dir. |
Kişisel Veri/Veriler | Kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Özel Nitelikli
Kişisel Veri/Veriler | Irk, etnik köken,
siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık
kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir. |
Kişisel Verilerin
İşlenmesi | Kişisel Verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
Kişisel Veri
Sahibi/İlgili Kişi | Kişisel verisi
şirket tarafından işlenen kişileri ifade eder. |
Grup Şirket | Şirket’in bağlı
olduğu gruba bağlı şirket/şirketleri ifade eder. |
Veri Kayıt Sistemi | Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder. |
Veri Sorumlusu | Kişisel verilerin
işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Veri İşleyen | Veri sorumlusunun
verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel
kişidir. |
Açık Rıza | Belirli bir konuya
ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Anonim Hale Getirme | Daha öncesinde bir
kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesidir. |
Kanun | 6698 sayılı Kişisel
Verilerin Korunması Kanunu’nu ifade eder. |
KVK Kurulu | Kişisel Verileri
Koruma Kurulu’dur. |
§ 2. KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI
2.1. Kişisel Verilerin
İşlenmesinde Genel İlkeler
Şirket tarafından
Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun
olarak işlenir. Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket
eder:
- Kişisel Veriler, ilgili hukuk
kurallarına ve dürüstlük kuralının gereklerine uygun olarak
işlenir.
- Kişisel Verilerin doğru
ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği
kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi
gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate
alınır.
- Kişisel Veriler; belirli,
açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin
işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle
bağlantılı ve bunlar için gerekli olması anlamına gelir.
- Kişisel Veriler, Şirket
tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı
olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan
Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın
gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen
Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
- İlgili mevzuatta verilerin
saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum
gösterir; aksi durumda Kişisel Veriler’i, ancak işlendikleri amaç
için gerekli olan süre kadar muhafaza Kişisel Veri’nin daha fazla
muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu
veri silinir, yok edilir veya anonim hale getirilir.
2.2. Kişisel Verilerin
İşlenme Şartları
Şirket Kişisel
Veriler’i veri sahibinin açık rızası olmaksızın işlemez. Aşağıdaki şartlardan
birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın Kişisel
Veriler işlenebilecektir.
- Şirket, Kişisel Veri
Sahipleri’nin Kişisel Veriler’ini açık rıza olmasa dahi kanunlarda açıkça
öngörülen hallerde işleyebilir. Örneğin; Vergi Usul Kanunu’nun 230.
Maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi için
ilgili kişinin açık rızası aranmayacaktır.
- Fiili imkânsızlık nedeni ile
rızasını açıklayamayacak durumda olan veya rızasına geçerlilik
tanınamayacak olan kişilerin kendisinin ya da başka bir kişinin hayat veya
beden bütünlüğünün korunması için Kişisel Veriler açık rıza olmadan
işlenebilir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası
olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden
bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında,
Kişisel Veri Sahibi’nin Kişisel Veriler’i işlenebilecektir. Bu bağlamda
kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi
veriler, ilgili sağlık sistemi üzerinden işlenebilir.
- Şirket tarafından bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler işlenebilecektir.
Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın
hesap numarası bilgisi alınabilecektir.
- Şirket, veri sorumlusu olarak
hukuki yükümlülüklerini yerine getirebilmek için zorunlu ise, Kişisel Veri
Sahipleri’nin Kişisel Veriler’ini işleyebilir.
- Şirket tarafından Kişisel Veri
Sahipleri’nin kendisi tarafından alenileştirilen bir başka ifadeyle
herhangi bir şekilde kamuoyuna açıklanmış olan Kişisel Veriler’i,
korunması gereken hukuki yarar ortadan kalktığından işlenebilir.
- Şirket, hukuken meşru bir
hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu
hallerde Kişisel Veri Sahipleri’nin Kişisel Veriler’ini açık rıza
aramaksızın işleyebilir.
- Şirket, Kişisel Veri
Sahipleri’nin Kanun ve Politika kapsamında korunan temel hak ve
özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için Kişisel
Veriler’in işlenmesinin zorunlu olduğu durumlarda Kişisel Veri
Sahipleri’nin Kişisel Veriler’ini işleyebilir. Şirket, Kişisel Veriler’in
korunmasına ilişkin temel ilkelere uyulması ve Kişisel Veri Sahipleri’nin
menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti
göstermektedir.
2.3. Özel Nitelikli
Kişisel Verilerin İşlenme Şartları
Şirket, Özel Nitelikli
Kişisel Veriler’i, ilgilinin açık rızası olmaksızın işlemez. Ancak sağlık ve
cinsel hayat dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili
kişinin açık rıza aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata
ilişkin Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası
aranmaksızın işlenir. Şirket Özel Nitelikteki Kişisel Veriler’in işlenmesinde
Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli
işlemleri yürütmektedir.
2.4. Kişisel Verilerin
Aktarılma Şartları
Şirketimiz Kişisel
Verileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını oluşturarak
ve güvenlik önlemlerini alarak Kişisel Veri Sahiplerinin Kişisel Verilerini ve
Özel Nitelikli Kişisel Verileri üçüncü kişilere Kanuna uygun olarak
aktarabilir. Şirketimiz Kişisel Verilerin aktarılması sırasında Kanunda
öngörülen düzenlemelere uygun hareket etmektedir. Bu kapsamda Şirketimiz meşru
ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan,
Kanunun 5. maddesinde belirtilen Kişisel Veri işleme şartlarından bir
veya birkaçına dayalı ve sınırlı olarak
Kişisel Verileri
üçüncü kişilere:
- Kişisel Veri sahibinin açık
rızası var ise;
- Kanunlarda Kişisel Verinin
aktarılacağına ilişkin açık bir düzenleme var ise, Kişisel Veri sahibinin
veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise
ve
- Kişisel Veri sahibi fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına
hukuki geçerlilik tanınmıyorsa,
- Bir sözleşmenin kurulması veya
ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına
ait Kişisel Verinin aktarılması gerekli ise,
- Şirketimizin hukuki
yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise,
- Kişisel Veriler, Kişisel Veri
sahibi tarafından alenileştirilmiş ise,
- Kişisel Veri aktarımı bir
hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel Veri sahibinin temel
hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru
menfaatleri için Kişisel Veri aktarımı zorunlu ise aktarabilir.
2.4.1. Kişisel
Verilerin Yurt Dışına Aktarılma Şartları
Şirketimiz Kişisel
Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak Kişisel
Veri Sahiplerinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt
dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler;
KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı
ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili
yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt
ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir.
2.5. Özel Nitelikli
Kişisel Verilerin Aktarılma Şartları
Şirket, gerekli özeni
göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından
öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme
amaçları doğrultusunda Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel
Veriler’ini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
- Kişisel Veri Sahibi’nin açık
rızası olması halinde veya
- Aşağıdaki şartların varlığı
halinde Kişisel Veri Sahibi’nin açık rızası aranmaksızın;
- Kişisel Veri Sahibi’nin sağlığı
ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir), kanunlarda öngörülen hallerde,
- Kişisel Veri Sahibi’nin
sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi
ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından.
2.5.1. Özel Nitelikli
Kişisel Verilerin Yurt Dışına Aktarılması
Şirket, gerekli özeni
göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından
öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme
amaçları doğrultusunda Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel
Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı
taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
- Kişisel Veri Sahibi’nin açık
rızası olması halinde veya
- Aşağıdaki şartların varlığı
halinde Kişisel Veri Sahibi’nin açık rızası aranmaksızın;
- Kişisel Veri Sahibi’nin sağlığı
ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir), kanunlarda öngörülen hallerde,
- Kişisel Veri Sahibi’nin
sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi
ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından.
§ 3. KİŞİSEL VERİLERİN
İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER
3.1. Kişisel Verilerin
İşlenme ve Aktarılma Amaçları
Kişisel Veriler;
hukuka ve Kanun’un amacına uygun olarak Şirket’in,
- İnsan kaynakları
politikalarının en iyi şekilde planlanması ve uygulanması,
- Ticari ortaklıklarının ve
stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
- Kendisinin ve iş ortaklarının
hukuki, ticari ve fiziki güvenliğinin temini,
- Kurumsal işleyişinin
sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
- Ürün ve hizmetlerinden Kişisel
Veri Sahipleri’nin en iyi şekilde faydalandırılması ve onların talep,
ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,
- Veri güvenliğinin en üst
düzeyde sağlanması,
- Veri tabanlarının
oluşturulması,
- İnternet sitesinde sunulan
hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi,
- Kendisine talep ve
şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep
ve şikâyet yönetiminin sağlanması,
- Etkinlik yönetimi,
- İş ortakları veya
tedarikçilerle olan ilişkilerin yönetimi,
- Personel temin süreçlerinin
yürütülmesi,
- Grup Şirketleri’nin personel
temin süreçlerine ve ilgili mevzuta uyum konusunda destek olunması,
- Grup Şirketleri’nin
faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için
denetim faaliyetlerinin planlanması ve icrası,
- Kendisi ve Grup Şirketleri üst
düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve
icrası süreçlerine destek olunması,
- Grup Şirketleri’nin şirketler
ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek
olunması,
- Finansal raporlama ve risk
yönetimi işlemlerinin icrası/takibi,
- Şirket hukuk işlerinin
icrası/takibi,
- İtibarının korunmasına yönelik
çalışmaların gerçekleştirilmesi,
- Yatırımcı ilişkilerinin
yönetilmesi,
- Yetkili kuruluşlara mevzuattan
kaynaklı bilgi verilmesi,
- Ziyaretçi kayıtlarının
oluşturulması ve takibi.
amaçlarıyla sınırlı
olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları
kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin,
Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması
halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız temin
edilmektedir.
3.2. Kişisel Verilerin
Aktarılacağı Kişiler
Kişisel Veriler,
tarafınıza sunulan hizmetlerin tam ve kusursuz olmasını temin edebilmek
amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde iş ve çözüm
ortaklarımız, bankalar ile teknik, lojistik ve benzeri diğer işlemleri bizim
adımıza gerçekleştiren üçüncü kişilerle paylaşılabilmektedir. Bu üçüncü kişiler
ilgili hizmetlerin tam ve kusursuz temin edilebilmesi için ilgili bilgilere
ulaşması zorunlu olan kişilerden ibarettir.
Bunların haricinde
hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle
verilerin paylaşılmak zorunda kalınması, Şirket’in hukuki yükümlülüklerini
yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması
yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde
de Kişisel Verileriniz -yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere-
aktarılabilecektir.
Kişisel Verilerin bir
kısmı, reklamların hedef kitleye uyarlanabilmesini sağlamak amacıyla, yalnızca
diğer kullanıcılara ait bilgilerle birlikte toplu olarak anonimleştirilmiş bir
şekilde reklam verenlerle paylaşılabilir.
Anonimleştirilmiş
veriler siz ziyaretçilerimiz/müşterilerimizle eşleştirilemeyecek bilgiler olup,
kimlik bilgilerinizi içerme ya da kimliğinizi belirlenebilir kılmaz.
Anonimleştirilmiş verilerde gizliliğiniz güvence altındadır.
§ 4. KİŞİSEL VERİLERİN
TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLİNMESİ YOK EDİLMESİ VE ANONİM HALE
GETİRİLMESİ VE SAKLANMA SÜRESİ
4.1. Kişisel Veri
Toplamanın Yöntemi ve Hukuki Sebebi
Kanun’un amacını
düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ye uygunluğunun
denetimi amacıyla, Kişisel Veriler; her türlü sözlü, yazılı, elektronik
ortamda; teknik ve sair yöntemlerle, mağazalar, satış noktaları, çağrı merkezi,
Şirket internet sitesi, mobil uygulama gibi muhtelif yollardan, Politika’da yer
verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve
isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların
eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket
veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir.
4.2. Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi
Kişisel Veriler’in
silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer
kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirket, bu Kanun ve diğer
kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Veriler’i resen veya
veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel
Veriler’in silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve
geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı
oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri
dönüştürülemeyecek şekilde silinir. Kişisel Veriler’in yok edilmesi ise,
bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin
kaydedildiği evrak, dosya, CD, disket, hard disk gibi
veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir.
Verilerin anonim hale getirilmesiyle, Kişisel Veriler’in başka verilerle eşleştirilse
dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.
4.3. Kişisel Verilerin
Saklanma Süresi
Şirket, Kişisel
Veriler’i mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca
saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine
ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi
işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari
yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha
sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin
işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama
sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki
uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın
ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.
Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik
zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce
aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama
süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir
başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması
gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi
geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya
anonim hale getirilmektedir.
Kişisel Veriler’in
saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili
Şirket tekniklerine dair detaylı düzenlemeler Şirket’in Kişisel Veri Saklama Ve
İmha Politikası’nda yer almaktadır.
§ 5. KİŞİSEL VERİLERİN
KORUNMASI DAİR HUSUSLAR
Şirket, Kanun’un 12.
maddesine uygun olarak, işlemekte olduğu Kişisel Veriler’in hukuka aykırı
olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek
ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya
yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli
denetimleri yapmakta veya yaptırmaktadır.
5.1. Kişisel Verilerin
Güvenliğinin Sağlanması
5.1.1. Kişisel
Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari
Tedbirler
Şirket, Kişisel
Veriler’in hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve
uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
- Kişisel Verilerin Hukuka Uygun
İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirket tarafından
Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca teknik
tedbirler aşağıda sıralanmaktadır:
- Şirket bünyesinde
gerçekleştirilen Kişisel Veri işleme faaliyetleri kurulan teknik
sistemlerle denetlenmektedir.
- Alınan teknik önlemler
periyodik olarak iç denetim mekanizması gereği ilgilisine
raporlanmaktadır.
- Teknik konularda bilgili
personel istihdam edilmektedir.
- Kişisel Verilerin Hukuka Uygun
İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirket tarafından
Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari
tedbirler aşağıda sıralanmaktadır:
- Çalışanlar, Kişisel Veriler’in
korunması hukuku ve Kişisel Veriler’in hukuka uygun olarak işlenmesi
konusunda bilgilendirilmekte ve eğitilmektedir.
- Şirket’in yürütmekte olduğu tüm
faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu
analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu
faaliyetler özelinde Kişisel Veri işleme faaliyetleri ortaya
konulmaktadır.
- Şirket’in iş birimlerinin
yürütmekte olduğu Kişisel Veri işleme faaliyetleri; bu faaliyetlerin
Kanun’nun aradığı Kişisel Veri işleme şartlarına uygunluğun sağlanması
için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte
olduğu detay faaliyet özelinde belirlenmektedir.
- İş birimi bazında belirlenen
hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri
özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu
hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli
idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata
geçirilmektedir.
- Şirket ile çalışanlar
arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in
talimatları ve kanunla getirilen istisnalar dışında, Kişisel Veri’leri
işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar
konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve
denetimler yürütülerek Kanun’dan doğan yükümlülükler yerine
getirilmektedir.
5.1.2. Kişisel Verilerin
Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
Şirket, Kişisel
Veriler’in tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için
korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre
teknik ve idari tedbirler almaktadır.
- Kişisel Verilerin Hukuka Aykırı
Erişimini Engellemek için Alınan Teknik Tedbirler
Şirket tarafından
Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca
teknik tedbirler aşağıda sıralanmaktadır:
- Teknolojideki gelişmelere uygun
teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte
ve yenilenmektedir.
- İş birimi bazında belirlenen
hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik
çözümleri devreye alınmaktadır.
- Erişim yetkileri
sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
- Alınan teknik önlemler
periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta,
risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik
çözüm üretilmektedir.
- Virüs koruma sistemleri ve
güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda bilgili
personel istihdam edilmektedir.
- Kişisel Veriler’in toplandığı
uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik
taramalarından geçirilmektedir. Bulunan açıkların kapatılması
sağlanmaktadır.
- Kişisel Verilerin Hukuka Aykırı
Erişimini Engellemek için Alınan İdari Tedbirler
Şirket tarafından
Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari
tedbirler aşağıda sıralanmaktadır:
- Çalışanlar, Kişisel Veri’lere
hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda
eğitilmektedir.
- İş birimi bazında Kişisel Veri
işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde
Kişisel Veri’lere erişim ve yetkilendirme süreçleri tasarlanmakta ve
uygulanmaktadır.
- Çalışanlar, öğrendikleri
Kişisel Veri’leri Kanun hükümlerine aykırı olarak başkasına
açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda
bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler
alınmaktadır.
- Şirket tarafından Kişisel
Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen
sözleşmelere; Kişisel Veriler’in aktarıldığı kişilerin, Kişisel Veriler’in
korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler
eklenmektedir.
5.1.3. Kişisel
Verilerin Güvenli Ortamlarda Saklanması
Şirket, Kişisel
Veriler’in güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok
edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar
ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
- Kişisel Verilerin Güvenli
Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından
Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik
tedbirler aşağıda sıralanmaktadır:
- Kişisel Veriler’in güvenli
ortamlarda saklanması için teknolojik gelişmelere uygun sistemler
kullanılmaktadır.
- Teknik konularda uzman personel
istihdam edilmektedir.
- Saklanma alanlarına yönelik
teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki
güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve
araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit
edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği
ilgilisine raporlanmaktadır.
- Kişisel Veriler’in güvenli bir
biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme
programları kullanılmaktadır.
- Kişisel Veriler’in tutulduğu
ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel
verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin
verilmekte, Kişisel Veriler’in bulunduğu veri depolama alanlarına
erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere
anlık olarak iletilmektedir.
- Kişisel Verilerin Güvenli
Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirket tarafından
Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari
tedbirler aşağıda sıralanmaktadır:
- Çalışanlar, Kişisel Veriler’in
güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
- Bilgi güvenliği, özel hayatın
gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip
etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık
hizmeti alınmaktadır.
- Şirket tarafından Kişisel
Veriler’in saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir
hizmet alınması durumunda, Kişisel Veriler’in hukuka uygun olarak
aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; Kişisel Veriler’in
aktarıldığı kişilerin, Kişisel Veriler’in korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere
uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
5.1.4. Kişisel
Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket, Kanun’un 12.
maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya
yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile
ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler
yürütülmektedir.
5.1.5. Kişisel
Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, Kanun’un 12.
maddesine uygun olarak işlenen Kişisel Veriler’in kanuni olmayan yollarla
başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili
Kişisel Veri Sahibi’ne ve KVK Kurulu’na bildirilmesini sağlayan sistemi
yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK
Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
5.2. Kişisel Veri
Sahiplerinin Yasal Haklarının Gözetilmesi
Şirket, Kişisel Veri
Sahipleri’nin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir
ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel Veri
Sahipleri’nin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın altıncı
bölümünde yer verilmiştir.
5.3. Özel Nitelikli
Kişisel Verilerin Korunması
Kanun birtakım Kişisel
Veri’lere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya
ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka
uygun olarak işlenen özel nitelikli Kişisel Veriler’in korunmasına Şirket
tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından,
kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel
Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda
Şirket bünyesinde gerekli denetimler sağlanmaktadır.
§ 6. KİŞİSEL VERİ
SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
6.1. Kişisel Veri
Sahibinin Aydınlatılması
Şirket, Kanun’un 10.
maddesine uygun olarak, Kişisel Veriler’in elde edilmesi sırasında Kişisel Veri
Sahipleri’ni aydınlatmaktadır. Bu kapsamda varsa, Şirket temsilcisinin kimliği,
Kişisel Veriler’in hangi amaçla işleneceği, işlenen Kişisel Veriler’in kimlere
ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki
sebebi ile Kişisel Veri Sahibi’nin sahip olduğu hakları konusunda aydınlatma
yapmaktadır.
6.2. Kişisel Veri
Sahibi’nin KVK Kanunu Uyarınca Hakları
Şirket, Kanun’un
10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl
kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi,
idari ve teknik düzenlemeleri gerçekleştirmektedir. Şirket, Kanun’un 11.maddesi
uyarınca Kişisel Veriler’i alınan kişilere;
- Kişisel Veri işlenip
işlenmediğini öğrenme,
- Kişisel Veriler’i işlenmişse
buna ilişkin bilgi talep etme,
- Kişisel Veriler’in işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında
Kişisel Veriler’in aktarıldığı üçüncü kişileri bilme,
- Kişisel Veriler’in eksik veya
yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kanun’un 7. maddesinde
öngörülen şartlar çerçevesinde Kişisel Veriler’in silinmesini veya yok
edilmesini isteme,
- Kanun’un 11. Maddesinin
(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Veriler’in kanuna
aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın
giderilmesini talep etme
haklarının olduğunu
açıklar.
6.3. Kişisel Veri
Sahibi’nin Haklarını İleri Süremeyeceği Haller
Kanun’un 28. maddesi
gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, Kişisel Veri
Sahipleri aşağıdaki hallerde, işbu Politika’nın (6.2.) maddesinde sayılan
haklarını ileri süremezler:
- Kişisel Veriler’in, üçüncü
kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak
kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta
yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
- Kişisel Veriler’in resmi
istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi.
- Kişisel Veriler’in millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel Veriler’in millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu
kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi.
- Kişisel Veriler’in soruşturma,
kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı
makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28/2 maddesi
gereğince; aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın
giderilmesini talep etme hakkı hariç, işbu Politika’nın (6.2.) maddesinde
sayılan haklarını ileri süremezler:
- Kişisel Veri işlemenin suç
işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel Veri Sahibi tarafından
kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel Veri işlemenin kanunun
verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları
ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
- Kişisel Veri işlemenin bütçe,
vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali
çıkarlarının korunması için gerekli olması.
6.4. Kişisel Veri
Sahibi’nin Haklarını Kullanması
Kişisel Veri Sahipleri
işbu Politika’nın (6.2.) maddesinde sayılan haklarına ilişkin taleplerini
kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen
yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle https://www.diktasltd.com.tr/bilgilendirme/kvkk-form-s2 bağlantısından
ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak
iletebileceklerdir:
- Başvuru formu doldurulduktan
sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile
Cumhuriyet Mahallesi Yeni Yol 1 Sk. Now Bomonti Apt. No: 2/12
Şişli/İstanbul adresine iletilmesi,
- Başvuru formu doldurulup 5070
Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla
imzalandıktan sonra güvenli elektronik imzalı
formun info@diktasltd.com.tr adresine kayıtlı elektronik posta
ile gönderilmesi,
- Başvuru sahibinin bizzat
gelerek kimliğini tevsik edici belge ve başvuru konusuna ilişkin bilgi ve
belgeler ile başvurarak Şirket’e daha önce bildirilen ve Şirket’in
sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle
başvuru formunun iletilmesi
Kişisel veri sahipleri
adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi
tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel
vekâletname bulunmalıdır.
6.5. Şirket’in
Başvurulara Cevap Verme Usulü Ve Süresi
Şirket, başvuruda yer
alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en
kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir
maliyeti gerektirmesi hâlinde, KVK Kurul’u tarafından belirlenen tarifedeki
ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak
reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir.
Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine
getirir.
6.6. Kişisel Veri
Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Başvurunun
reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve
her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette
bulunma hakkına sahiptir.
§ 7. ŞİRKET’İN KİŞİSEL
VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI
Şirket bünyesinde işbu
Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere
Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi
oluşturulmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahipleri’nin
verilerinin hukuka, işbu Politika ve bu Politika’ya bağlı ve ilişkili
diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri
yapmakla yetkili ve görevlidir. Kişisel Veri Komitesi’nde görevlendirilenler ve
görevlerine dair Şirket’in internet sitesinde yayımlanan Kişisel Veri Saklama
Ve İmha Politikası’nda detaylı düzenlemeler yer almaktadır.
§ 8. GÜNCELLEME,
UYUM VE DEĞİŞİKLİKLER
8.1. Güncelleme ve
Uyum
Şirket, Kanun’da
yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki
ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu
Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını
saklı tutar. İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve
değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.
KVKK - Kişisel Veri Saklama ve İmha Politikası
DİKTAŞ LTD.ŞTİ.
KİŞİSEL VERİ SAKLAMA
VE İMHA POLİTİKASI
1. BÖLÜM: İMHA
POLİTİKASI'NIN NİTELİĞİ VE AMACI
1.1. GİRİŞ
İşbu imha
politikası DİKTAŞ LTD.ŞTİ. kısaca (“DİKTAŞ”) olarak veri
sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin 6698 sayılı
Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin DİKTAŞ tarafından
uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda,
çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir
nedenle DİKTAŞ nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel
verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel
Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak
yönetilmektedir.
1.2. TANIMLAR
Doğrudan
tanımlayıcılar | : | Tek başlarına,
ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt
edilebilir kılan tanımlayıcıları, |
Dolaylı
tanımlayıcılar | : | Diğer tanımlayıcılar
ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden
ve ayırt edilebilir kılan tanımlayıcıları, |
İlgili kişi | : | Kişisel verisi
işlenen gerçek kişiyi, |
İmha | : | Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesini, |
Kanun | : | 07.04.2016 tarih ve
29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin
Korunması Kanununu, |
Yönetmelik | : | 28.10.2017 tarihli
ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini |
Kurul | : | Kişisel Verileri
Koruma Kurulunu |
Kayıt ortamı | : | Tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü
ortamı, |
Kişisel Verilerin
İşlenmesi ve Korunması Politikası | : | “www.diktasltd.com.tr” adresinden
ulaşılabilecek, DİKTAŞ elinde bulunan kişisel verilerin yönetilmesine ilişkin
usul ve esasları belirleyen politikayı, |
Veri kayıt sistemi | : | Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, |
ifade eder.
2. BÖLÜM: ORTAMLAR VE
GÜVENLİK TEDBİRLERİ
2.1. KİŞİSEL VERİLERİN
SAKLANDIĞI ORTAMLAR
DİKTAŞ nezdinde
saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki
yükümlülüklerimize uygun bir kayıt ortamında tutulur.
Kişisel verilerin
saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda
sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da
hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir
ortamda tutulabilir. DİKTAŞ her halde veri sorumlusu sıfatıyla hareket etmekte
ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması
Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak
işlemek ve korumaktadır.
a) Matbu ortamlar | : | Verilerin kağıt ya
da mikrofilmler üzerine basılarak tutulduğu ortamlardır. |
b) Yerel dijital
ortamlar | : | DİKTAŞ bünyesinde
yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler gibi sair
dijital ortamlardır. |
c) Bulut ortamlar | : | DİKTAŞ bünyesinde
yer almamakla birlikte, DİKTAŞ’nın kullanımında olan, kriptografik
yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı
ortamlardır. |
2.2. ORTAMLARIN
GÜVENLİĞİNİN SAĞLANMASI
DİKTAŞ, kişisel
verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve
erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın
niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.
İşbu tedbirler,
bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın
niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
2.2.1. Teknik
Tedbirler
DİKTAŞ, kişisel
verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın
niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
- Kişisel verilerin tutulduğu
ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli
sistemler kullanılmaktadır.
- Kişisel verilerin tutulduğu
ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
- Bilişim sistemleri üzerindeki
güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve
araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit
edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Kişisel verilerin tutulduğu
ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel
verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin
verilmekte ve tüm erişimler kayıt altına alınmaktadır.
- DİKTAŞ bünyesinde kişisel
verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik
personel bulundurmaktadır.
2.2.2. İdari Tedbirler
DİKTAŞ, kişisel
verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın
niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
- Kişisel verilere erişimi olan
tüm DİKTAŞ çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın
gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi
için çalışmalar yapılmaktadır.
- Bilgi güvenliği, özel hayatın
gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip
etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık
hizmeti alınmaktadır.
- Kişisel verilerin teknik ya da
hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili
üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller
imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine
uyması için gerekli tüm özen gösterilmektedir.
2.2.3. Şirket İçi
Denetim
DİKTAŞ, Kanun’un
12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha
Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin
uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler
sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit
edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya
da sair bir şekilde DİKTAŞ sorumluluğunda bulunan kişisel verilerin kanuni
olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde,
DİKTAŞ bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
3. BÖLÜM: KİŞİSEL VERİLERİN
İMHASI
3.1. SAKLAMA VE İMHA
NEDENLERİ
3.1.1. Saklama
Nedenleri
DİKTAŞ bünyesinde
tutulan kişisel veriler Kanun ve Kişisel Veriler Politikamız (ilgili politikaya
“www.diktasltd.com.tr” adresinden ulaşabilirsiniz) uyarınca, burada belirtilen
amaç ve nedenlerle saklanmaktadır.
3.1.2. İmha Nedenleri
DİKTAŞ bünyesinde
bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve
6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha
politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve
6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:
1. Kanunlarda açıkça
öngörülmesi.
2. Fiili imkânsızlık
nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
3. Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4. Veri sorumlusunun
hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5. İlgili kişinin kendisi
tarafından alenileştirilmiş olması.
6. Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması.
7. İlgili kişinin temel
hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması.
3.2. İMHA YÖNTEMLERİ
DİKTAŞ, Kanuna ve sair
mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak
sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri
Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder
veya anonim hale getirir.
DİKTAŞ tarafından en
çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda
sıralanmaktadır:
3.2.1.1 Silme
Yöntemleri
Matbu Ortamda Tutulan
Kişisel Veriler İçin Silme Yöntemleri | ||
Karartma | : | Matbu ortamda bulunan
kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi,
ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi,
mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle
okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi
şeklinde yapılır. |
Bulut ve Yerel
Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri | ||
Yazılımdan güvenli
olarak silme | : | Bulut ortamda ya da
yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak
şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar
ulaşılamaz. |
3.2.1.2 Yok Etme
Yöntemleri
Matbu Ortamda Tutulan
Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Matbu ortamda tutulan
belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde
yok edilir. |
Yerel Dijital
Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Kişisel veri
barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline
getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik
medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden
geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
De-manyetize etme
(degauss) | : | Manyetik medyanın
yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz
biçimde bozulması işlemidir. |
Üzerine yazma | : | Manyetik medya ve
yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan
rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne
geçilir. |
Bulut Ortamda
Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Yazılımdan güvenli
olarak silme | : | Bulut ortamda tutulan
kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve
bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale
getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu
şekilde silinen verilere tekrar ulaşılamaz. |
3.2.1.3.
Anonimleştirme Yöntemleri
Anonimleştirme,
kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesidir.
Değişkenleri çıkarma | : | İlgili kişiye ait
kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde
tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının
çıkarılmasıdır. Bu yöntem kişisel
verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri
içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu
bilgilerin silinmesi amacıyla da kullanılabilir. |
Bölgesel gizleme | : | Kişisel verilerin
toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda
olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi
işlemidir. |
Genelleştirme | : | Birçok kişiye ait
kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak
istatistiki veri haline getirilmesi işlemidir. |
Alt ve üst sınır
kodlama / Global kodlama | : | Belli bir değişken
için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken
sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın
veriler kategorilendirilir. Aynı kategori içinde
kalan değerler birleştirilir. |
Mikro birleştirilme | : | Bu yöntem ile veri
kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip
sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her
alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt
kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede
veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin
ilgili kişiyle ilişkilendirilmesi zorlaştırılır. |
Veri karma ve bozma | : | Kişisel veri
içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle
karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve
tanımlayıcı niteliklerini kaybetmeleri sağlanır. |
DİKTAŞ, kişisel
verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre bu
sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır. DİKTAŞ, bu
anonimleştirme yöntemlerini kullanırken K-Anonimlik (K-Anonymity), L-Çeşitlilik
(L-Diversity) ve T-Yakınlık (T-Closeness) istatistik yöntemlerini kullanabilir.
3.3. SAKLAMA VE İMHA
SÜRELERİ
3.3.1. Saklama
Süreleri
VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
Çalışan | İşe alım evrakları ile
Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair
bildirimlere esas özlük verileri | İş İlişkisinin sona
ermesinden itibaren 10 Yıl muhafaza edilir. |
Çalışan | İşe alım evrakları ile
Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair
bildirimlere esas özlük verileri dışında kalan özlük verileri | Hizmet akdinin
devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de
15(onbeş) yıl müddetle muhafaza edilir. |
Çalışan | İşyeri Kişisel Sağlık
Dosyası İçeriğindeki Veriler | Hizmet akdinin
devamında ve hitamından itibaren 30(otuz) yıl müddetle muhafaza edilir. |
İş Ortağı/Çözüm
Ortağı/Danışman | İş Ortağı/Çözüm
Ortağı/Danışman ile DİKTAŞ arasındaki ticari ilişkinin yürütümüne dair kimlik
bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses
kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri | İş Ortağı/Çözüm
Ortağı/Danışmanın, DİKTAŞ'la olan iş/ticari ilişkisi süresince ve sona
ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82
uyarınca 10 yıl süre ile saklanır. |
Ziyaretçi | DİKTAŞ'a ait fiziki
mekana girişte alınan Ziyaretçi'ye ait ad, soyad, T.C.K.N., araç plakası
ile kamera kayıtları, telefon aramalarında alınan ses kayıtları | 2 yıl süre ile
saklanır. |
İnternet Sitesi
Ziyaretçisi | İnternet Sitesi
Ziyaretçisi'ne ait ad, soyad, e-posta adresi, gezinme hareketleri bilgileri | 2 yıl süre ile
saklanır. |
Çalışan Adayı | Çalışan Adayına ait
özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla 2 yıl olmak
üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır. |
Stajyer(öğrenci) | Stajyer'e ait staj
dosyasında yer alan bilgiler | Staj ilişkisinin
devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10(on)
yıl müddetle muhafaza edilir. |
Müşteri | Müşteri'ye ait ad,
soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri, gezinme
hareketleri bilgileri, telefon aramalarında alınan ses kayıtları,
ürün/hizmet tercihleri, işlem geçmişi, özel gün bilgileri | Müşteri'nin, satın
almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu
md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
Müşteri | Kamera görüntüleri,
araç plaka bilgisi | 2 yıl süre ile
saklanır. |
Potansiyel Müşteri | Potansiyel Müşteri ile
DİKTAŞ arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri
sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon
aramalarında alınan ses kayıtları | 2 yıl süre ile
saklanır. |
DİKTAŞ’nın İşbirliği
İçinde Olduğu Kurum/Firmalar (Tedarikçi, Fason Üretici, Bayi/Franchise | DİKTAŞ’nın İşbirliği
İçinde Olduğu Kurum/Firmalar ile DİKTAŞ arasındaki ticari ilişkinin
yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon
aramalarında alınan ses kayıtları, DİKTAŞ’nın İşbirliği İçinde Olduğu
Kurum/Firma çalışanı verileri | DİKTAŞ’nın İşbirliği
İçinde Olduğu Kurum/Firmaların, DİKTAŞ'yla olan iş/ticari ilişkisi süresince
ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret
Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
*
Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da
mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha
uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami
saklama süresi olarak kabul edilir.
3.3.2.
İmha Süreleri
DİKTAŞ, Kanun, ilgili
mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel
Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri
silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi
takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya
anonim hale getirir.
İlgili kişi, Kanunun
13’ncü maddesine istinaden DİKTAŞ’ya başvurarak kendisine ait kişisel verilerin
silinmesini veya yok edilmesini talep ettiğinde;
1. Kişisel verileri
işleme şartlarının tamamı ortadan kalkmışsa; DİKTAŞ talebe konu kişisel
verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini
açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.
DİKTAŞ’nın talebi almış sayılması için ilgili kişinin talebini Kişisel
Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması
gerekir. DİKTAŞ, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
2. Kişisel verileri
işleme şartlarının tamamı ortadan kalkmamışsa, bu talep DİKTAŞ tarafından
Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak
reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak
ya da elektronik ortamda bildirilir.
3.4. PERİYODİK İMHA
Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda;
DİKTAŞ işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel
Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla
re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Periyodik imha
süreçleri ilk kez 30.06.2018 tarihinde başlar ve her 6 (altı) ayda bir tekrar
eder.
3.5. İMHA İŞLEMİNİN
HUKUKA UYGUNLUĞUNUN DENETİMİ
DİKTAŞ, gerek talep
üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha
işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması
Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak
yapar.
DİKTAŞ, imha
işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir
takım idari ve teknik tedbirler almaktadır.
3.5.1. Teknik
Tedbirler
- DİKTAŞ, işbu politikada yer
alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
- DİKTAŞ, imha işlemlerinin
yapıldığı yerin güvenliğini sağlar.
- DİKTAŞ, imha işlemini yapan
kişilerin erişim kayıtlarını tutar.
- DİKTAŞ, imha işlemini yapacak
yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin
üçüncü kişilerden hizmet alır.
3.5.2. İdari Tedbirler
- DİKTAŞ, imha işlemini yapacak
çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği
konularında farkındalıklarının artırılması ve bilinçlendirilmesi için
çalışmalar yapar.
- DİKTAŞ, bilgi güvenliği, özel
hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri
alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere
hukuki ve teknik danışmanlık hizmeti alır.
- DİKTAŞ, teknik ya da hukuki
gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı
durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla
protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki
yükümlülüklerine uyması için gerekli tüm özeni gösterir.
- DİKTAŞ, imha işlemlerinin
hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart
ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak
denetler, gereken aksiyonları alır.
- DİKTAŞ, kişisel verilerin
silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün
işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki
yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.
4. BÖLÜM: KİŞİSEL VERİ
KOMİTESİ
DİKTAŞ bünyesinde bir
Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin
hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri
Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli
işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi
bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden
oluşur. Kişisel Veri Komitesinde görevli DİKTAŞ çalışanlarının unvanları ve
görev tanımları aşağıda belirtilmiştir:
Unvan | | Görev Tanımı |
Kişisel Veri
Komitesi Yöneticisi | : | Kanuna uyumluluk
sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk
belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve
Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca
yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri
karara bağlamakla yükümlüdür. |
KVK Uzmanı (Teknik ve İdari) | : | İlgili kişilerin
taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi
Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından
değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin
Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden;
saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin
Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha
süreçlerinin yürütülmesinden sorumludur. |
5. BÖLÜM: GÜNCELLEME
VE UYUM
DİKTAŞ, Kanunda
yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya
da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve
Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında
değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri
Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve
değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
5.1 DEĞİŞİKLİK NOTLARI
01.01.2018 | : | Kişisel Veri Saklama
ve İmha Politikası yayınlanmıştır. |
*daha eski tarihli bir
değişiklik bulunmamaktadır.*