BİRİNCİ BÖLÜM: POLİTİKA HAKKINDA GENEL BİLGİ

1. Giriş

MET Kafe Restoran ve Otelcilik Ltd. Şti. (“Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya ‘’KVKK’’) kapsamında “Veri Sorumlusu” sıfatıyla, müşterilerimiz, potansiyel müşterilerimiz, tedarikçilerimiz, ziyaretçilerimiz, internet sitemizin kullanıcıları, şirket hissedarlarımız, şirket yetkililerimiz, işbirliği içerisinde olduğumuz kurumların çalışanları, hissedarları, yetkilileri, çalışan adaylarımız ve çalışanlarımız dahil olmak üzere Şirketimiz ile ilişkili gerçek kişilerin kişisel verilerinin, Kanun ve bağlı mevzuatına uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir. Faaliyetlerimiz sırasında ilişkide olduğumuz tüm veri sahiplerinin kişisel verilerinin işlenmesi, saklanması, aktarılmasına ilişkin işlemleri, işbu Kişisel Verilerin Korunması ve İşlenmesi Politikasına (“Politika”) göre gerçekleştirmekteyiz. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin korunması için gerekli idari ve teknik tedbirlerin alınması kişisel verilerin işlenmesine ilişkin işbu Politikamızın ve Şirketimizin temel prensibidir.

1. Politikanın Amacı
İşbu Politika’ nın temel amacı, Kanun tahtında “veri sorumlusu” sıfatını haiz Şirketimiz tarafından, ticari ve sosyal sorumluluk ve benzeri faaliyetlerimiz sırasında veri sahipleri tarafından paylaşılan kişisel verilerin, Kanunda anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri belirlemektir.
Bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları, yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri Akyön Tesis Yönetim Hizmetleri Anonim Şirketi. tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

Politikanın Kapsamı
Sayılanlarla sınırlı olmamak üzere, çalışanlarımızın, çalışan adaylarımızın, hissedar/ortaklarımızın, ziyaretçilerimizin, iş ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, iştiraklerimizin internet sitemizi ziyaret eden kullanıcılarımızın kısacası faaliyetlerimiz sırasında ilişkide olduğumuz tüm veri sahiplerinin kişisel verileri bu Politika kapsamında düzenlenmiştir. İşbu Politika tüzel kişilere ait verilere uygulanmaz.
Kişisel verilerin işlenmesi ve korunmasına yönelik geçerli mevzuat ile işbu Politika arasında bir uyumsuzluğun tespiti halinde yürürlükte bulunan mevzuat hükümleri uygulama alanı bulacaktır.

3. Politikanın Yürürlüğü
İşbu Politika, Şirketimiz tarafından onaylanarak 01.06.2020 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir. Bu Politika’nın yürürlüğe girmesi ile birlikte daha önce internet sitemizde yayınlanmış olan Politika yürürlükten kaldırılmıştır. Politika’ da değişiklik gerekmesi durumunda, ilgili maddeler bu doğrultuda güncellenecektir. İşbu Politika’ da yapılan değişikliklere ilişkin açıklamalar işbu Politikanın Onbirinci bölümünde belirtilir.

İKİNCİ BÖLÜM: TANIMLAR VE KISALTMALAR

1. Tanımlar

1.1. Açık Rıza Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

1.2. Anonim Hale Getirme Kişisel verinin, kimliği belli veya belirlenebilir biri ile ilişkilendirilebilme niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örnek: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

1.3. Çalışan: Şirket ile arasında yapılmış olan iş akdi gereğince Şirkette çalışmakta olan kişiler

1.4. Çalışan Adayı: Şirket ya herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler

1.5. Gerçek Kişiler ve Özel Hukuk Tüzel Kişileri: Gerçek kişiler Türk Medeni Kanununa göre sağ ve tam doğmuş ve şu anda yaşayan kişilerdir.Özel Hukuk Tüzel kişileri Türk Ticaret Kanununda tanımlanmış bulunan Ticaret Şirketleri ile Türk Medeni kanununda tanımlanmış bulunan dernek ve vakıfları ifade eder.

1.6. Herkese Açık: Herhangi bir özellik teşkil etmeyen,herkesin yani tüm insanların içinde olduğu kişi grubunu ifade eder.

1.7. Hissedarlar: Veri sorumlusunun Şirket’inde hisselere (paylara) sahip olan gerçek veya tüzel kişilerdir.

1.8. İş Ortağı: Veri sorumlusunun ticari faaliyetleri yürüttüğü,ticari ilişki içerisinde bulunduğu taraflardır.

1.9. İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Şirketin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler

1.10. İştirakler ve Bağlı Ortaklıklar: İştirak,Veri sorumlusunun başka bir şirketin sermayesinde ortaklığı söz konusu olması durumunda, sermayelerinde payları oldukları şirketlere denir. Şirket ortak olduğu şirketin %50’den fazla oy hakkına sahip ise ortak olunan şirket ile arasındaki ilişki bir bağlı ortaklık oluşturmakta eğer çoğunluk şirkette değil ise basit anlamda iştirak ilişkisi söz konusu olmaktadır.

1.11. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

1.12. Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.

1.13. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Tüzel kişilere ilişkin bilgilerin işlenmesi kanun kapsamında değildir. Örneğin; ad-soyadı, TC, e-posta, adres, doğum tarihi, kredi kartı numarası vb.

1.14. Müşteri: Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler

1.15. Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

1.16. Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler

1.17. Stajyer: Şirkete herhangi bir yolla staj başvurusunda bulunmuş mesleğe yönelik teorik bilgisini işyerinde pratiğe dökme amacı taşıyan gerçek kişiler

1.18. Şirket Hissedarı: Şirketin hissedarı gerçek kişiler

1.19. Şirket Yetkilisi: Şirketin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler

1.20. Tedarikçi: Veri sorumlusunun ticari faaliyetleri kapsamında hizmet alımına yönelik hizmet sözleşmesine ve/veya vekalet sözleşmesine dayanarak Veri sorumlusu ile iş ilişkisi içinde olan taraflardır.

1.21. Topluluk Şirketleri: Türk Ticaret kanunda yer alan tanımına göre ‘’Hâkim şirkete doğrudan veya dolaylı olarak bağlı bulunan şirketler, onunla birlikte şirketler topluluğunu oluşturur.’’

1.22. Üçüncü Kişi: Şirketin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve yakınlar)

1.23. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, Şirketin verilerini tutan firma veya şirketler vb.

1.24. Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten, veri sahibinin talebi / başvurusu neticesinde kişisel bilgileri ile ilgili veri sahibine gerekli bilgiyi sağlayan ve yönlendirmeleri yapan kişi veri sorumlusudur.

1.25. Yetkili Kamu Kurum ve Kuruluşları: Veri sorumlusundan bilgi ve belge talep etmeye ilgili mevzuatlarıyla yetkilendirilmiş bulunan ve ayrıca Veri Sorumlusunun yasal yükümlülüklerini yerine getirmesi için aktarım yapması gerekli kamu kurum ve kuruluşlarıdır.

1.26. Ziyaretçi: Şirketin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

2. Kısaltmalar

2.1. KVKK: 6698 sayılı Kanun 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

2.2. Anayasa: 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete ‘de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.

2.3. KVK Kurulu: Kişisel Verileri Koruma Kurulu

2.4. KVK Kurumu: Kişisel Verileri Koruma Kurumu

2.5. Politika: Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası

2.6. TBK: 4 Şubat 2011 tarihli ve 27836 sayılı Resmi Gazete ‘de yayımlanan; 11 Ocak 2011 tarihli ve 6098 sayılı Türk Borçlar Kanunu.

2.7. TCK: 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete ‘de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.

2.8. TTK: 14 Şubat 2011 tarihli ve 27846 sayılı Resmi Gazete ‘de yayımlanan; 13 Ocak 2011 tarihli ve 6102 sayılı Türk Ticaret Kanunu

ÜÇÜNCÜ BÖLÜM: VERİ KONUSU KİŞİ GRUPLARI VE VERİ KATEGORİLERİ

1. Kişisel Veri Kategorizasyonu

Şirket nezdinde, aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği bu bölümde belirtilmiştir. Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;

KİŞİSEL VERİ KATEGORİZASYONUKİŞİSEL VERİ KATEGORİZASYONUNA İLİŞKİN AÇIKLAMA
Kimlik Bilgisi
  • Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, sertifika, evlilik cüzdanı gibi dokümanlarda yer alan tüm bilgiler kimlik bilgisidir.
  • Şirketimiz tarafından işlenen; çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, iş birliği içinde olunan kurumların çalışanları ile hissedarları ve yetkililerine ait bilgiler.
İletişim Bilgisi
  • Telefon numarası, adres, e-mail gibi bilgiler iletişim bilgisidir.
  • Şirketimiz tarafından işlenen; müşteri, potansiyel müşteri, çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerine ait bilgiler.
Lokasyon Bilgisi
  • Kişisel veri sahibi çalışanlarımızın Şirketimizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden veriler lokasyon verisidir.
  • Şirketimiz tarafından işlenen; çalışanlarımıza ait bilgiler.
Müşteri Bilgisi
  • Ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgilerdir.
  • Şirketimiz tarafından işlenen; müşteri verileri.
Müşteri İşlem Bilgisi
  • Ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgilerdir.
  • Şirketimiz tarafından işlenen; Müşteri verileridir.
Fiziksel Mekân Güvenlik Bilgisi
  • Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel verilerdir.
  • Şirketimiz tarafından işlenen; ziyaretçi, şirket yetkilileri, müşteri, iş birliği içinde olduğumuz kurumların çalışanlarına ait bilgilerdir.
İşlem Güvenliği Bilgisi
  • Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verilerinizdir.
  • Şirketimiz tarafından işlenen; ziyaretçi, üçüncü kişi, şirket yetkilileri, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerine ait bilgilerdir.
Risk Yönetimi Bilgisi
  • Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel verilerinizdir.
  • Şirketimiz tarafından işlenen; müşteri, potansiyel müşteri, çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişi verileridir.
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Bilgisi
  • Çalışanlarımızın veya şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin Ceza mahkumiyetine ve güvenlik tedbirlerine (adli sicil kayıtları) ilişkin bilgilerdir.
Finansal Bilgi
  • Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel verilerdir.
  • Şirketimiz tarafından işlenen; müşteri, çalışan, şirket hissedarı, şirket yetkilisi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerine ait verilerdir.
Özlük Bilgisi
  • Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veridir.
  • Şirketimiz tarafından işlenen; çalışan, iş birliği içinde olduğumuz kurumların çalışanlarına ait bilgilerdir.
Çalışan Adayı Bilgisi
  • Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel verilerdir.
  • Şirketimiz tarafından işlenen; çalışan adaylarına ait bilgilerdir.
Çalışan İşlem Bilgisi
  • Çalışanlarımızın veya şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel verilerdir.
  • Şirketimiz tarafından işlenen; çalışan, iş birliği içinde olduğumuz kurumların ve bayilerin çalışanlarına ait bilgilerdir.
Çalışan Performans ve Kariyer Gelişim Bilgisi
  • Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin şirketimizin İnsan Kaynakları Politikası kapsamında planlanması ve yürütülmesi amacıyla işlenilen kişisel verilerdir.
  • Şirketimiz tarafından işlenen; çalışanlarımıza ait bilgilerdir.
Yan Haklar ve Menfaatler Bilgisi
  • Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi için işlenen kişisel verilerinizdir.
  • Şirketimiz tarafından işlenen; çalışanlarımıza ait bilgilerdir.
Hukuki İşlem ve Uyum Bilgisi
  • Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verilerinizdir.
  • Şirketimiz tarafından işlenen; müşteri, potansiyel müşteri, çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişilere ait bilgilerdir.
Denetim ve Teftiş Bilgisi
  • Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel verilerinizdir.
  • Şirketimiz tarafından işlenen; müşteri, potansiyel müşteri, çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişilere ait bilgilerdir.
Özel Nitelikli Kişisel Veri
  • Kanunun 6. maddesinde belirtilen verilerinizdir.
  • Şirketimiz tarafından işlenen; çalışan adayı, çalışan, şirket hissedarı, şirket yetkilisi, iş birliği içinde olduğumuz kurumların çalışanlarına ait verilerdir.
Sağlık Bilgileri
  • Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri gibi kanuni yükümlülükleri yerine getirmek ve çalışanlara yan haklar sunmak üzere işlenen verilerdir.
  • Şirketimiz tarafından çalışanlarımıza ait sağlık verileri işlenmektedir.
Görsel ve işitsel Kayıtlar
  • İş ve faaliyetlerin yerine getirilmesi esnasında görsel ve işitsel kayıtlar alınabilmektedir.
  • Çalışanlarımız, ziyaretçilerimize ait verilerdir.
Pazarlama Bilgisi
  • Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler
  • Şirketimiz tarafından işlenen; müşteri, potansiyel müşterilere ait bilgilerdir.
Talep/Şikâyet Yönetimi Bilgisi
  • Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel verilerinizdir.
  • Şirketimiz tarafından işlenen; müşteri, potansiyel müşteri, çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişilere ait verilerdir.

DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

1. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel Veriler, Şirketimiz tarafından internet sitemiz, elektronik postalar, başvuru formu, teklif formu, güvenli elektronik işlem, basılı formlar, kayıt formları ve fiziki kanallar gibi farklı kanallarda icra edilen teknik ve süreçsel yöntemlerle veya sözlü, yazılı veya elektronik ortamda, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, sizlere ticari hizmetlerimizi sunmak ve bu çerçevede ticari faaliyetlerimizi yürütmek noktasında uygulama imkânı bulan ilgili mevzuat, sözleşme, talep, ticari teamül ve dürüstlük kurallarına dayalı olarak ortaya çıkan ve icra edilen hukuki sebepler çerçevesinde, Şirketimizin hukuki sorumluluklarını yerine getirebilmesi, sizlerle kurmuş olduğumuz iş ilişkisinin gereklerinin ifa edilebilmesi ve bu doğrultuda karşılıklı olarak sahip olduğumuz hakların tesisi, kullanılması ve korunması maksadı ve ilişkide olduğumuz kişisel veri sahiplerinin temel hak ve özgürlüklerini gözeterek Şirketimizin meşru menfaatlerini korumak gibi amaçlar dahilinde işlemek üzere toplanmaktadır. Bu bağlamda Kişisel Veri Toplama yöntemlerinden özellik arz edenler, toplamanın amaçları ve bu doğrultuda yürütülen faaliyetler aşağıdaki şekildedir:

1.1. Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yürütülen Kamera ile İzleme Faaliyeti
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

1.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

Kamera ile İzleme Faaliyetinin Duyurulması
Şirketimiz tarafından KVK Kanunu’nun 10. maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır.
Şirketimiz tarafından kamera ile izleme faaliyetine yönelik olarak; Şirketimiz internet sitesinde işbu Politika yayımlanmakta (çevrimiçi Politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).

Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirketimiz tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’ da sayılan amaçlarla sınırlıdır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler, mescitler) izlemeye tabi tutulmamaktadır.

1.1.2. Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirketimiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için işbu politikada sayılı olan teknik ve idari tedbirler uygun düştüğü ölçüde alınmaktadır.

1.1.3. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Canlı kamera görüntülerini ise, şirket içinde güvenlik görevlileri ve idari işlerden sorumlu departman çalışanları izleyebilmektedir. Başkaca kişiler tarafından erişim mümkün olamamaktadır.

2. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’ da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları ile araç plaka bilgileri elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.

3. İnternet Sitesi Ziyaretçileri

Şirketimiz sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerezler (cookies) gibi) site içerisindeki internet hareketlerini kaydedilmektedir. İnternet sitemizi ziyaret eden kişilere “Çerez Politikamız” sunulmakta ve aydınlatma yükümlülüğü kapsamında geniş biçimde bilgi verilmektedir.

4. Şirketimize Ait Mobil Uygulamalar

Şirketimiz vermiş olduğu hizmetleri müşterilerimizin kullanımına daha kolay sunabilmek adına, müşterilerimizin cep telefonlarına yüklemek suretiyle kullandıkları mobil uygulamalar geliştirebilmektedir. Mobil uygulamamızı kullanan müşterilerimize henüz bilgi girişini gerçekleştirmeden önce aydınlatma yükümlülüğü kapsamında geniş bilgi vererek açık rızaları alınmaktadır.

BEŞİNCİ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ

1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Kişisel veriler, Şirketimiz tarafından Kanun’da ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirketimiz, kişisel verileri işlerken KVKK m.4’te yer alan aşağıdaki ilkeler doğrultusunda hareket eder:

1.1. Hukuka ve dürüstlük kurallarına uygun olma,
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder.

1.2. Doğru ve gerektiğinde güncel olma,
Kişisel verilerinizin doğru ve güncel bir şekilde tutulması kişilerin temel hak ve özgürlüklerinin korunması açısından gereklidir.Bu ilke, ilgili kişinin haklarını koruduğu gibi, veri sorumlusunun da menfaatlerine yöneliktir.

1.3. Belirli, açık ve meşru amaçlar için işlenme,
Bu ilke, veri sorumlularının veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Amacın meşru olması, işlenen verilerin, yapılan iş veya sunulan hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

1.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Yine, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir. Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir.

1.5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Veri sorumlusunun Hukuki yükümlülükleri gereği tabi olduğu mevzuat kapsamında öngörülen sürelerin, hem de kendi belirledikleri saklama sürelerinin aşılması durumunda, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir.

2. Kişisel Verileri İşleme Amaçlarımız

Şirket tarafından, toplanan Kişisel Veriler, aşağıda sayılan amaçlarla Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak veri sahibinin açık rızası Şirket tarafından temin edilmektedir. Aşağıda yer alan amaçlar doğrultusunda Şirketimiz tarafından kişisel verileriniz işlenmektedir:

  • Acil durum süreçlerinin yürütülmesi,
  • Bilgi güvenliği süreçlerinin yürütülmesi,
  • Erişim yetkilerinin yürütülmesi,
  • Fiziksel mekan güvenliğinin temini,
  • İletişim faaliyetlerinin yürütülmesi,
  • Saklama ve arşiv faaliyetlerinin yürütülmesi,
  • İç denetim, soruşturma ve istihbarat faaliyetlerinin yürütülmesi,
  • Risk yönetimi süreçlerinin yürütülmesi,
  • Taşınır mal ve kaynakların güvenliğinin temini,
  • Organizasyon ve etkinlik yönetimi,
  • Yönetim faaliyetlerinin yürütülmesi,
  • Ticari ve idari faaliyetlerimizin yürütülmesi,
  • Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlamak ve raporlama yapmak,
  • Müşterilerimizin tercih ve ihtiyaçlarının tespit edilerek müşterilerimize verilecek hizmetlerin bu kapsamda şekillendirilmesi, güncellenmesi, geliştirilmesi,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerimizi yerine getirilmesini sağlamak,
  • Kampanya, anket, promosyonlar yapmak,
  • Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlamak,
  • Reklam ve pazarlama yapma,
  • Uyum yönetimi,
  • Satıcı / tedarikçi yönetimi, program ve servisleri,
  • Yasal raporlama,
  • Faturalandırma,
  • İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,
  • Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
  • Kendisinin ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,
  • Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
  • Veri güvenliğinin en üst düzeyde sağlanması,
  • Veri tabanlarının oluşturulması,
  • İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi,
  • Kendisine talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,
  • Etkinlik yönetimi,
  • Personel temin süreçlerinin yürütülmesi,
  • Grup Şirketleri’nin personel temin süreçlerine ve ilgili mevzuata uyum konusunda destek olunması,
  • Grup Şirketleri’nin faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
  • Grup Şirketleri’nin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,
  • Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
  • Şirket hukuk işlerinin icrası/takibi,
  • İtibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
  • Ziyaretçi kayıtlarının oluşturulması ve takibi,
  • İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,
  • Finans ve/veya muhasebe işlerinin takibi,
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi ve yetkili kuruluş denetimlerine hazırlık,
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
  • Operasyon süreçlerinin planlaması ve icrası,
  • İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkililerinin planlanması ve icrası,
  • Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
  • Müşteri talep ve/veya şikayetlerinin takibi,
  • Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
  • Hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,
  • Satış ve satış sonrası operasyonlar ile satın alma operasyonları,
  • Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,
  • Şirketimizin insan kaynakları politikalarının yürütülmesinin temini ve insan kaynakları politikalarına uygun şekilde işe başvuruların değerlendirilmesi amacı doğrultusunda,
  • İş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması,
  • Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
  • Personel işe giriş-çıkış işlemlerinin yapılması,
  • Ücret-performans sürecinin değerlendirilmesi, ücret ve bordroların yönetilmesi,
  • Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası ,
  • Şirketimizin ve şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda,
  • Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,
  • Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini,
  • Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,
  • Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda,
  • Şirketimiz tarafından yürütülen sosyal sorumluluk aktiviteleri,
  • Gümrük operasyonları süreçlerinin planlanması ve icrası,
  • Kalite süreçlerinin tamamlanması

3. Kişisel Veri İşlenmesinin Hukuki Sebepleri

Kişisel verilerin işlenmesinin hukuki sebepleri KVKK 5.maddesinde düzenlenmiştir. Şirket, kişisel verileri veri sahibinin açık rızası olmaksızın işlemez. Ancak, KVKK 5. maddesinde düzenlenen şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın kişisel veriler işlenebilecektir:

3.1. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

3.2. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

3.2.1. Kanunlarda açıkça öngörülmesi.

3.2.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

3.2.3. Bir Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

3.2.4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

3.2.5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.

3.2.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

3.2.7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

4. Özel Nitelikli Kişisel Veri İşlenmesinin Hukuki Sebepleri

Kişisel verilerin işlenmesinin hukuki sebepleri KVKK 6.maddesinde düzenlenmiştir.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlemez. Şirket Özel Nitelikteki Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütür.

ALTINCI BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

1. Kişisel Verilerin Aktarılma Şartları

Şirket olarak, Kişisel Verilerin aktarılması konusunda Kanunda öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket etmekte ve gereken önlemleri almaktayız. Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere tarafımızdan aktarılmaz. Ancak, kişisel veriler:

  • İşbu Politika’nın Beşinci Bölümünün 3. maddesinde açıklanan hallerde,
  • Özel nitelikli kişisel veriler hususunda işbu Politika’ nın Beşinci Bölümünün 4. maddesinde sayılan hallerde, Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
  • Özel nitelikli kişisel veriler hususunda işbu Politika’ nın Beşinci Bölümünün 4. maddesinde sayılan hallerde, Kurulun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca,

açık rıza aranmadan aktarılabilir.

Aktarım yapılırken şirketimiz tarafından kullanılan medya araçları kurum içi ağ, elektronik posta, basılı kopya, excel çalışma sayfası, VPN, güvenli dosya transferidir.

2. Kişisel Verilerin Yurtdışına Aktarılma Şartları

İlgili kişinin açık rızasının bulunması şartıyla Kanun’da belirtilen hallerin varlığı halinde yeterli korumanın bulunduğu ülkelere kişisel veri aktarımı yapılabilir. Yeterli korumanın bulunmadığı ülkelere veri aktarımı ise Kanunda belirtilen hallerin varlığı, açık rızanın olmasına ek olarak yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması durumlarında gerçekleştirilebilir.

3. Kişisel Verileri Aktarma Amaçlarımız ve Aktarılabileceği Üçüncü Kişiler

Kişisel veriler, işbu Politika’ nın Beşinci Bölümünün bölümünün 2. maddesinde belirtilen amaçlar ile;

  • Tedarikçilerimize,
  • İş ortaklarımız ve iş bağlantılarımıza,
  • İştiraklerimiz ve grup şirketlerimize,

işbu Politikada açıklanan ilke ve kurallara göre gerekli teknik ve idari tedbirler alınmak kaydı ile aktarılabilmektedir.

4. Yabancı Ülkelere Aktarımı Öngörülen Kişisel Veriler

Şirketimizin yurtdışında operasyonel süreçlerinin olması sebebi ile yurtdışında yer alan yabancı iş ortaklarımız ile operasyonel işleyişin zorunlu kıldığı haller ile sınırlı olmak kaydı ile veri sahibi kişilerin açık rızası alınarak işbu rıza ile sınırlı şekilde sadece irtibat bilgileri olmak üzere kişisel veri aktarımı yapılabilir.

YEDİNCİ BÖLÜM: KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirketimiz, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel Verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Şirketimiz içerisinde belirlenen periyodik imha dönemlerinde veri imha işlemleri tutanak altına alınarak yerine getirilir.

2. Kişisel Verileri Saklama ve İmha Süresi

Şirket, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler, Şirketimizin o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

SEKİZİNCİ BÖLÜM: KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEDBİRLER

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

1. Kişisel Veri Güvenliğine İlişkin Alınan Teknik Tedbirler

Kişisel verilerin güvenliğini sağlamak ve muhafaza etmek için sayılanlarla sınırlı olmamak üzere;

  • Ağ güvenliği ve uygulama güvenliği sağlanmakta,
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmakta,
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmakta,
  • Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için şirket içi teknik organizasyon yapılmakta,
  • Gerektiğinde veri maskeleme önlemi uygulanmakta,
  • Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için teknik altyapıyı oluşturmakta,
  • Oluşturulan teknik alt yapının süreçleri takip edilmekte ve denetimleri yapılmakta,
  • Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler belirlenmekte,
  • Teknik tedbirler periyodik olarak güncellenmekte ve yenilenmekte,
  • Riskli durumlar yeniden incelenerek gerekli teknolojik çözümler üretilmekte,
  • Güncel anti-virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik ürünleri kullanılmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurulmakta,
  • Kişisel verilerin toplandığı uygulamalar güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmekte ve bulunan açıkların kapatılması sağlanmakta,
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmakta,
  • Kişisel verilerin tutulduğu ortamlara ve/veya veriye erişim kısıtlayarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, kişisel verilerin bulunduğu veri depolama alanlarına erişimlerin log kayıtlarını tutarak uygunsuz erişimler veya erişim denemelerini ilgililere anlık olarak iletmekte,
  • Log kayıtlarını düzenli olarak incelemekte,
  • Teknik konularda uzman çalışanlar istihdam etmekte,
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup, bunların takibi de yapılmakta,
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmakta,
  • Özel nitelikli kişisel veriler elektronik posta yolu ile gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmekte,
  • Özel nitelikli kişisel veriler için güvenli şifreleme, kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmekte,
  • Saldırı tespit ve önleme sistemleri kullanılmakta,
  • Sızma testi uygulanmakta,
  • Siber güvenlik önlemleri alınmış olup, uygulaması sürekli takip edilmekte,
  • Şifreleme yapılmaktadır.

2. Kişisel Veri Güvenliğine İlişkin Alınan İdari Tedbirler

Kişisel verilerini korumak için sayılanlarla sınırlı olmamak üzere;

  • Grup şirketlerimiz ve iştirak çalışanlarımız dahil olmak üzere kişisel verilere erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politika ve prosedürler oluşturulmakta, kişisel veri içeren veri tabanları ve uygulamaların kullanıldığı araç ve gereçlerin kullanımına ilişkin politikalar hazırlanmakta ve uygulanmakta,
  • Çalışanlar, kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirilmekte ve eğitilmekte,
  • Çalışanlar için veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlarımız ile yaptığımız sözleşmelerde ve/veya oluşturduğumuz politikalarda, şirket çalışanlarımız tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirler kayıt altına alınmakta,
  • Çalışanlarımız ile imzalanan sözleşme ve talimatlara, Kanuna aykırı herhangi bir suretle kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda farkındalık yaratılmakta ve denetimler yürütülmekte,
  • Çalışanlar için veri güvenliği içeren disiplin düzenlemeleri uygulanmakta,
  • Çalışanlarımız, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğünün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden taahhüt alınmakta,
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmakta ve uygulanmakta,
  • Şirketimiz ile, kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte,
  • Şirket için çalışanlarımızın görev ve pozisyonlarına göre kişisel verilere erişim kapsamları belirlenmekte ve erişim yetkileri sınırlandırılmakta, yetkileri düzenli olarak gözden geçirilmekte, yetki matrisi oluşturulmakta, işten ayrılan veya görev değişikliği yapılan çalışanların bu alandaki yetkileri kaldırılmakta,
  • Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeler takip edilmekte ve gerekli aksiyonlar alınmak üzere hukuki ve teknik danışmanlık hizmeti alınmakta,
  • Birlikte çalıştığımız veri işleyenlerin ve diğer veri sorumlularının Kanun ve bağlı mevzuatına uygunluğu sorgulanmakta ve gerekli yönlendirmeler yapılmakta ve farkındalıkları sağlanmakta,
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmakta,
  • Kişisel veri güvenliğinin takibi yapılmakta,
  • Kişisel veriler mümkün olduğunca azaltılmakta,
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmakta,
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmakta,
  • Mevcut risk ve tehditler belirlenmekte,
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmakta,
  • Kişisel veri içeren ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta,
  • Kişisel veri içeren ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmakta,
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
  • Teknik konular ile ilgili personel istihdam edilmektedir.
  • Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’ na bildirilmesini sağlayan sistem kurulmuş ve uygulanmaktadır.

3. Kişisel Veri Güvenliğine İlişkin Alınan Fiziki Tedbirler

  • Kişisel verilerin bulunduğu noktalara yönelik olarak rol tabanlı fiziksel erişim tedbirleri alınmakta,
  • Kişisel veri içeren doküman ve saklama-depolama araçları kilitli dolaplarda saklanmakta,
  • Çalışma alanlarına yönelik olarak kartlı geçiş sistemleri uygulanmakta,
  • Çalışma alanları çalışanların mahremiyetlerini ihlal etmeyecek biçimde kapalı devre kamera kayıt sistemi ile izlenmekte,
  • Kişisel verilerin yer aldığı doküman ve saklama araçları güvenli bir biçimde yok edilmekte ve kaybı önlenmek üzere KVKK ve işbu Politika’ da belirlenen kurallar kapsamında olmak üzere yedeklenmektedir.

4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Yol

Şirketimiz, Kanun’un 12. maddesine uygun olarak, işlenen Kişisel Veriler’ in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumun tespitinden itibaren en kısa sürede ve en geç 72 saatte olmak üzere ilgili veri sahibine ve Kurul’a bildirim yapılmaktadır.

5. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri 6 ayda bir yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

6. Çalışanların, Kişisel Verilerin Korunması ve İşlenmesi Konusunda

6.1. Farkındalıklarının Arttırılması ve Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için mevcut çalışanlarına ve iş birimi bünyesine yeni dâhil olmuş çalışanlarına yönelik gerekli eğitimlerin düzenlenmesini sağlamaktadır. Mevcut çalışanlarına 4 ayda bir farkındalık eğitimi aldırmaktadır.

DOKUZUNCU BÖLÜM: VERİ SORUMLUSUNUN YÜKÜMLÜLÜKLERİ

1. Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında Şirket tarafından ilgili kişiler bilgilendirilir. Söz konusu bilgilendirme asgari olarak aşağıdaki konuları içermektedir.

1.1. Veri sorumlusunun ve varsa temsilcisinin kimliği,

1.2. Kişisel verilerin hangi amaçla işleneceği,

1.3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

1.4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,

1.5. İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

2. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların Şirket tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Kurul Kararlarının Yerine Getirilmesi prosedüründe ayrıntılı olarak belirtildiği üzere Şirket, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirir.

3. Veri Sorumluları Sicili (VERBİS) Kayıt Yükümlülüğü

Şirket, Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kayıt sistemine Veri Sorumluları Sicili (VERBİS) kayıt prosedüründe belirtildiği şekilde kayıt olur ve bu kayıtları günceller.

ONUNCU BÖLÜM: KİŞİSEL VERİ SAHİBİNİN HAKLARI

1. Veri Sahibinin Hakları

Şirketimiz, Kanun’un 11.maddesi uyarınca kişisel verileri alınan kişilere;

  • Kişisel verisinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
  • Kanun’un 11. Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,

haklarının olduğunu açıklar.

2. Kişisel Veri Sahibinin Hak Arama Yöntemleri

İlgili kişilerin, Şirkete başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. İlgili kişi ayrıntıları İlgili Kişinin Hak Arama Prosedürü’nde belirtildiği üzere başvuru ve şikayet haklarını kullanabilir.

a. Başvuru : İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

a.i. Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da tarafınızca daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletebilirsiniz.

a.ii. Kişisel veri sahipleri işbu Politikada sayılan haklarına ilişkin taleplerini internet sitemiz üzerinden, internet sitemizde belirtilen yöntemlerle “Başvuru Metni” aracılığı ile ve işbu “Başvuru Metni” üzerindeki şartları yerine getirerek Şirketimize iletebilirler.

b. Şikayet : Şirketimiz tarafından başvurunun reddedilmesi, verilen cevabın veri sahibi tarafından yetersiz bulunması veya Şirketimiz tarafından süresinde başvuruya cevap verilmemesi hâllerinde veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir. İlgili kişilerin Şirkete başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.

3. Veri Sorumlusunun Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Şirket kişisel veri sahibi tarafından kendisine yapılan başvuruyu işbu politikada belirtildiği üzere belirli şartların varlığı halinde reddetme hakkına sahiptir. Veri Sorumlusu Şirketin başvuruya ilişkin red hakkını kullanabileceği haller aşağıda sıralanmıştır.
İlgilinin başvurusuna konu kişisel verinin ;

  • Resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
  • Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
  • İşlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
  • Sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
  • İşlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
  • İşlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
  • Sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
  • Orantısız çaba gerektiren taleplerde bulunulmuş olması,

Talep edilen bilginin kamuya açık bir bilgi olması hallerinde Veri Sorumlusu Şirket başvuruya ilişkin ret hakkını kullanabilir.

ON BİRİNCİ BÖLÜM: POLİTİKAYA UYULMASINDA GÖREVLİ PERSONEL

Şirket bünyesinde işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahipleri’ nin verilerinin hukuka, işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir. Bu Kişisel Veri Komitesinin başlıca görevleri şunlardır:

  • Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
  • Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak,
  • Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
  • Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
  • Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
  • Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak,
  • Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
  • Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
  • Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
  • Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
  • Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek,
  • Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.

ON İKİNCİ BÖLÜM: GÜNCELLEME VE DEĞİŞİKLİKLER

Şirket, Kanun’da ve bağlı mevzuatında yapılan değişiklikler, Kurul kararları ve/veya sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. İşbu Politika’ da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar bu bölümde belirtilir.

01/06/2020 : İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası, Şirketimiz tarafından kabul edilerek yürürlüğe girmiştir.