1. Bölüm 1– giriş
1.1. Giriş
Kişisel verilerin korunması, royal doğa
sağlık termal turizm inşaat san. Tic. Ltd. Şti.’nin (“şirket”) şirketimizin en
önemli öncelikleri arasındadır. Bu konunun en önemli ayağını ise işbu politika
ile yönetilen; müşteriler’in, potansiyel müşteriler’in, çalışan adayları’mızın,
şirket hissedarları’nın, şirket yetkilileri’nin, ziyaretçi’lerimizin, işbirliği
içinde olduğumuz kurumların çalışanları’nın, hissedarları’nın ve
yetkilileri’nin ve üçüncü kişi’lerin kişisel verilerinin korunması ve işlenmesi
oluşturmaktadır. Çalışanlarımızın kişisel verilerinin korunmasına ilişkin
şirketimizin yürüttüğü faaliyetler ise, bu politika’daki esaslarla paralel
olarak kaleme alınan (“şirket”) çalışanları kişisel verilerin korunması ve
işlenmesi politikası altında yönetilmektedir. Türkiye cumhuriyeti anayasası’na
göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına
sahiptir. Bir anayasal hak olan kişisel verilerin korunması konusunda,
(“şirket”) işbu politika ile yönetilen; müşteriler’in, potansiyel
müşteriler’in, çalışan adayları’nın, şirket hissedarları’nın, şirket
yetkilileri’nin, ziyaretçiler’inin, işbirliği içinde olduğu kurumların
çalışanları, hissedarları ve yetkilileri’nin ve üçüncü kişi’lerin kişisel
verilerinin korunmasına gerekli özeni göstermekte ve bunu bir şirket politikası
haline getirmektedir. Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel
verilerin korunması için (“şirket”) tarafından gereken idari ve teknik
tedbirler alınmaktadır. Bu politika’da kişisel verilerin işlenmesinde
(“şirket”)’in benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı
açıklamalarda bulunulacaktır:
·
Kişisel verileri hukuka ve dürüstlük
kurallarına uygun işleme,
·
Kişisel verileri doğru ve gerektiğinde
güncel tutma,
·
Kişisel verileri belirli, açık ve meşru
amaçlar için işleme,
·
Kişisel verileri işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü işleme,
·
Kişisel verileri ilgili mevzuatta
öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
·
Kişisel veri sahiplerini aydınlatma ve
bilgilendirme,
·
Kişisel veri sahiplerinin haklarını
kullanması için gerekli sistemi kurma,
·
Kişisel verilerin muhafazasında gerekli
tedbirleri alma,
·
Kişisel verilerin işleme amacının
gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve
kvk kurulu düzenlemelerine uygun davranma,
·
Özel nitelikli kişisel verilerin
işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
1.2. Politikanın amacı
Bu politika’nın temel amacı, “şirket”
tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve
kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda
açıklamalarda bulunmak, bu kapsamda müşteriler’imiz, potansiyel müşteriler’imiz,
çalışan adayları’mız, şirket hissedarları, şirket yetkilileri,
ziyaretçi’lerimiz, işbirliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkilileri ile üçüncü kişi’ler başta olmak üzere kişisel
verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı
sağlamaktır.
1.3. Kapsam
Bu politika; müşteriler’imizin,
potansiyel müşteriler’imizin, çalışan adayları’mızın, şirket hissedarları’nın,
şirket yetkilileri’nin, ziyaretçi’lerimizin, işbirliği içinde olduğumuz
kurumların çalışanları’nın, hissedarları’nın, yetkilileri’nin ve üçüncü
kişi’lerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına
ilişkin işbu politika’nın uygulama kapsamı politika’nın tamamı olabileceği gibi
(örn. Ziyaretçi’miz de olan çalışan adayları’mız gibi); yalnızca bir kısım
hükümleri de (örn. Yalnızca ziyaretçi’lerimiz gibi) olabilecektir..
1.4. Politikanın ve ilgili mevzuatın
uygulanması
Kişisel verilerin işlenmesi ve korunması
konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama
alanı bulacaktır. Yürürlükte bulunan mevzuat ve politika arasında uyumsuzluk
bulunması durumunda, şirketimiz yürürlükteki mevzuatın uygulama alanı
bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan
kuralların (“şirket”) uygulamaları kapsamında somutlaştırılarak
düzenlenmesinden oluşturulmuştur. Şirketimiz, kvk kanunu’nda öngörülen yürürlük
sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını
yürütmektedir. (bkz. Ek-3)
1.5. Politikanın yürürlüğü
Şirketimiz tarafından 15.02.2017
tarihinde düzenlenerek yürürlüğe giren politika, 15.02.2017 tarihinde
güncellenmiştir. Politika şirketimizin internet sitesinde yayımlanır ve kişisel
veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
2. Bölüm
2 - kişisel verilerin korunmasına
ilişkin hususlar
Şirketimiz, kvk kanunu’nun 12. Maddesine
uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak
işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve
verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik
gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri
yapmak veya yaptırmaktadır.
2.1. Kişisel verilerin güvenliğinin
sağlanması
Şirketimiz, aşağıda belirtilen
hususlarda veri güvenliği konusunda gerekli hukuki, teknik ve idari tedbirleri
almakta, bu konuda en üst düzeyde dikkat ve özeni göstermektedir. Şirketimiz
tarafından kvk kanunu’nun 12inci maddesi uyarınca “veri güvenliğini” sağlamaya
yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir.
·
Şirketimiz, kişisel verilerin hukuka
uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine
göre teknik ve idari tedbirler almaktadır. Çalışanlar, öğrendikleri kişisel
verileri kvk kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve
işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden
ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu
doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
·
Şirketimiz, kişisel verilerin
tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını
veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak
verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve
idari tedbirler almaktadır.
·
Şirketimiz kişisel verilerin hukuka
aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak
erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması
konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi
veri işleyen kurumlar nezdinde farkındalıkları arttırmakta; iş ortakları ve tedarikçilerin
kvk kanuna uygun kişisel veri işleme faaliyetlerinde bulunması yönünde gerekli
önlemleri almaktadır.
·
Şirketimizin veri sorumlusu olarak
kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda
geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu şirketimizin
tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen
kurumlara veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle
uyumlu bir şekilde sözleşmesel olarak yükletilmektedir.
·
Şirketimiz, kişisel verilerin güvenli
ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını
veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine
göre gerekli teknik ve idari tedbirleri almaktadır.
·
Şirketimiz, kvk kanunu’nun 12. Maddesine
uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya
yaptırmaktadır. Bu denetim sonuçları şirketin iç işleyişi kapsamında konu ile
ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli
faaliyetler yürütülmektedir.
·
Şirketimiz, kvk kanunu’nun 12. Maddesine
uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları
tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri
sahibine ve kvk kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.
2.2. Veri sahibinin haklarının
gözetilmesi; bu hakların şirketimize iletileceği kanalların yaratılması ve veri
sahiplerinin taleplerinin değerlendirilmesi
Şirketimiz, kişisel veri sahiplerinin
haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken
bilgilendirmenin yapılması için kvk kanunu’nun 13. Maddesine uygun olarak
gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı
olarak şirketimize iletmeleri durumunda şirketimiz talebin niteliğine göre
talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, kvk
kurulunca bir ücret öngörülmesi hâlinde, şirketimiz tarafından başvuru
sahibinden kvk kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri
sahipleri;
·
Kişisel veri işlenip işlenmediğini
öğrenme,
·
Kişisel verileri işlenmişse buna ilişkin
bilgi talep etme,
·
Kişisel verilerin işlenme amacını ve
bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
·
Yurt içinde veya yurt dışında kişisel
verilerin aktarıldığı üçüncü kişileri bilme,
·
Kişisel verilerin eksik veya yanlış
işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
·
Kvk kanunu ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok
edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
·
İşlenen verilerin münhasıran otomatik
sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir
sonucun ortaya çıkmasına itiraz etme,
·
Kişisel verilerin kanuna aykırı olarak
işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir. Kişisel verilerinin korunması kanunun 13üncü maddesinin
1inci fıkrası gereğince, kişisel veri sahiplerinin yukarıda belirtilen
haklarını kullanmakla ilgili taleplerini “yazılı” veya kişisel verilerin
korunması kurulunun belirlediği diğer yöntemlerle şirketimize iletmeleri
gerekmektedir. Kişisel verilerin korunması kurulu şu aşamada herhangi bir
yöntem belirlemediği için başvuruların kanunun amir hükmü gereği yazılı olarak
şirketimize iletilmesi gerekmektedir. Kişisel veri sahiplerinin yukarıda
belirtilen haklarını kullanmaları için, kimliklerini tespit edici gerekli
bilgiler ve kullanmak istedikleri haklarına yönelik açıklamalarla birlikte
taleplerini, kanunun 11inci maddesinde belirtilen haklarda hangisinin
kullanımına ilişkin olduğunu da belirterek şirketimize iletmeleri; başvuruların
daha hızlı ve etkili bir şekilde cevaplandırılmasını sağlayacaktır.
Bu çerçevede, şirketimize kişisel
verilerin korunması kanunu’nun 13üncü maddesine dayalı olarak aynı kanunun
yukarıda belirtilen 11inci maddesindeki hakların kullanılması kapsamında,
yapılacak başvuruların yazılı olarak iletileceği kanallar ve usuller aşağıda
açıklanmaktadır. Kvk kanunu’nun 11. Maddesinde belirtilen haklardan kullanılmak
istenen kişisel veri sahibinin hakkına yönelik açıklamaları içeren talepler;
www……….com.tr adresindeki formu doldurarak, formun imzalı bir nüshasını
şerifali mah. Bayraktar bulvarı no:54/8 ümraniye istanbul türkiye adresine veri
sahibinin kimliğini tespit edici belgeler ile birlikte bizzat elden
iletilebilir, noter kanalıyla veya kvk kanunu’nda belirtilen diğer yöntemler
ile gönderilebilir veya ilgili form …….. Adresine güvenli elektronik imzalı
olarak iletilebilir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru
talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi
adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
2.3. Özel nitelikli kişisel verilerin
korunması
Kvk kanunu ile bir takım kişisel
verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler;
ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik
ve genetik verilerdir. Şirketimiz tarafından, kvk kanunu ile “özel nitelikli”
olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel
verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, şirketimiz
tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler,
özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli
denetimler sağlanmaktadır.
2.4. Kişisel veri sahibinin
aydınlatılması ve bilgilendirilmesi
Şirketimiz, kvk kanunu’nun 10. Maddesine
uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri
sahiplerini aydınlatmaktadır. Bu kapsamda şirketimiz tarafından kişisel veri
sahiplerine kişisel verilerinin elde edilmesi sırasında şirketimizin kimliği,
kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve
hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi
ile kişisel veri sahibinin kvk kanunu’nun 11inci maddesi kapsamında sahip
olduğu haklara ilişkin aydınlatma yapılmaktadır. Anayasa’nın 20. Maddesinde
herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına
sahip olduğu ortaya konulmuştur. Bu doğrultuda kvk kanunu’nun 11inci maddesinde
kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır.
Şirketimiz bu kapsamda, anayasa’nın 20inci 9 ve kvk kanunu’nun 11inci
maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda
gerekli bilgilendirmeyi yapmaktadır. Bunun yanında şirketimiz kvk kanundaki tüm
hususlar ile başta “hukuka ve dürüstlük” kuralına uygun kişisel veri işleme
faaliyetinde bulunduğunu kişisel veri sahipleri ile ilgililere işbu politika
belgesi başta olmak üzere çeşitli kamuoyuna açık dokümanlarla duyurarak,
kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede
hesap verilebilirliği ve şeffaflığı sağlamaktadır. Ayrıca şirketimiz ilgili
kişilere; kişilerin “açık rıza” sına başvurduğu zamanlar başta olmak üzere
kendi faaliyetleri ve kanundaki hususlar hakkında birçok farklı yöntemlerle de
bilgilendirmede bulunmaktadır.
3. Bölüm
3– kişisel verilerin işlenmesine ilişkin
hususlar
Şirketimiz, anayasa’nın 20. Maddesine ve
kvk kanunu’nun 4. Maddesine uygun olarak, kişisel verilerin işlenmesi
konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel;
belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü
bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz
kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar
kişisel verileri muhafaza etmektedir. Şirketimiz, anayasa’nın 20. Ve kvk
kanunu’nun 5. Maddeleri gereğince, kişisel verileri, kişisel verilerin
işlenmesine ilişkin kvk kanunu’nun 5. Maddesindeki şartlardan bir veya
birkaçına dayalı olarak işlemektedir. Şirketimiz, kvk kanunu’nun 6. Maddesine
uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen
düzenlemelere uygun hareket etmektedir. Şirketimiz, kvk kanunu’nun 8. Ve 9.
Maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda
öngörülen ve kvk kurulu tarafından ortaya konulan düzenlemelere uygun
davranmaktadır.
3.1. Kişisel verilerin mevzuatta
öngörülen ilkelere uygun olarak işlenmesi
3.1.1. Hukuka ve dürüstlük kuralına
uygun işleme şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle
getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket
etmektedir. Bu kapsamda şirketimiz, kişisel verilerin işlenmesinde orantılılık
gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında
kullanmamaktadır.
3.1.2. Kişisel verilerin doğru ve
gerektiğinde güncel olmasını sağlama şirketimiz; kişisel veri sahiplerinin
temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel
verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli
tedbirleri almaktadır.
3.1.3. Belirli, açık ve meşru amaçlarla
işleme şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık
ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu
hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz
tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme
faaliyeti başlamadan ortaya konulmaktadır.
3.1.4. İşlendikleri amaçla bağlantılı,
sınırlı ve ölçülü olma şirketimiz, kişisel verileri belirlenen amaçların
gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin
işlenmesinden 11 kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel
ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti
yürütülmemektedir.
3.1.5. İlgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza etme şirketimiz,
kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç
için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, şirketimiz öncelikle
ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp
öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun
davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için
gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini
gerektiren sebeplerin ortadan kalkması halinde kişisel veriler şirketimiz
tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3.2. Kişisel verilerin, kvk kanunu’nun
5inci maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına
dayalı ve bu şartlarla sınırlı olarak işlenmesi
Kişisel verilerin korunması anayasal bir
haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca anayasa’nın
ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla
sınırlanabilir. Anayasa'nın 20. Maddesinin üçüncü fıkrası gereğince, kişisel
veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebilecektir. Şirketimiz bu doğrultuda ve anayasa’ya uygun bir biçimde;
kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlemektedir. Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin
hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir
tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı
durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin
dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu
şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı
olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda
yer alan şartlar uygulanır. Şirketimiz tarafından kişisel verilerin işlenmesine
yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme
faaliyetinde 6698 sayılı kanun’un 4. Maddesinde belirtilen (bkz. Bölüm 3.1.)
Genel ilkelere uygun olarak hareket edilmektedir.
·
Kişisel veri sahibinin açık rızasının
bulunması kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır.
Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin,
bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Kişisel
verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi
için, müşteri, potansiyel müşteri ve ziyaretçilerden ilgili yöntemler ile açık
rızaları alınmaktadır.
·
Kanunlarda açıkça öngörülmesi veri
sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun
olarak işlenebilecektir. Örnek: vergi usul kanunu’nun 230. Maddesi uyarınca
fatura üzerinde ilgili kişinin adına yer verilmesi.
·
Fiili imkânsızlık sebebiyle ilgilinin
açık rızasının alınamaması fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya
da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel
verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir. Örnek: baygınlık geçiren ziyaretçinin nüfus cüzdanı
bilgilerinin şirket güvenlik görevlisi tarafından doktorlara iletilmesi.
·
Sözleşmenin kurulması veya ifasıyla
doğrudan ilgi olması bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya
ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Örnek: iş ortağı gerçek kişi ile akdedilen danışmanlık sözleşmesinin ifası
için, danışmana ödeme yapılabilmesi amacıyla, danışmanın banka hesap bilgisinin
elde edilmesi.
·
Şirketin hukuki yükümlülüğünü yerine
getirmesi şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine
getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir. Örnek: mahkeme kararıyla talep edilen bilgilerin mahkemeye
sunulması.
·
Kişisel veri sahibinin kişisel verisini
alenileştirmesi veri sahibinin, kişisel verisini kendisi tarafından
alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir. Örnek:
çalışan adayının iletişim bilgilerini, iş başvurusu yapılmasına imkan veren
internet sitelerinde yayımlanması.
·
Bir hakkın tesisi veya korunması için
veri işlemenin zorunlu olması bir hakkın tesisi, kullanılması veya korunması
için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri
işlenebilecektir. 13 örnek: ispat niteliği olan verilerin (örneğin bir
faturanın) saklanması ve gerekli olduğu anda kullanılması.
·
Şirketimizin meşru menfaati için veri
işlemenin zorunlu olması kişisel veri sahibinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla şirketimizin meşru menfaatleri için veri işlemesinin
zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek:
şirket’e ait bina ve tesislerde güvenlik amaçlı olarak kamera kaydı yapılması.
3.3. Özel nitelikli kişisel verilerin
işlenmesi
Şirketimiz tarafından, kvk kanunu ile
“özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, kvk
kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Kvk
kanunu’nun 6. Maddesinde, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri
“özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kvk
kanunu’na uygun bir biçimde şirketimiz tarafından; özel nitelikli kişisel
veriler, kvk kurulu tarafından belirlenecek olan yeterli önlemlerin alınması
kaydıyla aşağıdaki durumlarda işlenmektedir:
·
Kişisel veri sahibinin açık rızası var
ise
·
Kişisel veri sahibinin açık rızası yok
ise; – kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli
kişisel veriler, kanunlarda öngörülen hallerde, – kişisel veri sahibinin
sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından işlenmektedir.
3.4. Kişisel verilerin aktarılması
Şirketimiz hukuka uygun olan kişisel
veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel
veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü
kişilere (topluluk şirketlerine, iş ortaklarına ve sair üçüncü kişilere)
aktarabilmektedir. Şirketimiz bu doğrultuda kvk kanunu’nun 8. Maddesinde
öngörülen düzenlemelere uygun hareket etmektedir.
(i) kişisel verilerin yurtdışına
aktarılması 14 şirketimiz hukuka uygun kişisel veri işleme amaçları
doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel
verilerini ve özel nitelikli kişisel verilerini yurtdışındaki üçüncü kişilere
aktarabilmektedir. Şirketimiz tarafından kişisel veriler; kvk kurulu tarafından
yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“yeterli korumaya
sahip yabancı ülke”) veya yeterli korumanın bulunmaması durumunda türkiye’deki
ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı
olarak taahhüt ettiği ve kvk kurulu’nun izninin bulunduğu yabancı ülkelere
(“yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülke”)
aktarılmaktadır. Şirketimiz bu doğrultuda kvk kanunu’nun 9. Maddesinde
öngörülen düzenlemelere uygun hareket etmektedir.
4. Bölüm
4 – şirketimiz tarafından işlenen kişisel
verilerin kategorizasyonu, işlenme amaçları ve saklanma süreleri
Şirketimiz, kvk kanunu’nun 10. Maddesine
uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi
gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel
verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine
bildirmektedir.
4.1. Kişisel verilerin kategorizasyonu
Şirketimiz nezdinde; şirketimizin meşru
ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, kvk kanunu’nun 5.
Maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına
dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4.
Maddede belirtilen ilkeler olmak üzere kvk kanunu’nda belirtilen genel ilkelere
ve kvk kanunu’nda düzenlenen bütün yükümlülüklere uyularak ve işbu politika
kapsamındaki süjelerle (müşteriler, potansiyel müşteriler, topluluk şirketleri
müşterisi, ziyaretçi, üçüncü kişi, çalışan adayı, şirket hissedarı, şirket
yetkilisi, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve
yetkilileri) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler,
kvk kanunu’nun 10. Maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle
işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu politika kapsamında
düzenlenen hangi veri sahipleriyle ilişkili olduğu da işbu politika’nın 5.
Bölümünde belirtilmektedir.
Kişisel veri kategorizasyonu kişisel
veri kategorizasyonu açıklama
Kimlik bilgisi kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir;
ad-soyad, t.c. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri,
doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport
gibi belgeler ile vergi numarası, sgk numarası, imza bilgisi, taşıt plakası
v.b. Bilgiler iletişim bilgisi kimliği belirli veya belirlenebilir bir gerçek
kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon
numarası, adres, e-mail adresi, faks numarası, ıp adresi gibi bilgiler lokasyon
verisi kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin şirket
iş birimleri tarafından yürütülen operasyonlar çerçevesinde, topluluk
şirketlerinin ürün ve hizmetlerinin kullanımı sırasında veya işbirliği içinde
olduğumuz kurumların çalışanları şirket araçlarını kullanırken bulunduğu yerin
konumunu tespit eden bilgiler; gps lokasyonu, seyahat verileri v.b. Müşteri
bilgisi kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; şirketimizin ticari
faaliyetleri ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar
neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler aile
bireyleri ve yakın bilgisi kimliği belirli veya belirlenebilir bir gerçek
kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirket iş
birimleri tarafından yürütülen operasyonlar çerçevesinde, topluluk
şirketlerinin sunduğu ürün ve hizmetlerle ilgili veya şirketin ve kişisel veri
sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin
aile bireyleri (örn. Eş, anne, baba, çocuk) ve yakınları hakkındaki bilgiler,
acil durumda ulaşılacak kişi bilgileri fiziksel mekan güvenlik bilgisi kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; fiziksel mekana girişte, fiziksel mekanın içerisinde
kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera
kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar v.b.
Finansal bilgi kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu
açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; şirketin kişisel veri sahibi
ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal
sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile
banka hesap numarası, ıban numarası, kredi kartı bilgisi, finansal profil,
malvarlığı verisi, gelir bilgisi gibi veriler 16 görsel/işitsel bilgi kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve
kamera kayıtları (fiziksel mekan güvenlik bilgisi kapsamında giren kayıtlar hariç),
ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki
belgelerde yer alan veriler özlük bilgisi kimliği belirli veya belirlenebilir
bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde
veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının
oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü
kişisel veri özel nitelikli kişisel veri kimliği belirli veya belirlenebilir
bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde
veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
kvk kanunu’nun 6. Maddesinde belirtilen veriler (örn. Kan grubu da dahil sağlık
verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) işlem
güvenliği bilgisi kimliği belirli veya belirlenebilir bir gerçek kişiye ait
olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt
sisteminin bir parçası olarak otomatik olmayan şekilde, ticari faaliyetlerimizi
yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için
işlenen kişisel verileriniz hukuki işlem ve uyum bilgisi kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın
ifası ile kanuni yükümlülüklerimiz ve şirket’in politikalarına uyum kapsamında
işlenen kişisel verileriniz pazarlama bilgisi kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; ürün ve hizmetlerimizin kişisel veri sahibinin kullanım
alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek
pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme
sonuçlarına göre yaratılan rapor ve değerlendirmeler talep/şikayet yönetimi
bilgisi kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; şirkete yöneltilmiş olan her
türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel
veriler
4.2. Kişisel verilerin işlenme amaçları
Şirket, kvk kanunu’nun 5. Maddesinin 2.
Fıkrasında ve 6. Maddenin 3. Fıkrasında belirtilen kişisel veri işleme şartları
içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri
işlemektedir. Bu amaçlar ve koşullar;
·
Kişisel verilerin işlenmesine ilişkin,
“şirket” ‘ın ilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi
·
Kişisel verilerin “şirket” tarafından
işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve
gerekli olması
·
Kişisel verilerin işlenmesinin
“şirket”’ın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
·
Kişisel verilerin kişisel veri sahibi
tarafından alenileştirilmiş olması şartıyla; veri sahibinin alenileştirme
amacıyla sınırlı bir şekilde “şirket” tarafından işlenmesi
·
Kişisel verilerin “şirket” tarafından
işlenmesinin “şirket” ’in veya veri sahiplerinin veya üçüncü kişilerin
haklarının tesisi, kullanılması veya korunması için zorunlu olması
·
Kişisel veri sahibinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla “şirket” ’in meşru menfaatleri için
kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
·
“şirket” tarafından kişisel veri işleme
faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel
veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak
durumda bulunması
·
Kişisel veri sahibinin sağlığı ve cinsel
hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş
olması
·
Kişisel veri sahibinin sağlığına ve
cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işlenmesidir. Bu kapsamda “şirket” kişisel
verilerinizi aşağıdaki amaçlarla işlemektedir:
1. Kurumsal
sürdürülebilirlik faaliyetlerinin planlanması ve icrası
2. Etkinlik
yönetimi
3. İş
ortakları veya tedarikçilerle olan ilişkilerin yönetimi
4. “şirket”’ın
personel temin süreçlerinin yürütülmesi (çalışan adayları’nın kişisel
verilerinin işlenmesine ilişkin olarak bkz. Ek-4)
5. Topluluk
personel temin süreçlerine destek olunması
6. “şirket”’ın
finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi
7. "şirket”’ın
hukuk işlerinin icrası/takibi
8. Kurumsal
iletişim faaliyetlerinin planlanması ve icrası
9. Kurumsal
yönetim faaliyetlerinin icrası
10. Şirketler
ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
11. Talep
ve şikayet yönetimi
12. Yatırımcı
ilişkilerinin yönetilmesi
13. Yetkili
kuruluşlara mevzuattan kaynaklı bilgi verilmesi
o Ziyaretçi
kayıtlarının oluşturulması ve takibi bahsi geçen amaçlarla gerçekleştirilen
işleme faaliyetinin, kvk kanunu kapsamında öngörülen şartlardan herhangi birini
karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak “şirket”
tarafından kişisel veri sahibinin açık rızası temin edilmektedir.
4.3. Kişisel verilerin saklanma süreleri
“şirket”, ilgili kanunlarda ve
mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen
süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması
gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler,
“şirket”’ın o veriyi işlerken yürütülen faaliyet ile bağlı olarak “şirket”’ın
uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren
süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale
getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu politika’nın 8.
Bölümünde yer verilmiştir. Kişisel verilerin işlenme amacı sona ermiş; ilgili
mevzuat ve “şirket”’ın belirlediği saklama sürelerinin de sonuna gelinmişse;
kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya
kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis
edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen
hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı
sürelerinin geçmesine rağmen daha önce aynı konularda “şirket”’a yöneltilen
taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu
durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve
ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel
verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra
kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5 – “şirket” tarafından işlenen kişisel
verilerin sahiplerine ilişkin kategorizasyon
“şirket” tarafından, aşağıda sıralanan
kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle birlikte, işbu
politika’nın uygulama kapsamı müşteriler, potansiyel müşteriler, topluluk
şirketleri müşterileri, ziyaretçiler, üçüncü kişiler, çalışan adayları, şirket
hissedarları, şirket yetkilileri, işbirliği içinde olduğumuz kurumların
çalışanları, hissedarları ve yetkilileri ile sınırlıdır. Çalışanlarımızın
kişisel verilerinin korunması ve işlenmesi faaliyetleri, “şirket” çalışanları
kişisel verilerin korunması ve işlenmesi politikası altında değerlendirilecektir.
19 “şirket” tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda
belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler
de kvk kanunu kapsamında “şirket”’e taleplerini yöneltebilecek olup; bu
kişilerin talepleri de bu politika kapsamında değerlendirmeye alınacaktır.
Aşağıda işbu politika kapsamında yer alan müşteri, potansiyel müşteri, topluluk
şirketleri müşterisi, ziyaretçi, üçüncü kişi, çalışan adayı, şirket hissedarı,
şirket yetkilisi, işbirliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkilileri kavramlarına açıklık getirilmektedir. Kişisel veri
sahibi kategorisi açıklaması müşteri “şirket” ile herhangi bir sözleşmesel
ilişkisi olup olmadığına bakılmaksızın şirketimizin sunmuş olduğu ürün ve hizmetleri
kullanan veya kullanmış olan gerçek kişiler potansiyel müşteri ürün ve
hizmetlerimizi kullanma talebinde bulunmuş veya bu ilgiye sahip olabileceği
ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek
kişiler topluluk şirketleri müşterisi “şirket” ile herhangi bir sözleşmesel
ilişkisi olup olmadığına bakılmaksızın “şirket” iş birimlerinin yürüttüğü
operasyonlar kapsamında topluluk şirketleri’nin iş ilişkileri üzerinden kişisel
verileri elde edilen gerçek kişiler ziyaretçi “şirket”’ın sahip olduğu fiziksel
yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret
eden gerçek kişiler üçüncü kişi bu politika ve “şirket” çalışanları kişisel
verilerin korunması ve işlenmesi politikası kapsamına girmeyen diğer gerçek
kişiler (örn. Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar)
çalışan adayı “şirket”a herhangi bir yolla iş başvurusunda bulunmuş ya da
özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek
kişiler şirket hissedarı “şirket”’in hissedarı gerçek kişiler şirket yetkilisi
“şirket” in yönetim kurulu üyesi ve diğer yetkili gerçek kişiler işbirliği
içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri “şirket”
in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi,
nakliyeci gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların
hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler aşağıdaki tabloda
yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki
kişilerin hangi tip kişisel verilerin işlendiği detaylandırılmaktadır.
Kişisel veri kategorizasyonu ilgili
kişisel verinin ilişkili olduğu veri sahibi kategorisi
Kimlik bilgisi müşteri, potansiyel
müşteri, topluluk şirketleri müşterisi, çalışan adayı, şirket hissedarı, şirket
yetkilisi, ziyaretçi, işbirliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkilileri, üçüncü kişi iletişim bilgisi müşteri, potansiyel
müşteri, topluluk şirketleri müşterisi, çalışan adayı, şirket hissedarı, şirket
yetkilisi, ziyaretçi, işbirliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkilileri, üçüncü kişi lokasyon verisi işbirliği içinde
olduğumuz kurumların çalışanları, şirket yetkilileri aile bireyleri ve yakın
bilgisi müşteri, topluluk şirketleri müşterisi, ziyaretçi, çalışan adayı,
üçüncü kişi, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve
yetkilileri fiziksel mekan güvenlik bilgisi ziyaretçi, çalışan adayı, şirket
hissedarları, şirket yetkilileri, işbirliği içinde olduğumuz kurumların
çalışanları, hissedarları ve yetkilileri, üçüncü kişi finansal bilgi müşteri,
potansiyel müşteri, topluluk şirketleri müşterisi, çalışan adayı, şirket
hissedarı, şirket yetkilisi, şirket hissedarı, işbirliği içinde olduğumuz
kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişi görsel/işitsel
bilgi müşteri, potansiyel müşteri, topluluk şirketleri müşterisi, çalışan
adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi, işbirliği içinde
olduğumuz kurumların çalışanları, hissedarları ve yetkilileri, üçüncü kişi
hukuki işlem ve uyum bilgisi müşteri, potansiyel müşteri, topluluk şirketleri
müşterisi, çalışan adayı, şirket hissedarı, şirket yetkilisi, ziyaretçi,
işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri,
üçüncü kişi işlem güvenliği bilgisi müşteri, potansiyel müşteri, şirket
yetkilisi, ziyaretçi, işbirliği içinde olduğumuz kurumların çalışanları,
hissedarları ve yetkilileri özlük bilgisi işbirliği içinde olduğumuz kurumların
çalışanları, hissedarları ve yetkilileri, çalışan adayı, üçüncü kişi 21 özel
nitelikli kişisel veri müşteri, topluluk şirketleri müşterisi, çalışan adayı,
şirket hissedarı, şirket yetkilisi, işbirliği içinde olduğumuz kurumların
çalışanları, hissedarları ve yetkilileri, üçüncü kişi pazarlama bilgisi
müşteri, potansiyel müşteri müşteri bilgisi müşteri talep/şikayet yönetimi
bilgisi topluluk şirketleri müşterisi, çalışan adayı, şirket hissedarı, şirket
yetkilisi, ziyaretçi, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları
ve yetkilileri, üçüncü kişi
6. Bölüm
6 – “şirket” tarafından kişisel
verilerin aktarıldığı üçüncü kişiler ve aktarılma amaçları
“şirket” , kvk kanunu’nun 10. Maddesine
uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri
sahibine bildirmektedir. “şirket”, kvk kanunu’nun 8. Ve 9. Maddelerine uygun
olarak (bkz. Bölüm 3/başlık 3.5) politika ile yönetilen veri sahiplerinin
kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
·
“şirket” iş ortaklarına,
·
“şirket” tedarikçilerine,
·
Topluluk şirketlerine,
·
“şirket” hissedarlarına,
·
Şirket yetkililerine,
·
Hukuken yetkili kamu kurum ve
kuruluşlarına
·
Hukuken yetkili özel hukuk kişilerine
aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım
amaçları aşağıda belirtilmektedir. Veri aktarımı yapılabilecek kişiler tanımı
veri aktarım amacı iş ortağı “şirket”’ın ticari faaliyetlerini yürütürken ürün
ve hizmetlerin satışı, tanıtımı ve pazarlaması, satış sonrası desteği, ortak
müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı
kurduğu tarafları tanımlamaktadır. İş ortaklığının kurulma amaçlarının yerine
getirilmesini temin etmek amacıyla sınırlı olarak tedarikçi “şirket”’ın ticari
faaliyetlerini yürütürken şirketimizin emir ve talimatlarına uygun olarak
sözleşme temelli olarak “şirket”e hizmet sunan tarafları tanımlamaktadır.
Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve şirketimizin
ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin “şirket”’e
sunulmasını sağlamak amacıyla sınırlı olarak. Şirket topluluğu katılımını
gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak
hissedarlarımız ilgili mevzuat hükümlerine göre şirketimizin ticari
faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması
konusunda yetkili olan hissedarlarımız ilgili mevzuat hükümlerine göre
şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve
denetim amaçlarıyla sınırlı olarak şirket yetkilileri şirketimizin yönetim
kurulu üyeleri ve diğer yetkilendirilen kişiler şirketimizin ticari
faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin
sağlanması ve denetim amaçlarıyla sınırlı olarak hukuken yetkili kamu kurum ve
kuruluşları ilgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya
yetkili kamu kurum ve kuruluşları ilgili kamu kurum ve kuruluşlarının hukuki
yetkisi dahilinde talep ettiği amaçla sınırlı olarak hukuken yetkili özel hukuk
kişileri ilgili mevzuat hükümlerine göre şirketimizden bilgi ve belge almaya
yetkili özel hukuk kişileri ilgili özel hukuk kişilerinin hukuki yetkisi
dahilinde talep ettiği amaçla sınırlı olarak “şirket” tarafından
gerçekleştirilen aktarımlarda politika’nın 2. Ve 3. Bölümlerinde düzenlenmiş
hususlara uygun olarak hareket edilmektedir.
7. Bölüm
7 – bina, tesis girişleri ile bina tesis
içerisinde yapılan kişisel veri işleme faaliyetleri ile internet sitesi
ziyaretçileri
7.1. “şirket” bina, tesis girişlerinde
ve içerisinde yürütülen kişisel veri işleme faaliyetleri
“şirket” tarafından bina tesis
girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri,
anayasa’ya, kvk kanunu’na ve ilgili diğer mevzuata uygun bir biçimde
yürütülmektedir. Şirketimiz tarafından güvenliğin sağlanması amacıyla,
şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti
ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme
faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş
çıkışlarının kayıt altına alınması yoluyla şirketimiz tarafından kişisel veri
işleme faaliyeti yürütülmüş olmaktadır. “şirket”, güvenlik kamerası ile izleme
faaliyeti; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin
menfaatlerini korunması amacını taşımakta olup bu kapsamda şirketimiz anayasa,
kvk kanunu ve ilgili diğer mevzuata uygun olarak hareket etmektedir.
Şirketimizin bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme
sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları alınmaktadır.
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin
kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer
kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin
menfaatlerini korumak gibi amaçlar taşımaktadır. Şirketimiz tarafından güvenlik
amacıyla kamera ile izleme faaliyeti yürütülmesinde kvk kanunu’nda yer alan
düzenlemelere uygun hareket edilmektedir. Şirketimiz tarafından yürütülen
kamera ile izleme faaliyeti, özel güvenlik hizmetlerine dair kanun ve ilgili
mevzuata uygun olarak sürdürülmektedir. Dijital ortamda kaydedilen ve muhafaza
edilen kayıtlara yalnızca sınırlı sayıda şirket çalışanının erişimi
bulunmaktadır. Canlı kamera görüntülerini ise, dışarıdan hizmet alınan güvenlik
görevlileri izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıda kişi
gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan
etmektedir. Şirketimiz tarafından kvk kanunu’nun 12. Maddesine uygun olarak,
kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin
güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. 24
yukarıda belirtilen kamerayla kayıt dışında şirketimiz tarafından; güvenliğin
sağlanması ve bu politika’da belirtilen amaçlarla, şirketimiz binalarında ve
tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme
faaliyetinde bulunulmaktadır. Misafir olarak şirketimiz binalarına gelen
kişilerin isim ve soyadları elde edilirken ya da şirket nezdinde asılan ya da
diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz
konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir
giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla
işlenmekte veya ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
Şirketimiz tarafından güvenliğin sağlanması ve bu politika’da belirtilen
amaçlarla; şirketimiz tarafından bina ve tesislerimiz içerisinde kaldığınız
süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir.
Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 sayılı kanun ve
bu kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına
alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep
edilmesi veya şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili
hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir. Bu çerçevede
elde edilen log kayıtlarına yalnızca sınırlı sayıda şirket çalışanının erişimi
bulunmaktadır. Bahsi geçen kayıtlara erişimi olan şirket çalışanları bu
kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim
süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle
paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik
taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
7.2. İnternet sitesi ziyaretçileri
Şirketimiz sahibi olduğu internet
sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini
ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek;
kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık
faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (örn.
Çerezler-cookie gibi) site içerisindeki internet hareketlerini
kaydedilmektedir. Şirketimizin yapmış olduğu bu faaliyetlere ilişkin kişisel
verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet
sitelerinin “internet sitesi gizlilik politikası” metinleri içerisinde yer
almaktadır.
8. Bölüm
8- kişisel verilerin silinmesi, yok
edilmesi ve anonimleştirilmesi şartları
“şirket”, türk ceza kanunu’nun 138.
Maddesinde ve kvk kanunu’nun 7. Maddesinde düzenlendiği üzere ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde “şirket”’in kendi kararına istinaden veya
kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya
anonim hâle getirilir.
8.1. “şirket” ’ın kişisel verileri
silme, yok etme ve anonimleştirme yükümlülüğü
Türk ceza kanunu’nun 138. Maddesinde ve
kvk kanunu’nun 7. Maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde “şirket”’in kararına istinaden veya kişisel veri sahibinin
talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Bu kapsamda şirketimiz ilgili yükümlülüğünü yerine getirmek üzere şirket
içerisinde gerekli teknik ve idari tedbirleri alarak; bu konuda gerekli işleyiş
mekanizmaları geliştirmiş olup; bu yükümlüklerine uygun davranmak üzere ilgili
iş birimlerini eğitmekte, görevlendirme ve farkındalıklarını sağlamaktadır.
8.2. Kişisel verilerin silinmesi, yok
edilmesi ve anonimleştirilmesi teknikleri
8.2.1 kişisel verilerin silinmesi ve yok
edilmesi teknikleri
“şirket”, ilgili kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi
üzerine kişisel verileri silebilir veya yok edebilir. “şirket” tarafından en
çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
(i) fiziksel olarak yok etme (physical
destruction) kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler
silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde
fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
(ii) yazılımdan güvenli olarak silme
(secure deletion software) tamamen veya kısmen otomatik olan yollarla işlenen
ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir
daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin
yöntemler kullanılır.
(iii) uzman tarafından güvenli olarak
silme (sending to a specialist for secure deletion) “şirket”, bazı durumlarda
kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu
durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha
kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
8.2.2 kişisel verileri anonim hale
getirme teknikleri
Kişisel verilerin anonimleştirilmesi,
kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesini ifade eder. “şirket”, hukuka uygun olarak işlenen kişisel
verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri
anonimleştirebilmektedir.
Kvk kanunu’nun 28. Maddesine uygun
olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve
istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler kvk kanunu kapsamı
dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale
getirilerek işlenen kişisel veriler kvk kanunu kapsamı dışında olacağından
politika’nın 2. Bölümünde düzenlenen haklar bu veriler için geçerli
olmayacaktır. “şirket”, tarafından en çok kullanılan anonimleştirme teknikleri
aşağıda sıralanmaktadır.
(i) maskeleme (masking) veri maskeleme
ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden
çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: kişisel
veri sahibinin tanımlanmasını sağlayan isim, tc kimlik no vb. Bilginin
çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale
geldiği bir veri setine dönüştürülmesi.
(ii) toplulaştırma (aggregation) veri
toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler
herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek:
çalışanların yaşlarını tek tek göstermeksizin x yaşında z kadar çalışan
bulunduğunun ortaya konulması.
(iii) veri türetme (data derivation)
veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik
oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek
hale getirilmesi sağlanmaktadır. Örnek: doğum tarihleri yerine yaşların
belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
(iv) veri karma (data shuffling,
permutation) veri karma yöntemi ile kişisel veri seti içindeki değerlerinin
karıştırılarak değerler ile kişiler arasındaki bağın kopartılması
sağlanmaktadır. Örnek: ses kayıtlarının niteliğinin değiştirilerek sesler ile
veri sahibi kişinin ilişkilendirilemeyecek
9. Bölüm
9– diğer hususlar
9.1. “şirket” kişisel verilerin
korunması ve işlenmesi politikasının diğer politikalarla olan ilişkisi
Şirketin işbu politika ile ortaya koymuş
olduğu esasları; ilgili esasların icrasına yönelik ortaya koyduğu politika,
prosedür ve uygulama rehberleri ile şirket içerisinde uygulanmasını temin
etmektedir. Kişisel verilerin korunması konusunda ortaya konulan politika,
prosedür ve uygulama rehberleri ile şirketin diğer alanlarda yürüttüğü temel
politikalar, prosedürler ve uygulama rehberiyle de bağı kurularak, şirketin
benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında
uyumluluk da sağlanmaktadır.
9.2. “şirket” kişisel verilerin
korunması ve işlenmesi politikası yönetişim yapısı
Şirket bünyesinde işbu politika ve bu
politika’ya bağlı ve ilişkili diğer politikaları, prosedürleri ve uygulama
rehberlerini yönetmek üzere, şirket üst yönetiminin kararı gereğince “kişisel
verilerin korunması komitesi” oluşturulmuştur. Bu komitenin görevleri aşağıda
belirtilmektedir:
·
Kişisel verilerin korunması ve işlenmesi
ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve
yürürlüğe koymak üzere üst yönetimin onayına sunmak.
·
Kişisel verilerin korunması ve
işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine
getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak
ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak.
·
Kişisel verilerin korunması kanunu ve
ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek
ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek
ve koordinasyonunu sağlamak.
·
Kişisel verilerin korunması ve işlenmesi
konusunda şirket içerisinde ve şirketin iş ortakları nezdinde farkındalığı
arttırmak.
·
Şirketin kişisel veri işleme faaliyetlerinde
oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek;
iyileştirme önerilerini üst yönetimin onayını sunmak.
·
Kişisel verilerin korunması ve
politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini
sağlamak.
·
Kişisel veri sahiplerinin başvurularını
en üst düzeyde karara bağlamak.
·
Kişisel veri sahiplerinin; kişisel veri
işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek
üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek.
·
Kişisel verilerin korunması konusundaki
gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun
olarak şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde
bulunmak.
·
Kişisel verilerin korunması kurulu ve
kurumu ile olan ilişkileri koordine etmek.
·
Şirket üst yönetiminin kişisel verilerin
korunması konusunda vereceği diğer görevleri icra etmek.
Ek-1 tanımlar
Açık rıza : belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Anonim hale getirme
: kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri
alınamayacağı şekilde değiştirilmesidir. Ör: maskeleme, toplulaştırma, veri
bozma vb. Tekniklerle kişisel verinin bir gerçek kişi ile
ilişkilendirilemeyecek hale getirilmesi. Çalışan adayı : şirketimize herhangi
bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini
şirketimizin incelemesine açmış olan gerçek kişiler
işbirliği içerisinde olduğumuz
kurumların çalışanları, hissedarları ve yetkilileri : şirketimizin her türlü iş
ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak
bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri
dahil olmak üzere, gerçek kişiler iş ortağı “şirket”’in ticari faaliyetlerini
yürütürken ürün ve hizmetlerin satışı, tanıtımı ve pazarlaması, satış sonrası
desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş
ortaklığı kurduğu taraflar
kişisel verilerin işlenmesi : kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
Kişisel veri sahibi : kişisel verisi
işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.
Kişisel veri : kimliği belirli veya
belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel
kişilere ilişkin bilgilerin işlenmesi kanun kapsamında değildir. Örneğin;
ad-soyad, tckn, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap
numarası vb.
Müşteri : şirketimizle herhangi bir
sözleşmesel ilişkisi olup olmadığına bakılmaksızın şirketimizin sunmuş olduğu
ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
özel nitelikli kişisel veri : ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık
kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
veriler özel nitelikli verilerdir.
Potansiyel müşteri : ürün ve
hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip
olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak
değerlendirilmiş gerçek kişiler
şirket hissedarı : şirketimizin
hissedarı gerçek kişiler
şirket yetkilisi : şirketimizin yönetim
kurulu üyesi ve diğer yetkili gerçek kişiler tedarikçi “şirket”’in ticari
faaliyetlerini yürütürken şirketimizin emir ve talimatlarına uygun olarak
sözleşme temelli olarak “şirket”’e hizmet sunan taraflar topluluk şirketleri
müşterisi “şirket” ile herhangi bir sözleşmesel ilişkisi olup olmadığına
bakılmaksızın “şirket”, iş birimlerinin yürüttüğü operasyonlar kapsamında
topluluk şirketleri’nin iş ilişkileri üzerinden kişisel verileri elde edilen
gerçek kişiler
üçüncü kişi : şirketimizin yukarıda
bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi
geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle
ilişkili olan üçüncü taraf gerçek kişiler (örn. Kefil, refakatçi, aile
bireyleri ve yakınlar)
veri işleyen : veri sorumlusunun verdiği
yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Örneğin, şirketimizin verilerini tutan bulut bilişim firması, müşterilere
formları imzalattığı anketörleri, talimatlar çerçevesinde arama yapan
call-center firması vb.
Veri sorumlusu : kişisel verilerin
işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde
tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.
Ziyaretçi : şirketimizin sahip olduğu
fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi
ziyaret eden gerçek kişiler
Ek-2
Kısaltmalar kvk kanunu : 7 nisan 2016
tarihli ve 29677 sayılı resmi gazete’de yayımlanan, 24 mart 2016 tarihli ve
6698 sayılı
kişisel verilerin korunması kanunu.
Anayasa : 9 kasım 1982 tarihli ve 17863 sayılı resmi gazete'de yayımlanan; 7 kasım
1982 tarihli ve 2709 sayılı türkiye cumhuriyeti anayasası.
Kvk kurulu : kişisel verileri koruma
kurulu
kvk kurumu : kişisel verileri koruma
kurumu
kişisel verilerin korunması ve işlenmesi
politikası şirket : doğatur sağlık termal turizm inşaat san. Tic. Ltd. Şti.
Türk ceza kanunu : 12 ekim 2004 tarihli
ve 25611 sayılı resmi gazete'de yayımlanan; 26 eylül 2004 tarihli ve 5237
sayılı türk ceza kanunu.
Ek-3 / kvk kanunu’nun uygulanması
bakımından önem arz eden tarihler
15.02.2017 tarihi itibarıyla şirketimiz
aşağıdaki yükümlülüklere uygun hareket etmektedir:
(i) kişisel verilerin işlenmesi ile
ilgili genel kurallar ve ilkeler
(ii) (ii) kişisel veri sahiplerinin
aydınlatılmasına ilişkin yükümlülükler
(iii) (iii)veri güvenliğinin
sağlanmasına ilişkin yükümlülükler 7 ekim 2016 tarihi itibarıyla aşağıda
sıralanan düzenlemeler yürürlüğe girecek ve şirketimiz bu düzenlemelere uygun
hareket edecektir:
(iv) (i) kişisel verilerin üçüncü
kişilere ve yurtdışına aktarılmasına ilişkin hükümler (ii) kişisel verinin
sahibi olan kişisel veri sahibinin, şirketimize başvuru karşı haklarını
(kişisel verisinin işlenip işlenmediğini öğrenme, bilgi talep etme, aktarıldığı
kişileri öğrenme, düzeltme talep etme) kullanmasını ve kvk kurulu'na şikayette
bulunmasına ilişkin düzenlemeler 7 nisan 2017 7 nisan 2017 tarihi itibarıyla;
(v) (i) 7 nisan 2016 tarihinden önce
hukuka uygun olarak alınmış rızalar, kişisel veri sahibi tarafından aksine bir
beyanda bulunulmaması halinde kvk kanunu’na uygun kabul edilecektir.
(vi) (ii) kvk kanunu’na ilişkin
yönetmelikler yürürlüğe girecektir ve şirketimiz bu düzenlemelere uygun hareket
edecektir. 7 nisan 2018 7 nisan 2016 tarihinden önce işlenmiş kişisel veriler,
7 nisan 2018 tarihine kadar şirketimiz tarafından kvk kanun'a uyumlu hale
getirilecek, silinecek veya anonim hale getirilecektir.
Ek-4 çalışan adaylarının ve iş ortakları
çalışanlarının kişisel verilerinin işlenmesi kişisel veri sahibi kişisel
verilerin toplanması ve işlenmesi hakların kullanılması ve başvuru
Çalışan adayları çalışan adaylarının işe
alım sürecinde toplanan kişisel verileri ile işin niteliğine göre toplanan özel
nitelikli kişisel verileri, şirketimiz tarafından; şirketimizin insan
kaynakları politikasının belirlediği faaliyetlerin icrası, işe alım, işbu
politikada belirtilen amaçların yanında; çalışan adaylarının kişisel verileri
ayrıca aşağıda da sıralanan amaçlarla işlenmektedir:
·
Adayın niteliğini, tecrübesini ve
ilgisini açık pozisyona uygunluğunu değerlendirmek,
·
Gerektiği takdirde, adayın ilettiği
bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip
aday hakkında araştırma yapmak,
·
Başvuru ve işe alım süreci hakkında aday
ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya
yurtdışında açılan herhangi bir pozisyon için aday ile iletişime geçmek,
·
İlgili mevzuatın gereklerini ya da
yetkili kurum veya kuruluşun taleplerini karşılamak,
·
Şirketimizin uyguladığı işe alım
ilkelerini geliştirmek ve iyileştirmek. Çalışan adaylarının kişisel verileri
aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:
1. Yazılı
veya elektronik ortamda yayınlanan dijital başvuru formu;
2. Adayların
şirketimize e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları
özgeçmişler,
·
İstihdam veya danışmanlık şirketleri;
çalışan adayları da veri sahibi olmalarından kaynaklanan hakları ile ilgili
taleplerini, şirketimize, bu politika’nın 2.2. Bölümde açıklanan yöntemle
iletebileceklerdir.
·
Video konferans, telefon gibi araçlarla
veya yüz yüze mülakat yapılan hallerde, mülakat sırasında,
·
Aday tarafından iletilen bilgilerin
doğruluğunu teyit etmek amacıyla yapılan kontroller ile şirketimiz tarafından
yapılan araştırmalar,
·
Tecrübesi olan uzman kişiler tarafından
yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe
alım testleri. İş ortaklarının çalışanları şirketimiz, iş ortakları ile kurmuş
olduğu ticari faaliyetlerin yerine getirilmesi kapsamında, iş ortakların
çalışanlarına ilişkin kişisel verileri işbu politikada belirtilen amaçlar ile
şirketimizin insan kaynakları politikasının icrası ile; şirketimizin ve iş
birliği içerisinde olduğumuz kişilerin ticari ve hukuki güvenliğini temini
amaçları başta olmak üzere işbu politikada belirtilen diğer amaçlar dahilinde
işleyebilmektedir. İş ortaklarının çalışanları, veri sahibi olmalarından
kaynaklanan hakları ile ilgili taleplerini, şirketimize, bu politika’nın 2.2.
Bölümde açıklanan yöntemle iletebileceklerdir.