Barış Erdem Danışmanlık olarak; müşterilerimiz, çalışanlarımız dahil şirketimiz ile ilişkili gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir.
İşbu politika ile kişisel verilerin 6698 sayılı Kişisel Verileri Koruma Kanunu’na uygun şekilde işlenmesi, korunması, aktarılması ve imha edilmesi veya anonim hale getirilmesine ilişkin genel çerçeve belirlenmektedir. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir.
Bu politika; Anayasa, KVKK ve bağlı ikincil mevzuat esas alınarak hazırlanmış olup, KVKK kapsamında yayımlanacak ikincil mevzuat ve KVK Kurulu’nun çalışmalarıyla devamlı güncellenecektir. Bu nedenle, politikanın en güncel versiyonuna düzenli olarak www.bariserdem.com adresinden ulaşılabilecektir.
Politika Şirketimizin müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, şirket hissedarları, şirket yetkilileri, ziyaretçileri, işbirliği içinde olduğu kurum ve kuruluşların çalışanları ve sözleşmesel ilişkiye girilen gerçek kişiler gibi üçüncü kişiler, Şirketimiz ile ilişkisi devam eden eski çalışanları, eski hissedarları ve eski yetkilileri olmak üzere kişisel verileri Şirketimiz tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
1. Kişisel Veri Sahibinin Aydınlatılması
Şirketimiz, kişisel verilerini işlediği kişilerin özel hayatının gizliliğine önem vermekte ve özel hayatın gizliliği ve kişisel verilerin korunmasına ilişkin alınması gereken tüm önlemleri almaktadır.
Şirketimiz, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini KVKK’nın 10. maddesine uygun olarak aydınlatmaktadır. Bu kapsamda Şirketimiz tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi esnasında;
· Veri Sorumlusu olarak Şirketimizin kimliği,
· Kişisel verilerin hangi amaçla işleneceği,
· İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
· Kişisel veri toplamanın yöntemi ve hukuki sebebi ile
· Kişisel veri sahibinin KVKK’nın 11. maddesi kapsamında sahip olduğu haklara ilişkin aydınlatma yapılmaktadır.
Şirketimiz ayrıca kişisel verilerin korunmasına ilişkin olarak kişisel verileri işleme faaliyetinde bulunduğunu kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır.
Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. KVKK’nın 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmıştır.
Şirketimiz, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında diğer kişisel verilerde olduğu gibi azami titizliği göstermektedir. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.
Kişisel veri sahipleri;
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
Kişisel veri sahibi haklarına ilişkin taleplerini yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre talebi en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır.
Kişisel Veri Sahibi, Kişisel verileri ile ilgili talebini;
Ø KVK Kurul’u tarafından ayrı bir yöntem belirlenmesi halinde bu yöntem ile, veya
Ø “Atatürk Mah. Ertuğrul Gazi Sk. Metropol İstanbul A Blok Bina No: 2E Ofis No: 15 Ataşehir / İstanbul” adresine yazılı ve ıslak imzalı olarak gönderebilecektir.
Kişisel Veri Sahibi yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin açıklamaların içeren başvuruda; talep edilen hususun açık ve anlaşılır olması, talep edilen konunun başvuranın şahsı ile ilgili olması veya başkası adına hareket ediliyor ise bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi, ayrıca başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğini tevsik edici belgelerin eklenmesi gerekmektedir.
Söz konusu talepler bireysel olarak yapılacak olup yetkisiz üçüncü kişilerin kişisel veriler ile ilgili yaptığı talepler değerlendirmeye alınmayacaktır.
1. Temel İlkeler
Şirketimiz, KVKK’nın 4. maddesindeki düzelemeye uygun olarak işlediği kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için işlenme ilkelerine uygun işleyecektir. İşlenen kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı, ölçülü ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.
İşbu Politika’da belirlenen sürelerin gelmesiyle birlikte kişisel veriler periyotlar halinde ( ) ay içinde imha edilecek veya anonimleştirilecektir. Politika, bu temel ilkeleri esas alarak kişisel verilerin toplandığı amaçla sınırlı ve ölçülü toplanmasının ve kişisel verilerin korunmasına ilişkin güvenli bir yapının oluşturulmasının çerçevesini çizmektedir. Şirketimiz, işlenmiş kişisel verileri bu temel ilkeye uygun olarak süresi geldiğinde imha edecek veya anonim hale getirecektir.
2.1 Açık Rıza Alınarak Kişisel Veriyi İşleme
Şirketimiz, kişisel verilerin korunması kapsamında kişisel verileri, KVKK’nın 5/1. maddesi hükmü doğrultusunda ancak kişinin açık rızasının olması halinde işleyecektir. Şirketimiz, bu doğrultuda Anayasa ve KVKK hükümlerine uygun bir biçimde kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Şirketimiz bunu gerçekleştirmek için kişisel veri sahibini KVKK’ya uygun olarak aydınlatmakta ve aydınlatma yükümlülüğü sonrası meşru amaca uygun sınırlı ve ölçülü veriyi işlemektedir.
KVKK’nın 5/2. maddesinde kişisel verinin hukuka uygun işlenmesinin mümkün kılan istisnalar düzenlenmiştir. Şirketimiz, bu doğrultuda açık rıza dışında, aşağıda yazan diğer şartlardan (istisnalar) birinin varlığı durumunda da kişisel verileri işleyebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
Veri sahibinin kişisel verileri, ilgili kanunlarda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. SGK kapsamında gerekli bildirimlerin yapılması için kişinin adı ve ikamet bilgilerinin paylaşılması; Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi bu duruma örnek gösterilebilir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Şirketimize iş görüşmesine gelen potansiyel müşterimizin baygınlık geçirmesi ve şirketin ilgili kişileri tarafından nüfus cüzdanı bilgilerinin doktorlara iletilmesi durumu buna örnek gösterilebilir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin; gerçek kişi tacir ile akdedilen sözleşmesinin ifası için, tacire ödeme yapılabilmesi amacıyla, tacirin banka hesap bilgisinin ve bu amaç için gerekli nüfus cüzdanı bilgilerinin elde edilmesi.
Veri Sorumlusu olan Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Hakim kararı ile talep edilen kişisel verilerin mahkemeye sunulması durumu buna örnek gösterilebilir.
Kişisel veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin; Şirketimize iş başvurusu yapmış olan çalışan adayının kendi blogunda kişisel verilerini herkese açık olarak paylaşması halinde, bu kişinin iletişim bilgileri sadece bu amaçla sınırlı olması kaydı ile işlenecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Bir hukuki ilişki doğrulusunda elde edilmiş ve ispat niteliği bulunan verilerin (örneğin bir faturanın) saklanması ve gerekli olduğu anda kullanılması buna örnek gösterilebilir.
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde, veri sahibinin kişisel verileri işlenebilecektir. Örneğin, Şirketimizin merkez girişi veya tesislerinin girişinde güvenlik amaçlı kamera kaydı alınması.
KVKK’nın ilgili hükümleri doğrultusunda Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kişisel veri sahibinin açık rızası ile işlenebilmektedir.
Kişisel veri sahibinin açık rızası yoksa bu halde:
· Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen istisnai hallerde,
· Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
Şirketimiz, KVKK’daki temel düzenlemeye uygun olarak kişilerin açık rızasını almadan kişisel verileri yurtiçinde veya yurtdışına aktarmamaktadır. Genel ilke bu olmakla birlikte, KVKK’nın öngördüğü durum ve istisnalarda açık rıza aranmaksızın kişisel veriler aktarılması mümkünse bu kapsamda kişisel verinin aktarılması mümkündür.
Şirketimiz, KVKK’nın kişisel verilerin yurtiçinde aktarılmasına ilişkin olan 8. maddesindeki hükmüne uygun olarak, işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere (İş ortaklarına, hissedarlarına, kanuni yükümlülüklerin bulunduğu kamu kurum ve/veya kuruluşlara ve sair üçüncü kişilere) aktarabilmektedir. Şirketimiz, bu doğrultuda KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, KVKK’ya uygun işlediği ve açık rızasını aldığı veya KVKK’daki istisnalar doğrultusunda kişisel verileri, işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak yurtdışındaki üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke) aktarılmaktadır. Şirketimiz bu doğrultuda KVKK m. 9’da öngörülen düzenlemelere uygun hareket etmektedir.
A. Kişisel Verilerin Kategorizasyonu
Şirketimiz, KVKK’da düzenlenmiş olan meşru amaç, sınırlı ve ölçülü olma ilkeleri ile KVKK’nın 4. maddesinde sayılmış temel ilkelere ve 5. maddede yer alan ilke ve istisnalara uygun kişisel verileri işlemektedir. Şirketimiz’in bu ilkeleri esas alarak işlediği hukuka uygun kişisel veriler, kişisel veri işleme amaçları doğrultusunda işbu Politika’nın kapsamında belirtilmiş kişilerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Şirketimiz, temelde kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan kişilerin kişisel verilerini, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işleyebilmektedir. Bu kapsamda, kişisel verilerin işlenmesi, imhası ve kişisel veri kategorizasyonunun esaslarının belirlendiği işbu Politika KVKK kapsamında yayımlanacak ikincil mevzuat ve KVK Kurulu’nun çalışmalarıyla devamlı güncellenecektir.
Şirketimiz tarafından toplanan kişisel veriler, iş ilişkisi, işçi işveren ilişkisi, tüketici işlemi, Şirketimiz iş birimleri tarafından yürütülen operasyonlar ve sözleşmeler çerçevesinde işlenmektedir. Kişisel veri sahipleri genel olarak:
· Müşteriler, potansiyel müşteriler,
· Çalışanlar, çalışan adayları,
· Şirketimiz eski çalışanları,
· Sözleşmesel ilişkiye girilen gerçek kişiler ve tüzel kişilerin yetkilileri, çalışanları,
· Şirket hissedarları, şirket yetkilileri,
· İşbirliği içinde olduğumuz kurum ve kuruluşların çalışanları, hissedarları ve yetkilileri ile
· Üçüncü kişilerden oluşmaktadır.
Şirketimiz tarafından toplanan kişisel veriler aşağıdaki kategorilerde işlenmektedir:
Kişisel Veri Sahibi | |
Kimlik Bilgisi | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Müşteriler, İşbirliği İçerisinde Olduğumuz Kurum veya Kuruluşların Çalışanları, Şirketimiz Eski Çalışanları, Temsilcileri ve Hissedarları, Sözleşmesel İlişkiye Girilen Gerçek Kişiler ve Tüzel Kişilerin Gerçek Kişi Yetkilileri ve Üçüncü Kişiler |
(e-posta hesabı, sosyal medya hesabı, telefon numarası vs.) | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Müşteriler, İşbirliği İçerisinde Olduğumuz Kurum veya Kuruluşların Çalışanları, Şirketimiz Eski Çalışanları, Temsilcileri ve Hissedarları, Sözleşmesel İlişkiye Girilen Gerçek Kişiler ve Tüzel Kişilerin Gerçek Kişi Yetkilileri ve Üçüncü Kişiler |
Lokasyon Verisi | Şirketimiz Araçlarını Kullanan Çalışanlar |
Plaka Bilgisi | Şirketimiz Araçlarını Kullanan Çalışanlar |
Yakın Bilgisi | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları |
Meslek ve Çalışılan Yer Bilgisi | Müşteriler, Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, Sözleşmesel İlişki İçinde Bulunulan Üçüncü Kişiler |
Askerlik Bilgisi | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları |
Sabıka Kaydı Bilgisi | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, Hizmet Alınan Kuruluş Çalışanları, Vekalet Verilen Gerçek Kişiler, Sözleşmesel İlişki İçinde Bulunulan Üçüncü Kişiler, Yetkilileri ve Ortakları, İş Ortakları |
Eğitim Bilgileri ve Sertifikalar | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, Hizmet Alınan Kuruluş Çalışanları |
Sürücü Belgesi/Ehliyet Bilgisi | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları |
Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, | |
Talep/Şikâyet Yönetimi Bilgisi | Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin ilgili talep veya şikâyeti yapan kişi, Şirketimiz ile İlişki İçinde Olan Kişiler Ve Üçüncü Kişiler |
Fiziksel Mekân Giriş ve Güvenlik Bilgisi (Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar, şirket veya tesis girişlerinde alınan kayıtlar vb.) | Bu veriler ziyaretçiler, çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, müşteriler, herhangi bir şekilde İlişki İçinde Bulunulan Üçüncü Kişiler |
Finansal Bilgi (Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi verilerden oluşmaktadır) | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, Müşteriler, Müşterilerin Hangi Bankalarda Debit/Kredi Kartı olduğu Bilgisi, ödeme yapılacak üçüncü kişiler |
Özel Nitelik Kişisel Veriler (KVKK 6. maddede belirtilen veriler. Örneğin, çalışanların kan grubu da dâhil sağlık verileri, biyometrik veriler, ceza mahkûmiyeti ve diğer alınan güvenlik tedbirleri, din ve üye olunan dernek bilgisi gibi) | Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları |
İşlem Güvenliği Bilgisi (Şirketimizin ticari faaliyetlerini yürütürken teknik, idari, hukuki ve Ticari güvenliğimizi sağlamamız için işlenen kişisel veriler) | Şirketimizin ticari faaliyetlerini yürütürken teknik, idari, hukuki ve ticari güvenliğini sağlaması için kişisel verileri işlenen kişiler |
Hukuki İşlem ve Uyum Bilgisi (Şirketimizin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerinin ve Şirketimizin ilke ve politikalarına uyum kapsamında işlenen kişisel veriler) | Şirketimizin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerinin, ilke ve politikalarına uyum kapsamında kişisel verileri işlenen kişiler |
Denetim ve Teftiş Bilgisi (Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel verilerden oluşmaktadır.) | Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Şirketimiz Eski Çalışanları, Müşteriler, Ödeme Yapılacak veya İlişkide Olunan Üçüncü Kişiler |
Şirketimiz, kişisel verileri KVKK’nın 8. ve 9. maddelerindeki ilkelere uyun olarak ve KVKK’nın 10. maddesindeki aydınlatma yükümlülüğünü yerine getirerek veya KVKK’daki aktarıma ilişkin ve KVK Kurulu’nun oluşturacağı istisnalar kapsamında aktarmaktadır.
Buna göre kişisel veriler aşağıdaki gibi paylaşılmaktadır;
· İş Ortakları ile Paylaşım: Şirketimizin ticari faaliyetlerini yürütürken ürün ve hizmetlerin satışı, tanıtımı ve pazarlaması, satış sonrası desteği, programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar Şirketimizin iş ortaklarını oluşturmaktadır. Bu amaçları gerçekleştirmek için amaca uygun, sınırlı ve ölçülülük ilkesine uygun olarak veri işlenmekte ve gerekli güvenlikler alınarak aktarılabilmektedir.
· Tedarikçilerle Paylaşım: Şirketimizin sözleşmesel ilişki içinde olduğu tedarikçilere işlenen amaca uygun, sınırlı ve ölçülülük ilkesine uygun olarak tutulan veriler sadece ilişki kapsamı ile sınırlı olmak üzere aktarılmaktadır.
· Şirket Yetkilileri: Şirketimizin imza sirkülerinde veya özel vekâletnamelerle yetkilendirilmiş kişilerin Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması, üst düzeyde yönetimin sağlanması ve denetim amaçlarıyla sınırlı olarak aktarılmaktadır.
· Hukuken Yetkili Kamu Kurum ve Kuruluşları: İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarına amaç kapsamında sınırlı ve ölçülü kişisel verinin aktarımı mümkündür.
· Hukuken Yetkili Özel Hukuk Kişileri: İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerine talepleriyle sınırlı ve ölçülü kişisel verilerin aktarımı yapılabilecektir.
Şirketimizin sahibi olduğu internet sitelerinde; ilgili kanun ve mevzuattaki yükümlülüklerin yerine getirilmesi veya bu siteler üzerinden Şirketimize talep ve şikâyetlerini uygun bir şekilde gerçekleştirmelerini temin etmek amacıyla kişisel veriler işlenebilmektedir.
Şirketimiz, yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin gerekli güvenlikleri almakta ve ilgili internet sitelerinde detaylı açıklama metinleriyle bilgilendirmeyi yerine getirmektedir.
Şirketimiz ile iş sözleşmesi kapsamında hukuki ilişki içinde olan Şirketimiz çalışanlarının, emeklilerinin veya eski çalışanlarının kişisel verileri KVKK’nın 4. maddesindeki temel ilkelere ve 5. maddesi ile 6. maddesinde yer alan esaslara ve istisnalara uygun olarak işlenmekte ve yine KVKK’nın 8. ve 9. maddelerindeki ilkelere uyun olarak aktarılmaktadır.
Çalışanlar ile sözleşmesel ilişki kurulurken aydınlatma yükümlülüğü yerine getirilerek çalışanın açık rızası alınmaktadır. Çalışanların kişisel verileri bu meşru amaç doğrultusunda, SGK bildirimleri, İş Kanunu ve sair ilgili mevzuatta işverene yüklenen yasal yükümlülükleri yerine getirilmek amacıyla toplanıp işlenmektedir. Şirketimiz çalışanlarının kişisel verileri iş sözleşmesi sebebiyle bu amaçla sınırlı olarak gerek yazılı gerekse elektronik herhangi bir araçla toplanıp işlenebilmektedir.
Açık rızası bulunmayan çalışanların da kişisel verileri sözleşmesel ilişkideki yükümlülüklerin yerine getirilmesi amacıyla KVKK’daki istisnaya uygun olarak sınırlı, ölçülü işlenmekte ve aktarılabilmektedir. Çalışanların kişisel verileri kanunlardaki yükümlülüklerin yerine getirilmesi veya bir ihtilafın bulunması halinde bu ihtilafın sonunda kanunlardaki zamanaşımı süreleri dikkate alınarak tutulmakta ve işlenmektedir. Bu amacın gerçekleşmesi sonrası kişisel veriler yok edilmekte veya anonim hale getirilmektedir.
Şirketimiz, KVKK m. 4’teki temel ilkelere ve bu Politika’da belirlenen esaslara uygun olarak kişisel verileri işlemektedir. KVKK’nın 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar aşağıdaki gibidir;
· Kişisel verilerin işlenmesine ilişkin Şirketimizin ilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi,
· Kişisel verilerin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
· Kişisel verilerin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· Kişisel verilerin kişisel veri sahibi tarafından alenileştirilmiş olması şartıyla; veri sahibinin alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından amaca uygun, sınırlı ve süreli işlenmesi,
· Kişisel verilerin Şirketimiz tarafından işlenmesinin Şirketimizin veya veri sahiplerinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
· Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
· Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
· Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
· Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Yukarıda belirtilen şartların bulunmaması halinde, Şirketimiz kişisel veri işleme faaliyetinde bulunmak için kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
Bu çerçevede Şirketimiz kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla işleyebilmektedir:
a. Şirketimiz tarafından sunulan ürün ve hizmetlerden kişisel veri sahiplerini faydalandırmak için gerekli çalışmaların Şirketimiz iş birimleri tarafından yerine getirilmesi amacı doğrultusunda; sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası, satış süreçlerinin planlanması, yürütülmesi ve tamamlanması, müşteri talep ve/veya şikâyetlerinin takibi,
b. Şirketimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi amacı doğrultusunda; bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, kurumsal iletişim faaliyetlerinin planlanması ve icrası, lojistik faaliyetlerinin planlanması ve icrası, iş sürekliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, finans ve/veya muhasebe işlerinin takibi, etkinlik yönetimi, kurumsal sosyal sorumluluk faaliyetlerinin planlanması ve icrası, kurumsal yönetim faaliyetlerin planlanması ve icrası, iş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, iş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası, iş faaliyetlerinin planlanması ve icrası, araştırma ve geliştirme faaliyetlerinin planlanması ve icrası,
c. Şirketimizin insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi amacı doğrultusunda; çalışanların ve çalışan adayları ile işbirliği içerisinde olduğumuz kuruluşların çalışanlarının iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, iş faaliyetlerinin yürütebilmesi için ihtiyacı olan ürün ve hizmetlerin temin edilmesi, iş faaliyetlerinin takibi ve/veya denetimi, yan haklar ve menfaatlerin planlanması ve icrası, personel temin süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin planlanması ve takibi, yetenek - kariyer gelişimi faaliyetlerinin planlanması ve icrası, şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası, memnuniyet ve/veya bağlılık süreçlerinin planlanması ve icrası, insan kaynakları süreçlerinin planlanması, üretim için gerekli olan insan kaynakları ihtiyaçlarının planlanması ve icrası, çalışanlara yönelik kurumsal iletişim ve/veya çalışanların katılım sağladığı kurumsal sosyal sorumluluk ve/veya sivil toplum kuruluşları faaliyetlerinin planlanması ve/veya icrası,
d. Şirketimizin veya Şirketimiz ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda; şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası, acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin planlanması ve/veya icrası, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuk işlerinin takibi, ziyaretçi kayıtlarının oluşturulması ve takibi, şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini, şirket operasyonlarının güvenliğinin temini, şirket denetim faaliyetlerinin planlanması ve icrası, verilerin doğru ve güncel olmasının sağlanması, şirketin finansal risk süreçlerinin planlanması ve/veya icrası,
e. Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; şirket dışı eğitim faaliyetlerinin planlanması ve icrası, iş ortakları, tedarikçilerle olan ilişkilerin yönetimi.
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
Şirketimizde, bu ve benzeri amaçları gerçekleştirmek için esas olarak kişilerin açık rızasının alınması hedeflenmektedir. KVKK’da sayılan istisnaların olduğu durumlarda bu amaçların gerçekleştirilmesi söz konusu istisnalar doğrultusunda yine meşru amaç doğrultusunda sınırlı ve ölçülü kişisel veriler tutulmaktadır.
Kişinin açık rızasının bulunmadığı durumlarda, KVKK’da belirtilen istisnalar çerçevesinde kişisel verilerin işlenmesi gerçekleştirilir. KVKK’daki istisnaların da kişisel veri işlenmesine izin vermemesi durumlarda kişinin açık rızasının da bulunmaması halinde kişisel veriler işlenmez. Burada çıkarılması gereken anlam, kişisel veri sahibinin veri işlemeye yönelik açık rızasına gerek olmayan faaliyetlerin istisna kapsamında yerine getirilebilmesi, fakat rıza gerektiren ve KVKK’daki istisna kapsamına girmeyen hususlarda kişisel veri işleme faaliyetlerinin yapılmamasıdır.
Şirketimiz, gerek merkez gerekse şubelerinin güvenliğinin sağlanması amacıyla, merkez binalarında ve tesislerinde, güvenlik kamerasıyla izleme, kayıt, giriş kartı okutma ve kimlik kaydı faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunmaktadır.
Güvenlik kamerası ile izleme faaliyeti ve girişlerde kimlik kontrolü, kart okutma ve bunların kaydı Şirketimizin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korunması amacını taşımakta olup, bu kapsamda Şirketimiz Anayasa, KVKK ve ilgili diğer mevzuata uygun olarak hareket etmektedir. Şirketimiz tarafından, KVKK’nın 12. maddesine uygun olarak, kamera ile izleme faaliyeti, kimlik kaydı sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Şirketimiz, çalışan adaylarının işe alım sürecinde kişisel verilerini İş Kanunu ve sair ilgili mevzuatta işverene yüklenen yasal yükümlülükleri yerine getirmek, Şirketimiz insan kaynaklarının belirlediği faaliyetlerin icrası, işe alımın gerçekleştirilmesi amacıyla aydınlatma yükümlülüğünü de yerine getirerek ve esas olarak kişinin açık rızasını alarak işlemektedir.
Çalışan adaylarının kişisel verileri iş görüşmesi veya iş sözleşmesi sebebiyle bu amaçla sınırlı olarak gerek yazılı gerekse elektronik herhangi bir araçla toplanıp işlenmektedir. Çalışan adaylarının kişisel verilerinin işlenmesi için aydınlatma yükümlülüğü yerine getirilerek belirli, ölçülü ve değinilmiş olan meşru amaçlar için sağlık verileri ve KVKK’nın 6/3 maddesindeki özel nitelikli kişisel veriler de işlenebilmektedir. KVKK’daki hükümler doğrultusunda ve bu Politika’da düzenlenmiş ilkelere uyun olarak çalışan adayının kişisel verileri belirtilen amaçlar doğrultusunda işlerin yerine getirilmesi için şirketin sistemlerinde saklanabilmektedir. Şirketimiz bu verileri yasal bir şekilde talep edilmesi halinde ilgili resmi kurum ve kuruluşlarla paylaşabilir.
Çalışan adaylarının kişisel verilerinin işlenmesindeki temel gaye işe alım olmakla birlikte aşağıdaki amaçların gerçekleştirilmesi için de kişisel veriler işlenebilmektedir. Söz konusu amaçlar:
a. Adayın niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
b. Gerektiği takdirde, adayın ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip aday hakkında araştırma yapmak,
c. Başvuru ve işe alım süreci hakkında aday ile iletişime geçmek veya uygun olduğu takdirde, sonradan açılan herhangi bir pozisyon için aday ile iletişime geçmek,
d. İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşun taleplerini karşılamak.
Çalışan adaylarının kişisel verileri aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:
i. Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu;
ii. Adayların şirketimize e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler,
iii. İstihdam veya danışmanlık şirketleri,
iv. Aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ile Şirketimiz tarafından yapılan araştırmalar,
v. Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri.
Çalışan adaylarının kişisel verileri de işbu Politika’nın “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun tutulmaktadır. Bu sürenin ikmaliyle birlikte kişisel veriler imha edilmekte veya anonim hale getirilmektedir.
Şirketimiz, temel ilke olarak ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmasını esas almaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri veya ilgili kanunlarda öngörülen zamanaşımı süreleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirmektedir.
Kişisel verilerin işlenme amacı sona ermiş ise, Şirketimiz ilgili mevzuat açısından saklanma sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin belirlenmesinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
BARIŞ ERDEM DANIŞMANLIK A.Ş. KİŞİSEL VERİLERİ SAKLAMA ve SİLME SÜRELERİ | ||
Verinin Niteliği | Saklama Süresi | Periyodik İmha Süreleri |
Fatura Bilgileri | 10 yıl (Sözleşmeden kaynaklanan ilişkinin sona ermesinden itibaren) | |
Danışma Ziyaretçi Bilgileri | 1 ay (Ziyaretin gerçekleştiği günden itibaren) | |
Çalışanların Özlük Dosyası | 10 yıl (İş sözleşmesinden kaynaklanan ilişkinin sona ermesinden itibaren) | |
Çalışanların Kişisel Sağlık Dosyaları | 15 yıl (İş sözleşmesinden kaynaklanan ilişkinin sona ermesinden itibaren) | |
Çalışanların Araç Takip Bilgileri | 1 ay (Verinin oluştuğu günden itibaren) | |
Aday Çalışan Bilgileri | 15 gün (Verinin oluştuğu günden itibaren) | |
A. BARIŞ ERDEM DANIŞMANLIK A.Ş.’NİN KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ
Şirketimiz, KVKK ve ilgili mevzuat hükümlerine uygun işlediği ve işbu Politika’da detaylı kategorize etmiş olduğu kişisel verileri, bunların işlenmesini gerektiren sebeplerin ortadan kalkmasından itibaren Politika’daki sürelere uygun olarak imha edecek veya anonimleştirecektir. TCK m. 138 ve KVKK m. 7 hükümlerinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirketimizin kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.
Bu kapsamda, Şirketimiz ilgili yükümlülüğünü yerine getirmek üzere gerekli teknik ve idari tedbirleri almıştır. Zaman içinde bu konuda gerekli güncellemeler ve işleyiş mekanizmaları geliştirilecek olup, bu yükümlüklerine uygun davranmak üzere ilgili iş birimleri devamlı eğitilmektedir. Yine farklı görevlendirmeler ve eğitimlerle Şirketimiz bünyesinde kişisel veri kültürünün daha da yerleşmesi için iş birimlerinin farkındalıkları artırılmaktadır. İşbu Politika’nın “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun olarak kişisel veriler tutulur. Bu sürelerin geçmesiyle birlikte kişisel veriler aşağıda açıklanan usullerle veya ikincil mevzuat ve KVK Kurulu’nun belirleyeceği diğer usullerle kademeli olarak imha edilir veya anonim hale getirilir.
Şirketimiz; silme, yok etme ve anonimleştirme ile ilgili gerekli görevlendirmeleri ve çalışmaları yürütür. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme sebeplerini ortadan kaldıran KVKK m. 5 ve 6. madde hükümleri ve bu hususta yayımlanacak Yönetmelik hükümleri doğrultusunda özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir. Bu haller:
a. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
d. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
e. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
f. İlgili kişinin, Kanun’un 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
g. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurula şikâyette bulunulması ve bu talebin KVK Kurul tarafından uygun bulunması,
h. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
i. KVKK’nın 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
Bu hallerde kişisel veriler, Şirketimiz tarafından kanuni ve hukuki sorumlulukları doğrultusunda resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirketimiz, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiş hallerin ortaya çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler veya yok eder. Şirketimiz tarafından kullanılabilecek silme veya yok etme tekniklerinin bir kısmı aşağıda sıralanmaktadır:
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak/erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVKK 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVKK kapsamı dışında olacağından işbu Politika’da düzenlenen haklar bu veriler için geçerli olmayacaktır.
Şirketimiz tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
2.1. Maskeleme Veri
Maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, T.C. Kimlik No, plaka vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkansız hale geldiği bir veri setine dönüştürülmesi.
2.2. Toplulaştırma
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.
2.3. Genelleştirme
İlgili veriyi özel bir değerden, daha genel bir değere çevirme yöntemiyle kişisel verilerin anonimleştirilmesidir. Örneğin, il bilgisinin önemli olduğu bir plaka bilgisinde rakam kısmının daha genel bir veri kümesi olan 0000’a taşınması genelleştirme yaklaşımıyla veri kümesi üzerinde anonimlik sağlanabilir.
2.4. Veri Türetme
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
2.5. Veri Karması
Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.
Şirketimiz işbu Politika ile ortaya koymuş olduğu esasların uygulanmasını temin etmektedir. Kişisel verilerin korunması konusunda ortaya konulan Politika ve diğer Entegre Yönetim Sistemleri altında yönetilir ve Şirketimizin diğer işlettiği süreçler arasında uyumluluk da sağlanmaktadır.
Şirketimiz bünyesinde işbu Politika ve bu Politika’nın yönetimi ve yürürlüğü ile ilgili yükümlülükler aşağıdaki gibidir:
a. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak,
b. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını Yönetim Kurulu’nun onayına sunmak,
c. Şirketimiz, kişisel veri koruma kültürünün daha da gelişmesi için çalışmalar yürütmek,
d. KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
e. Kişisel verilerin korunması ve işlenmesi konusunda Şirketimiz içerisinde ve Şirketimiz iş ortakları nezdinde farkındalığı arttırmak,
f. Şirketimizin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayına sunmak,
g. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip ederek Şirketimiz için hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
h. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
i. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
j. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
k. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirketimiz içinde yapılması gerekenler konusunda Yönetim Kurulu’na tavsiyelerde bulunmak,
l. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
m. Şirketimiz Yönetim Kurulu’nun kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
Kanun’un 13. maddesine göre; ilgili kişilerin, Kanun’un uygulanmasıyla ilgili taleplerini, öncelikle Veri Sorumlusu Şirketimize iletmeleri zorunludur. Şirketimiz, ilgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da KVK Kurulu’nun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlamaktadır.
Talebi alan Şirketimiz, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç 30 gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Kişisel veri sahibinin, Veri Sorumlusu Şirketimize yazılı olarak veya KVK Kurulu’nun düzenleyecek başka mekanizmalarla başvurarak kişisel verilerinizin işlenip işlenmediğini öğrenme, bu veriler işlenmiş ise buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenme, kişisel verilerin gerek yurtiçinde gerekse yurtdışında aktarılması söz konusu ise bu kişi ve yerleri öğrenme, kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, şartları gerçekleşmiş ise kişisel verilerinizin silinmesini isteme, kişisel verilerinizin düzeltilmesi veya yok edilmesi halinde bu hususu verilerin aktarıldığı üçüncü kişilere bildirme, otomatik işleme halinde ortaya çıkan sonuçlara itiraz etme hakkı bulunmaktadır.
Şirketimiz, bu talebin kendisine yazılı olarak ulaştırılmasının veya KVK Kurulunun düzenleyeceği başka mekanizmalarla ulaştırılması halinde bu taleplere en geç 30 gün içinde yazılı cevap verecek ve gerekli aksiyonları alacaktır.