GK TEKNOLOJİ DANIŞMANLIK ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. GİRİŞ Bu Politikanın amacı, GK Teknoloji Danışmanlık Anonim Şirketi (“Şirket”) tarafından, Kişisel Verilerin korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir. Politika, 27.05.2024 tarihinde oluşturularak GK Teknoloji Danışmanlık Anonim Şirketi Yönetim Kurulu tarafından onaylanmıştır. GK Teknoloji Danışmanlık Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası herkesin erişimine açık olacak şekilde www.analyticahouse.com internet sitesinde yayınlanmıştır. GK Teknoloji Danışmanlık Anonim Şirketi’nin uygulamasında ya da mevzuatta değişiklik yapılması halinde Politika güncellenerek yeniden erişime açılacaktır. 1.1 Amaç Şirketimiz, kişisel verilerin işlenmesi ve korunmasına ilişkin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere yürürlükte bulunan tüm mevzuat ile uyumlu davranmak için azami gayreti göstermektedir. Şirketimiz bu doğrultuda, kişisel veri işleme faaliyetlerinin yürütülmesinde benimsediği temel prensipleri işbu Politika ile açıklayarak kişisel veri sahipleri olarak ilgili kişilere karşı gerekli şeffaflığı sağlamayı amaçlamaktadır 1.2 Kapsam Kişisel verileriniz, KVKK uyarınca hazırlanan işbu Politika kapsamında işlenmekte ve korunmaktadır. Bu politikanın kapsamı: Şirketimiz tarafından işlenen; çalışan adayı, çalışan, stajyer, stajyer adayı, tedarikçi yetkilisi/çalışanı, potansiyel müşteri yetkilisi/çalışanı, müşteri yetkilisi/çalışanı, iş ortağı yetkilisi/çalışanı, potansiyel iş ortağı yetkilisi/çalışanı, çevrimiçi ziyaretçi, fiziksel ziyaretçi dahil olmak üzere tüm ilgili kişilere ait kişisel verilerin işlenme süreçleridir.
2. TANIMLAR Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. Başkan: Kişisel Verileri Koruma Kurumu Başkanı. Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığı. İlgili Kişi: Kişisel verisi işlenen gerçek kişi. İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. İrtibat Kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi. Kanun:24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika. KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu. Kurul: Kişisel Verileri Koruma Kurulu. Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. Politika: Bu Kişisel Verilerin Korunması ve İşlenmesi Politikası. Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili. Şirket: GK Teknoloji Danışmanlık Anonim Şirketi Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. Veri Kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı. Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. Veri Konusu Kişi Grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. Veri Sorumluları Sicil Bilgi Sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
3. KİŞİSEL VERİLERİN İŞLENMESİ 3.1 Kişisel Veri İşleme ilkelerimiz Şirket, kişisel verilerin işlenmesi faaliyetlerini yürütürken, KVKK 4. maddesinde yazılı ilkelere uygun hareket etmektedir. 3.1.1 Kişisel Verilerin Hukuka ve Dürüstlük Kuralına Uygun Olarak İşlenmesi: Şirket, kişisel verileri işleme faaliyetini; Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına, genel hukuk normlarına uygun olarak işler. Şirket işleme faaliyetlerini, ilgili kişiler ile arasındaki ilişkiyi gözeterek ilgili kişinin hak ve menfaatlerine yönelik beklentilerine ve dürüstlük kuralına uygun olarak yürütür. 3.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması:Şirket, kişisel verileri işlediği süre boyunca kişisel verilerin uygun ve gerekli olduğu ölçüde doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü önlemi almaktadır. 3.1.3 Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi:Şirket, işbu Politika ile kişisel verilerin işlenme amaçlarını belirlemekte ve açıkça ortaya koymaktadır. Kişisel veri işleme amaçları sınırlı, ölçülü ve ilgili süreçlere yönelik olarak açıkça nitelendirilir. Şirket, yalnızca meşru amaçlar için kişisel veri işlemektedir. 3.1.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması:Şirket, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurmaktadır. Bunun sonucunda; belirlemiş olduğu amaç için, yalnızca iş faaliyetlerinin gerektirdiği nitelikteki kişisel veriyi, yine iş faaliyetlerinin gerektirdiği ölçüde işlemektedir. 3.1.5 Kişisel Verilerin İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi:Şirket kişisel verileri ilgili mevzuatta öngörülen süre ile sınırlı olarak muhafaza etmektedir. Şayet yasal bir süre mevcut değil ise, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Mevzuatta öngörülen sürenin bitimi ya da kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde; Saklama ve İmha Politikası doğrultusunda kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. 3.2 Kişisel Verilerin İşlenme Şartları Şirket, KVKK 5. maddesi kapsamında, aşağıdaki şartlardan birinin varlığı halinde kişisel veri işleme faaliyetlerini gerçekleştirmektedir: 3.2.1 Kişisel Veri Sahibinin Açık Rızasının Bulunması:Kişisel veri sahibinin kendisiyle ilgili veri işlenmesine; rıza verdiği konuya ilişkin yeterli bilgi sahibi olarak, özgür iradesi ile ve tereddüde yer bırakmayacak şekilde onay vermesi halinde ilgili kişinin kişisel verileri işlenir. Aşağıda yazılı diğer işleme şartlarının birinin varlığı halinde ilgili kişilerden açık rıza alınmaz. 3.2.2 Kanunlarda Açıkça Öngörülmesi:Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm varsa, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir. 3.2.3 Fiili İmkânsızlık Nedeniyle İlgilinin Açık Rızasının Alınamaması:Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. 3.2.4 Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması:Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür. 3.2.5 Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması:Şirketin hukuki yükümlülüklerini yerine getirmesi için zorunlu olması halinde kişisel verilerinin işlenmesi mümkündür. 3.2.6 Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi:Veri sahibinin kişisel verisini alenileştirmiş olması halinde, açık rızasının bulunmasına gerek olmaksızın, yalnızca kişisel verinin alenileştirilmesi amacıyla sınırlı olmak kaydı ile kişisel verilerin işlenmesi mümkündür. 3.2.7 Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması:Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde veri sahibinin açık rızasının bulunmasına gerek olmaksızın kişisel verilerin işlenmesi mümkündür. 3.2.8 İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemesinin Zorunlu Olması:İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür. Bu durumda, kişisel veri sahibinin açık rızasının bulunması şartı aranmaz. 3.3 Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Özel nitelikli kişisel veriler kanunda sınırlı sayıda sayılmıştır. Buna göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Şirket tarafından, özel nitelikli kişisel verilerin gizliliği ve güvenliğine, ilgili kişinin hak ve menfaatine etkisi ile gizlilik beklentisi gözetilerek en üst seviyede önem gösterilmektedir. 3.3.1 Sağlık ve cinsel hayata ilişkin verilerinin işlenmesi:Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu şartın bulunmadığı hallerde ise ilgili kişilerin açık rızası alınarak işlenir. 3.3.2 Sağlık verileri dışında kalan özel nitelikli kişisel verilerin işlenmesi:Bu veriler kanunlarda açıkça yer alması halinde işlenir. Kanunda bir düzenleme bulunmaması halinde ise kişinin açık rızası ile işlenir. 3.4 Kişisel Veri İşleme Envanteri Şirket, kişisel veri işleme faaliyetlerinde hesap verilebilirlik anlayışıyla ve KVKK uyarınca tüm işleme faaliyetlerini, faaliyetlerinde yer alan kişisel verileri, işleme amaçlarını, işleme şartlarını, ilgili kişi kategorilerini, aktarıldığı tarafları, aktarma amaçları ve aktarma şartlarını, aldığı teknik ve idari tedbirleri Kişisel Veri İşleme Envanteri’nde kayıt altında tutar. Envanter periyodik denetimler ile gerektiğinde güncellenir. 3.5 Kişisel Verilerin Saklanması ve İmhası Şirket, kişisel verilerin saklanması ve imhası süreçlerini Saklama ve İmha Politikası’na uygun olarak gerçekleştirir. Bu Politika, periyodik denetimler ile gerektiğinde güncellenir. Şirket kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değilse kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Kişisel veriler, belirlenen saklama sürelerinin sona ermesi ile periyodik imha sürelerine veya ilgili kişinin başvurusuna istinaden uygun imha yönetimi ile (silme ve/veya yok etme ve/veya anonimleştirme) imha edilmektedir.
4. KİŞİSEL VERİLERİN AKTARILMASI
Şirket, kişisel verileri; kişisel veri işleme amaçları doğrultusunda, gerekli önlemleri alarak, yurtiçinde ve/veya yurtdışında bulunan üçüncü bir gerçek ya da tüzel kişiye aktarabilir. Şirket tarafından gerçekleştirilecek kişisel veri aktarımlarında Kanun’un 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
Şirket, kişisel veri aktardığı üçüncü kişilerin de mevzuata ve işbu Politika’ya uyması amacı ile üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeleri ekler.
4.1 Yurtiçi alıcı grupları
Kişisel verilerin yurt içinde aktarılmasında, Kanun’un 8. maddesi gereğince; yurt içinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarından (Bkz. Bölüm 3.2.) birinin varlığı halinde veriler aktarılmaktadır. Alıcılara aktarılan verilerde amaç ve veri sınırlaması uygulanarak, ilkelere (Bkz. Bölüm 3.1.) bağlı işleme faaliyetleri gerçekleştirilir. Buna göre yurtiçi alıcı grupları şu şekildedir:
• Tedarikçiler
• Yetkili Kamu Kurum ve Kuruluşları
• Bankalar
• Müşteriler
• İş Ortakları
• Herkese açık (websitesi ve sosyal medya paylaşımları çerçevesinde)
4.2 Yurt dışı alıcı grupları
Kişisel verilerin yurt dışına aktarılmasında, Kanun’un 9. maddesi gereğince; kişisel veri işleme şartlarının birinin varlığı halinde veriler aktarılmaktadır. Buna göre Yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması durumunda kişisel veriler aktarılır. Bu hallerin bulunmadığı durumda ise ilgili kişilerin açık rızası ile veriler yurt dışına aktarılmaktadır. Yurt dışı alıcı grupları şu şekildedir:
• Tedarikçiler
5. İŞLENEN KİŞİSEL VERİLERE İLİŞKİN KATEGORİ VE SINIFLANDIRMALAR Şirket nezdinde işlenen kişisel veriler, verilerin işleme döngüsü gözetilerek süreç bazında nitelendirilir. Bu yönde, işlenen kişisel veriler, ilgilli kişiler, amaçlar, saklama süreleri belirlenir ve sınırlandırılır. İlgili süreçler, başta işleme şartları (bkz. Bölüm 3.2.) ve ilkeler (bkc. Bölüm 3.1) gözetilerek, uygun ve gerekli tedbirlerle KVKK’ya uygun olarak dizayn edilir. 5.1 İlgili Kişiler Şirket tarafından verisi işlenen ilgili kişi kategorileri aşağıda belirtilmiştir.
| İLGİLİ KİŞİ KATEGORİSİ | AÇIKLAMA |
|---|---|
| Çalışan Adayı | Herhangi bir yolla şirkete iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketin incelemesine açmış olan gerçek kişiler |
| Çalışan | Şirket bünyesinde istihdam edilen gerçek kişiler |
| Stajyer | Şirket bünyesinde staj sebebiyle istihdam edilen gerçek kişiler |
| Stajyer Adayı | Herhangi bir yolla şirkete staj başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketin incelemesine açmış olan gerçek kişiler |
| Tedarikçi Yetkilisi / Çalışanı | Şirket tarafından ürün-hizmet alınan şahıs şirketlerinin ve/veya tüzel kişilerin gerçek kişi yetkilileri ve çalışanları |
| Potansiyel Müşteri Yetkilisi/Çalışanı | Şirketin henüz ürün/hizmet sunmadığı fakat sunmak için pazarlama/satış görüşmeleri yürüttüğü veya yürütmek üzere bilgilerini elinde bulundurduğu şahıs şirketlerinin veya tüzel şirketlerin çalışan ve yetkilisi gerçek kişi. |
| Müşteri Yetkilisi/Çalışan | Şirket tarafından ürün-hizmet satılan, Şirket ile arasında iş ilişkisi bulunan şahıs şirketlerinin ve/veya tüzel kişilerin gerçek kişi yetkilileri ve çalışanları |
| İş Ortağı Yetkilisi/ Çalışanı | Şirketin ürün/hizmetlerini 3. taraflara tanıtmak için aracılık faaliyeti yapan veya Şirketin halihazırdaki müşterilerine ürün/hizmetlerini tanıtmak için aracılık faaliyeti yaptığı şahıs şirketlerinin veya tüzel şirketlerin çalışanı/yetkilisi gerçek kişi. |
| Potansiyel İş Ortağı Yetkilisi/Çalışanı | Şirketin henüz bir ortaklık ilişkisi kurmadığı fakat kurmak için görüşmeler yürüttüğü veya yürütmek üzere bilgilerini elinde bulundurduğu şahıs şirketlerinin veya tüzel şirketlerin çalışan ve yetkilisi gerçek kişi. |
| Ziyaretçi | Şirket binalarına fiziki ziyarette bulunan gerçek kişiler |
| Çevrimiçi Ziyaretçi | Şirkete ait websitesini ziyaret eden gerçek kişiler |
| Üçüncü Kişi | Yukarıda sayılan kategoriler kapsamına girmeyen diğer gerçek kişiler (Örn.acil durum kişisi, referans kişisi) |
5.2 Kişisel Veri Kategorileri Şirket tarafından işlenen veri kategorileri aşağıda belirtilmiştir.
| KİŞİSEL VERİ KATEGORİSİ | AÇIKLAMA |
|---|---|
| Kimlik | İlgili kişilerin adı, soyadı, TC Kimlik numaraları gibi kimliğine ilişkin verilerin sınıflandırmasını ifade eder. |
| İletişim | İlgili kişilerin telefon numarası, e-mail adresi, ikametgah adresi gibi iletişim adreslerine ilişkin verilerin sınıflandırmasını ifade eder. |
| Özlük | İlgili kişilerin pozisyon/unvanı, işe giriş tarihi, işe giriş bildirgesi, yan hak bilgisi gibi özlüğüne ilişkin verilerin sınıflandırmasını ifade eder. |
| Hukuki İşlem | İlgili kişilerin dava dosyası kayıtları, ihtarname kayıtları gibi hukuki süreçlere ilişkin verilerin sınıflandırmasını ifade eder. |
| İşlem Güvenliği | İlgili kişilerin log kayıtları gibi elektronik ortamlardaki işlemlerin güvenliğine ilişkin verilerin sınıflandırmasını ifade eder. |
| Mesleki Deneyim | İlgili kişilerin özgeçmiş bilgileri, sertifika bilgileri gibi mesleki deneyimlerine ilişkin verilerin sınıflandırmasını ifade eder. |
| Müşteri İşlem | İlgili kişilerin talep ve şikayet bilgileri, sipariş bilgileri gibi müşteri işlemlerine ilişkin verilerin sınıflandırmasını ifade eder. |
| Özel Nitelikli Kişisel Veri | İlgili kişilerin sağlık bilgileri, zeza mahkûmiyetine ilişkin bilgileri ile engellilik durumuna ilişkin verilerinin sınıflandırmasını ifade eder. |
| Finans | İlgili kişilerin banka hesap bilgileri, ödeme bilgileri gibi finans bilgilerine ilişkin verilerin sınıflandırmasını ifade eder. |
| Fiziksel Mekan Güvenliği | İlgili kişilerin güvenlik kameraları aracılığıyla alınan güvenlik görüntülerine ilişkin verilerin sınıflandırmasını ifade eder. |
| Pazarlama | İlgili kişierin online kullanıcı kavranışlarına ilişkin tutulan log kayıtları verilerinin sınıflandırmasını ifade eder. |
| Görüntü ve Ses Kayıtları | İlgili kişilerin fotoğraf ve videoları kapsamındaki verilerinin sınıflandırmasını ifade eder. |
5.3 Kişisel Veri İşleme Amaçları Şirket, aşağıda yer alan amaçlarla kişisel verileri işlemektedir:
| Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
| Bilgi Güvenliği Süreçlerinin Yürütülmesi |
| Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi |
| Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi |
| Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi |
| Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
| Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi |
| Denetim / Etik Faaliyetlerinin Yürütülmesi |
| Eğitim Faaliyetlerinin Yürütülmesi |
| Erişim Yetkilerinin Yürütülmesi |
| Faaliyetlerin Mevzuata Uygun Yürütülmesi |
| Finans Ve Muhasebe İşlerinin Yürütülmesi |
| Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi |
| Fiziksel Mekan Güvenliğinin Temini |
| Görevlendirme Süreçlerinin Yürütülmesi |
| Hukuk İşlerinin Takibi Ve Yürütülmesi |
| İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi |
| İletişim Faaliyetlerinin Yürütülmesi |
| İnsan Kaynakları Süreçlerinin Planlanması |
| İş Faaliyetlerinin Yürütülmesi / Denetimi |
| İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi |
| İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi |
| İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi |
| Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
| Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi |
| Mal / Hizmet Satış Süreçlerinin Yürütülmesi |
| Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi |
| Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
| Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi |
| Organizasyon Ve Etkinlik Yönetimi |
| Pazarlama Analiz Çalışmalarının Yürütülmesi |
| Performans Değerlendirme Süreçlerinin Yürütülmesi |
| Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi |
| Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi |
| Sözleşme Süreçlerinin Yürütülmesi |
| Stratejik Planlama Faaliyetlerinin Yürütülmesi |
| Talep / Şikayetlerin Takibi |
| Taşınır Mal Ve Kaynakların Güvenliğinin Temini |
| Ücret Politikasının Yürütülmesi |
| Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi |
| Veri Sorumlusu Operasyonlarının Güvenliğinin Temini |
| Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi |
| Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi |
| Yönetim Faaliyetlerinin Yürütülmesi |
6. İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI
6.1 İlgili Kişilerin Aydınlatılması
Şirket, mevzuat kapsamında, ilgili kişileri; verilerin kim tarafından, hangi amaçlarla ve hangi hukuki sebeplerle işlendiği, kimlerle hangi amaçlarla paylaşıldığı, hangi yöntemlerle toplandığı, ne kadar süre saklandığı ve hukuki sebebi hususunda aydınlatmaktadır. Şirket, kişisel veri sahibini kişisel verilerin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
6.2 İlgili Kişilerin Hakları
İlgili Kişiler KVKK 11. maddesi uyarınca;
1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6. Kişisel verilerin silinmesini veya yok edilmesini isteme,
7. Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
6.3 İlgili Kişilerin Haklarını Kullanması ve Şirketin İlgili Kişi Taleplerini Sonuçlandırması
İlgili Kişiler; Politika’nın 6.1 maddesinde sayılan haklarına ilişkin taleplerini, kimliklerini tevsik edici belgeler ile, Başvuru Formunu doldurarak yazılı bir şekilde Şirket’e iletebilir.
Kişisel veri sahiplerinin Politika’nın 6.1 maddesinde sayılan haklarına ilişkin taleplerini usulüne uygun olarak Şirket’e iletmesi halinde; Şirket, talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. İşlemin ayrıca bir maliyet gerektirmesi halinde Kurul tarafından belirlenen tarife uyarınca ücret talep edilebilir.
Şirket, veri güvenliğinin sağlanması amacıyla başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir, başvuru ile ilgili soru yöneltebilir.
6.4 Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller:
KVKK’nın 28. maddesi gereğince aşağıdaki hallerin KVKK’nın kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün değildir:
1. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nın 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün değildir:
1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. İlgili Kişi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
7. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Şirket,
1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
3. Kişisel verilerin muhafazasını sağlamak
amacıyla gerekli her türlü teknik ve idari tedbiri alır. Şirket bu hususlarda gerekli denetimleri yapar.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirket Olay İhlal Bildirim Prosedürü uyarınca gerekli aksiyonları alarak ilgili kişilere ve Kurul’a bildirim yapar.
8. POLİTİKANIN YÜRÜRLÜK TARİHİ Politika, 27.05.2024 tarihinde güncellenerek yayınlanmış olup, yayında olduğu sürece yürürlükte kabul edilir.