Kişisel Verilerin İşlenmesi ve Korunması Saklanması ve İmha Politikası

1. AMAÇ

İşbu kişisel verilerin işlenmesi korunması saklanması ve imha politikası (“Politika”), şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması, saklanması ve imhasına dair yürürlükteki mevzuata uyumunu sağlamak üzere belirlediği ve uymayı taahhüt ettiği ilkeleri kapsar.

Bu Politika’nın temel amacı, CECELİ DEMİR SANAYİ VE TİCARET A.Ş. tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına, kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçlerine yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca yükümlülüklerimizi yerine getirmek, bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen veri sahiplerini bilgilendirilerek şeffaflığı sağlamaktır.

• KAPSAM
  Bu Politika; veri sahiplerinin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Bunlara ek olarak, bu Politika’nın içerdiği tüm hükümler Kanun’a ve İkincil Mevzuat’a tabidir. Bu Politika’nın içerdiği hükümler ile ilgili Kanun hükümlerinin çeliştiği veya çatıştığı hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır. Politika Şirketimizin internet sitesinde (www.cecelidemir.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

• TANIMLAR

Bu Politika’da kullanılan, aşağıdaki terimler, Politika içinde ayrıca farklı şekilde tanımlanmadıkları sürece, aşağıdaki tabloda gösterilen anlamları ifade edeceklerdir.

Alıcı grubu:	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
İlgili Kullanıcılar:	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
Açık Rıza:	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim hale getirme:	Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İkincil Mevzuat:	Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş.
İmha:	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun:	6698 Sayılı Kişisel Verilen Korunması Kanunu.
Kayıt Ortamı:	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri İşleme: Envanteri	Şirketimizin veri sorumlusu sıfatıyla iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı işbu Politika’nın ekinde yer alan envanter.
Kişisel Veri:	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin işlenmesi:	Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul:	Kişisel Verileri Koruma Kurulu.
Kurum:	Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel Veri:	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Periyodik İmha:	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Sicil:	Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili.
Silme:	Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Silme ve İmha Politikası:	Şirket’in, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, silme ve imhaya ilişkin usul ve esasları düzenleyen politika.
Şirket:	CECELİ DEMİR SANAYİ VE TİCARET A.Ş.
Veri İşleyen:	Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Koruma Komisyonu:	Şirket’in Kişisel Verilerin Korunması Komisyonu’nu ifade eder.
Veri Sahibi:	Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. Veri Sahipleri, müşterileri, internet kullanıcılar, iletişim, elektronik posta ve pazarlama veri tabanı listelerindeki bireyler, çalışanlar, sözleşme tarafları ve tedarikçiler.
Veri Sorumlusu:	Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Sorumluları Sicili Hakkında Yönetmelik	1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’i ifade eder.
Yok Etme	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

• GENEL İLKELER

Kişisel Verilerin İşlenmesinde uyulacak ilkeler aşağıdaki gibidir. Şirketimiz, bu ilkelere uygun davranmayı taahhüt eder.

• Kişisel Verilerin İşlenmesinde Uyulacak İlkeler

• Hukuka ve dürüstlük kurallarına uygun olma

Şirketimiz, Kişisel Verileri, hukuka ve dürüstlük kuralına uygun olarak işlemektedir. Bu kapsamda Kanun ve ikincil mevzuatta yapılacak düzenlemeler takip edilecek ve yasal şartlara uygunluk sağlanacaktır.

• Doğru ve gerektiğinde güncel olma

Şirketimiz, işlemekte olduğu tüm Kişisel Verilerin güncelliğini sağlamak için gerekli tedbirleri alır.

• Belirli, açık ve meşru amaçlar için işlenme

Kişisel veriler; Kanun’a uygun şekilde belirlenmiş ve bildirilmiş haliyle işlenecektir.

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Şirketimiz tarafından işlenen veriler yapılan işler ile bağlantılıdır. Kişisel Veriler işlenmeden önce Veri Sahiplerine işlenecek veriler ve amaçları hakkında duyurusu açıkça yapılır.

Veri işleme amaçlarında ve verilerde değişiklik olması halinde hem Veri Sahiplerine bilgi verilecek hem de Politika güncellenecektir.

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Şirketimiz verileri, ilgili oldukları mevzuatta belirtilen ve işlendikleri amaçlarına uygun sürede ve şekilde muhafaza eder. Bunun için mevzuat kontrol edilerek Kişisel Verilere ilişkin süreler tespit edilir, eğer mevzuatta belirtilmemişse verilerin amacına uygun olarak muhafaza edilir. Kişisel Verilerin muhafaza süreleri kayıt altına alınır.

Şirketimiz, Politikamıza uygun olarak Kişisel Verilerin muhafaza süresinin sona ermesinden sonra veya işlenmeyi gerektiren sebeplerin ortadan kalkması durumunda verileri siler, yok eder veya anonim hale getirir.

•  Kişisel Verilerin İşlenme Şartları

4.2.1. Kişisel Verilerin İşlenmesi

Şirketimiz Anayasa’ya uygun bir biçimde; Kişisel Verileri, ancak Kanun’da öngörülen hallerde veya kişinin açık rızasıyla işler. Kişisel veri sahibinin açık rıza vermesi, Kişisel Verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan biridir.  Açık rıza dışında aşağıda belirtilen şartlardan birinin olması durumunda da Kişisel Veriler işlenebilir. İşlenen verilerin Özel Nitelikli Veri olması halinde aşağıda yer alan şartlar uygulanır. Şirketimiz tarafından Kişisel Verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. Maddesinde belirtilen genel ilkelere uygun olarak hareket edilir.

 4.2.1.1. Kişisel veri sahibinin açık rızasının bulunması: Kişisel Verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için; veri sahibinin ilgili yöntemler ile açık rızaları alınır.

4.2.1.2. Kanunlarda açıkça öngörülmesi: Veri sahibinin Kişisel Verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenir.

4.2.1.3. Fiili imkansızlık nedeniyle veri sahibinin açık rızasının alınamaması:  Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenir.

4.2.1.4. Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması:  Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

4.2.1.5. Şirketimizin hukuki yükümlülüğünü yerine getirmesi:  Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenir.

4.2.1.6. Kişisel veri sahibinin Kişisel Verisini alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

4.2.1.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

4.2.1.8. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

•  Özel Nitelikli Kişisel Verilerin İşlenmesi: ŞirketimizÖzel nitelikli kişisel verileri, ilgilinin açık rızası olmadan işlenmeye almaz. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.  KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
  
  •Kişisel veri sahibinin açık rızası var ise veya
  • Kişisel veri sahibinin açık rızası yok ise; ancak kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde işlenmektedir. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler şirketimizce işlenmemektedir.

•  Veri Koruma Komisyonu

Şirket’in uyum programı çerçevesinde kişisel verileri işleme koruma saklama ve imha faaliyetlerinin Sezai Gökkaya, Hüseyin Alperen Kandıra, dan oluşan Veri Koruma Komisyonu tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır.

Veri Koruma Komisyonu Sezai Gökkaya  tarafından yönetilir. Veri Koruma Komisyonu’nun görevleri aşağıdaki gibidir:

1. Satıcıların, tedarikçilerin ve Şirketimizden Kişisel Veri transfer edilen üçüncü tarafların, Şirketimizin elde ettiği ve işlediği Kişisel Verilere erişimi olanların ve Şirketimize veri sağlayanların bu Politika’ya uyum sağlaması için gerekli prosedürleri ve standart sözleşmesel hükümleri belirlemek
2. Bu Politika’ya uyum sağlamak için düzenli denetim mekanizmalarını, uygulanan prosedürleri ve geçerli kuralları belirlemek
3. Veri Sahibi’nin Kanun’dan doğan haklarını kullanırken Şirket’e yönelteceği taleplerine hızlı ve uygun cevap verilmesini sağlayacak sistemi belirlemek, sürdürmek ve yürütmek
4. Şirketimizin uyum programının güncel olmasını sağlamak
5. Şirket’e ve/veya çalışanlarına karşı yürürlükteki mevzuatın ihlali yüzünden yöneltilebilecek, potansiyel kurumsal ve bireysel, idari veya cezai yükümlülükler hakkında Şirket’in üst düzey yöneticilerini, idarecilerini ve müdürlerini bilgilendirmek ve gerekli işlemleri yürütmek
6. Şirket’in Kurum, Kurul ve Sicil ile olan ilişkilerini yönetmek ve yürütmek
7. Sicil’e ilgili mevzuat ve Kurul kararları uyarınca tüm gerekli kayıtların yapılmasını sağlamak ve sicil kayıt işlemlerini denetlemek
8. Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak

• . Kayıt Ortamı

Veri sahiplerine ait kişisel veriler şirketimizce aşağıda belirtilen ortamlarda mevzuata uygun olarak saklanmaktadır.

Fiziki Ortamlar: Veri sahiplerine ait sağlık formları Revir klasörlerinde, İnsan Kaynakları birimine ait özlük dosyalarının saklandığı klasörlerde

Elektronik Ortamlar: CECELİ Bulut sürücüsü ve harici hard disk

• Kişisel Verilerin Aktarılması

4.6.1. Kişisel Verilerin Üçüncü Kişilere Aktarılması

4.6.1.1 Kişisel veriler gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmaz.

4.6.1.2 Kişisel Veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.

4.6.1.3 Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için gerekli güvenlik önlemleri alınmaktadır veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişime karşı korur.

4.6.1.4 Kişisel Verilerin üçüncü kişilere takip eden veri işleme faaliyetleri için aktarılması yazılı anlaşmalara tabi olacaktır. Şirket, Veri Koruma Komisyonu ile birlikte bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirecektir.

4.6.1.5 Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

a) Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi

b) Aktarımın kanunlarda açıkça öngörülmesi

c) Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

d) Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin İşlenmesi’nin gerekli olması

e) Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

f) Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması

g) Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması

h) Aktarımın, Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için zorunlu olması.

i) Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir.

4.6.2. Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel Veriler, Kanun’a uygun olarak, Veri Sahibi’nin aktarıma Açık Rıza vermiş olduğu haller hariç olmak üzere, sadece Kurul tarafından yeterli korumaya sahip olduğu ilan edilecek olan yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumluları’nın yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusu’nun Bulunduğu Yabancı Ülke”) aktarılabilecektir.

•  Ziyaretçi ve Müşteri Faaliyetlerinin İzlenmesi

4.7.1. Kapalı Devre Kamera Kaydının Alınması

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket’e ait işyerinde kapalı devre kamerayla izleme faaliyeti ile çalışan, ziyaretçi gibi kişilerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Kapalı devre kamera ile izleme faaliyeti kapsamında işlenen kişisel veriler, en fazla 15 gün süreyle muhafaza edilir.

Ayrıca, güvenlik amacıyla şirketin merkezine girişlerde Güvenlik tarafından kimlik kontrolü yapılır ve ziyaretçi defteri tutulur. Bu kapsamda kişisel verilerin işlenmesi ve güvenliği ile ilgili gerekli önlemler alınır. Kamera kaydı ya da ziyaretçi defterine ilişkin aydınlatmalar, şirket tarafından, ilgililerin kolayca erişebileceği şekilde yapılır.

4.7.2. Ziyaretçilere ve Müşterilere Sağlanan İnternet Erişimleri

Şirket tarafından, talep eden ziyaretçilere Şirket işyerleri içerisinde kaldıkları süre boyunca internet erişimi sağlanabilir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınır; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüklerin yerine getirilmesi amacıyla işlenebilir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Erişim yetkilendirmesi Veri Koruma Komisyonu tarafından yapılır. Kayıtlara erişimi olanlara ayrıca gizlilik taahhütnamesi imzalattırılır.

4.7.3. İnternet Sitesi Ziyaretçileri

Şirketin internet sitesinde; siteyi ziyaret eden kişilerin ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerez/Cookie) site içerisindeki internet hareketleri kaydedilebilir.

Şirketin bu şekilde bir işleme faaliyetini yürütmesi durumunda, bu kapsamda kişisel verilerin korunması ve işlenmesine dair detaylı açıklamalara Şirket’in internet sitesindeki “Çerez Politikası” metninde yer verilir.

4.8. Kişisel Verilerin Elde Edilmesi Sırasında Aydınlatma

4.8.1 Veri Sahibi’nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Veri’nin elde edildiği her durumda (rıza istensin veya istenmesin), Veri Sahibi’nin uygun şekilde aydınlatılması esastır. Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere:

• Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
• Veri işlemenin amacı(amaçları)
• Veri aktarımının amacı ve kimlere veri aktarılacağı,
• Veri toplama yöntemi ve hukuki sebebi,
• Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme  hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
• İşlenen verinin türü

Veri Sahibi’ne açıklanır. (Kişisel Veri Aydınlatma ve Açık Rıza Metni)

 4.8.2. Aşağıdaki aydınlatma yükümlülükleri, yürürlükteki yasaların aydınlatma için öngördüğü yükümlülüklere istisna getirdiği hallerde uygulanmayacaktır.

a) Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) Veri Sahibi’nin kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi.

4.8.3 Aydınlatma mümkün olan en kısa sürede ve tercihen Veri Sahibi’yle ilk temas anında yerine getirilmelidir.

4.8.4 Aydınlatma, elektronik olarak, sözlü veya yazılı olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Şirket veya Veri Koruma Komisyonu tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanılır.

4.8.5 Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.

• Mevzuata Uyumlu Olmayan Yeni Kişisel Veri İşleme Faaliyetlerinden Kaçınma
  
  

Kural olarak, Şirket tarafından Veri Koruma Komisyonu’nun onayı alınmadan yeni Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir.

• Veri Sahibinin Hakları

Veri sahipleri, şirketimize, kimliklerini tespit etmeye yarayacak belgelerle birlikte başvurmak suretiyle kişisel verilerinin; işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, aktarıldığı üçüncü kişilere yukarıda belirtilen düzeltilme, silinme veya yok edilme kapsamında yapılan işlemlerin bildirilmesini isteme, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme haklarına sahiptir.

Veri Sahibi’ni temsilen hareket edenlerin taleplerinin işleme alınabilmesi için, Kişisel Veriler’i ile ilgili talepler veya eylemlere dair özel hüküm içeren ve Veri Sahibi tarafından çıkarılmış bir vekaletnameyi (noter tasdikli) talepleriyle birlikte Şirketimizee sunmaları gerekir. Çocukları veya vasisi oldukları kişiler adına başvuru yapanlardan nüfus cüzdanı ve vesayet kararı istenir.
Şirketimiz bu talepleri alındığında kaydetmek ve cevap veriliş tarihlerini de takip etmek için bir sistem oluşturmuştur.  Gelen bu talepler, Veri Koruma Komisyonuna iletilir.

Yürürlükteki yasa ve yönetmelikler aksini gerektirmedikçe, Şirket, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Şirketimiz, yasal sürede talebe cevap veremese dahi, talebi aldığını, varsa o zamana kadar bu konuyla ilgili topladığı bilgileri, istenen bilgileri vermeyecekse bunun gerekçelerini ve buna ilişkin (varsa) itiraz yollarını başvurana bildirir. Şirketimiz, yukarıda belirtilen bilgileri sağlamak için veri sahibinden herhangi bir ücret talep etmeyecektir. Ancak, bilgi talebinin şirkete ek maliyet yaratması durumunda, buna ilişkin ücret talep edilebilir.

• KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

5.1. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebepler

Şirketimiz, kişisel verileri aşağıdaki sebeplerle saklamaktadır:

• Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması
• Bir hakkın tesisi, kullanılması veya korunması
• Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimizin meşru menfaatleri için saklanmasının zorunlu olması
• Şirketimizin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla
  Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması

Aşağıdaki hallerde veri sahiplerine ait kişisel veriler şirketimizce re ’sen veya veri sahibinin isteği üzerine silinir, yok edilir veya anonim hale getirilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, veri sahibinin rızasını geri alması
• Veri sahibinin Kanundaki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun şirketimizce uygun bulunması
• Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması
  Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

5.2. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler: KVKK envanterinde açıklanmıştır.

5.3 Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler: KVKK envanterinde açıklanmıştır.

5.4 Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları: KVKK envanterinde açıklanmıştır.

5.5. Saklama ve imha sürelerini gösteren tablo: Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

5.6. Periyodik İmha süreleri:  Saklama süresi dolan kişisel veriler, KVKK envanterinde belirtilen imha sürelerine uyularak 6 aylık periyotlarla aşağıda belirtilen usullere göre imha edilir.

5.7 İmha Yöntemleri

Şirketimiz tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirket tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını şirketimiz seçer. İlgili kişinin talebi halinde şirketimiz uygun yöntemi gerekçesini açıklayarak seçer.

5.7.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri: :Şirket tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

5.7.1.1 Kişisel Verilerin Silinmesi:

a) Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir. Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

−Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
−Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

b) Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

c) Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

5.7.1.2 Kişisel Verilerin Yok Edilmesi

1. Elektronik Kayıtlar:
2. De-manyetize Etme
3. Fiziksel Yok Etme,
4. Üzerine Yazma ve yollarıyla yok edilebilir.
5. Kişisel verilerin yer aldığı flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları için, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği Yok Etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
6. CD, DVD gibi veri saklama ortamlarında yer alan kişisel veriler, yakma, küçük parçalara ayırma, eritme gibi fiziksel Yok Etme yöntemleriyle yok edilir.
7. Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimlerinde yer alan kişisel veriler, tüm veri kayıt ortamlarının söküldüğü doğrulandıktan sonra birimin niteliğine göre uygun Yok Etme yöntemi seçilir.
   
   
8. Fiziksel Kayıtlar: Kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta (mümkünse dikey ve yatay şekilde parçalanarak) veya okunmasını imkânsız kılacak başka yöntemlerle (örneğin, Kayıt’ı birleştirilemeyecek ufak parçalara kesmek veya fiziksel kaydı uygun bir ortamda yakmak vb.) imha edilir.
   
   
9. Bulut Sistemi: Sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenir ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
10. Arızalanan ya da bakıma gönderilen cihazlar için; bu cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
11. İlgili cihazların bakım, onarım işlemi için üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin uygun yöntemle yok edilmesi
12. Yok Etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi
13. Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması

Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirket ; Kanun, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

5.7.1.3 Kişisel Verilerin Anonim Hale Getirilmesi

1. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir

Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir. Örneğin, bir şirkette tek kıdemli müdür var ise bu kişiye ait verilerin birbirleri ile aynı kademede bulunan çalışanların kıdem, maaş ve cinsiyet verilerinin tutulduğu kayıtlardan çıkarılması ile kalan veriler anonim hale getirilebilecektir.

Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.

Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.
Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin; çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

• Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratmaktadır. Bu yöntemler kullanılırken elde edilmesi beklenen/istenen fayda doğrultusunda sapmaların dikkatli uygulanması gerekecektir. Toplam istatistiklerin bozulmaması sağlanarak veriden beklenen fayda sağlanmaya devam edilebilir.

Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.

Mikro Birleştirme: Tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır. Örneğin, maaş bilgisi için; 10.000 TL altı ve üstü iki grup yapılır ise, 10.000 ve daha az maaş alan kişilerin maaşlarının toplamı kişi sayısına bölünür ve 10.000TL altında maaş alan herkesin maaş kümesine elde edilen bu değer yazılır.

Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.

5.8. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler şirketimizce kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

• ŞİRKET’İN İŞLEME FAALİYETLERİ İÇİN SİCİL’E KAYDOLUNMASI

Şirket kayıt yükümlülüğünü, zorunlu olması halinde, Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirecektir.

• ÜÇÜNCÜ TARAF VERİ İŞLEYEN KULLANILMASI

7.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen seçilecektir. Veri işleyen ile uyulması gereken kurallara ilişkin sözleşme yapılacaktır.

• VERİ GÜVENLİĞİ

• Fiziksel – Teknolojik –Organizasyonel Tedbirler

8.1.1 Şirket, Kişisel Veriler’in güvenliğinin sağlanması için verilerin maruz kalabilecekleri riskleri de dikkate alarak orantılı fiziksel, teknik veya organizasyonel tedbirleri alacaktır. Bu önlemler, Şirketimizin bilgi güvenliği politikalarına uygun olarak belirlenecektir.

• Çalışan Gizlilik Sözleşmeleri

Şirket içinde, Kişisel Veriler’in işlenmesiyle ilgili bir sürecin, herhangi bir aşamasına dahil olan herkes, işten ayrılsa bile devam etmek kaydıyla düzenlenecek, bir gizlilik taahhüdünü içeren Gizlilik Sözleşmesi imzalar.

• UYUM

9.1 Mevcut Uyum Değerlendirmesi

Şirket, tüm iş birimleri için mevcut mevzuata uyumun sağlanması için gerekli kontrolleri yapacak, uyumsuzlukların giderilmesi için makul düzeltme süreleri vererek bunları takip edecektir.

9.2 Bildirim

Herhangi bir iş sürecinde, mevcut bulunan kişisel veri işleme, saklama ve imha işleyişinden farklı bir işleyişe geçilmesinin gerektiği durumlarda, süreç Veri Koruma Komisyonu’na bildirilir ve uyumluluğu kontrol edilir.

1. YÜRÜRLÜK VE SORUMLULUK

Bu politika, yayımlandığı tarihten itibaren geçerlidir. Politika’da yapılacak değişiklikler, bu Politika’nın yayımlandığı yöntemle tüm ilgili taraflara bildirilecektir.