Kurumsal Genel Aydınlatma Metni

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU (“KVKK”) UYARINCA KİŞİSEL VERİLERİN KORUNMASI HAKKINDA

ÖZEL NİTELİKLİ VERİ İŞLEME POLİTİKASI

1. AMAÇ

Türkiye’de kurulu Genmar Sanayi Ürünleri Pazarlama Anonim Şirketi (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu (“KVKK”) yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren olan mevzuat hükümlerine uyum sağlanması için çalışmaktadır.

İşbu Özel Nitelikli Kişisel Veriler Politikası’nın (“Politika”) hazırlanma amacı, Şirket tarafından işlenen özel nitelikli kişisel verilerin KVKK ve Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’na (‘’2018/10 Sayılı Karar’’) uygun olarak işlenmesi, muhafaza edilmesi ve aktarılmasına ilişkin politikanın belirlenmesidir.

2. KAPSAM

İşbu Politika, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Özel Nitelikli Kişisel Verilere ilişkindir.Özel Nitelikli Kişisel Veriler’in kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.

3. TANIMLAR

KISALTMA VE AÇIKLAMALAR

KISALTMA	AÇIKLAMA
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle   açıklanan rıza
Alıcı Grubu	Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri
Kişisel Veri İşleme Envanteri/ Envanter	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
KVKK	7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu
Veri İşleyen	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Şirket	Genmar Sanayi Ürünleri Pazarlama Anonim Şirketi
KVK Kurulu/ Kurul	Kişisel Verileri Koruma Kurulu
KVK Kurumu / Kurum	Kişisel Verileri Koruma Kurumu

Anlamına gelmektedir. Burada yer verilmeyen yahut anlamında ihtilafa düşülen tanımlara ilişkin olarak Kanun madde 3’te yer alan tanımlar geçerli olacaktır.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel Nitelikli Kişisel Veriler, Şirket tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, KVKK’nın 6. maddesinde belirtilen şartların varlığı halinde işlenmektedir.

Buna göre Özel Nitelikli Kişisel Veriler;

1. İlgili Kişi’nin açık rızası var ise işlenebilecektir.
2. İlgili Kişi’nin açık rızası yok ise;

• İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde İlgili Kişi’nin açık rızası olmaksızın işlenebilecektir.
• İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ŞİRKET TARAFINDAN ALINMIŞ ÖNLEMLER

Şirket, KVKK’nın 6. ve 22. maddesi ile Kurul’un 2018/10 Sayılı Kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır.

1. Özel Nitelikli Kişisel Veriler’in güvenliğine yönelik önlemler işbu Politika belirlenmiştir.
2. Özel Nitelikli Kişisel Veriler’in işlenmesi süreçlerinde yer alan çalışanlara yönelik;

• Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilmektedir,
• Gizlilik sözleşmeleri yapılmaktadır,
• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
• Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter (varsa) iade alınmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri uygulanması
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılması
  1. Özel Nitelikli Kişisel Veriler’in işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

• Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
• Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,
• Özel Nitelikli Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
• Özel Nitelikli Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
• Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
  1. Özel Nitelikli Kişisel Veriler’in işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

• Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır,
• Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  1. Özel Nitelikli Kişisel Veriler aktarılacaksa;

• Özel Nitelikli Kişisel Veriler’in e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
• Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir,
• Özel Nitelikteki Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Gizlilik dereceli belgeler” formatında gönderilmektedir.
  1.  Şirket, yukarıda belirtilen önlemlerin yanı sıra Kurul’un internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi’nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri de dikkate almaktadır.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri doğrultusunda, silinir, yok edilir veya anonim hale getirilir. Kişisel verilerinin saklanması ve imhası hususunda bkz. “Kişisel Verileri Saklama ve İmha Politikası”.

KİŞİSEL VERİLERİ İŞLEME VE KORUMA POLİTİKASI

1. KISALTMA VE AÇIKLAMALAR

KISALTMA	AÇIKLAMA
KVKK/ Kanun	7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ‘de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu
Veri İşleyen	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re ‘sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Yönetmelik	28 Ekim 2017 tarihli 30224 sayılı Resmî Gazete ‘de yayımlanan ve 1 Ocak 2018 tarihi itibariyle yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Şirket	Genmar Sanayi Ürünleri Pazarlama Anonim Şirketi
KVK Kurulu/ Kurul	Kişisel Verileri Koruma Kurulu
KVK Kurumu / Kurum	Kişisel Verileri Koruma Kurumu

 

Anlamına gelmektedir. Burada yer verilmeyen yahut anlamında ihtilafa düşülen tanımlara ilişkin olarak KVKK madde 3’te yer alan tanımlar geçerli olacaktır.

 

 

2. AMAÇ

İşbu Politika ile Şirket Kişisel Verilerin Korunması Kanunu (Kanun) kapsamındaki kişisel veri işleme faaliyetlerine konu gerçek kişi verilerinin korunması ve işlenmesine ilişkin Şirket’in genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla ilgili mevzuatta belirlenen yükümlülüklerin yerine getirilmesi hedeflemiştir.

Bu politikanın amacı Şirketin kişisel verileri KVKK’ya uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için izlenecek yöntem ve ilkeleri düzenlemektir.

3. KAPSAM

Bu politika, Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik faaliyetlerde, ilgili ve detaylı diğer veri prosedürleri ile ve Kişisel Verileri Koruma Kurulu’nun (Kurul) güncel kararlarına uygun şekilde uygulanmaktadır.

Bu politika; iş süreçleri esnasında temas edilen tüm çalışanlarımızın, ortaklarımızın, yetkililerimizin, müşterilerimizin çalışanlarının, ortaklarının, yetkililerinin, iş birliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve bunlarla sınırlı olmamak üzere tüm üçüncü kişilerin, işlenen tüm kişisel verilerine ilişkindir.

4. KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASININ UYGULANMASI

4.1. KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HUSUSLAR

Bu politika, içerdiği şartlara ek olarak belirlenen veya en azından bu politika ile aynı standartlarda kişisel verilerin korunmasını sağlayan Şirket’in farklı politikalarındaki veri koruma şartlarıyla birlikte uygulanacaktır.  Kişisel verilerin işlenmesi ve korunması sürecinde yürürlükte bulunan ilgili mevzuat hükümleri ve güncel Kurul kararları öncelikli olarak uygulama alanı bulacaktır. Mevzuat hükümleri veyahut Kurul kararları ile politika hükümleri arasında çelişki bulunması halinde Şirket, güncel mevzuat hükümlerinin yahut Kurul kararının geçerlilik bulacağını kabul etmektedir.

Şirket, veri işleme faaliyetlerinin uygulamalarının ilgili mevzuatta belirlenen kurallara göre düzenlenmesi ve veri sorumlusu olarak;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

Temel amaçlarına uygun ve güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

4.1.1. Teknik Tedbirler

• Sızma (Penetrasyon) testleri ile Şirket bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Anahtar yönetimi uygulanmaktadır. 
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
• Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.

 

4.1.2. İdari Tedbirler

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önemleri alınmaktadır.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlenmeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Gizlilik taahhütnameleri imzalanmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Şirket’in faaliyetlerinin planlanması ve icrası süreçlerinde ilgili kişiler aydınlatılmakta, gerektiğinde açık rıza beyanları alınmaktadır.
• Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
• VERBİS’e bildirim yapılmıştır.

4.2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER

Şirket, Kişisel Veriler’i toplama ve işlemeye ilişkin gerçekleştirdiği her türlü faaliyette şu Şirket tarafından işlenen tüm kişisel veriler, KVKK ve ilgili mevzuat uyarınca işlenmektedir. Şirket, KVKK 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir. Bu kapsamda;

• Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.

 

• Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirket; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için gerekli tedbirleri almaktadır.

 

• Belirli, Açık ve Meşru Amaçlarla İşleme: Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket, kişisel verileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

 

• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği işler dışında kullanmamaktadır. Bunun yanı sıra kişisel verilerin işlenmesine ilişkin olarak veri sorumlusu ile ilgili kişinin menfaat dengesi gözetilecektir.

 

• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar

Muhafaza Etme: Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya veri sahibinin talebi doğrultusunda ve her halde verinin işlenmesini gerektiren sebepler ortadan kalkmış ise kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

4.3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket, KVKK’nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirket ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişilerin KVKK madde 11 kapsamında sahip olduğu hakları konusunda aydınlatma yapmaktadır. Şirket, KVKK 5. ve 6. maddede belirtilen kişisel veri işleme şartları içerisindeki aşağıdaki koşullarla sınırlı olarak ve aşağıdaki amaçlar doğrultusunda kişisel verileri işlemektedir.

• Kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Şirket ilgili faaliyeti kapsamında veri işleyebilir.
• Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması halinde de kişisel verilerin işlenebilecektir.
• Kişisel veriler, Şirket tarafından Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir.  Sözleşme öncesinde sözleşmeye başlama aşamasında kişisel bilgiler teklif hazırlamak, satın alma formu hazırlamak ya da ilgili kişinin sözleşme sonucuyla bağlantılı taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde ilgili kişilerle sağladıkları bilgiler ışığında iletişime geçilebilir.
• Kişisel verilerin işlenmesi, Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması halinde veriler işlenebilir. 
• Kişisel verilerin alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı, bu paylaşım iradesine uygun ve ölçüde olduğu takdirde Şirket tarafından işlenebilir.
• Kişisel verilerin Şirket tarafından işlenmesinin Şirket veya verisi işlenen kişilerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması halinde işlenebilir.
• Kişisel verilerin Şirket tarafından işlenmesinin Şirketin haklarının tesisi, kullanılması veya korunması için zorunlu olması halinde işlenebilir.

Şirket tarafından, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesine ayrıca önem gösterilmektedir.

Özel Nitelikli Kişisel Veriler, Şirket tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, KVKK’nın 6. maddesinde belirtilen şartların varlığı halinde işlenmektedir.

Buna göre Özel Nitelikli Kişisel Veriler;

1. İlgili Kişi’nin açık rızası var ise işlenebilecektir.
2. İlgili Kişi’nin açık rızası yok ise;

• İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde İlgili Kişi’nin açık rızası olmaksızın işlenebilecektir.
• İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından İlgili Kişi’nin açık rızası aranmaksızın işlenebilecektir.

Özel Nitelikli Kişisel Verileriniz Özel Nitelikli Veri İşleme Politikası’na (“Politika”) uygun şekilde işlenmektedir. Bu politikanın hazırlanma amacı, Şirket tarafından işlenen özel nitelikli kişisel verilerin KVKK ve Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’na (‘’2018/10 Sayılı Karar’’) uygun olarak işlenmesi, muhafaza edilmesi ve aktarılmasına ilişkin politikanın belirlenmesidir.

4.5. KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Şirket, KVKK’nun 5’inci maddesi ve 6’ncı maddelerinde belirtilen kişisel veri işleme şartları doğrultusunda, Kişisel Verilerinizi aşağıdaki amaçlarla işlemektedir:

• Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası
• Kurumsal yönetim faaliyetlerinin planlanması ve icrası
• Kurumsal iletişim faaliyetlerinin planlanması ve icrası
• İnsan kaynakları politikalarının yürütülmesi
• Personel temin süreçlerine destek olunması
• Müşteriler, tedarikçiler ve danışmanlar ile olan ilişkilerin yönetimi
• Çalışan memnuniyetinin ve/veya bağlılığı süreçlerinin planlanması ve icrası, çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası, çalışanların iş faaliyetlerinin takibi ve/veya denetimi
• Finans ve/veya muhasebe ve hukuk işlerinin takibi
• Hukuk işlerinin icrası ve takibi
• Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası, müşteri memnuniyeti süreçlerinin planlanması ve/veya takibi, müşteri talep ve/veya şikayetlerinin takibi
• Çalışanlar için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
• Şirket dışı etkinlik/eğitim faaliyetlerinin planlanması ve icrası
• Yetenek/kariyer gelişimi faaliyetlerinin planlanması ve icrası
• Yetkili kişi, kurum ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi
• Bilgi güvenliği süreçlerinin yürütülmesi
• Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi
• Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,
• Şirket için etkinliklerin planlanması, etkinliğe katılımın sağlanması veya etkinlik sırasında kurumsal iletişim faaliyetlerinin yürütülmesi
• Eğitim planlamasının yapılması, eğitimlerin raporlaması, eğitim sertifikalarının hazırlanması, gerçekleşen eğitimlere katılan çalışanların takip edilebilmesi, çalışanların aldıkları eğitimler sonucu gelişim süreçlerinin takip edilebilmesi
• Çalışanların terfi ve atamalarının duyurulması
• Kutlama amaçlı çalışanla iletişimin sağlanması
• Çalışan şikayetlerinin toplanması, Memnuniyet anketi analizi yapılması
• Acil durumlarda çalışanın yakınlarıyla iletişim sağlanması
• Satış sürecinin yürütülmesi
• Sözleşmede yer alan malın fiyatı ve teslimat koşulları gibi hususların sözleşme ilişkisi kurulmadan önce ilgili kişi tarafından tetkik edilebilmesi
• Müşteri ile iletişime geçilmesi
• Tedarikçi ile iletişime geçilmesi
• Sözleşme oluşturulması
• Müşteriye hizmet kalitesinin değerlendirilmesi
• Fuar organizasyon süreçlerinde davetiyeler yollanarak mail yolu ile iletişim sağlanması
• Şirket yönetimi ve yükümlülükleri, sözleşme takibi, fatura tutarlarının kontrolü ve ödemelerin zamanında yapıldığının teyit edilmesi
• Muhtemel müşteri ihtiyaçlarının tespit edilmesi ve buna uygun kampanyalar geliştirilmesi
• Bakım anlaşması yapılan şirketlerle (“Venüs Bilişim, Logo vb.”) sözleşme imzalanması
• Ziyaretçi kayıtlarının oluşturulması ve takibi
• Verilerin yedeklenebilmesi ile güvenli çalışma ortamının sağlanması
• Bilgi işlem güvenliğinin sağlanması

 

4.6. KİŞİSEL VERİLERİN AKTARILMASI

4.6.1.Kişisel Verilerin Yurtiçinde Aktarılması

Şirket tarafından Kişisel Veriler ve Özel Nitelikli Kişisel Veriler İlgili Kişi’nin veri aktarımına Açık Rıza’sının bulunması halinde Türkiye’de bulunan üçüncü kişilere aktarılabilmektedir.

Şirket tarafından, hukuka uygun olan kişisel verileri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak İlgili Kişi’nin Kişisel Verileri ve Özel Nitelikli Kişisel Verileri Açık Rıza’sı aranmaksızın Türkiye’de bulunan üçüncü kişilere aktarılabilmektedir.  Şirket bu doğrultuda KVKK’nun 8’inci maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

4.6.2. Kişisel Verilerin Yurtdışına Aktarılması

Şirket tarafından Kişisel Veriler ve Özel Nitelikli Kişisel Veriler İlgili Kişi’nin veri aktarımına Açık Rıza’sının bulunması halinde yurtdışındaki üçüncü kişilere aktarılabilmektedir.

Şirket tarafından, hukuka uygun olan kişisel verileri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak İlgili Kişi’nin Kişisel Verileri ve Özel Nitelikli Kişisel Verileri Açık Rıza’sı aranmaksızın yurtdışındaki üçüncü kişilere aktarılabilmektedir.  Kişisel Veriler’in yurtdışında bulunan üçüncü kişilere aktarılmasında ek olarak;

• Kişisel Veriler’in aktarıldığı yabancı ülkenin yeterli seviyede koruma sağlaması ya da;
• İlgili yabancı ülkede yeterli korumanın bulunmaması durumunda Şirket’ın ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumanın sağlandığını yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması,

şartları bulunmalıdır.

4.7. İLGİLİ KİŞİ’NİN HAKLARI

KVKK’nın 11. maddesi gereği İlgili Kişi, kimliğini ispat etmek kaydıyla, kişisel verileri ile ilgili; 

• Şirket’ın hakkında kişisel veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek,
• Kişisel verilerin yurtiçi veya yurtdışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek haklarına sahiptir.

Ayrıca, İlgili Kişiler’in Şirket’dan yanlış ve eksik kişisel verilerin düzeltilmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkı vardır.

İlgili Kişiler’in kişisel verilerini KVKK madde 7’de öngörülen şartlar çerçevesinde verilerin imha edilmesini (silinmesini, yok edilmesini veya anonim hale getirilmesini) Şirket’den talep etme hakkı vardır. Aynı zamanda verilerin aktarıldığı veya aktarılabileceği 3. kişilerin söz konusu imha talebi ile ilgili bilgilendirilmesini talep etme hakkı vardır. Ancak imha talebini değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre Şirket tarafından değerlendirilecektir. Bu bağlamda İlgili Kişi seçilen imha yönteminin neden seçildiği ile ilgili Şirket’den her zaman bilgi talep etme hakkına sahiptir.

Münhasıran bir otomatik sistem kullanılarak oluşturulmuş kişisel veri analizinizin sonuçlarına bu sonuçlar çıkarlarınıza aykırıysa itiraz edebilirsiniz.

İlgili kişi kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramışsa zararın giderilmesini talep edebilir. 

KVKK m. 11 uyarınca, İlgili Kişi olarak, Kanunun uygulanmasıyla ilgili taleplerinizi ve kişisel verilerinizin işlenmesi ile ilgili her türlü bilgi talebinizi, ………………[email protected] e -posta adresine size ait güvenli elektronik imza ya da mobil imza ile imzalanmış bir e-posta veya ……………….adresine yazılı olarak (noter kanalıyla veya iadeli taahhütlü mektup ile) iletebilirsiniz. Ayrıca, tarafınızca tarafımıza daha önceden bildirilmiş olan ve sistemimizde kayıtlı olan elektronik posta adresiniz bulunmaktaysa, bu elektronik posta adresi ile de taleplerinizi tarafımıza bildirebilirsiniz. Veri Sorumlusuna Başvuru Usul Ve Esaslari Hakkinda Tebliğ m. 5 hükmü uyarınca, başvurunuzda adınızın, soyadınızın, başvuru usulünüz yazılı ise imzanızın, Türkiye Cumhuriyeti vatandaşı iseniz T.C. kimlik numaranızın, yabancı iseniz pasaport numaranızın veya varsa kimlik numaranızın, tebligata esas yerleşim yeri veya iş yeri adresinizin, varsa bildirime esas elektronik posta adresi, telefon, faks numaranızın ve talep konunuz yer alması zorunludur.

Bu kapsamda yapacağınız başvurular mümkün olan en kısa sürede ve en çok 30 gün içinde ve ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir.

 

4.8. Aydınlatma Yükümlülüğü

Şirket, KVKK’nın 10’uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket tarafından İlgili Kişiler’e sunulan aydınlatma metninde aşağıda sıralanan bilgiler bulunmaktadır:

• Şirketin unvanı
• Kişisel Verilerin hangi amaçla işleneceği
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi
• İlgili Kişi’nin KVKK’nın 11’inci maddesi kapsamında sahip olduğu haklar olan;

• Kişisel Veri işlenip işlenmediğini öğrenmek,
• Kişisel Veriler’i işlenmişse buna ilişkin bilgi almak,
• Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
• Yurt içinde veya yurt dışında Kişisel Veriler’in aktarıldığı üçüncü kişileri bilmek,
• Kişisel Veriler’in eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
• Öngörülen şartlar çerçevesinde kişisel verilerin silinmesi veya yok edilmesini istemek ve yapılan işlemin Kişisel Veriler’in aktarıldığı üçüncü kişilere bildirilmesini istemek,
• İşlenen Kişisel Veriler’in münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
• Kişisel Veriler’in kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etmek

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Kişisel veriler Şirket’in ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında Şirket tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.

İlgili mevzuatlar uyarınca, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, Şirket tarafından re’sen yahut sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonim hale getirilecektir.

Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket kendi kararına istinaden veya İlgili Kişi’nin talebi üzerine kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri doğrultusunda, silinir, yok edilir veya anonim hale getirilir. Kişisel verilerinin saklanması ve imhası hususunda bkz. “Kişisel Verileri Saklama ve İmha Politikası”.

 

6. DİĞER HUSUSLAR

Şirket tarafından hazırlanan işbu Politika ve kişisel verilerin korunmasına yönelik hazırlanmış olan diğer politika, prosedür ve ilkeler hep birlikte uygulanacak olup KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

 

7. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER VE YÜRÜRLÜK TARİHİ

İşbu Politika’da yer alan hükümler Şirket tarafından gerek görüldüğü takdirde mevzuat hükümlerine uygun olarak internet sitelerinde yayınlanmak suretiyle değiştirebilir. İşbu hükümlerinden herhangi birisinin değişmesi halinde ilgili değişiklikler, değişikliğin yayınlandığı tarihte yürürlüğe girer.

 

İşbu Politika internet sitesinde yayınlandığı tarihte yürürlüğe girmiştir.