DARKBLUE ULUSLARARASI DIŞ TİCARET A.Ş.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ (KVK) POLİTİKASI
*İşbu belge Darkblue Uluslararası Dış Ticaret A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz
Doküman Bilgileri | |
Adı | Kişisel Verilerin Korunması ve İşlenmesi Politikası |
Amacı | Veri sorumlusu sıfatıyla hareket eden şirketimizin yükümlülüklerinin yerine getirilmesi, yürüteceği kişisel veri işleme faaliyetlerine yönelik olarak genel ilkelerin, veri işleme ile aktarma şartlarının, verinin korunma esaslarının, ilgili kişi hak arama usul ve esaslarının, aydınlatma ile bilgilendirme usul ve esaslarının, KVK Komitesi usul ve esaslarının belirlenmesi ve duyurulması |
Yayınlanma Tarihi |
|
Numarası |
|
Versiyon Numarası |
|
Dayanak | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. Maddesi |
Madde ve Ek Sayısı | 15 madde |
Onaylayan | KVK Komitesi |
1. AMAÇ
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikasının(‘‘Politika’’) amacı, veri sorumlusu sıfatıyla hareket eden Darkblue Uluslararası Dış Ticaret A.Ş.’nin (“Şirket”)yükümlülüklerinin yerine getirilmesi, yürüteceği kişisel veri işleme faaliyetlerine yönelik olarak genel ilkelerin, veri işleme ile aktarma şartlarının, verinin korunma esaslarının, ilgili kişi hak arama usul ve esaslarının, aydınlatma ile bilgilendirme usul ve esaslarının, KVK Komitesi usul ve esaslarının belirlenmesi ve duyurulmasıdır.
2. KAPSAM
Şirket, kişisel verilerin korunması konusunda ilgili mevzuata uyumluluk konusunda azami hassasiyet göstermektedir. Kişisel verilerin korunması mevzuatına uyum kapsamında; işbu Politika ile Şirket’in kişisel veri işleme faaliyetleri, bu faaliyetler sırasında göz önünde bulundurulan ilkeler ve esaslar, veri güvenliğinin sağlanmasına yönelik tedbirler ve kişisel veri sahiplerinin hakları açıklanmaktadır.
Politika Şirket’in ortaklarının, yetkililerinin, müşterilerinin, çalışanlarının, tedarikçi yetkililerinin ve çalışanlarının ve üçüncü kişilerin işlenen tüm kişisel verilerine ilişkindir. Şirket, Politika’yı mevzuata ve Kişisel Verileri Koruma Kurumu’nun kararlarına uyum ve kişisel verilerin daha iyi korunması amaçlarıyla değiştirebilir.
Politika, Şirketin kişisel veri işleme faaliyetlerinin tamamınıkapsar.
3. DAYANAK
Politikanın dayanağı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘‘KVKK’’)’dur.
4. SORUMLULUK VE GÖREV TANIMI
Sorumlu | Görev tanımı |
Tüm personel | Tüm personel, bu politikaya uygun davranmakla görevlidir. |
Veri sorumlusu adına veri işleyen kişiler | Veri sorumlusu adına veri işleyen kişiler, bu politikaya uygun davranmakla görevlidir. |
KVK Komitesi | KVK Komitesi, bu politikanın veri sorumlusu bünyesinde sürdürülebilir şekilde uygulanmasını sağlamakla görevlidir. |
5. TANIMLAR VE AÇIKLAMALAR
Tanım | Açıklama |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme/Anonimleştirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Personel | Veri sorumlusupersonelleri (taşeron ve stajyer dâhil). |
Şirket | Darkblue Uluslararası Dış Ticaret A.Ş. |
Kişisel Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
KVK Komitesi | Veri sorumlusu bünyesinde kişisel verilerin korunmasını sürdürülebilir hale getirmek üzere oluşturulan komite. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Kurum | Kişisel Verileri Koruma Kurumu. |
KVKK, Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
Periyodik İmha İşlemi | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika | Kişisel Verilerin Korunması ve İşlenmesi Politikası. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Veri Sorumlusuna Başvuru Formu | İlgili kişilerin, KVKK’nın 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu. |
Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi. |
Ziyaretçi | Fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler. |
6. BENİMSENEN GENEL İLKELER
6.1. Hukuka ve Dürüstlük Kurallarına Uygun Olma
Kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun hareket edilir.
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde genel hukuk normları, kanun, evrensel hukuk ilkeleri ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade eder.
Dürüstlük kuralına uygun olma ilkesi uyarınca, kişisel veri işlemedeki hedeflere ulaşmaya çalışılırken, ilgili kişilerin çıkarları ve makul beklentileri dikkate alınmalıdır.
6.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel veriişleme faaliyetleri yürütülürken, işlenen kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına yönelik sistem veya süreç oluşturulur. Bu kapsamda ilgili kişiler, veri sorumlusuna başvuruda bulunarak kişisel verilerinin doğru ve güncel tutulması talebinde bulunabilirler.
6.3. Belirli, Açık ve Meşru Amaçlarla İşlenme
Kişisel veriler yalnızca belirli, açık ve meşru amaçlarla işlenir.
Bu ilke uyarınca kişisel veri işleme faaliyetleri ilgili kişi tarafından açık bir şekilde anlaşılabilir olmalı, kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespiti yapılmalı ve veri işleme faaliyetinin gerçekleştirilme amacı detay içermelidir.
İlgili kişiye duyurulan amaçlar dışındabaşka bir amaçla veri işleme yapılmamalıdır.
Amacın ilgili kişiye duyurulmasında yalın ifadeler kullanılmalı, teknik ve anlaşılması güç ifadelerin kullanımından kaçınılmalıdır.
6.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, faaliyet konusu ile bağlantılı ve orantılı bir biçimde faaliyetin yürütülmesi için gerekli amaçlar dâhilinde işlenir. Bu kapsamda veri işleme faaliyeti yürütülürken amacın gerçekleştirilmesiyle ilgili olmayan ve verilerin toplanması anında ihtiyaç duyulmayan kişisel veriler işlemekten özenle kaçınılmalıdır.
Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak kişisel veri işlenmemelidir.
İşlenen kişisel veri, yalnızca amacın gerçekleştirilmesi için gerekli olacak şekilde sınırlı olmalıdır. Kişisel verinin işlenmesi ile gerçekleştirilmek istenen amaç arasında makul bir denge kurulmalıdır. Bir verinin işlenmesi, bu veri işlemeyle hedeflenen amacın yerine getirilmesi için yeterliyse başkaca bir veri işlenmemelidir.
6.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Kişisel veriler ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza edilmelidir.
Bu kapsamda öncelikle kişisel verinin saklanması için ilgili mevzuatta bir sürenin belirlenip belirlenmediği tespit edilmelidir.İlgili mevzuatta bir süre belirlendi ise bu süreye uygun işlem yapılmalıdır. İlgili mevzuattaözel olarak bir süre belirlenmemişse her kişisel verinin işlendiği amaç için gerekli olan süre belirlenerek bu süre kadar muhafaza edilmelidir. Süre belirlenirken; kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, hukuka ve dürüstlük kurallarına uygun olarak veri sorumlusunun meşru menfaatinin geçerli olacağı süre, kişisel verinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre, belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı, hukuki yükümlülük gereği ilgili veri kategorisinde yer alan kişisel verilerin saklanmak zorunda olduğu süre, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi gibi hususların göz önünde bulundurulmalıdır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik saklama ve imha politikasının hazırlanması ve uygulanması zorunludur.
7. VERİ İŞLEME VE AKTARMA HUKUKİ SEBEPLERİ
7.1. Özel Nitelikli Kişisel Verilerin İşlenmesi
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel veriler aşağıdaki hallerde işlenebilir:
· İlgili kişinin açık rızasının olması,
· Kanunlarda açıkça öngörülmesi,
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
· İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
· Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
· Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
· İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
· Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
Özel nitelikli kişisel verilerin işlenmesi, bu verilere ulaşılması ile ilgili olarak ek önlemler ve süreçler belirlenir.
Özel nitelikli kişisel veriler, veri işleme hukuki sebebi mevcut olsa dahi genel ilkelere aykırı şekilde işlenemez.
7.2. Özel Nitelikli Olmayan Kişisel Verilerin İşlenmesi
Özel nitelikli olmayan kişisel veriler aşağıdaki hallerde işlenebilir:
· İlgili kişinin açık rızasının olması,
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
· İlgili kişinin kendisi tarafından alenileştirilmiş olması.
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli olmayan kişisel veriler,veri işleme hukuki sebebi mevcut olsa dahi genel ilkelere aykırı şekilde işlenemez.
7.3. Açık Rıza
Yukarıdaki kişisel veri işleme ve aktarma hukuki sebeplerinin varlığı halinde ilgili kişinin açık rızasına başvurulmaz.
Açık rıza belirli bir konuya ilişkin olmalıdır. Rızanın hangi konuya ilişkin verildiği ortaya konulmalıdır. Genel irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum” şeklinde açık uçlu, belirli bir konuyu/faaliyeti içermeyen belirsiz ifadelerden kaçınılmalıdır.
Açık rıza bilgilendirmeye dayalı olmalıdır. Bilgilendirmede anlaşılır ve açık ifadeler kullanılmalıdır. Bilgilendirme yapılmasına rağmen hala ilgili kişinin söz konusu veri işleme faaliyeti bakımından tereddütleri var ise bu tereddütler ilgili kişinin sorusu veya bilgi talebi üzerine giderilmelidir.
Açık rıza özgür iradeyle açıklanmalıdır. Tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediği dikkatle değerlendirilmelidir.
Açık rıza göstermeme halinde ilgili kişi açısından kesinlikle bir olumsuzluk gündeme gelmemelidir. Varsa bu konuda ilgili kişinin tereddüdü giderilmeli ve özgür iradesiyle hareket edilmesi sağlanmalıdır.
Açık rıza gösterilmesi, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, ilgili kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir. Geri alma işlemi ileriye yönelik sonuç doğurur. Açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetler geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu veya yetkilendirdiği kişi tarafından durdurulur.
Aydınlatma/bilgilendirme metinlerinin okunup anlaşıldığına dair imza atılması, söz konusu faaliyetin onaylanması anlamına gelmez.
Açık rıza alma yükümlülüğünün yerine getirilmesinde kanunen herhangi bir şekil şartı bulunmasa da, ortaya çıkabilecek anlaşmazlıklar gözetilerek bu yükümlülüğün ispatlanabilir şekilde ıslak imza ile gerçekleştirilmesine dikkat edilmelidir.
7.4. Kişisel Verilerin Aktarılması
Kişisel veriler, veri işlemeamaçları ve hukuki sebepleri dâhilinde aktarılabilir.
Kişisel verilerin aktarılması hususu ilgili kişilere aydınlatma metni veya ek metinler aracılığıyla bildirilir.
Kişisel verilerin aktarılmasında KVKK’nın 8 ve 9. maddelerinde belirtilen kişisel veri işleme şartlarına uyulması zorunludur.
8. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ESASLAR
8.1. Kişisel Verilerin Güvenliğine İlişkin Almış Olduğumuz Teknik ve İdari Tedbirler
Şirket tarafından KVKK ve ikincil mevzuat gereği gerekli idari ve teknik tedbirler alınmaktadır.
8.2. Personel Farkındalığının Sağlanması
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını güvenli bir şekilde sağlamak amacıyla personelde farkındalık yaratmaya yönelik çalışmalar gerçekleştirilir. Bu doğrultuda periyodik aralıklarla bilgi güvenliği ve KVKK alanında eğitimler ve toplantıların düzenlenmesi zorunludur.
8.3. Özel Nitelikli Kişisel Verilerin Korunması
KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunur.
Bu kapsamda kişisel verilerin korunması için alınan teknik ve idari tedbirler, ilgili yasal düzenleme ve Kişisel Verileri Koruma Kurumu (Kurum) tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı baz alınarak belirlenir ve alınabilecek önlemler özel nitelikli kişisel verilerin korunması bakımından özenle uygulanır.
Özel nitelikli kişisel verilerin işlenmesi süreci ile ilgili olarak ayrı bir politika/prosedür oluşturulur.
8.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Süreç
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durum öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ilgili kişilere ve Kurul’a bildirilir. Kurul gerekli görmesi halinde bu durumu, Kurul’un internet sitesinde veya başka bir yöntemle ilan eder. Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılır.
8.5. Kişisel Veri İşleme Envanteri
Veri sorumlusunun tüm departmanlarında kişisel veri işleme envanteri oluşturulur. Kişisel veri işleme envanterinin doğruluğu ve güncelliği 6 aylık periyotlar halinde sorgulanmalıdır.
9. İLGİLİ KİŞİLERİN BAŞVURUSU
9.1. Başvuru Konusu
İlgili kişilerin haklarına azami değer verilir ve haklarını etkin bir şekilde kullanmalarına imkân/olanak sağlanır.
İlgili kişilerin KVKK kapsamında yapacağı başvurular için form oluşturulur ve ilgili kişilerin bilgisine sunulur. Ancak ilgili kişilerin başvurulardabu formu kullanması zorunlu değildir. Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun yapılan her başvuru değerlendirmeye alınacaktır.
Herkes, Veri Sorumlusu’na başvuruda bulunarak kendisiyle ilgili;
a) Kişisel verisinin işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
9.2. Başvuru Yöntemi ve Adresi
www.paareistanbul.cominternet adresimizde veri sorumlusuna başvuru formuna (“Form”) yer verilmiş olup, söz konusu form vasıtasıyla başvuru yapılması zorunlu değildir. Form, ilgili kişilerin KVKK’nın 11. maddesinde sayılan haklarına ilişkin başvurularına alternatif yöntem olarak sunulmakta olup, Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ (“Tebliğ”)’e uygun şekilde yapılan başvurular da değerlendirmeye alınacaktır.
Başvuru Yöntemi | Başvurunun Yapılacağı Adres | Başvuru Konu Başlığı |
Elden başvuru (Başvuru sahibinin bizzat başvurması halinde kimliğini tevsik edici belgenin, vekaleten başvuru yapılması durumunda noter tasdikli vekaletnamenin hazırda bulundurulması gerekmektedir.) | Başak Mah. Nasihat Sk. V1 M7 No:1 Başakşehir/İSTANBUL | Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
Noter vasıtasıyla tebligat | Başak Mah. Nasihat Sk. V1 M7 No:1 Başakşehir/İSTANBUL | Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
Mobil imza, e-imza veya sistemlerimizde kayıtlı e-posta adresi aracılığıyla başvuru (Mobil imza ve e-imza haricindeki başvurularda e-posta adresinin daha önceden sistemlerimizde başvurucu asil ile eşleşmiş olması gerekmektedir.) | Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. | |
Kayıtlı Elektronik Posta (KEP) adresi aracılığıyla başvuru
| Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
9.3. Başvuru Sonrası Süreç
Başvurular, talebin veri sorumlusuna ulaştığı tarihten itibaren talebin niteliğine göre ve en geç 30 (otuz) gün içerisinde yanıtlandırılır. Yanıtlar başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilir.
İlgili kişiler; KVKK’nın 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde veri sorumlusuna cevabını öğrendiği tarihten itibaren 30 (otuz) gün içerisinde ve her halde başvuru tarihinden itibaren altmış gün içerisinde Kurul’a şikâyette bulunabilir.
9.4. Başvuru Ücreti
Başvurular kural olarak ücretsiz yapılmaktadır. Ancak ilgili kişilerin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, veri sorumlusu tarafından Kurul’ca belirlenen tarifedeki ücret alınır.
9.5. Başvurunun Değerlendirmesi
İlgili kişiler tarafından yapılacak başvuruların değerlendirilmesine yönelik olarak veri sorumlusu bünyesinde prosedür oluşturulur.
10. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirketimiz, KVKK’nın 10’uncu maddesine, KVKK’nın ikincil düzenlemelerine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir.
Aydınlatma metinlerinde asgari olarak veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişilerin hakları başlıklarına yer verilir.
Aydınlatma yükümlülüğünün yerine getirilmesinde objektif açıdan en makul yöntem uygulanır. Ancak ispat sorumluluğunun veri sorumlusunda olmasından dolayı, bu metinlerin ilgili kişinin bilgisine sunulmasında yazılı ve ispatlanabilir yöntemin tercih edilmesi esastır.
11. KİŞİSEL VERİLERİ KORUMA KOMİTESİ
Kişisel verilerin korunması hukuku çerçevesinde veri sorumlusu bünyesinde Kişisel Verileri Koruma Komitesi oluşturulur.
Komite, veri sorumlusunun kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf eder.
Komite, veri sorumlusuna yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılmasını sağlar.
Komite, veri sorumlusunun Kurum ve Kurul ile olan ilişkilerini yönetir.
Komite tarafından periyodik aralıklarla denetim yapılır, denetim sonucunda alınması gereken aksiyonlara yönelik tutanak tutulur. Alınması gereken aksiyonlar hakkında maliyet/ihtiyaç analizi yapılır, makul analiz sonuçları ile ilgili işlem yapılır.
Komitenin işleyişine yönelik usul ve esaslar hakkında yönerge oluşturulur.
12. SAKLAMA SÜRELERİ
Kişisel veriler; istihdam süreçlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, mevzuattan veya sözleşmeden kaynaklı yükümlülüklerin yerine getirilmesi, faaliyetlerin mevzuata uygun yürütülmesi, müşteri ilişkileri yönetiminin yapılması, finans ve muhasebe işlerinin yürütülmesi, insan kaynakları süreçlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, mal/hizmet satın alım ve satış süreçleri ile destek süreçlerinin yürütülmesi, talep/şikâyetlerin takibi ve yürütülmesi, yetkili kişi kurum veya kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi, saklama ve imha süreçlerinin yürütülmesi, denetim süreçlerinin yürütülmesi, fiziksel mekân güvenliğinin sağlanması, iş sözleşmesi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, iletişim faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, eğitim faaliyetlerinin yürütülmesi sebepleriyle saklanır, sonrasında ilk periyodik imha işleminde imha edilir.
Saklama süresinin ilgili mevzuatta öngörülmesi durumunda saklama işlemi; öngörülen bu süre boyunca yapılır. İlgili mevzuatta öngörülen bir saklama süresi bulunmuyor ise bu durumda kişisel verilerin işlendikleri amaç için gerekli olan azami süre belirlenir.
Azami saklama süresi belirlenirken aşağıdaki hususlar dikkate alınır:
· İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
· İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
· İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
· İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
· Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
· Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
· Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.
13. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
13.1. Kişisel Verilerin Silinmesi
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için sorumlu kişiler hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, sorumlu kişi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
13.2. Kişisel Verilerin Yok Edilmesi
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, ilgili kâğıt ile yırtılarak veya yakılarak geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, geri döndürülemeyecek bir şekilde imha edilir. |
13.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirketimiz tarafından Kişisel Verilerin Saklanması Ve İmhası Politikası kabul edilmiş olup, kişisel verilerin saklanması ve imhasına ilişkin hususlara anılan politikada detaylıca yer verilmiştir.
14. GÖZDEN GEÇİRME
Politika,gerekli görülen hallerde gözden geçirilir ve ilgili revizeler yapılır.
Politikanın veri sorumlusu bünyesinde uygulanmasına ilişkin hususlar, iç politika, prosedür ve iç yönergeler ile sistematik hale getirilir.
15. YÜRÜRLÜK
15 madde ve 2 ekten oluşan bu Politika,KVK Komitesi tarafından kabul edildiği tarihten itibaren yürürlüğe girer.
Şirket, KVKK, Kişisel Verileri Koruma Kurulu kararları uyarınca ya da şirket iş süreçlerindeki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
