Son Değişiklik: 28 Haziran 2022
LABOR BİLİŞİM MEDİKAL İNŞ. YAY. TİC. LTD. ŞTİ.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
POLİTİKASI
I.
BÖLÜM
POLİTİKANIN
HAZIRLANMA AMACI VE KAPSAMI
6698
sayılı Kişisel Verilerin Korunması Kanunu, 2010 yılında kişisel verilerin
korunmasının Anayasal bir hak olmasının ardından 2016 yılında yürürlüğe girmiş;
kişisel verilerin işlenmesi aşamasında özel hayatın gizliliği ilkesini muhafaza
etmek ve temel hak ve özgürlüklerin zarar görmemesi adına geliştirilmiş bu konu
hakkında usul ve esasları gösteren hukuki bir koruma aygıtıdır.
6698
Sayılı Kanunun (“KVKK” ya da “Kanun”) 16 ncı maddesi gereğince Veri Sorumluları
Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme
envanterine uygun olarak kişisel verilerin korunması ve işlenmesi politikası
hazırlama yükümlülüğü vardır.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Labor
Bilişim Medikal İnşaat Yay. Tic. Ltd. Şti. veri sorumlusu sıfatıyla elimizde
bulundurduğumuz kişisel verilerin, 6698 sayılı Kanun ve sair mevzuatı uyarınca
kişisel verilerin korunması ve işlenmesine ilişkin Şirket tarafından
uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
TANIMLAR
Kişisel Veri, Kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Verilerin İşlemenmesi, Kişisel verilerin tamamen veya kısmen otomatik olan
ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlemdir.
İlgili Kişi, Kişisel verisi işlenen gerçek kişidir.
Açık Rıza, Belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızadır.
Veri Sorumlusu, Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen, Veri
sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişidir.
Veri Kayıt Sistemi, Kişisel verilerin belirli kriterlere göre yapılandırılarak
işlendiği kayıt sistemidir.
KİŞİSEL
VERİLERİ KORUMA KANUNUN VE YÖNETMELİĞİN TANIMLADIĞI ÖZNELER
Veri
Sorumlusu, kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
İlgili
Kullanıcı,
verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan
kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya
veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri
işleyen kişilerdir.
Alıcı
Grubu, veri
sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisidir.
İlgili
kişi, kişisel
verisi işlenen gerçek kişidir.
Envanter,
veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve
hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi
grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri
amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere
aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanterdir.
Envanter
hazırlama yükümlülüğü getirilmesinin nedeni; veri sorumlularının faaliyetlerine
bağlı tüm süreçlerinde Kanuna uyumunun sağlanması, başka bir ifadeyle Kanuna
aykırı bir kişisel veri işleme durumu olup olmadığının kolayca tespitinin
sağlanmasıdır. Böylelikle kişisel veri işleme faaliyetlerinin Kanuna uyumu ile
ilgili veri sorumlusu bir tür kendi kendini denetleme işlemi
gerçekleştirebilecektir.
Veri
Sorumluları Sicili Hakkında Yönetmeliğe göre Veri Sorumlusu Şirket olarak envanterde
asgari olarak;
-Veri
kategorisi,
-Kişisel
veri işleme amaçları ve hukuki sebebi,
-Aktarılan
alıcı / alıcı grupları,
-Veri
konusu kişi grupları,
-Kişisel
verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi,
-Yabancı
ülkelere aktarımı öngörülen kişisel veriler,
-Veri
güvenliğine ilişkin alınan teknik ve idari tedbirler yer almaktadır.
II.
BÖLÜM
KİŞİSEL
VERİLERİN İŞLENME ŞARTLARI
Kişisel
verilerin işlenmesi, Kanunun 3 üncü maddesinde tanımlanmıştır. Buna göre; Veri Sorumlusu
Şirket olarak kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,
elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, kişisel
verilerin işlenmesi olarak kabul etmekteyiz.
Kişisel
verilerin işlenme şartları ise Kanunun 5 inci maddesinde sayılmıştır. Buna göre
hareket edip aşağıdaki hallerden en az birinin bulunması durumunda kişisel
verileri kanunen işlemekteyiz.
•
İlgili kişinin açık rızasının varlığı,
•
Kanunlarda açıkça öngörülmesi,
•
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu olması,
•
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
•
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması,
•
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
•
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması,
•
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Kişisel
verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla
belirlenmiş olup, bu şartlar genişletilemeyecektir.
Veri
Sorumlusu sıfatıyla Şirket olarak, yukarıda sayılmış şartları sağlayarak veri
işlemekteyiz.
I.AÇIK
RIZA
Veri
Sorumlusu olarak Şirket veri işleme faaliyetinin gerçekleştirilmesinde
öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılamayacağını
değerlendirip, bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması
yoluna başvurmaktayız.
II.
KANUNLARDA AÇIKCA ÖNGÖRÜLMESİ
Veri
işleme şartlarından birisi de kanunlarda açıkça öngörülmesidir. Kanunlarda
kişisel verilerin işlenebileceğine ilişkin bir hüküm veri işleme şartını
oluşturacaktır. Örneğin, kolluk tarafından bir suç soruşturması sebebiyle, 2559
sayılı Polis Vazife ve Salahiyet Kanununun (PVSK) 5. maddesi uyarınca
şüphelilerin parmak izlerinin alınması; 5352 sayılı Adli Sicil Kanunu uyarınca
Adalet Bakanlığının kişilerin ceza mahkûmiyetlerine ilişkin verilerinin
işlenmesi bu kapsamdadır.
III.
FİİLİ İMKÂNSIZLIK HALİ
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya
beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel
verileri işlenebilecektir.
IV.
SÖZLEŞMENİN KURULMASI VE İFASI İÇİN GEREKLİ OLMASI
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması
durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin
işlenmesi mümkündür.
V.
VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI
Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin
zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.
Veri
Sorumlusu Şirket olarak çalışanlara maaş ödeyebilmek için, çalışanın banka
hesap numarası, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı,
sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi bu duruma
örnek verilebilir.
İşveren
sıfatıyla vergi denetimi sırasında çalışanlarımıza ait bilgileri ilgili kamu görevlilerinin
incelemesine sunmamız da bu kapsamda değerlendirilebilir.
VI.
KİŞİSEL VERİLERİN İLGİLİ KİŞİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI
İlgili
kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir
şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma
örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi
amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir.
Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve
kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde
paylaşılması halinde de alenileştirmeden söz edilebilir. Ancak, kişisel verinin
aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir.
Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme
iradesinin varlığı gerekir.
Bu
sebepler prensip olarak bir kişinin kişisel verisinin herkesin görebileceği bir
yerde olmasını alenileştirmek olarak algılamayıp, kişinin paylaştığı verisini
sadece o amaçla alenileştirdiğini kabul etmektedir.
VII.
KİŞİSEL VERİLERİN İŞLENMESİNİN BİR HAKKIN TESİSİ VEYA KULLANILMASI İÇİN ZORUNLU
OLMASI
Bir
hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili
kişinin kişisel verilerinin işlenmesi mümkündür.
Ayrıca,
Veri Sorumlusu Şirket olarak kurduğumuz sözleşmeler sona erdikten sonra, olası
yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme,
kefaletname gibi belgelerin bu amaçlar için saklanması bu kapsamda
değerlendirilecektir.
VIII.
VERİ İŞLEMENİN İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK
KAYDIYLA VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN ZORUNLU OLMASI
İlgili
kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel
verilerinin işlenmesi mümkündür.
Bazı durumlarda veri sorumlusunun
meşru menfaati bakımından veri işleme söz konusu olabilmektedir. Örneğin
çalışanlarımızın temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların
terfileri, maaş zamları veyahut sosyal haklarının düzenlenmesinde ya da
işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas
alınmak üzere çalışanlarımızın kişisel verilerinin işlenmesi veri sorumlusunun
meşru menfaati kapsamında değerlendirmekteyiz.
III.
BÖLÜM
KİŞİSEL
VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
Veri
Sorumlusu Şirket tarafından, kişisel verilerin korunması mevzuatına uyum
sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler
benimsenmektedir:
Uluslararası
belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel
verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4 üncü
maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı
Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde
düzenlenmiştir.
Buna
göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler
şunlardır:
•
Hukuka ve dürüstlük kurallarına uygun olma,
•
Doğru ve gerektiğinde güncel olma,
•
Belirli, açık ve meşru amaçlar için işlenme,
•
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
•
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme. Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel
veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme
faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
A) Hukuka ve Dürüstlük Kurallarına
Uygun Olma İlkesi
Hukuka
ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve
diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi
zorunluluğunu ifade etmektedir.
Dürüstlük
kuralına uygun olma ilkesi uyarınca Veri Sorumlusu Şirket tarafından, veri
işlemedeki hedeflerimize ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve
makul beklentilerini her zaman dikkate almaktayız. Ayrıca prensip olarak ilgili
kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını
önleyici şekilde hareket etmekteyiz. Bahsedilen ilke uyarınca ayrıca ilgili
kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve Veri Sorumlusu Şirket
tarafından bilgilendirme ve uyarı yükümlülüklerine her zaman uygun hareket etmekteyiz.
B) Doğru ve Gerektiğinde Güncel Olma
İlkesi
Veri
Sorumlusu Şirket olarak kişisel verilerin doğru ve gerektiğinde güncel
olmasının sağlanması noktasında aktif özen yükümlülüğü taşıdığımızın
farkındayız. Buna uygun olarak da her zaman ilgili kişinin bilgilerini doğru ve
güncel olmasını temin edecek kanalları açık tutmaktayız.
C) Belirli, Açık ve Meşru Amaçlar İçin
İşlenme İlkesi
Kişisel
verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
•
Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde
anlaşılabilir olmasını,
•
Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak
gerçekleştirildiğinin tespit edilmesini,
•
Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının
belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.
Bu
itibarla Veri Sorumlusu Şirket olarak, kişisel veri işleme amaçlarının
açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin
başvurularını cevaplama, veri sorumlusu siciline olan başvuru) belirlilik ve
açıklık ilkesine uyumda yüksek bir hassasiyet gösterip, söz konusu hukuki
metinleri karşı tarafa sunarken herkes tarafından kolayca anlaşılabilmesi adına
teknik-hukuki terminoloji kullanımı minimum seviyede tutmaktayız.
Bu
esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da
önemlidir.
D) İşlendikleri Amaçla Bağlantılı,
Sınırlı ve Ölçülü Olma İlkesi
Veri
Sorumlusu Şirket olarak işlenen verilerin belirlenen amaçların
gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili
olmayan veya ihtiyaç duyulmayan kişisel verilerin gereksiz yere işlenmesinden
kaçınmaktayız. Bu noktada belirlenen amaca hizmet edebilmesi adına minimum
seviyede kişisel veri işlemekteyiz.
Bunun
gibi, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik
olarak veri işlenmesi yoluna da gidilmemektedir. Ayrıca işlenen veri, sadece
amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı
tutulacaktır. Veri Sorumlusu Şirket prensip olarak amacı gerçekleştirmeye
yönelik yeterli verinin temin edilmesinden sonra, bunun dışındaki amaç için
gerekli olmayan veri işlemeden kaçınmaktadır.
E) İlgili Mevzuatta Öngörülen veya
İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Veri
Sorumlusu Şirket kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği
olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza etmektedir.
Kanunun 12 nci maddesinde de belirtildiği gibi veri sorumlusu; kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka
aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik
ve idari tedbirleri almak zorundadır. Bu konuda Veri Sorumlusu Şirket olarak,
idari ve teknik tedbirleri almakla yükümlü olduğumuzun farkındayız.
Kişisel
verilerin saklanması için amaçla sınırlılık ilkesi uyarınca Veri Sorumlusu Şirket
olarak belirlenen saklama sürelerinin yanı sıra, tabi olduğumuz ilgili mevzuat
kapsamında da belirlediğimiz saklama süreleri mevcuttur. Buna göre; ilgili
kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye riayet
edecek; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç
için gerekli olan süre kadar saklamaktayız.
Bir
verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o
veri silinecek, yok edilecektir. İleride tekrar kullanılabileceği düşünülerek
ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna
gidilemeyeceğinden yukarıda bahsedilmişti.
Ayrıca
Veri Sorumlusu Şirket olarak, Kanunun 16 ncı maddesi uyarınca sicile kayıt için
başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi Veri
Sorumluları Sicili Hakkında Yönetmeliğin 9 uncu maddesini göz önünde
bulundurarak tespit edip gerekli olan süreleri hukuki metinlerimizde
yayınlanmıştır.
IV.
BÖLÜM
ÖZEL
NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel
nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık
yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu
nedenle Veri Sorumlusu Şirket olarak söz konusu nitelikteki verilerin korunması
ve işlenmesi hususunda diğer kişisel verilere göre çok daha sıkı şekilde
korunmaları gerektiğinin farkındayız. Nitekim Kanun, bu verilere özel bir önem
atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun
bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul
etmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da
Kanunda sayılan sınırlı hallerde işlenebilir.
Kanuna
göre Veri Sorumlusu Şirket olarak özel nitelikli kişisel verileri ilgili
kişinin açık rızasını alarak işlemekteyiz.
Ancak
Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık
rızası dışında aşağıdaki hallerde de mümkündür:
•
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak
kanunlarda öngörülen hallerde,
•
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından işlenebilir.
V.
BÖLÜM
KİŞİSEL
VERİ KATEGORİLERİ
A) Kimlik Bilgisi:
Kişinin
kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad soyad, T.C. kimlik
numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet
gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile
vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgilerdir.
B) İletişim Bilgisi:
İletişim
bilgileri; telefon numarası, adres, e-mail adresi, faks numarası gibi kişisel
veriler.
C) Fiziksel Mekân Güvenlik Bilgisi:
Fiziksel
mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve
belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve
güvenlik noktasında alınan kayıtlardır.
D) İşlem Güvenliği Bilgisi:
Veri
Sorumlusu Şirket olarak faaliyetleri yürütürken veri sahibinin teknik, idari,
hukuki güvenliğinin sağlanması için işlenen kişisel verilerdir.
E) Risk Yönetimi Bilgisi:
Teknik
ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki,
teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla
işlenen kişisel verilerdir.
F) Finansal Bilgi:
Veri
Sorumlusu Şirket ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan
her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen
kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi,
finansal profil, malvarlığı verisi, gelir bilgisi gibi kişisel verilerdir.
G) Hukuki İşlem ve Uyum Bilgisi:
Veri
Sorumlusu Şirketin hukuki alacak ve haklarının tespiti, takibi ve borçlarının
ifası ile kanuni yükümlülükler ve Şirketin politikalarına uyum kapsamında
işlenen kişisel verilerdir.
H) Özel Nitelikli Kişisel Veri:
Kanunun
6 ncı maddesinde belirtilen (örneğin; kan grubu da dahil sağlık verileri,
biyometrik veriler, din ve üye olunan dernek bilgisi gibi) verilerdir.
İ) Talep/Şikâyet Yönetimi Bilgisi:
Veri
Sorumlusu Şirkete yöneltilmiş olan her türlü talep veya şikâyetin alınması ve
değerlendirilmesine ilişkin kişisel verilerdir.
VI.
BÖLÜM
VERİ
SORUMLUSU TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Veri
Sorumlusu Şirket, Kanunun 10 uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel
verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini
sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Şirket tarafından
veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan;
1.
Şirket tarafından veri sahiplerinin kişisel verilerinin hangi amaçla
işleneceği,
2.
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
3.
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
4.
İlgili kişinin Kanunun 11 inci maddesinde sıralanan haklarına ilişkin olarak;
–
Kişisel verilerinin işlenip işlenmediğini öğrenmek,
–
Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
–
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenmek,
–
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilmek,
–
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların
düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini istemek,
–
Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok
edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü
kişilere bildirilmesini istemek,
–
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
–
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
halinde zararın giderilmesini talep etme hakları bulunmaktadır.
Gerekli
usul ve esasları dikkate alarak veri sahibi ilgili kişiye söz konusu aydınlatma
yükümlülüğümüzü yerine tam ve doğru bir şekilde yerine getirebilmek temel
prensiplerimizden biridir.
VERİ SORUMLUSU ŞİRKET TARAFINDAN
KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI
Veri sahiplerinin kişisel
verilerine ilişkin taleplerini Veri Sorumlusu Şirkete yazılı olarak veya KVK
Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Şirket veri
sorumlusu sıfatıyla ilgili kişinin Kanunun 11 nci maddesinde yazılı herhangi
bir hakkını Kanunun 13 ncü maddesine uygun olarak kullanmak adına tarafımıza
iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve
ilgili kişiye bilgi verilmektedir.
Veri
sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul
ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.
Şirket
veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu
kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep
edebilir. Ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde
sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili
soru yöneltebilir.
VII.
BÖLÜM
VERİ
SORUMLUSU ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN
SAĞLANMASI
Şirket
tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini
önlemek için, “Kişisel Verileri Saklama ve İmha Politikası” nda da belirtildiği
üzere gerekli idari ve teknik tedbirleri almaktadır.
Bu
kapsamda alınan gerekli idari ve teknik tedbirlerin yanında, Şirket bünyesinde
denetim sistemi kurulmakta ve kişisel verilerin kanuni olmayan yollarla ifşası
durumunda Kanunda öngörülen tedbirlere uygun olarak hareket edilmektedir.