AMAÇ VE KAPSAM
Bu metin, şirketimizin kişisel verileri koruma ve imha konusundaki temel ilkelerini ve politikalarını kapsamaktadır.
Kişisel verilerin korunması şirketimizin önceliklerinden olup, şirket olarak gerek kurum içinde gerekse iş birliği yaptığımız diğer kurum ve kuruluşlarla olan ilişkilerde, kişisel verilerin korunmasını önemsenmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hangi kişisel verilerin nasıl toplandığı, nasıl korunduğu, nasıl işlendiği, nasıl aktarılabileceği ve nasıl imha edildiği açıklamalarının yer aldığı bu kurum politikası hazırlanmış; tüm aşamalarda şirketimiz tarafından uygulanan yöntemler ile alınan idari ve teknik tedbirler belirtilmiş, ayrıca imha süreleri ele alınmıştır.
Veri sahipleri tarafından verilen verilerin doğruluğu ve güncelliğinin takibi veri sahiplerine, aynı şekilde başkalarına ait verilerin şirketimizle paylaşılması ya da yanlış ve eksik verilerin paylaşılmasının sorumluluğu da paylaşanlara aittir.
TANIMLAR
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirme,
c) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
İLKELER
Kişisel verilerin tarafımızdan işlenmesi sürecinde 6698 sayılı Kişisel Verilerin Korunması Kanunu 4. maddesinde belirtilen ilkelere uyulmaktadır.
a) Hukuka ve dürüstlük kurallarına uygun olma: Şirketimiz kişisel verilerin işlenmesinde kanunlara ve diğer hukuksal düzenlemelere uygun hareket etmektedir. Kişisel veriler, dürüstlük kuralı gereği veri sahiplerinin çıkarı ve makul beklentileri göz önünde bulundurularak amacı gereği kullanılmaktadır.
b) Doğru ve gerektiğinde güncel olma: Şirketimiz kişisel verilerin doğru ve gerektiğinde güncel olması için gerekli özeni göstermekte; bilgilerin doğru ve güncel olmasını temin edecek tüm kanalları açık tutmaktadır.
c) Belirli, açık ve meşru amaçlar için işlenme: Şirketimiz kişisel verileri işleme faaliyetlerini ilgili kişiler tarafından anlaşılacak şekilde hukuki işleme şartına dayalı olarak gerçekleştirmektedir. Bu ilke kapsamında açık rıza aydınlatma metinlerinde açık ve anlaşılır bir şekilde davranmaktadır.
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Kişisel veriler, hukukun ve ilgililerin verdiği açık rızalarla maksadın haklı göstereceği oranlarda kullanılmakta ve işlenmektedir.
e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, mevzuatlarda öngörülen ve işlendikleri amaç için gerekli olan süreler kadar muhafaza edilmekte; sebebin kalmaması halinde ise silinmekte, yok edilmekte ya da anonim hale getirilmektedir.
Kişisel verileriniz bu ilkelere uygun olarak işlenmektedir.
KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ SEBEPLERİ
Şirketimizce işlenen kişisel veriler, ilgili mevzuatta belirtilen sebepler ve sürelerle işlenir, korunur ve imha edilir.
6698 sayılı Kişisel Verilerin Korunması Kanununun 5. maddesine göre kişisel veriler ilgili kişinin açık rızası olmaksızın işlenememektedir. Ancak aşağıdaki hallerde hukuka uygun olarak açık rıza olmaksızın da işlenebilecektir.
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
KİMLERİN KİŞİSEL VERİLERİ ALINMAKTADIR
KİŞİSEL VERİLERİN ALINMASI AŞAMASI
HANGİ KİŞİSEL VERİLER ALINMAKTADIR
Kimlik verileri: Adı-Soyadı, T.C. kimlik numarası, ehliyet bilgisi, nüfus cüzdanı fotokopisi, ikametgâh, pasaport, kurum kimlik kartı gibi kişinin kimliğine dair tüm veriler,
İletişim verileri: Adres, telefon, adres, e-mail adresi gibi iletişim kurulmasına yönelik veriler,
Finansal bilgi: Banka hesap numaraları, İBAN vb. gibi veriler,
Resim ve video verileri: Şirket etkinlikleri veya şirket organizasyonlarında alınan resim ve video görüntüleri verileri,
Aile yakınları verisi: Eş, çocuklar, kardeş, anne-baba verileri ve veri sahibine zorunlu durumlarda ulaşılamayan hallerde yakın iletişim bilgisi,
Hukuki işlem ve uyum verisi: Hukuki alacak ve hakların tespiti, takibi ve borçların ifası ile kanuni yükümlülükler ve şirket politikalarına uyum kapsamında işlenen kişisel veriler,
Müşteri verisi: Şirketin ticari faaliyetleri ve bu çerçevede iş birimlerinin yürüttüğü işlemler sonucunda elde edilen veriler,
Fiziksel mekân güvenlik verisi: Şirkete ya da eklentilerine ya da mağazalara gelindiğinde, kalındığında ve çıkıldığında alınan, kamera kayıtları verileri,
İşlem güvenliği verisi: Ticari faaliyetlerin yürütülmesinde teknik, idari, hukuki ve ticari güvenliğin sağlanması için işlenen kişisel veriler,
Çalışan ve çalışan adayı verisi: Şirketimiz bünyesinde çalışmak üzere müracaat eden ve çalışma ilişkisi içine giren kişilere ait veriler,
Denetim ve teftiş verileri: Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler,
Özel nitelikli veriler: Sağlık, sabıka kaydı, genetik verileri, özel nitelikli kişisel veriler,
Talep/şikâyet yönetimi verileri: Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler,
Otomatik yollarla toplanan kişisel veriler: WEB sitesinin ya da uygulamaların ziyaret edilmesi durumunda toplanan veriler.
KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimiz tarafından alınan kişisel verileriniz politikalarımızda ve mevzuatta belirtilen sebeplerle
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
5. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
6. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
7. Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
8. Denetim / Etik Faaliyetlerinin Yürütülmesi
9. Eğitim Faaliyetlerinin Yürütülmesi
10. Erişim Yetkilerinin Yürütülmesi
11. Faaliyetlerin Mevzuata Uygun Yürütülmesi
12. Finans ve Muhasebe İşlerinin Yürütülmesi
13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
14. Fiziksel Mekan Güvenliğinin Temini
15. Görevlendirme Süreçlerinin Yürütülmesi
16. Hukuk İşlerinin Takibi ve Yürütülmesi
17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
18. İletişim Faaliyetlerinin Yürütülmesi
19. İnsan Kaynakları Süreçlerinin Planlanması
20. İş Faaliyetlerinin Yürütülmesi / Denetimi
21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
24. Lojistik Faaliyetlerinin Yürütülmesi
25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
28. Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
31. Organizasyon ve Etkinlik Yönetimi
32. Pazarlama Analiz Çalışmalarının Yürütülmesi
33. Performans Değerlendirme Süreçlerinin Yürütülmesi
34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
35. Risk Yönetimi Süreçlerinin Yürütülmesi
36. Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
37. Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
38. Sözleşme Süreçlerinin Yürütülmesi
39. Sponsorluk Faaliyetlerinin Yürütülmesi
40. Stratejik Planlama Faaliyetlerinin Yürütülmesi
41. Talep / Şikayetlerin Takibi
42. Taşınır Mal ve Kaynakların Güvenliğinin Temini
43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
44. Ücret Politikasının Yürütülmesi
45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini47. Yatırım Süreçlerinin Yürütülmesi
48. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
49. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
50. Yönetim Faaliyetlerinin Yürütülmesi
51. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi ve diğer amaçlar ile işlenmektedir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel verilerin işlenme şartları 6698 sayılı Kişisel Verilerin Korunması Kanununun 6. maddesinde belirtilmiştir. Buna göre özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak olmakla beraber yasanın 6. maddesinin birinci fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesinde, kurul tarafından da belirtilecek önlemlerin yanı sıra teknik ve idari tedbirler alınmaktadır.
ÇEREZLER ÜZERİNDEN ALINAN KİŞİSEL VERİLERİN İŞLENMESİ
İnternet sitemizi ve mobil uygulamalarımızı size daha iyi hizmet verebilmek amacıyla kısa periyotlarla güncellemekte ve geliştirmekteyiz. Bu çerçevede web sitemizi ya da uygulamamızı ziyaret ederken sizin bilgisayarınıza gönderilen bilgiler çerez olarak adlandırılmakta olup bu bilgiler saklanabilir. Şirketimiz, bu çerezler üzerinden verilerinizi toplayabilir, işleyebilir, aktarabilir ve saklayabilir. Tarayıcınız yolu ile bunlar engellenebilir. Çerezlerin kullanılmasında şirketimiz teknik ve idari tedbirleri almaktadır. Buna ilişkin politikamız sitemizden incelenebilir.
ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ
çalışan adaylarının mezun olduğu okul, önceki iş tecrübeleri, engellilik durumu gibi kişisel verilerini de toplamaktayız. Bu veriler öncelikli olarak çalışan adayının tecrübesi ve niteliklerinin anlaşılması ve açık pozisyon için uygunluğunun değerlendirilmesi için toplanmaktadır. Ayrıca bu veriler toplanırken, gerekmesi halinde iletilen bilgilerin doğruluğunun kontrolünün yapılması, iletişim bilgilerini verdiği üçüncü kişiler ile iletişime geçerek aday hakkında araştırma yapılması, iş başvuru süreci ile ilgili adayla iletişime geçilmesi ve açık pozisyona uygun işe alım yapılması hedeflenmektedir. Dolayısıyla çalışan adaylarından söz konusu ilave verilerin toplanması; yasal mevzuata uyum sağlama ve şirketimizin işe alım kurallarıyla insan kaynakları politikalarını uygulama amacı çerçevesinde gerçekleşmektedir.
Çalışan adaylarının kişisel verileri, yazılı ve elektronik ortamlarda bulunan iş başvuru formu, şirketimizin elektronik iş başvuru platformu, şirketimize fiziki ya da e-posta olarak iletilen başvurular, istihdam ve danışmanlık şirketleri, yüz yüze ya da elektronik ortamda yürütülen mülakatlar, şirketimiz tarafından çalışan adayı hakkında yapılan kontroller, insan kaynakları uzmanları tarafından işe alım sürecinde adayın uygunluğunu değerlendirmek için yapılan işe alım testleri vasıtaları ile işlenmektedir.
Çalışan adayları, iş başvurusu yaparken kişisel verilerini iletmeden önce ayrı bir belge ile Kişisel Verilerin Korunması Kanununa uygun bir şekilde detaylı olarak aydınlatılmakta ve gerekli kişisel veri işleme faaliyetleri için açık rızaları alınmaktadır
ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Kişisel verileriniz aşağıdaki durumlarda KVKK ’ya uygun olarak veri sorumlusu ya da atayacağı Tüzel veya gerçek kişiler tarafından işlenebilmektedir;
Acil Durum Yönetimi Süreçlerinin Yürütülmesi,Bilgi Güvenliği Süreçlerinin Yürütülmesi ,Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi,Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi,Denetim / Etik Faaliyetlerinin Yürütülmesi,Eğitim Faaliyetlerinin Yürütülmesi,Erişim Yetkilerinin Yürütülmesi,Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans ve Muhasebe İşlerinin Yürütülmesi,Fiziksel Mekan Güvenliğinin Temini,Görevlendirme Süreçlerinin Yürütülmesi,Hukuk İşlerinin Takibi ve Yürütülmesi ,İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,İletişim Faaliyetlerinin Yürütülmesi,İnsan Kaynakları Süreçlerinin Planlanması,İş Faaliyetlerinin Yürütülmesi / Denetimi,İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi,İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,Organizasyon ve Etkinlik Yönetimi ,Risk Yönetimi Süreçlerinin Yürütülmesi, Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi,Taşınır Mal ve Kaynakların Güvenliğinin Temini,Ücret Politikasının Yürütülmesi,Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi, Yönetim Faaliyetlerinin Yürütülmesi amaçları ile Kişisel verileriniz onayınız ve onay gerekmeyen durumlarda yasal mevzuat gereği işlenmekte ve korunmaktadır.
MÜŞTERİ KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirket ile müşteri olarak ilişki kurduğunuzda, talep ettiğiniz ürünlerin tarafınıza teslimi, fatura ve irsaliye vb. belgelerin tanzim edilmesi, karşılıklı para transferleri, müşteri memnuniyetinin sağlanması, şirketin hukuki yükümlülüklerini yerine getirmesi, sözleşmelerinin imzalanması, banka süreçlerinin yürütülmesi, ticari güvenliğin sağlanması, tüketici hakları ile ilgili süreçlerin yürütülmesi, pazarlama süreçlerinin planlanması gibi amaçlar ile kimlik, iletişim, finans ve hukuki işlem bilgilerini içeren kişisel verileriniz şirketçe fiziksel ve elektronik ortamda alınmakta ve işlenmektedir. Bu verileriniz, tedarikçilerimiz, bayilerimiz, ve resmi kurumlarla iş ve işlemlerin yürütülmesi için paylaşılmaktadır.
ZİYARETÇİLERİMİZİN KİŞİSEL VERİLERİNİN İŞLENMESİ
Şirketimiz, çalışanlarımızın ve ziyaretçilerimizin fiziki güvenliğinin sağlanması, işyeri kurallarının denetlenmesi amaçlarıyla şirket yerleşkelerine gelen ziyaretçilerin giriş çıkış işlemleri sırasında kişisel verilerini işlemektedir. Şirket yerleşkelerine gelen ziyaretçilerimizin kimliği alınmamakta, adı soyadı ve telefonu ziyaretçi defterine kayıt edilerek kimlik ziyaretçiye geri verilmektedir. Ziyaretçi, bu konuda aydınlatılmakta ve açık rızası alınmamaktadır. Bu veriler, sadece fiziki olarak ziyaretçi kayıt defterinde tutulmakta ve şirket güvenliğini tehdit eden şüphe yaratacak bir durum olmadıkça başka bir ortama aktarılmamaktadır. Ancak suçun önlenmesi, şirket güvenliğinin sağlanması gibi durumlarda bu bilgiler kullanılabilmektedir. Ziyaretçilerimize sağlanan internet erişimi kullanıldığında ise mevzuat gereği loglanmakta ve yetkili kamu kurum ve kuruluşlar tarafından talep edilmesi veya şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
KAMERA KAYDI YOLUYLA KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimizin tüm yerleşkelerinde güvenlik amacıyla güvenlik kameraları kullanılmakta ve bu yolla kişisel veri işlenmektedir. Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, şirket fiziki yerleşkelerinin ve şirket içinde bulunan kişilerin can ve mal güvenliğini sağlamak, suiistimalleri önlemek ve veri sahiplerinin meşru menfaatlerini korumak gibi amaçlar taşımaktadır.
Şirketimiz tarafından güvenlik kameraları ile yapılan kişisel veri işleme faaliyetleri, Anayasaya, KVKK’na, 5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun bir biçimde yürütülmektedir.
Şirketimiz, kamera kayıtlarını 6698 sayılı Kişisel Verilerin Korunması Kanununun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Şirketimiz kamera kayıtlarının güvenliği için idari ve teknik tedbirleri almış olup uyarı levhaları ile bilgilendirme yapmaktadır. Şirketimizin kamera kayıtları ile ilgili prosedürü mevcut olup, bu kapsamda uygulama yapılmaktadır.
Şirket yerleşkeleri içerisindeki, giriş kapıları, bina dış cephesi, yemekhane, kafeterya, ziyaretçi bekleme salonu, otopark, güvenlik kulübesi ve kat koridorları hizmet alanında bulunan güvenlik kamerası vasıtasıyla ve bina güvenliğinin sağlanması amacıyla görüntü kaydı yapılmakta ve kayıt işlemi birimi tarafından denetlenmektedir.
KİŞİSEL VERİLERİNİZİN YURT İÇİ VE YURT DIŞINA AKTARILMASI
Kişisel Verileri Koruma Kanununun 8. maddesi ilgili kişinin açık rızası alınmak suretiyle kişisel verilerin üçüncü kişilere aktarılabileceğini belirtmiştir. Ancak kanunda belirtilen, açık rıza gerektirmeyen hallerde kişisel verilerin üçüncü kişilere aktarılabilmesi mümkündür. Şirketimiz ilgili mevzuatta belirtilen sebepler ve sürelerle kişisel verileri aşağıdaki alıcı gruplarına yurtiçinde aktarmaktadır.
1. Gerçek kişiler veya özel hukuk tüzel kişileri
2. Tedarikçiler
3. Yetkili Kamu Kurum ve Kuruluşları
6698 sayılı Kişisel Verilerin Korunması Kanununun 9. maddesi uyarınca kural olarak kişisel verilerin yurt dışına aktarımı için veri sahiplerinin açık rızasını aranmaktadır. Ancak kanunun aynı maddesinin ikinci fıkrası uyarınca, KVKK m. 5/2 ya da m. 6/3’te düzenlenen şartlardan birinin varlığı ve kişisel verilerin aktarılacağı yabancı ülkede; yeterli korumanın bulunması ve yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla veri sahibinin açık rızası aranmaksızın yurt dışına aktarım yapılabilir.
HUKUKİ YÜKÜMLÜLÜKLERİMİZ
Şirketimiz Kişisel Verileri Korunması kanunu kapsamında belirtilen hukuki yükümlülükleri yerine getirmektedir.
1) Aydınlatma yükümlülüğü: Kişisel verilerinizin hangi maçla işleneceği, kimlere ve hangi amaçla aktarabileceğimiz, verileri toplamamızın hukuki sebepleri ve yöntemi ve 11. maddede sayılan diğer haklar ile şirketimizin kimliği ve temsilcimizin bilgileri aydınlatma metninde yer almaktadır.
2) Veri güvenliğine ilişkin yükümlülükler: Şirketimiz veri güvenliğini sağlamak açısından, kişisel verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için her türlü idari ve teknik tedbirleri almaktadır.
Veri güvenliğinin sağlanmasında veri işleyenlerle gizlilik sözleşmeleri yapılmaktadır.
Şirketimiz kendi içinde denetim mekanizmaları ile kendisi denetim yapabileceği gibi üçüncü kişilerden hizmet almak vasıtasıyla da denetim yaptırabilir.
Sır saklama yükümlülüğü çerçevesinde veri işleyenler hukuki ve cezai sorumlulukları konusunda uyarılmakta ve taahhütleri alınmaktadır.
İşlenen kişisel verilerinizin başkaları tarafından elde edilmesi halinde ilgili kişiye, kurula en kısa zamanda bildirilebileceği gibi gerekmesi halinde internet sitemizde gerekse başkaca yollarla ilan edilecektir.
3) Veri sahipleri tarafından yapılan başvuruların cevaplanması ve kurul kararlarının yerine getirilmesi yükümlülüğü
Şirketimiz ilgili kişiler tarafından yapılan başvuruların süresinde cevaplanması ve sonuçlandırılması için gerekli önlem ve çalışmaları yapmış olup şikâyet yönetimini oluşturmuştur. Yine kurul kararlarının yerine getirilmesi ve cevaplanması prosedürleri de mevcuttur.
ŞİRKETİMİZİN ALDIĞI İDARİ VE TEKNİK TEDBİRLER
Şirketimiz, kişisel verilerin korunması amacı ile idari ve teknik tedbirleri almaktadır.
1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
3. Anahtar yönetimi uygulanmaktadır.
4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
5. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
6. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
7. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
8. Çalışanlar için yetki matrisi oluşturulmuştur.
9. Erişim logları düzenli olarak tutulmaktadır.
10. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
12. Gizlilik taahhütnameleri yapılmaktadır.
13. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
14. Güncel anti-virüs sistemleri kullanılmaktadır.
15. Güvenlik duvarları kullanılmaktadır.
16. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
17. Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
18. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
19. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
20. Kişisel veri güvenliğinin takibi yapılmaktadır.
21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
23. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
24. Kişisel veriler mümkün olduğunca azaltılmaktadır.
25. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
26. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
27. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
29. Mevcut risk ve tehditler belirlenmiştir.
30. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
33. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
34. Sızma testi uygulanmaktadır.
35. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
36. Şifreleme yapılmaktadır.
37. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
38. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
39. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
40. Veri kaybı önleme yazılımları kullanılmaktadır.
41. Diğer
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
Kişisel Verilerin Korunmasına ilişkin Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde verileriniz imha politikamız çerçevesinde veya ilgili kişi olarak talebiniz üzerine şirketimiz tarafından silinir, yok edilir veya anonim hale getirilir. Silme, yok etme veya anonim hale getirme esasları “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” çerçevesinde gerçekleştirilir.
Bu sürecin hayata geçirilmesi için “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi” rehberindeki esaslar uygulanmaktadır.
İLGİLİ KİŞİ OLARAK KİŞİSEL VERİLERİNİZE İLİŞKİN HAKLARINIZ
6698 sayılı Kişisel Verilerin Korunması Kanununun 11. maddesi uyarınca veri sahipleri olarak kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:
ŞİKÂYET YÖNETİMİ
Yukarıdaki taleplerinizi Başvuru Tebliği uyarınca aşağıda belirtilen yöntemle şirketimize ücretsiz olarak iletebilirsiniz.
İlgili kişi, kişisel verilerinin işlenmesiyle ilgili şikayetlerini, öncelikle yazılı olarak veya Kurul’un belirleyeceği diğer yöntemler ile Veri Sorumlusu’na iletir. Veri Sorumlusu, başvuruda yer alan taleplerini talebin niteliğine göre en kısa sürede ve en geç 30 (Otuz) gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Veri Sorumlusu ilgili kişinin talebini kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
İlgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilememesi hallerinde; ilgili kişi, Veri Sorumlusu’nun cevabını öğrendiği tarihten itibaren 30 (Otuz) gün ve her halde başvuru tarihinden itibaren 60 (Altmış) gün içinde Kurul’a şikâyette bulunabilir.
İlgili Kişi’nin Kanun’un uygulanmasıyla ilgili hak yöntemleri “İlgili Kişinin Hak Arama Esasları” Rehberi’nde detaylandırılmıştır.
Şikayetlerinizi www.palmeyayinevi.com adreslerine e-posta yolu ile iletebilirsiniz. Başvuru linki konulacaktır.
GÜNCELLEME PERİYODU
Şirketin ekonomik ve ticari kararı veya Kişisel Verilerin Korunması Kurulu ilke kararları doğrultusunda değişiklik yapılması halinde değişiklikler ve güncellemeler verileri alınan ilgili kişilere, veri girişi yapılan yollardan kendisine iletilecektir.
ŞİRKETİMİZ
Veri Sorumlusu: Palme Yayın Dağıtım Pazarlama İç ve Dış Tic. A.Ş.
Adres: A. Adnan Saygun Cad.no: 10/1-2-3 Sıhhiye/ANKARA
Telefon Numarası: 0312 433 37 57
Vergi Dairesi-Numarası: ÇANKAYA VD 7201064770
Mersis Numarası: 0720106477000001
KEP Adresi: palmeyayin@hs01.kep.tr
Web Adresi: www.palmeyayinevi.com
YÜRÜRLÜK
İş bu politika şirket tarafından kabul edilmekle ve yayınlanmakla yürürlüğe girer.