STEELORBİS ELEKTRONİK PAZARYERİ A.Ş.
KİŞİSEL VERİLERİN İŞLENMESİ KORUNMASI SAKLANMASI VE İMHA POLİTİKASI

1- Amaç

İşbu kişisel verilerin işlenmesi korunması saklanması ve imha politikası (“Politika”), şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması, saklanması ve imhasına dair yürürlükteki mevzuata uyumunu sağlamak üzere belirlediği ve uymayı taahhüt ettiği ilkeleri kapsar. Bu Politika’nın temel amacı, SteelOrbis Elektronik Pazaryeri A.Ş. tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına, kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçlerine yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, Kişisel Verilerin Silinmesi, Yok Edilmesi veya AnonimHale Getirilmesi Hakkında Yönetmelik uyarınca yükümlülüklerimizi yerine getirmek, bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen veri sahiplerini bilgilendirilerek şeffaflığı sağlamaktır.

2- Kapsam

Bu Politika; veri sahiplerinin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Bunlara ek olarak, bu Politika’nın içerdiği tüm hükümler Kanun’a ve İkincil Mevzuat’a tabidir. Bu Politika’nın içerdiği hükümler ile ilgili Kanun hükümlerinin çeliştiği veya çatıştığı hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır. Politika Şirketimizin internet sitesinde (tr.steelorbis.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

3- Kapsam

Bu Politika’da kullanılan, aşağıdaki terimler, Politika içinde ayrıca farklı şekilde tanımlanmadıkları sürece, aşağıdaki tabloda gösterilen anlamları ifade edeceklerdir.

TERİM TANIM
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim hale getirme Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İkincil Mevzuat Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş anlamına gelir.
İlgili Kullanıcılar Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifae eder.
Kanun 6698 Sayılı Kişisel Verilen Korunması Kanunu’nu ifade eder.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.
Kişisel Veri İşleme Envanteri Şirketimizin veri sorumlusu sıfatıyla iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı işbu Politika’nın ekinde yer alan envanteri ifade eder.
Kişisel Veri/ler Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin işlenmesi Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum Kişisel Verileri Koruma Kurumu’nu ifade eder.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Sicil Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.
Silme Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Silme ve İmha Politikası Şirket’in, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, silme ve imhaya ilişkin usul ve esasları düzenleyen politikayı ifade eder.
Şirket Steelorbis Elektronik Pazaryeri A.Ş.
Veri İşleyen Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Koruma Komisyonu Şirket’in Kişisel Verilerin Korunması Komisyonu’nu ifade eder.
Veri Sahibi Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. Veri Sahipleri, müşterileri, internet kullanıcılarını, iletişim, elektronik posta ve pazarlama veri tabanı listelerindeki bireyleri, çalışanları, sözleşme taraflarını ve tedarikçileri de kapsar.
Veri Sorumlusu Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicili Hakkında Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’i ifade eder.
Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

4- Genel İlkeler

Kanun’un 4. Maddesinde belirtilen, Kişisel Verilerin İşlenmesinde uyulacak ilkeler aşağıdaki gibidir. Şirket, bu ilkelere uygun davranmayı taahhüt eder.

4.1 Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler

- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

4.1.1 Hukuka ve dürüstlük kurallarına uygun olma

Şirket, Kişisel Veriler’i, hukuka ve dürüstlük kuralına uyarak işlemektedir. Bu kapsamda Kanun ve ikincil mevzuatta yapılacak düzenlemeler takip edilecek ve bunlara uyum için gerekli tedbirlerin alınması konusunda çalışacaktır.

4.1.2 Doğru ve gerektiğinde güncel olma Şirket; işlediği Kişisel Veriler’in doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır.

4.1.3 Belirli, açık ve meşru amaçlar için işlenme.

Kişisel veriler, önceden belirlenmiş ve bildirilmiş amaçlarla Kanun’a uygun olarak işlenecektir.

4.1.4 İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

Şirket veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Bu, şirket tarafından işlenen verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamındadır.

Şirket Veri Sahipleri’nin Kişisel Verilerinin elde edilmesinden önce kendilerine bu amaçları açıkça duyurmaktadır.

Veri işleme amaçlarında değişiklik olması durumunda, ve gerektiğinde bu Politika güncellenecektir. Veri işleme amaçları ve Politika’da yapılacak değişikliklerde, bu durumun Veri sahiplerine duyurulması için gereken çaba gösterilecektir.

4.1.5 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Bunlara ek olarak, Şirket Şirket İmha Politikası’nda verilerin muhafazasına dair öngörülen kural ve prosedürlere de uymaktadır.

4.2 İşleme Şartları

4.2.1 Kişisel Veriler’in İşlenmesi

Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimiz bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda yer alan şartlar uygulanır. Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

4.2.1.1 Kişisel Veri Sahibinin Açık Rızasının Bulunması Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için; veri sahibinin ilgili yöntemler ile açık rızaları alınmaktadır.

4.2.1.2 Kanunlarda Açıkça Öngörülmesi Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.

4.2.1.3 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

4.2.1.4 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

4.2.1.5 Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

4.2.1.6 Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

4.2.1.7 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

4.2.1.8 Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

4.3 Kayıt Ortamı

Veri sahiplerine ait kişisel veriler şirketimizce aşağıda bellirtilen ortamlarda mevzuata uygun olarak saklanmaktadır.

Elektronik Ortamlar: Amazon, Microsoft,
Fiziki Ortamlar: Fiziki ortamlarda saklanmamaktadır.

4.4. Veri Koruma Komisyonu

Şirket’in uyum programı çerçevesinde kişisel verileri işleme koruma saklama ve imha faaliyetlerinin [Murat Eryılmaz, Cemal Kerem Ersoy, Burcu Ayaz Başer] dan oluşan Veri Koruma Komisyonu tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır.

Veri Koruma Komisyonu [Murat Eryılmaz] tarafından yönetilir. Veri Koruma Komisyonu’nun görevleri aşağıdaki gibidir:

1. Satıcıların, tedarikçilerin ve Şirket’ten Kişisel Veri transfer edilen üçüncü tarafların, Şirket’in elde ettiği ve işlediği Kişisel Veriler’e erişimi olanların ve Şirket’e veri sağlayanların bu Politika’ya uyum sağlaması için gerekli prosedürleri ve standart sözleşmesel hükümleri belirlemek,
2. Bu Politika’ya uyum sağlamak için düzenli denetim mekanizmalarını, uygulanan prosedürleri ve geçerli kuralları belirlemek,
3. Veri Sahibi’nin Kanun’dan doğan haklarını kullanırken Şirket’e yönelteceği taleplerine hızlı ve uygun cevap verilmesini sağlayacak sistemi belirlemek, sürdürmek ve yürütmek,
4. Şirket’in uyum programının güncel olmasını sağlamak,
5. Şirket’e ve/veya çalışanlarına karşı yürürlükteki mevzuatın ihlali yüzünden yöneltilebilecek, potansiyel kurumsal ve bireysel, idari veya cezai yükümlülükler hakkında Şirket’in üst düzey yöneticilerini, idarecilerini ve müdürlerini bilgilendirmek ve gerekli işlemleri yürütmek,
6. Şirket’in Kurum, Kurul ve Sicil ile olan ilişkilerini yönetmek ve yürütmek,
7. Sicil’e ilgili mevzuat ve Kurul kararları uyarınca tüm gerekli kayıtların yapılmasını sağlamak ve sicil kayıt işlemlerini denetlemek,
8. Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak,


4.5. Özel Nitelikli Kişisel Veriler’in İşlenmesi

Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. KVK Kanunu’nun
6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

• Kişisel veri sahibinin açık rızası var ise veya
• Kişisel veri sahibinin açık rızası yok ise; ancak kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde işlenmektedir. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler şirketimizce işlenmemektedir.

4.6. Kişisel Veriler’in Aktarılması

4.6.1 Kişisel Veriler’in Üçüncü Kişilere Aktarılması

4.6.1.1 Kişisel Veriler, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmamaktadır.

4.6.1.2 Kişisel Veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.

4.6.1.3 Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için gerekli güvenlik önlemleri alınmaktadır veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişime karşı korunmaktadır.

4.6.1.4 Kişisel Veriler’in üçüncü kişilere takip eden veri işleme faaliyetleri için aktarılması yazılı anlaşmalara tabi olacaktır. Şirket, Veri Koruma Komisyonu ile birlikte bu amaçla kullanılabilecek standart hüküm ve koşulları geliştirecektir.

4.6.1.5 Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

a) Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,

b) Aktarımın kanunlarda açıkça öngörülmesi,

c) Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

d) Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin gerekli olması,

e) Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

f) Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,

g) Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

h) Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.

i) Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir.

4.4.2 Kişisel Veriler’in Yurt Dışına Aktarılması

Şirketimiz [yeterli önlemleri alarak] işlemekte olduğu Kişisel Veriler’i, yukarıda 4.6.1’de belirtilen şartlara tabi olarak, yurt dışında yerleşik üçüncü kişilere aktarabilmektedir. Ancak Kişisel Veriler, Kanun’a uygun olarak, Veri Sahibi’nin aktarıma Açık Rıza vermiş olduğu haller hariç olmak üzere, sadece Kurul tarafından yeterli korumaya sahip olduğu ilan edilecek olan yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumluları’nın yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusu’nun Bulunduğu Yabancı Ülke”) aktarılmaktadır.

Yurt dışına aktarımlara, kullandığımız CRM, toplu e-posta gönderim, e-posta ve yedekleme ile Şirket’in faaliyetlerini yürütebilmesi için ihtiyaç duyabileceği diğer hizmetleri sağlayan programların ve uygulamaların (Emarsys, Google Adwords, Google Analytics, Facebook, Insider vb.) sunucularının veya bunların elde ettiği verilerin gönderildiği sunucuların yurt dışında olduğu durumlar da dahildir.

4.7. Ziyaretçi ve Müşteri Faaliyetlerinin İzlenmesi

4.7.1. Kapalı Devre Kamera Kaydının Alınması

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket’e ait işyerinde kapalı devre kamerayla izleme faaliyeti ile çalışan, ziyaretçi gibi kişilerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Kapalı devre kamera ile izleme faaliyeti kapsamında işlenen kişisel veriler, en fazla [15 gün] süreyle muhafaza edilir.

Ayrıca, güvenlik amacıyla şirketin merkezine girişlerde Şeref Yazgan İş Merkezi bina yönetimi tarafından kimlik kontrolü yapılır ve ziyaretçi defteri tutulur. Bu kapsamda kişisel verilerin işlenmesi ve güvenliği ile ilgili gerekli önlemler alınır.

Kamera kaydı ya da ziyaretçi defterine ilişkin aydınlatmalar, şirket tarafından, ilgililerin kolayca erişebileceği şekilde yapılır.

4.7.2. Ziyaretçilere ve Müşterilere Sağlanan İnternet Erişimleri

Şirket tarafından, talep eden ziyaretçilere Şirket işyerleri içerisinde kaldıkları süre boyunca internet erişimi sağlanabilir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınır; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüklerin yerine getirilmesi amacıyla işlenebilir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Erişim yetkilendirmesi Veri Koruma Komisyonu tarafından yapılır. Kayıtlara erişimi olanlara ayrıca gizlilik taahhütnamesi imzalattırılır.

4.7.3. İnternet Sitesi Ziyaretçileri

Şirketin internet sitesinde; siteyi ziyaret eden kişilerin ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerez/Cookie) site içerisindeki internet hareketleri kaydedilebilir.

Şirketin bu şekilde bir işleme faaliyetini yürütmesi durumunda, bu kapsamda kişisel verilerin korunması ve işlenmesine dair detaylı açıklamalara Şirket’in internet sitesindeki “Çerez Politikası” metninde yer verilir.

4.8. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma

4.8.1 Veri Sahibi’nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Veri’nin elde edildiği her durumda (rıza istensin veya istenmesin), Veri Sahibi’nin uygun şekilde aydınlatılması esastır. (Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere,

 Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
 Veri işlemenin amacı(amaçları)
 Veri aktarımının amacı ve kimlere veri aktarılacağı,
 Veri toplama yöntemi ve hukuki sebebi,
 Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
 İşlenen verinin türü

Veri Sahibi’ne açıklanmaktadır. (Kişisel Veri Aydınlatma ve Açık Rıza Metni)

4.8.2 Yukarıdaki aydınlatma yükümlülükleri, yürürlükteki yasaların aydınlatma için öngördüğü yükümlülüklere istisna getirdiği hallerde uygulanmayacaktır.

a) Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) Veri Sahibi’nin kendisi tarafından alenileştirilmiş Kişisel Veriler’in işlenmesi.

4.8.3 Aydınlatma mümkün olan en kısa sürede ve tercihen Veri Sahibi’yle ilk temas anında yerine getirilmektedirr

4.8.4 Aydınlatma, elektronik olarak, sözlü veya yazılı olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Şirket veya Veri Koruma Komisyonu tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanması gerekmektedir.

4.6.5 Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.

4.7. Mevzuata Uyumlu Olmayan Yeni Kişisel Veri İşleme Faaliyetlerinden kaçınma

Kural olarak, Şirket tarafından Veri Koruma Komisyonu’nun onayı alınmadan yeni Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir.

4.8 Veri Sahibi’nin Hakları

4.8.1 Kanun’un 11. maddesi gereğince; veri sahipleri, şirketimize, kimliklerini tespit etmeye yarayacak belgelerle birlikte başvurmak suretiyle kişisel verilerinin; işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, aktarıldığı üçüncü kişilere yukarıda belirtilen düzeltilme, silinme veya yok edilme kapsamında yapılan işlemlerin bildirilmesini isteme, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme haklarına sahiptir.

Veri Sahibi’ni temsilen hareket edenlerin taleplerinin işleme alınabilmesi için, Kişisel Veriler’i ile ilgili talepler veya eylemlere dair özel hüküm içeren ve Veri Sahibi tarafından çıkarılmış bir vekaletnameyi (noter tasdikli) talepleriyle birlikte Şirket’e sunmaları gerekir. Çocukları veya vasisi oldukları kişiler adına başvuru yapanlardan nüfus cüzdanı ve vesayet kararı istenir.

Şirket bu talepleri alındığında kaydetmek ve cevap veriliş tarihlerini de takip etmek için bir system oluşturacaktır. Gelen bu talepler, “veri koruma komisyonu”na iletilecektir.

Yürürlükteki yasa ve yönetmelikler aksini gerektirmedikçe, Şirket, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Şirket, yasal sürede talebe cevap veremese dahi, talebi aldıgını, varsa o zamana kadar bu konuyla ilgili topladığı bilgileri, istenen bilgileri vermeyecekse bunun gerekçelerini ve buna ilişkin (varsa) itiraz yollarını başvurana bildirir. Şirket, yukarıda belirtilen bilgileri sağlamak için veri sahibinden herhangi bir ücret talep etmeyecektir. Ancak, bilgi talebinin şirkete ek maliyet yaratması durumunda, buna ilişkin ücret talep edilebilir.

5 KIŞISEL VERILER’IN SAKLANMASI, SILINMESI, YOK EDILMESI VE ANONIMLEŞTIRILMESI (“KIŞISEL VERILER’IN SAKLANMASI VE İMHASI”)

5.1 Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebepler

Şirketimiz, kişisel verileri aşağıdaki sebeplerle saklamaktadır :
• Sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması
• Bir hakkın tesisi, kullanılması veya korunması
• Kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimizin meşru menfaatleri için saklanmasının zorunlu olması
• Şirketimizin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla
• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi
• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması

Aşağıdaki hallerde veri sahiplerine ait kişisel veriler şirketimizce re ’sen veya veri sahibinin isteği üzerine silinir, yok edilir veya anonim hale getirilir :
• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
• Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, very sahibinin rızasını geri alması
• Veri sahibinin Kanundaki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun şirketimizce uygun bulunması
• Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

5.2 Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler,

KVKK envanterinde detaylı olarak açıklanmıştır.

5.3 Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler

KVKK envanterinde detaylı olarak açıklanmıştır.

5.4 Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları

KVKK envanterinde detaylı olarak açıklanmıştır.
5.5 Saklama ve imha sürelerini gösteren tablo,

KVKK envanterinde detaylı olarak açıklanmıştır. Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

5.6 Periyodik imha süreleri

Saklama süresi dolan kişisel veriler, KVKK envanterinde belirtilen imha sürelerine uyularak 6 aylık periyodlarla aşağıda belirtilen usullere göre imha edilir.

5.7 İmha Yöntemleri

Şirket tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Şirket tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını şirketimiz seçer. İlgili kişinin talebi halinde şirketimiz uygun yöntemi gerekçesini açıklayarak seçer.

5.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri: Şirket tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

5.1.1 Kişisel Verilerin Silinmesi:

a) Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında buluan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir. Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.


b) Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.
c) Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

5.1.2 Kişisel Verilerin Yok Edilmesi:

5.1.2.1 Elektronik Kayıtlar;
 De-manyetize Etme,
 Fiziksel Yok Etme,
 Üzerine Yazma ve yollarıyla yok edilebilir.
 Kişisel verilerin yer aldığı flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları için, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği Yok Etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.
 CD, DVD gibi veri saklama ortamlarında yer alan kişisel veriler, yakma, küçük parçalara ayırma, eritme gibi fiziksel Yok Etme yöntemleriyle yok edilir.
 Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimlerinde yer alan kişisel veriler, tüm veri kayıt ortamlarının söküldüğü doğrulandıktan sonra birimin niteliğine göre uygun Yok Etme yöntemi seçilir.
5.1.2.2 Fiziksel Kayıtlar ise kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta (mümkünse dikey ve yatay şekilde parçalanarak) veya okunmasını imkânsız kılacak başka yöntemlerle (örneğin, Kayıt’ı birleştirilemeyecek ufak parçalara kesmek veya fiziksel kaydı uygun bir ortamda yakmak vb.) imha edilir.
5.1.2.3 Bulut sistemleri için; bu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenir ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
5.1.2.4 Arızalanan ya da bakıma gönderilen cihazlar için; bu cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:
a) İlgili cihazların bakım, onarım işlemi için üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin uygun yöntemle yok edilmesi
b) Yok Etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
c) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması,

Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirket ; Kanun, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

5.1.3Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri:

5.1.3.1 Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

a) Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir
b) Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir. Örneğin, bir şirkette tek kıdemli müdür var ise bu kişiye ait verilerin birbirleri ile aynı kademede bulunan çalışanların kıdem, maaş ve cinsiyet verilerinin tutulduğu kayıtlardan çıkarılması ile kalan veriler anonim hale getirilebilecektir.
c) Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.
d) Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.
e) Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin; çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.
f) Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

5.1.3.2. Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratmaktadır. Bu yöntemler kullanılırken elde edilmesi beklenen/istenen fayda doğrultusunda sapmaların dikkatli uygulanması gerekecektir. Toplam istatistiklerin bozulmaması sağlanarak veriden beklenen fayda sağlanmaya devam edilebilir.
a) Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur.Sapma her değere eşit ölçüde uygulanır. Mikro
b) Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır. Örneğin, maaş bilgisi için; 10.000 TL altı ve üstü iki grup yapılır ise, 10.000 ve daha az maaş alan kişilerin maaşlarının toplamı kişi sayısına bölünür ve 10.000TL altında maaş alan herkesin maaş kümesine elde edilen bu değer yazılır.
c) Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.
5.1.4 Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler şirketimizce kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

6- Şirket’in İşleme Faaliyetleri İçin Sicil’e Kaydolunması

Şirket kayıt yükümlülüğünü, zorunlu olması halinde, Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirecektir.

7- Üçüncü Taraf Veri İşleyen Kullanılması

7.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen seçilecektir. Veri işleyen ile, uyulması gereken kurallara ilişkin sözleşme yapılacaktır.

8- Veri güvenliği

8.1 Fiziksel-Teknolojik-Organizasyonel Tedbirler

8.1.1 Şirket, Kişisel Veriler’in güvenliğinin sağlanması için verilerin maruz kalabilecekleri riskleri de dikkate alarak orantılı fiziksel, teknik veya organizasyonel tedbirleri alacaktır. Bu önlemler, Şriket’in bilgi güvenliği politikalarına uygun olarak belirlenecektir.

8.2 Çalışan Gizlilik Sözleşmeleri

Şirket içinde, Kişisel Veriler’in işlenmesiyle ilgili bir sürecin, herhangi bir aşamasına dahil olan herkes, işten ayrılsa bile devam etmek kaydıyla düzenlenecek, bir gizlilik taahhüdünü içeren Gizlilik Sözleşmesi imzalar.

9 UYUM

9.1 Mevcut Uyum Değerlendirmesi

Şirket, tüm iş birimleri için mevcut mevzuata uyumun sağlanması için gerekli kontrolleri yapacak, uyumsuzlukların giderilmesi için makul düzeltme süreleri vererek bunları takip edecektir.

9.2 Bildirim

Herhangi bir iş sürecinde, mevcut bulunan kişisel veri işleme, saklama ve imha işleyişinden farklı bir işleyişe geçilmesinin gerektiği durumlarda, süreç Veri Koruma Komisyonu’na bildirilir ve uyumluluğu kontrol edilir.

10. YÜRÜRLÜK VE SORUMLULUK

Bu politika, yayımlandığı tarihten itibaren geçerlidir. Politika’da yapılacak değişiklikler, bu Politika’nın yayımlandığı yöntemle tüm ilgili taraflara bildirilecektir.