ADEN GAYRİMENKUL DEĞERLEME VE DANIŞMANLIK A.Ş.

POLICY ON THE PROTECTION AND PROCESSING OF PERSONAL DATA

BÖLÜM 1 – POLİTİKANIN AMACI;

Kişisel Verilerin Korunması hakkı, Türkiye Cumhuriyeti Anayasası MADDE 20’ de aşağıdaki şekilde yer almaktadır.

“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz. (Ek fıkra: 12/9/2010-5982/2 md.) Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”

The Law on Protection of Personal Data No. 6698, which aims to protect the fundamental rights and freedoms of the individual during the processing of personal data, was sent to the Presidency of the Grand National Assembly of Turkey on 18 January 2016 with various amendments made on the previous texts and was adopted by the General Assembly of the Turkish Grand National Assembly on 24 March 2016 and enacted on 7 April. It was published in the Official Gazette dated 2016 and numbered 29677 and entered into force.

In paragraph (1) of article 12 of the Law on Protection of Personal Data No. 6698 (Law), the Data Controller;

  • To prevent the unlawful processing of personal data,
  • To prevent unlawful access to personal data,
  • Kişisel verilerin muhafazasını sağlamak,

Amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, (5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu olarak; Şirketimiz tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada şeffaflığı ve hukuka uygunluğu sağlamak ve kişisel verileri şirket tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek amacıyla bu politika hazırlanmıştır.

Bu Politika ile çalışanlarımızın, çalışan adaylarımızın, gerçek kişi müşterilerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışan ve hissedarlarının, yetkililerinin, mal ve hizmet tedarikçilerimizin ve bunların çalışanlarının, kurum ile iş ilişkisi bulunan danışman ve diğer üçüncü kişilerin kişisel verilerinin hukuka uygun şekilde korunması ve işlenmesi prensipleri oluşturulmaktadır.

Şirket bu Politika ile bir Anayasal hak olan Kişisel Verilerinin Korunmasını bir Şirket Politikası haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir. KVK Politikası ile, şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması ve tüm süreçlerde mevzuata uyumu temin etmek için sürdürülebilir ve denetlenebilir sistemin kurulması amaçlanmaktadır.

Kişisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak şirket içerisinde gerekli politika ve prosedürler düzenlenmekte, aydınlatma metinleri oluşturulmakta, açık rızalar uygulanmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları yenilenmekte, kişisel verilerin korunması için şirketimiz tarafından mevzuata uygun idari ve teknik güvenlik tedbirleri alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır.

CHAPTER 2- DEFINITIONS

Kişisel Verilerin Korunması Kanunu ve şirketimizin ‘Kişisel Verilerin Korunması ve İşlenmesi Politikasında’ yer alan bazı tanımların açıklamalarına aşağıda yer verilmiştir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Personal Data Owner: Natural person customers, employees, employee candidates, suppliers and employees, partners, other third-party real persons under the contract with the Company, whose personal data are processed. 

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Örneğin: adı-soyadı, TCKN, e-posta, adres, iş adresi, doğum tarihi, doğum yeri, kredi kartı numarası, ehliyet no, banka hesap numarası, pasaport no, ruhsat no, diploma vb. 

Special Qualified Personal Data: Data related to race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, dress, association, foundation or union membership, health, sexual life, criminal conviction and security measures, and biometric and genetic data are special data. 

Data Controller: The person who determines the purposes and means of processing personal data, establishes and manages the data recording system where the data is processed and stored in a systematic way is the data controller. 

Data Processor: The natural or legal person who processes data on behalf of the data controller within the scope of the authority given by the data controller.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Deletion of Personal Data: It is the process of making personal data inaccessible and unusable for the relevant users in any way.

Kişisel Verilerin Yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Anonymization: It is the rendering of personal data in no way associated with an identified or identifiable natural person, even if it is matched with other data.

KVKK: 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu

KVK Board: Personal Data Protection Board

Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan ‘’Şirket Kişisel Veri Saklama ve İmha Politikası”.

Data Controllers Registry: The Data Controllers Registry, which is open to the public and kept under the supervision of the Personal Data Protection Authority, under the supervision of the KVK Board.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ: 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.

SECTION 3 – GENERAL PRINCIPLES ON THE PROCESSING OF PERSONAL DATA 

Kişisel Verilerin İşlenmesi Genel İlkelerde; 

“KANUN MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.

 (2) It is obligatory to comply with the following principles in the processing of personal data:

  1. a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” hükümleri yer almaktadır.

Şirketimiz uygulamalarında; Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven, dürüstlük ve şeffaflık kuralına uygun hareket edilmektedir. Bu çerçevede, kişisel veriler iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

Kişisel verilerin işlenme amaçları açıkça ortaya konulmakta ve bunlara aydınlatma metinlerin de yer verilmektedir. Veriler iş faaliyetleriyle bağlantılı amaçlar kapsamında işlenmektedir. 

Necessary measures are taken to ensure that personal data is accurate and up-to-date throughout the processing period.

Şirket, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir. 

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve faaliyetle ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir.  Mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmaktadır. 

Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve veri sorumlusu tarafından belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir

 

BÖLÜM 4- İŞLENEN KİŞİSEL VERİLER VE KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Şirket, tarafından özel nitelikli kişisel verileriniz ve diğer kişisel verileriniz, veri kategorileri ile bağlantılı ve ölçülü şekilde aydınlatma metinlerinde yer verilen amaca bağlı ve Kanunun 5. Ve 6. Maddesinde yer alan hukuki sebepler belirlenerek işlenebilmektedir. Aydınlatma Metinlerinde, işlenen kişisel verilerinize, işleme amacı ve hukuki sebepleriyle eşleştirilerek her veri kategorisi bazında ayrı ayrı yer verilmektedir.  İlgili tüm kişilere bilgi verilmesi amacıyla şirket müşterilerine, çalışan ve çalışan adaylarına, danışman, hizmet sağlayıcı ve tedarikçilere, çözüm ortaklarına, ziyaretçilere yönelik ayrı aydınlatma metinleri hazırlanmış ve uygulamaya alınmıştır. 

KVKK mevzuatına uyumlu olarak elde edilen ve işlenen kişisel verileriniz Şirketimize ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza edilecek, güvenlik tedbirleri alınarak kontrolü Şirketimizde olmak üzere Şirket dışındaki teknolojik ortamlarda yedeklenebilecektir. 

SECTION 5- DISCLOSURE AND INFORMATION OF THE PERSONAL DATA OWNER 

Şirketimiz   KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır.10. madde kapsamında Şirket , veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre ilgili kişilere bilgilendirme  yapmaktadır. 

Şirketimiz kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte, kişisel verileri amacın gerektirdiği faaliyetler dışında kullanmamaktadır. 

Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını ve aktarma amacını açık ve kesin olarak belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Veri kategorisi bazında amaçlar belirlenmekte ve her kategori için Kanunun 5. Ve 6. Maddelerinde yer alan hukuki şartlardan hangisine dayalı olarak veri işlendiğine ve verilerin kimlere aktarılabileceğine ve aktarma amaçlarına Aydınlatma Metninde yer verilmektedir. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. 

Şirketimiz kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.  Bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır. 

Bu prensipler Kanun 10. Madde kapsamında, KVKK Aydınlatma Metni ile verisi işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Müşteri, Ziyaretçi ve Çalışanlar ve çalışan adaylarına yönelik Aydınlatma metinleri kendilerine iletilmekte ve Şirket içerisinde görülebilecek şekilde ayrıca yazılı olarak yer verilmektedir. Genel Aydınlatma Metni ve Çözüm ortakları aydınlatma metnine şirket internet sitesinde yer verilmektedir. Veri sahipleri iş ilişkisi ve sözleşme kurulmasından önce açık bir şekilde bilgilendirilmektedir.

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur.  Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkına yer verilmiştir.  

Şirket KVK Kanunu’nun 11. maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda, ilgili kişiye gerekli bilgilendirmeleri süresi içinde yapmaktadır. Başvuru cevaplanmasının zamanında ve hukuka uygun yapılması için ‘Başvuru Cevaplama Prosedürü’ düzenlenerek şirket içinde sorumlu kişiler belirlenmiş ve görevlendirilmiştir.

SECTION 6- METHOD OF COLLECTING PERSONAL DATA AND LEGAL REASON

Kişisel veriler, Faaliyet konularımıza uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çağrı merkezi, internet sitesi kanalıyla, e -posta ve KEP yoluyla iletilen bilgiler, web sitelerimiz üzerinden yapılmış olan dijital başvurular, iş ilişkisi kapsamında bizimle paylaşılan  vergisel ve veriler, finansal veriler, sözleşmelerde yer alan bilgiler, e -posta ve KEP yoluyla ilettiğiniz bilgiler, dilekçe ve başvurularınız, hukuki tebligatlar, şirketimiz  ile yapılan yazışmalarınız, tarafınızdan alenileştirilen kişisel  bilgiler vasıtasıyla,  fiziksel ve elektronik  ortamla  toplanmaktadır. 

Kanunun 5. Maddesinin 1. Fıkrasında yer alan ‘Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez’ düzenlemesi çerçevesinde, Şirketimiz   Kanunun 5. Maddede yer verdiği istisnai haller dışında, kişisel veri işlemek için açık rızanın alınmasını şartını uygulamaktadır.

Kanun 5. Madde 2.fıkra kapsamında, aşağıda maddeleri belirtilen durumlarda Şirket kişisel veri sahiplerinin verilerini açık rıza almaksızın işleyebilmektedir;

KVKK ’5/2-a:Kanunlarda açıkça öngörülmesi, 5/2-b: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendi sinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,5/2-c: “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait ait kişisel verilerin işlenmesinin gerekli olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-ç: “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, Kişisel Verilerin Korunması Kanunu Mad. 5/2-e: “ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” Kişisel Verilerin Korunması Kanunu Mad. 5/2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.   

Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kuralına uygunluk, doğru ve güncel tutma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyarak, öngörülen usul ve esaslara bağlı olarak kişisel veri işleme faaliyetinde bulunmaktadır.

Veri işleme faaliyeti başlamadan önce Kanun 5. maddesi ve özel nitelikli verilerle ilgili 6. Maddesinde yer alan hukuki sebeplerden en az birinin varlığı tespit edilmediği takdirde mutlaka açık rıza teminine gidilmekte, açık rıza alınamaması durumunda veri işlenmemektedir.  

BÖLÜM 7- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. KVKK’nın 6.maddesinde açıklanan bu veriler; ‘ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.

Şirketimiz   tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle ve özel olarak uygulanmaktadır. 

Özel Nitelikli veri kapsamında, Şirket bünyesinde sağlık verileri ve bazı durumlarda alınan adli sicil belgesi kayıtları açık rıza alınarak işlenmektedir. Dijital ortamda saklanan özel nitelikli kişisel veriler kuvvetli şifre parametreleri ile korunmaktadır. Özel nitelikli kişisel verilere erişebilen kişilerin erişim yetkisi kısıtlanmakta, yetkiler mevzuata uygun şekilde düzenlenmekte, ilgililere veri koruma ve gizlilik eğitimleri verilmektedir. Özel nitelikli verilere erişen kişilere   gizlilik sözleşmeleri imzalanmaktadır.  

Sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu dosyalar kilitli ve sadece sağlık personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların ve sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.

SECTION 8- TRANSFER OF PERSONAL DATA 

Şirketimiz kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere ve kurumlara hukuka uygunluk tedbirlerini alarak aktarabilmektedir. 

Kişisel verilerin aktarılmasına ilişkin KVKK hükümlerine aşağıda yer verilmiştir.

MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. İlgili kişi açık rızası olmaksızın yurtdışına veri aktarılmamaktadır

MADDE 5– 2) fıkrası kapsamında maddede yer alan aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkün olacaktır.

  1. a) It is clearly stipulated in the laws.
  2. b) It is compulsory for the protection of life or physical integrity of the person or another person, who is unable to express her consent due to actual impossibility or whose consent is not given legal validity.
  3. c) It is necessary to process the personal data of the parties to the contract, provided that it is directly related to the establishment or performance of a contract.

ç) It is mandatory for the data controller to fulfill its legal obligation.

  1. d) The person concerned has been made public by herself.
  2. e) Data processing is mandatory for the establishment, exercise or protection of a right.
  3. f) Data processing is mandatory for the legitimate interests of the data controller, provided that it does not harm the fundamental rights and freedoms of the data subject.

Özel nitelikteki verilerin aktarılabilmesi için Kanun 6. Madde de yer verilen ve aşağıda yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur. 

‘Special quality personal data related to the health and sexual life of the personal data owner is only in the form of protection of public health, preventive medicine, medical diagnosis, treatment and care services, planning and management of health services and financing; It can be transferred without explicit consent by persons or authorized institutions and organizations under the obligation to keep secrets.

BÖLÜM 9- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Kişisel Verilerin Hukuka Aykırı Erişiminin Engellenmesi ve Kişisel Verilerin Güvenli Ortamlarda Saklanması İçin Alınan İdari ve Teknik Tedbirler:

Şirket, bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak güvenli alt yapıyı ve güvenlik kontrollerini hayata geçirmiştir. Kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi önlemek için ve oluşabilecek diğer teknik tehditler karşısında aşağıda yer verilen teknik ve idari tedbirleri uygulamaya koymuştur.

Teknik Tedbirler:

Internal threats, which we can define as conscious or unconscious threats that can be created by people working within the organization, have a very important place among information security threats.

Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirilmiştir. 

As a result of real-time analysis with information security incident management, risks and threats that will affect the continuity of information systems are constantly monitored.

Bilişim sistemleri altyapısı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

Çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı Kurum bilgi sistem birimi tarafından düzenli olarak kontrol edilmektedir.  

Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi üzerinden kimlik yönetimi politikaları aracılığı ile yapılmaktadır.

Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.  Kişisel veri kaynaklarına erişim için personel veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonların dan oluşan, akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler kullanılmaktadır. 

Şirkette dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir. Bilgisayar sistemlerinde antivirüs yazılımları, güvenlik duvarları, merkezi yönetim log yazılımları kullanılmaktadır.

Veri ihlallerini önleyecek tedbirler Veri Koruma Görevlisi tarafından gözden geçirilmektedir.

Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için şirket tarafından Veri İhlali Bildirim prosedürü hazırlanmış, uygulanabilir bir sistem ve müdahale ekibi oluşturulmuştur.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir. Özel nitelikli veriler dijital ortamlarda şifrelenerek saklanmaktadır. 

Kritik sistemlerin ve yazılımların yedekleri periyodik olarak alınmakta, yedekler belirli aralıklarla dış ortama taşınmaktadır. Yedekten dönüş testleri yapılmaktadır.

Şirket silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli güvenlik tedbirlerini almaktadır

Administrative Measures:

Şirket kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğünü yerine getirmektedir

Kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması amacıyla personele veri güvenliği eğitimleri verilmektedir.

Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyenlerden taahhütname alınması zorunlu kılınmıştır. 

Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak cezai maddeleri içeren disiplin prosedürü uygulanmaktadır.

Çalışanlar, danışmanlar, bilgi sistem destek şirketleri ve diğer üçüncü kişi veya şirketler yapılan sözleşmelere de bu kapsamda gizlilik taahhütnameleri eklenmektedir.

Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikelerin işlendiği ‘Risk ve Tehditler Tablosu’ Veri Koruma Görevlisi tarafından periyodik incelenmekte ve tedbirler güncellenmektedir

Technical control systems have been established on the applications. As a data controller, it conducts in-house systematic periodic audits through the Data Protection Officer. When deemed necessary, audits will be made by specialized companies or independent audit companies.

Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek, veri güvenliğini sağlamak, hukuka uygun saklama ve imha işlemleri uygulamaları   için ilgili alanlarda, ‘Erişim ve Yetkilendirme Prosedürü’, ve ‘Kişisel Veri Saklama ve İmha Politikası hazırlanmış ve uygulamaya alınmıştır. Veri ihlalinin tespiti halinde Kişisel Verilerin Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ihlalle ilgili önleyici tedbirlerin derhal alınmasının sağlanmasını teminen Veri Müdahale Planı yürürlüğe konularak personel görevlendirmeleri yapılmıştır.

Şirket mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, eğitimler vermekte konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. 

 

SECTION 10 – STORAGE TIMES OF PROCESSED PERSONAL DATA

Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Legal retention periods on the basis of personal data regarding all personal data within the scope of activities carried out depending on processes are included in the 'Personal Data Retention and Destruction Policy' of the company. 

28 Ekim 2017 tarihinde yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik’te işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir. 

Pursuant to Article 4 of the Law, personal data is retained for the period stipulated in the relevant legislation or required for the purpose for which they are processed, and in case all the processing conditions for personal data in Articles 5 and 6 of the Law are no longer valid, they are deleted or destroyed ex officio or upon the request of the data owner. or anonymized. 

Şirket, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirket uygulamaları kapsamında işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.  

Bu kapsamda, Şirket öncelikle kanunlar da ve ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanuni süreler göz önüne alınarak saklanabilmektedir. Gelecekte kullanma ihtimali ile şirket tarafından kişisel veriler saklanmamaktadır.  

SECTION 11- OBLIGATION TO DELETE AND ANONYMIZE DATA

Article 7 of the Law regulates the deletion, destruction and anonymization of personal data. Accordingly, although the personal data has been processed in accordance with the law, in the event that the reasons for its processing disappear, these data are deleted, destroyed or anonymized by the data controller ex officio or upon the request of the data subject.

It is accepted that the conditions for the processing of personal data are eliminated, especially in the cases listed below. 

Changing or removing the provisions of the relevant legislation, which are the basis for processing personal data,

The fact that the contract between the parties has never been established, the contract is not valid, the contract is automatically terminated, the contract is terminated or the contract is withdrawn, 

The disappearance of the purpose that requires the processing of personal data, 

Processing personal data is against the law or honesty, 

In cases where the processing of personal data takes place only on the basis of express consent, the data subject withdraws his consent, 

The application made by the data subject regarding the processing of personal data within the framework of the rights in subparagraphs (e) and (f) of Article 11 of the Law is accepted by the data controller, 

In cases where the data controller rejects the application made to him by the data subject for the deletion or destruction of his personal data, his answer is found to be insufficient or he does not respond within the time stipulated in the Law; Complaining to the Board and approval of this request by the Board, 

Although the maximum period for keeping personal data has passed, there are no conditions to justify keeping personal data for a longer period of time, 

Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması; 

Belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır.  Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez şekilde silinmesi sağlanmaktadır

Kişisel verilerin silinmesi ve yok edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar, teknik detayları Veri Sorumlusu tarafından verilir.

The personal data that will be the subject of the deletion process is determined. Deletion operations are carried out by predetermined personnel. The powers of these personnel are regulated specifically. The access rights of the personnel performing the deletion process to restore and reuse the deleted data are removed.

Data Protection Officer controls the deletion, destruction or anonymization of the data that needs to be deleted, in accordance with the laws, regulations and company policies and procedures, and the accuracy of the information record created regarding the transactions. 

BÖLÜM 12- VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI 

Şirket, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir. Şirket kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için iç işleyişe ait idari ve teknik düzenlemeleri uygulamaya koymuştur.

Personal data owners have the following rights in accordance with Article 11 of the Personal Data Protection Law;

  1. a) Learning whether personal data is processed or not,
  2. b) If personal data has been processed, requesting information about it,
  3. c) Learning the purpose of processing personal data and whether they are used in accordance with its purpose,

ç) To know the third parties to whom personal data is transferred in the country or abroad,

  1. d) Requesting correction of personal data in case of incomplete or incorrect processing,
  2. e) Requesting the deletion or destruction of personal data within the framework of the conditions stipulated in Article 7,
  3. f) Requesting notification of the transactions made pursuant to subparagraphs (d) and (e) to third parties to whom personal data has been transferred,
  4. g) Objecting to the emergence of a result against the person himself by analyzing the processed data exclusively through automated systems,

ğ) To request the compensation of the damage in case of loss due to unlawful processing of personal data, 

Exercise of Personal Data Owner's Rights;

In accordance with paragraph 1 of article 13 of the KVK Law, the data owner can use the rights specified in the explanation of article 11 above. 

It is not possible to make a request by third parties on behalf of personal data owners.

In order for a person other than the personal data owner to make a request, there must be a special power of attorney issued by the personal data owner on behalf of the person to apply.

Veri sorumlusuna başvuru Kanun Madde 13.te aşağıda yer aldığı gibi düzenlenmiştir.

MADDE 13 (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir. 

(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(3) The data controller accepts the request or rejects it by explaining its reason and notifies the relevant person in writing or electronically. In case the request in the application is accepted, the data controller fulfills its requirements. In case the application is caused by the fault of the data controller, the fee collected is returned to the relevant person.

Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır. Başvuruda bulunma yöntemleri ilgili kişilere iletilen Aydınlatma Metinlerinde yer almaktadır.

In order to determine whether the applicant is the owner of personal data, the company may request additional information and documents from the relevant person and may ask questions about the issues included in the application to the personal data owner.

The personal data owner may file a complaint with the KVK Board within thirty days from the date of learning the response of the Company, and in any case within sixty days from the date of application, in case his application is rejected in accordance with Article 14 of the KVK Law, the response is found insufficient or the application is not answered in due time.

SECTION 13- IMPLEMENTATION OF THE POLICY AND RELEVANT LEGISLATION 

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Şirket Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

SECTION 14- ENFORCEMENT OF THE POLICY

Veri sorumlusu tarafından düzenlenen bu Politika …/…/2021 tarihlidir. Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda Politikanın yürürlük tarihi güncellenecektir. Politika Şirketin internet sitesinde yayınlanır, bu politikanın gözden geçirme ve güncellenmesi Veri Koruma Görevlisi tarafından yerine getirilir.  Politika her yıl en az bir kez gözden geçirilir.

Scroll to top
en_USEN
Whatsapp
How can we help you?
How can we help you?