ASKA VERİ KORUMA İŞLEME VE DANIŞMANLIK A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1.   GİRİŞ

1.1.  Politikanın Amacı

1.2. Politika’ nın Kapsamı ve İlgili Kişiler

1.3. Kısaltmalar ve Tanımlar

1.4. Politika’ nın ve İlgili Mevzuatın Uygulanması

1.5. Politika’ nın Yürürlüğü

2.  KİŞİSEL VERİLERİN İŞLENMESİ

2.1.   Kişisel Verilerin İşlenmesinde Genel İlkeler

2.1.1. Hukuka ve Dürüstlük Kurallarına Uygun İşleme

2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

2.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

2.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma

2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme Kişisel Verilerin İşlenme Şartları

2.2.   Kişisel Veri Kategorileri

2.3.   Kişisel Verilerin İşlenme Şartları

2.4.   Özel Nitelikli Kişisel Verilerin İşlenme Şartları

3.  KİŞİSEL VERİLERİN AKTARILMASI

3.1.  Kişisel Verilerin Aktarılma Şartları

3.2. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

3.3. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması

4.  KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER

4.1.  Kişisel Verilerin İşlenme ve Aktarılma Amaçları

4.2. Kişisel Verilerin Aktarılacağı Kişiler

5.  KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLİNMESİ YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ VE SAKLANMA SÜRESİ

5.1. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

5.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

5.3. Kişisel Verilerin Saklanma Süresi

6.  KİŞİSEL VERİLERİN KORUNMASINA DAİR HUSUSLAR

6.1.    Kişisel Verilerin Güvenliğinin Sağlanması

6.1.1.  Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

6.1.2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

6.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması

6.1.4.  Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak   Tedbirler

6.2.    Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

6.3.    Özel Nitelikli Kişisel Verilerin Korunması İçin Alınan Ek Önlemler

7.  İLGİLİ KİŞİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ

7.1.  İlgili Kişi’ nin Aydınlatılması

7.2. İlgili Kişi’ nin KVKK Uyarınca Hakları

7.3.  İlgili Kişi’nin Haklarını Kullanması

7.3.1. Başvuru Konusu

7.3.2. Başvuru Yöntemi ve Adresi

7.3.3. Başvuru Sonrası Süreç

7.3.4. Başvuru Ücreti

7.3.5. Şirketimizin, İlgili Kişinin Başvurusunu Reddetme Hakkı

7.3.6. Kurula Şikayet Hakkı

8.     GÜNCELLEME VE UYUM

1.    GİRİŞ

1.1.  Politikanın Amacı

ASKA Veri İşleme Koruma ve Danışmanlık A.Ş. (Şirket) olarak; faaliyetlerimiz kapsamında işlemekte olduğumuz kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ikincil düzenlemeler, KVK Kurul karaları ve sair mevzuat hükümleri çerçevesinde hukuka uygun olarak işlenmesi ve korunması hususuna azami önem veriyor, tüm planlama ve faaliyetlerimizde aynı hassasiyetle hareket ediyoruz. Misyonumuz, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla çıkarılmış, 7 Nisan 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere tüm ulusal ve uluslararası mevzuat kapsamında veri sorumluları ve veri sahiplerine yönelik hukuki ve teknik anlamda destek sunmaktır. Bu kapsamda şirketimiz, veri sorumlularına yönelik olarak yasal uygunluk projesi hazırlama ve uygulama, danışmanlık ve veri sorumlusu temsilciliği hizmetleri; veri sahiplerine yönelik olarak ise bilgilendirme, veri sorumlusuna başvuru ve Kişisel Verileri Koruma Kuruluna şikâyet süreçlerinin takibi, kişisel verilere ilişkin suçlara ilişkin adli sürecin takibi hizmetleri vermektedir. ASKA olarak müşterilerimizin ihtiyaçlarına özel, hızlı, pratik ve sürdürülebilir çözümler sunmak, yüklendiğimiz görevleri özen ve dürüstlük içinde yerine getirmek, ve müşterilerimizin duyduğu güvene uygun biçimde davranmak temel ilkelerimizdir. Vizyonumuz; Anayasa'da da öngörülen temel haklardan olan kişisel verilerin korunması hakkına ilişkin, veri güvenliğinin sağlanması hususunda uyum projeleri gerçekleştiren ve gelişen bilişim teknolojisi ve mevzuat değişikliklerine paralel olarak değişen müşteri ihtiyaçlarını karşılamak üzere dinamik çözümler üreten, aktif ve güven duyulan bir şirket olmaktır. Tek hizmet alanımız kişisel verilerin işlenmesi ve korunması olduğundan bu alanda uzman, bilinen ve aranan bir şirket olduğumuza inanıyoruz. Bu doğrultuda, gerek KVKK’ nın 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirerek şeffaflığı sağlamak gerekse kişisel verilerin işlenmesi ve korunması kapsamında Şirketimizin benimsediği temel prensipler ile aldığımız tüm idari ve teknik tedbirleri Kişisel Veri Sahiplerine bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika) hazırlanmıştır.

1.2.  Politikanın Kapsamı ve Kişisel Veri Sahipleri

Bu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Şirket Paydaşları, Şirket Yetkilileri, Şirket Gerçek Kişi İş/Çözüm Ortakları ile Şirket İş İş/Çözüm Ortaklarının Paydaşı, Yetkilisi, Çalışanı, Çalışan Adaylarımız, Ziyaretçilerimiz, Müşterilerimiz, Potansiyel Müşterilerimiz başta olmak üzere kişisel verileri işlenen gerçek kişileri kapsamaktadır. Tüzel kişiler ve hayatta olmayan kişilere ait veriler politikanın kapsamı dışındadır. Bu Politika, hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır.

1.3. Kısaltmalar ve Tanımlar

İşbu Politika’ da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:

1.4.  Politika’ nın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul ve taahhüt etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirketimiz uygulamaları kapsamında somutlaştırılarak düzenlemektedir

1.5.         Politika’ nın Yürürlüğü

Şirketimiz tarafından düzenlenerek yürürlüğe giren işbu Politika, …/…/… tarihinde güncellenmiş olup,Şirketimizin resmi internet sitesinde (https://www.askaveri.com.tr) yayımlanır ve talep üzerine ilgili kişilerin erişimine sunulur.

2.  KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

2.1  Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirketimiz tarafından Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirketimiz, Kişisel Verileri işlerken aşağıdaki ilkelere uygun hareket eder:

2.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.

2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz, kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve sürece sahiptir. Bu kapsamda kişisel verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır. Bu doğrultuda kişisel veri sahipleri, Şirketimize başvuruda bulunarak kişisel verilerinin sürekli olarak doğru ve güncel olarak tutulmasını mümkün kılabilir.

2.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz tarafından, Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketimizin işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir. Şirketimiz belirli, açık ve meşru amacını işbu politika ve diğer metinler vasıtasıyla kişisel veri işleme faaliyeti henüz başlamadan veri sahiplerinin bilgisine sunar.

2.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, kişisel verileri, faaliyet konusu ile ilgili ve işinin yürütülmesi için gerekli amaçlar dahilinde işlemektedir. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. İşleme amacına için gerekli olmayan fazla kişisel veriler işlenmez. Bu kapsamda işlenen Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.

2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Kişisel Verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel Verinin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

2.2.        Kişisel Veri Kategorileri

2.3. Kişisel Verilerin İşlenme Şartları

Şirketimiz, KVKK madde 5/1 uyarınca kural olarak, Kişisel Verileri, veri sahibinin açık rızası olmaksızın işlemez. Açık rıza, kişisel veri sahibinin belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak özgür irade ile yaptığı açıklamadır.  Aşağıdaki şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın Kişisel Veriler işlenebilecektir. Belirtilen şartların birinin varlığı halinde ilgili kişiden açık rıza alınması, ilgili kişiyi yanıltmak olarak nitelendirileceğinden, aşağıda bulunan bu şartlarda Şirketimiz, açık rızaya başvurmamaktadır:

·  Kanun hükmünün varlığı. Örneğin; Vergi Usul Kanunu’nun 230. Maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi için ilgili kişinin açık rızası aranmayacaktır.

· Fiili imkânsızlık nedeniyle açık rızanın alınamaması. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, Kişisel Veri Sahibi’nin Kişisel Verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilir.

·  Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası bilgisi alınabilecektir.

·  Veri sorumlusunun (Şirket) hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

·  İlgili kişinin kişisel verisinin kendisi tarafından alenileştirilmiş olması

·  Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması

2.4. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirketimiz tarafından özel nitelikli kişisel veri yalnızca çalışanlarımızdan alınan sağlık raporları kapsamında elde edilmekte ve açık rızaları dahilinde işlenmektedir. Bundan başka hiçbir faaliyet çerçevesinde sizlerden özel nitelikli kişisel veri istenmemektedir.  Şirket tarafından istenmemesine rağmen şirketimize özel nitelikli kişisel veri iletildiği takdirde (örneğin iş başvurularında dernek/vakıf üyelikleri bilgisi, adli sicil kaydı bilgisi), söz konusu kişisel veriler derhal imha edilmektedir. Şirketimiz Özel Nitelikteki Kişisel Verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.

3.  KİŞİSEL VERİLERİN AKTARILMASI

3.1. Kişisel Verilerin Aktarılma Şartları

Kişisel verileriniz, işbu Politika’ da belirtilen amaçların yerine getirilmesine yönelik olarak, kanunen yetkili kamu kurumları ve kuruluşlarına, tedarikçi ve iş ortaklarımıza, gerektiğinde işleme amacıyla sınırlı, bağlantılı ve ölçülü olarak hizmet alınan/hizmet verilen kişilere, KVK Kanunu Madde 8’de belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir. Kişisel Verileri üçüncü kişilere:

·  Kişisel Veri sahibinin açık rızası var ise;

· Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise, Kişisel Veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise,

· Kişisel Veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,

· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise,

·  Şirketimizin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise,

·  Kişisel Veriler, Kişisel Veri sahibi tarafından alenileştirilmiş ise,

· Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

· Kişisel Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise aktarabilir.

3.2. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

Şirketimiz tarafından yalnızca çalışanlarımızdan alınan sağlık raporları kapsamında elde edilen ve açık rızaları dahilinde işlenmekte olan sağlık verileri kanuni yükümlülüklerimiz kapsamında ilgili kamu kurum ve kuruluşuna aktarılmaktadır. Örneğin iş kazası ve meslek hastalığı tutanakları iş kazasından itibaren üç iş günü içerisinde SGK’ ya yapılması gereken bildirim zorunluluğu kapsamında aktarılmaktadır. Öyle ki; iş kazasının, işveren tarafından Kuruma bildirilmemesi halinde, bildirim tarihine kadar geçen süre için sigortalıya ödenecek geçici iş göremezlik ödeneği, Kurumca işverenden tahsil edilir. Ayrıca 6331 sayılı Kanunun 26’ncı maddesine göre söz konusu yükümlülüklerini yerine getirmeyen işverenlere işyerinde çalışan sigortalı sayısına ve işyerinin tehlike sınıfına göre farklılaştırılmış idari para cezası uygulanacağı öngörülmüştür. Bu kapsamda kuruma yapılacak özel nitelikli veri aktarımları için açık rıza alınır. Şirketimiz tarafından özel nitelikli kişisel veri hiçbir faaliyet çerçevesinde sizlerden istenmemektedir. Şirket tarafından istenmemesine rağmen şirketimize özel nitelikli kişisel veri iletildiği takdirde (örneğin iş başvurularında dernek/vakıf üyelikleri bilgisi, adli sicil kaydı bilgisi), söz konusu kişisel veriler derhal imha edilmekte, hiçbir üçüncü kişi veya kurumlara aktarım yapılmamaktadır.

3.3. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması

Şirketimizce yurtdışına aktarım yapılmamaktadır.

4.  KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER

4.1.        Kişisel Verilerin İşlenme ve Aktarılma Amaçları

Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Şirketimizin;

· İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,

Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi, Kendisinin ve iş ortaklarının, tedarikçilerinin, çözüm ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,Ürün ve hizmetlerinden Kişisel Veri Sahipleri’ nin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,  Veri güvenliğinin en üst düzeyde sağlanması, Veri tabanlarının oluşturulması,İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi, istatistiksel verilerin oluşturulması,Kendisine talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,Etkinlik yönetimi,Yapılan faaliyetlerde ilişkilerin yönetimi, İş ortakları / Çözüm ortakları veya tedarikçilerle olan ilişkilerin yönetimi,Personel temin süreçlerinin yürütülmesi,Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,Hukuk işlerinin icrası/takibi,İtibarının korunmasına yönelik çalışmaların gerçekleştirilmesi, Yatırımcı ilişkilerinin yönetilmesi,Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,Ziyaretçi kayıtlarının oluşturulması ve takibi,Mevzuatta veya politikalarda meydana gelen değişikliklerin bildirilmesi veya veri sahibini ilgilendiren bildirimlerin yapılması,Akdedilen sözleşmelerin gereğinin yapılması,Mevcut ve ileride çıkabilecek hukuki uyuşmazlıkların çözümlenmesi,Çeşitli raporların, araştırmaların ve sunumların hazırlanması ve sunulması,Verilen hizmetlerin kişisel veri sahiplerinin beğeni ve değerlendirmesine sunulması ve bu değerlendirme sonunda gerekli çalışmaların yapılması.

Amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirketimiz tarafından açık rızanız temin edilmektedir.

4.2. Kişisel Verilerin Aktarılacağı Kişiler
   

Kişisel Veriler, tarafınıza sunulan hizmetlerin tam ve kusursuz olmasını temin edebilmek amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde iş ve çözüm ortaklarımız, mali ve finansal ilişki içerisinde olduğumuz bankalar / finans kuruluşları ile Şirket’in taraf olduğu sözleşmelerde iş planlamasının gerçekleştirilmesi amacıyla ilgili kurumlarla/kişilerle ve teknik, lojistik ve benzeri diğer işlemleri bizim adımıza gerçekleştiren üçüncü kişilerle paylaşılabilmektedir. Bu üçüncü kişiler ilgili hizmetlerin tam ve kusursuz temin edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden ibarettir. Bunların haricinde hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle verilerin paylaşılmak zorunda kalınması, Şirketimizin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel Verileriniz -yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere- aktarılabilecektir.

5. KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ, SİLİNMESİ YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ VE SAKLANMA SÜRESİ

5.1. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde ’ye uygunluğunun denetimi amacıyla, Kişisel Veriler;  2. Bölümde belirtilmiş olan veri işleme sebepleriyle, otomatik yolla veya bir kayıt sisteminin bir parçası olmak kaydı ile otomatik olmayan yolla; Şirketimiz içinde internete erişiminiz vasıtasıyla, kimlik belgeniz üzerinden, plaka bilgileriniz üzerinden, binalarımız içinde yer alan kapalı devre kameralar aracılığı ile, referans kişisi göstermeniz halinde Şirket’in meşru menfaati gereği bu kişilerden bilgi almak suretiyle, Şirketimiz kurumsal e-posta adresi yahut Şirketimiz çalışanlarının e-postalarına gönderdiğiniz e-postalar ile, insan kaynakları danışmanlık firmaları ve diğer teknik ve sair yöntemlerle, Şirketimiz internet sitesi gibi muhtelif yollardan, Politika’ da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirketimiz veya Şirketimiz tarafından görevlendirilen veri işleyenler tarafından işlenir.

5.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirketimiz, bu Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel Verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel Verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

5.3. Kişisel Verilerin Saklanma Süresi

Şirketimiz, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirketimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketimizin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile sınırlı olarak saklama süreleri belirlenmekte ve zaman aşımı sürelerinin geçmesinden sonra ise daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak anonimleştirilerek saklanmaktadır. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman erişim sağlanmaktadır. Zamanaşımı süresince tutulan verilerde ise süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel Verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili Şirketimiz tekniklerine dair detaylı düzenlemeler Şirketimizin Kişisel Veri Saklama ve İmha Politikası’ nda yer almaktadır.

6.  KİŞİSEL VERİLERİN KORUNMASINA DAİR HUSUSLAR

Şirketimiz, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

6.1. Kişisel Verilerin Güvenliğinin Sağlanması

Şirketimiz, Kişisel Verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

6.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini ve Erişilmemesini Sağlamak için Alınan Teknik Tedbirler

· Şirketimiz bünyesinde gerçekleştirilen Kişisel Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.

· Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.

· Teknik konularda bilgili ve tecrübeli personel istihdam edilmekte yahut üçüncü kişilerden teknik destek hizmetleri alınmaktadır.

· Yeni teknolojik gelişmeler takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

· Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmekte, yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, eski çalışanların hesapları kapatılmakta, Kişisel Verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

· Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar güncellenerek kullanılmaktadır.

·  Sahte yazılım ve donanım kullanımından şiddetle kaçınılmaktadır. Kullandığımız tüm ürünlerimiz orijinal ve lisanslıdır.

·   Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.

·   Kişisel Verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.

· Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.

6.1.2  Kişisel Verilerin Hukuka Uygun İşlenmesini ve Erişilmemesini Sağlamak için Alınan İdari Tedbirler

· Personelimiz, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.

· Personelimiz aynı zamanda kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda danışmanlık hizmetini üstlendiğimiz projelerde farkındalık eğitimleri vermektedirler.

· Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’ da belirtilen veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütülen faaliyet özelinde incelenmektedir. Bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve eğitimler ile hayata geçirilmektedir.

· Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, Kişisel Verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülerek Kanun’dan doğan yükümlülükler yerine getirilmektedir.

·   Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.

·   Şirketimiz tarafından Kişisel Verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, Kişisel Verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

6.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması

      Şirket, veri güvenliğini sağlamak üzere, kişisel verileri niteliğine uygun elektronik olan veya olmayan ortamlarda saklar. Şirket, Kişisel Verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. Şirket, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesini sağlamaktadır.

6.1.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak   Tedbirler

Şirketimiz, KVKK’ nın 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili İlgili Kişine ve Kişisel Verileri Koruma Kurulu’na bildirecektir. Kişisel Verileri Koruma Kurulu tarafından gerek görülmesi halinde, bu durum, Kişisel Verileri Koruma Kurumu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

6.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirketimiz, KVKK’ nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak   Tedbirler:

Şirketimiz, KVKK’ nın 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine ve Kişisel Verileri Koruma Kurulu’na bildirecektir. Kişisel Verileri Koruma Kurulu tarafından gerek görülmesi halinde, bu durum, Kişisel Verileri Koruma Kurumu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

6.3. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım Kişisel Verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli Kişisel Verilerin korunmasına Şirketimiz tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.

7. KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ

7.1. Kişisel Veri Sahibinin Aydınlatılması

Şirketimiz, KVKK’ nın 10. maddesine uygun olarak, Kişisel Verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirketimiz; internet sitemizden de ulaşılabileceği üzere Kişisel Verilerin hangi amaçla işleneceği, işlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibinin sahip olduğu haklar konularını içeren Aydınlatma Metinleri aracılığıyla Veri Sahiplerini bilgilendirmektedir.

7.2. Kişisel Veri Sahibinin KVKK Uyarınca Hakları

      Şirketimiz, Kanun’un 10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir. Şirketimiz, Kanun’un 11.maddesi uyarınca Kişisel Verileri işlenen Veri Sahiplerine;

Kişisel Verisinin işlenip işlenmediğini öğrenme, Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,Kişisel Verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde Kişisel Verilerin silinmesini veya yok edilmesini isteme,Kanun’un 11.  Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

Haklarının olduğunu açıklar.

7.3.        Kişisel Veri Sahibinin Haklarını Kullanması

7.3.1.    Başvuru Konusu

Şirketimiz, kişisel veri sahiplerinin haklarına büyük önem ve değer vermekte ve bu haklarını kullanmalarına imkân ve olanak sağlamaktadır. Şirketimiz tarafından, veri sahiplerinin taleplerini kolayca iletebileceği bir kişisel veri başvuru ve yanıt prosedürü belirlenmiş ve Veri Sorumlusuna Başvuru Formu hazırlanıp internet sitemizde yayımlanmıştır.

7.3.2. Başvuru Yöntemi ve Adresi

7.3.3. Başvuru Sonrası Süreç

Tarafımıza iletilen başvurular, talebin niteliğine göre talebin Şirketimize ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Yanıtlar, Veri Sorumlusuna Başvuru Formunda başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilmektedir. Kişisel veri sahibi; KVKK’ nın 14. Maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; Şirketimizin cevabını öğrendiği tarihten itibaren otuz gün içerisinde ve her halde başvuru tarihinden itibaren altmış gün içerisinde Kurul’a şikâyette bulunabilir.

7.3.4. Başvuru Ücreti

Başvurular kural olarak ücretsiz yapılmaktadır. Ancak kişisel veri sahibinin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirketimiz tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.

7.3.5. Şirketimizin, Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Şirketimiz; aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçelendirerek reddedebilir:

·  Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

·  Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

·  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

·  Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.

·   Orantısız çaba gerektiren taleplerde bulunulmuş olması.

·   Talep edilen bilginin kamuya açık bir bilgi olması.

8. GÜNCELLEME VE UYUM

İşbu Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördekiya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

İLETİŞİM BİLGİLERİMİZ

ASKA Veri İşleme Koruma ve Danışmanlık A.Ş.

Mersis No: 0086 1077 1780 0001

İletişim Linki: http://askaveri.com.tr

Telefon Numarası: 312 312 61 06

E-Posta Adresi: kurumsal@askaveri.com.tr

Adres: Hacettepe Mah. Göztepe Sok. No:7/2 Altındağ / ANKARA

Saygılarımızla,