Kişisel Verilerin İşlenmesi ve Korunması Politikası

Amaç

İşbu verilerin işlenmesi ve korunması politikası (“Politika”), [brokerlik hizmetleri] alanında faaliyet gösteren şirketimizin, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin korunması ve imhasına dair yürürlükteki mevzuata uyumunu teminen belirlemiş olduğu prensipleri düzenlemektedir.

Tanımlar

Terimler	Açıklama
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim hale getirme	Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İkincil Mevzuat	Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş anlamına gelir.
İlgili Kullanıcılar	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Kişisel Veriler	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin İşlenmesi	Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul	Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum	Kişisel Verileri Koruma Kurumu’nu ifade eder.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Sicil	Veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.
Silme	Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Silme ve İmha Politikası	Şirket’in, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, silme ve imhaya ilişkin usul ve esasları düzenleyen politikayı ifade eder.
Şirket	fdsigorta.com Ferhat Değer Sigorta Aracılık Hizmetleri A.Ş’yi ifade eder.
Veri İşleyen	Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Sahibi	Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. Veri Sahipleri, müşterileri, internet kullanıcılarını, iletişim, elektronik posta ve pazarlama veri tabanı listelerindeki bireyleri, çalışanları, sözleşme taraflarını ve tedarikçileri de kapsar.
Veri Sorumlusu	Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicili	Hakkında Yönetmelik 1 Ocak 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik’i ifade eder.
Yok Etme	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Kapsam

Şirket, Kanun kapsamında mevcut Kişisel Veriler’in gizliliği ve güvenliği gereklerine uymayı taahhüt eder, bu nedenle Şirket Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir. Bu Politika, Şirket’in, Şirket’in topladığı ve işlediği Kişisel Veriler’e erişimi olan, Şirket’e bilgi sağlayan veya Şirket’ten Kişisel Veri alan tüm tam ve yarı zamanlı çalışanlara, taşeron çalışanlarına, Şirket’in Bağlı Şirket’lerinin çalışanlarına, ortak teşebbüs çalışanlarına ve tüm tedarikçi ve satıcılara uygulanır. Bunlara ek olarak, bu Politika’nın içerdiği tüm hükümler Kanun’a ve İkincil Mevzuat’a tabidir. Bu Politika’nın içerdiği hükümler ile ilgili Kanun hükümlerin çeliştiği veya çatıştığı hallerde, Kanun hükümleri esas alınacak ve uygulanacaktır.

Esaslar

4.1 Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler

4.1.1 Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmektedir.

Şirket, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda, Şirket, Kanun ile getirilen kurallara uygun olarak Kişisel Veriler’i işlemektedir. Ayrıca Şirket Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenlemeleri de takip etmekte ve uygulamalarında bu hukuki düzenlemeler çerçevesinde gerekli olması halinde yeniden düzenleme ve iyileştirmeler yapmaktadır/iyileştirmeleri yapmaya gayret göstermektedir.

4.1.2 Kişisel Veriler, Doğru Ve Gerektiğinde Güncel Olmalıdır.

Şirket; işlediği Kişisel Veriler’in doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır.

4.1.3 Kişisel Veriler Belirli, Açık ve Meşru Amaçlar İçin İşlenmelidir.

Şirket veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Bundan kasıt, Şirket’in işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olmasıdır. Şirket Veri Sahipleri’nin Kişisel Verilerinin elde edilmesinden önce kendilerine bu amaçları açıkça duyurmaktadır. Şirket Kişisel Veri işleme amaçlarının değişmesi halinde, kısmi zaruri olduğu ölçüde, işbu Politika güncellenecektir. Ayrıca veri işleme amaçlarındaki değişikliklerin mümkün olduğu ölçüde farklı kanallardan Veri Sahipleri’ne duyurulması için çaba gösterilecektir.

4.1.4 Kişisel Veriler, İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir.

Şirket, Kişisel Veriler’i ancak temine edildikleri tarih itibari ile mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir. Ancak Şirket farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması gerekebileceği özellikle dava zamanaşımı süreleri de dikkate alınarak, Şirket, çalışanlarının ve müşterilerinin hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için belirlediği azami muhafaza süreleri esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Şirket Kişisel Verileri kendi tespit ettiği üzere işlendikleri amaç için gerekli olan azami süre kadar saklamaktadır. Bunlara ek olarak, Şirket Şirket İmha Politikası’nda verilerin muhafazasına dair öngörülen kural ve prosedürlere de uymaktadır.

4.2 İşleme Şartları

4.2.1 Kişisel Veriler’in İşlenmesi

Şirket tarafından Kişisel Veriler, Kanun’da belirtilen Kişisel Veriler’in hukuka uygun işleme şartlarından bir veya birkaçına dayalı olarak işlenmektedir. Şirketimiz Kişisel Veriler’i Kanun’da getirilen düzenlemelere uygun olarak işlemektedir. Bu kapsamda:

4.2.1.1 6698 sayılı kanun kapsamındaki şirket meşru menfaati amacı ile veri sahibinin kişisel verileri işlenebilir.

4.2.1.2 Kişisel Veriler, Veri Sahibi’nin Açık Rıza’sı ile işlenebilir.

4.2.1.3 Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Açık Rıza’sı aranmaksızın da Kişisel Verileri’nin işlenmesi mümkündür:

Kanunlarda açıkça öngörülmesi;
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması;
Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
Veri Sahibi’nin kendisi tarafından alenileştirilmiş olması;
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.2.2. Özel Nitelikli Kişisel Veriler’in İşlenmesi

Şirket tarafından Kişisel Veriler, Kanun’da belirtilen şartlara uygun olarak işlenmektedir. Buna ek olarak, Özel Nitelikli Kişisel Verilerin işlenmesi için Kurul tarafından özel önlemler getirilmesi söz konusu olabilecektir. İşbu Politika’nın yayınlandığı tarihi müteakiben herhangi bir zamanda Kurul tarafından önlemler getirilmesi halinde, Şirket bu önlemlere uymak için gerekli düzenlemeleri yapacaktır.

4.2.2.1 6698 sayılı kanun kapsamındaki şirket meşru menfaati amacı ile veri sahibinin kişisel verileri işlenebilir.

4.2.2.2 Özel Nitelikli Kişisel Veriler, Veri Sahibi’nin Açık Rızası ile işlenebilir.

4.2.2.3 Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rıza’sı aranmaksızın işlenebilir.

4.2.2.4 Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın işlenebilir.

4.2.2.5 Özellikle işveren-çalışan ilişki kapsamındaki süreçlerin (izin, avans, sigorta süreci, özlük dosyasının oluşturulması vb.) yürütülmesi için çalışanların doğrudan ya da dolaylı olarak sağlığa ilişkin Kişisel Verileri işlenebilmektedir. Bu tip durumlarda çalışanlardan Açık Rıza alınır ve sağlığa ilişkin kişisel veriler, yalnız bu verileri işlemesi gerekli kişiler veya departmanlar tarafından işlenebilir ve bu yetkililerce erişilebilir. Yürürlükteki mevzuat ve Kurum/Kurul kararı çerçevesinde rıza gerektirmeyen haller içerisinde belirlendiği takdirde açık rıza olmaksızın bu kişisel veriler işlenebilir.

4.2.2.6 Özel nitelikli kişisel verilerin işlenmesinin gerekli olmadığı; ancak işlenmesi gereken bir kişisel veriye sıkı sıkıya bağlı olduğu durumlarda (nüfus cüzdanı üzerinde yer alan özel nitelikli kişisel veriler gibi), özel nitelikli kişisel veriler maskeleme gibi bağ koparma yöntemleri ile işlenmesi gereken kişisel veriden çıkartılır.

4.2.2.7 Şirket’in kayıt altına alınan telefon görüşmeleri sırasında görüşmenin sağlandığı diğer tarafın bir özel nitelikli kişisel veri paylaştığının anlaşıldığı anda o kişiye derhal paylaştığı kişisel verinin özel nitelikli bir kişisel veri olduğu ve paylaştığı kişisel verinin kaydedilmesine rıza gösterip gösterilmediği sorulur. Kişinin rıza göstermemesi halinde görüşme kaydedilmez, kaydedildiyse silinir veya maskelenir.

4.3 Rıza

4.3.1 Geçerli olması için rızanın bilgilendirilmeye dayanması, açık olması ve özgür iradeyle açıklanmış olması gerekmektedir.

4.3.2 Açık Rıza Koşulları:

4.3.2.1 Veri Sahibi’nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde bilgilendirilmesi gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır.

4.3.2.2 Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilen onay beyanı şeklinde anlaşılmalıdır. Açık uçlu bir rıza, Açık Rıza olarak kabul edilemez. Veri Sorumlusu’nun, gerçekleştireceği farklı işlemler için kural olarak Veri Sahibi’nin Açık Rıza’sının bir defa alınması yeterlidir. Ancak daha sonra, söz konusu verinin asıl amacından farklı amaçlarla işlenmesinin istenmesi halinde buna ilişkin ayrıca rıza alınması gerekecektir.

4.3.2.3 Açık Rıza, özgürce, hiçbir baskı altında kalmadan verilmelidir ve ancak Veri Sahibi’nin gerçek bir tercih ortaya koyabildiği halde geçerlidir.

4.3.2.4 Bu koşullar sağlandığı sürece rızanın alınma şekli özgürce belirlenebilir. Bunlar, iş sözleşmelerine konulan hükümler, başvuru ya da satın alma formlarında yer alan onay kutuları ve Kişisel Veriler’in girildiği çevrimiçi formlarda yer alan kutular şeklinde olabilir.

4.3.3 Rızanın diğer yazılı beyanlarla elde edilmesi halinde, rıza talebinin belirgin bir şekilde yapılması gerekir.

4.3.4 Rıza, Veri Sahibi tarafından her zaman geri alınabilir.

4.4 Kişisel Veriler’in Aktarılması

4.4.1 Kişisel Veriler’in Üçüncü Kişilere Aktarılması

4.4.1.1 Kişisel Veriler, gerekli olan veri koruma seviyesi için makul ve uygun önlemler alınmadan başka bir kuruma, ülkeye veya bölgeye aktarılmamalıdır.

4.4.1.2 Kişisel Veriler, üçüncü kişilere sadece elde edilme amaçlarıyla tutarlı nedenlerle veya Kanun tarafından izin verilmiş diğer amaçlar doğrultusunda aktarılabilir.

4.4.1.3 Şirket tarafından aktarılan tüm Özel Nitelikli Kişisel Veriler için gerekli güvenlik önlemleri alınmalıdır veya mümkün olduğu ölçüde şifreleme kullanılarak izinsiz erişime karşı korunmalıdır.

4.4.1.4 Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

a) Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,
b) Aktarımın kanunlarda açıkça öngörülmesi,
c) Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
d) Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin gerekli olması,
e) Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
f) Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,
g) Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
h) Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.
i) Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibi’nin Açık Rızası aranmaksızın işlenebilir.

4.5. Ziyaretçi ve Müşteri Faaliyetlerinin İzlenmesi

4.5.1 İnternet Sitesi Ziyaretçileri

Şirketin internet sitesinde; siteyi ziyaret eden kişilerin ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerez/Cookie) site içerisindeki internet hareketleri kaydedilebilir.

Şirketin bu şekilde bir işleme faaliyetini yürütmesi durumunda, bu kapsamda kişisel verilerin korunması ve işlenmesine dair detaylı açıklamalara Şirket’in internet sitesindeki “Çerez Politikası” metninde yer verilir.

4.6. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma

4.6.1 Veri Sahibi’nden Kişisel Veri işlemek için rıza istendiği anda veya Kişisel Veri’nin elde edildiği her durumda (rıza istensin veya istenmesin), Veri Sahibi’nin uygun şekilde aydınlatılması esastır.

Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere,

Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
Veri işlemenin amacı(amaçları)
Veri aktarımının amacı ve kimlere veri aktarılacağı
Veri toplama yöntemi ve hukuki sebebi
Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
İşlenen verinin türü
Veri Sahibi’ne açıklanacaktır.

4.6.2 Yukarıdaki aydınlatma yükümlülükleri, yürürlükteki yasaların aydınlatma için öngördüğü yükümlülüklere istisna getirdiği hallerde uygulanmayacaktır.

a) Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) Veri Sahibi’nin kendisi tarafından alenileştirilmiş Kişisel Veriler’in işlenmesi.
c) Kişisel Veri işlemenin Kanun’un verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
d) Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

4.6.3 Aydınlatma mümkün olan en kısa sürede ve tercihen Veri Sahibi’yle ilk temas anında yerine getirilmelidir.

Çalışanlar söz konusu olduğunda, aydınlatma ayrıca yapılmalıdır. Buna ek olarak iş başvuru formlarında veya çalışan el kitapçıkları ile iş yeri yönetmeliklerinde de uygun açıklamalar yapılmalıdır. Açıklamalar, ilgililerin dikkatini çekecek şekilde kurgulanmalı ve yapılmalıdır.

4.6.4 Aydınlatma elektronik olarak, sözlü veya yazılı olarak yapılabilir.

Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Şirket tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanması gerekmektedir. Alındı belgesi veya form açıklamanın metodunu, içeriğini, tarihini ve olayı belirleyen eş zamanlı bir kayıt ile birlikte saklanmalıdır.

4.7 Veri Sahibi’nin Hakları

4.7.1 Şirket’in Veri Sahibi hakkında Kişisel Veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek,

4.7.2 Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek,

4.7.3 Kişisel Veriler’in yurt içi veya yurt dışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek hakkına sahiptir.

4.7.4 Veri Sahibi’nin, ayrıca Şirket’ten yanlış ve eksik Kişisel Veriler’ini düzeltmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkı vardır.

4.7.5 Veri Sahibi, Kanun’un 7. maddesi uyarınca, Kişisel Veriler’inin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerinin silinmesini ve yok edilmesini Şirket’ten talep edebilir.

4.7.6 Veri Sahibi, münhasıran bir otomatik sistem kullanılarak oluşturulmuş Kişisel Veri analizlerinin sonuçlarına bu sonuçlar çıkarlarına aykırı ise itiraz edebilir.

4.7.7 Veri Sahibi tarafından yukarıdaki hakların kullanılması için Şirket’e yapılacak olan tüm talepler [email protected] adresinde sunulan talep formu doldurularak yapılmalıdır. Başvurular şahsen veya noter vasıtasıyla veya güvenli elektronik imza ile e-posta yoluyla iletilebilir.

4.7.8 Şirket, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Tamamlanmamış, anlaşılmayan veya okunamayan talepler Şirket tarafından dikkate alınmayacaktır. Böyle bir durumda Şirket başvuru sahibine, başvurunun işleme konulmamasına ilişkin 30 gün içerisinde bilgi verecektir.

4.7.9 Şirket, yukarıda belirtilen bilgileri sağlamak için çalışanlardan herhangi bir ücret talep etmeyecektir. Bilgi talebinin Şirket’e ek maliyet dayattığı durumlarda, Şirket, çalışanı olmayan Veri Sahipleri’nden gelen taleplere cevap verebilmek için şirketimizce belirlenecek tarifede yer alan ücret talep edebilir. Böyle bir durumda, belirlenecek ücretler şirket tarafından altışar aylık duyurulacak ücretlerden daha yüksek olamaz.

4.7.10 Şirket, Veri Sahibi tarafından veya onun adına gelen tekrarlayan veya rahatsız edici derecede külfetli talepleri izlemek ve reddetmek için prosedürler oluşturabilir.

4.8 Kişisel Veriler’in Saklanması, Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi (“Kişisel Veriler’in Saklanması ve İmhası”)

Kişisel Veriler’in saklanmasına ve imhasına ilişkin usul ve esaslar, kişisel verilerin saklama süreleri ile birlikte Şirket’in Saklama ve İmha Politikası’nda yer almaktadır.

Şirket, Kanun’da yer alan prensiplere uygun olarak işlemekte olduğu Kişisel Veriler’i mevzuatlarda öngörülen süre boyunca saklamaktadır. Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmemişse, Kişisel Veriler işlendikleri amaç sona erene kadar muhafaza edilmektedir.

Bu kapsamda saklama süreleri, Şirket’in uygulamaları ve ticari yaşamının teamülleri dikkate alınarak belirlenmektedir.

Kişisel Veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, Kişisel Veri ile ispat edilebilecek bir hakkın ileri sürülebilmesi, ceza kovuşturması açısından savunma tesis edilmesi ve yetkili kamu kuruluşlarından gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile Şirket’in faaliyetlerine uygulanan mevzuattan kaynaklanan saklama yükümlülükleri, taraf olduğu sözleşmeler ve tabi olduğu uluslararası düzenlemeler, dikkate alınmaktadır.

Şirket, belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmektedir. Veri Sahibi, Şirket’in neden bu yöntemi seçtiği konusunda madde 4.7’de açıklanan haklarını kullanmak suretiyle bilgi talep edebilir.

Kanun’un 28. maddesine uygun olarak; Anonim Hale Getirilmiş olan Kişisel Veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.

4.9 Orantılılık

İşbu Politika’nın uygulaması açısından Şirket, orantılılık ilkesine dikkat edecektir. Şirket’in veri işleme faaliyetleri ve ilgili Kişisel Veri’nin korunması açısından harcanan masraf ve emeğin verinin korunması amacıyla orantılı olmasına dikkat edilecektir.

5- Üçüncü Taraf Veri İşleyen Kullanılması

5.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

Şirket’in işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Şirket politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen tayin edebilecektir.

5.2 Üçüncü Taraf Veri İşleyen İçin Yazılı Sözleşmeler

Şirket, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Şirket’in yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir sözleşme yapacaktır.

5.3 Üçüncü Taraf Veri İşleyen’in Denetimi

Şirket’in dahili veri denetim süreçlerinin parçası olarak, Şirket üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve, özellikle veri güvenliği ve tedbirleri hakkında zaman zaman denetimler gerçekleştirebilecektir ve bu denetimleri gerçekleştirmek için gerekli gördüğü takdirde kendi iç birimlerinden herhangi birine bu görevi tahsis edebilecek yahut şirket müstahdemi olmayan gerçek veya tüzel kişilerle denetim hizmetini ifa etmesi üzerine sözleşme düzenleyebilecektir.

6- Veri Güvenliği

6.1 Fiziksel, Teknik ve Organizasyonel Güvenlik Önlemleri

6.1.1 Şirket, Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemler alacaktır.

6.1.2 Alınması gereken güvenlik önlemleri şirketin bilgi güvenliği politikalarına uygun olarak belirlenecek ve yerine getirilecektir.

6.1.3 Şirket’in kendi ürettiği yazılımların, 4.2.1’de ayrıntılı şekilde belirtilen kişisel verilerin işlenme şartlarına aykırılık oluşturmaması ve barındırdıkları kişisel verilerin güvenli bir şekilde yer alabilmesine ilişkin önlemler alınır.

6.1.4 Şirket, özel nitelikli kişisel verilerin korunmasına ve 4.2.1’de ayrıntılı şekilde belirtilen kişisel verilerin işlenme şartlarına uygun işlenmesine yönelik ek güvenlik önlemleri alır.

7- İhtilafların Çözümü

7.1 Çalışanlar

7.1.1 Kendi Kişisel Verileri’nin işlenmesiyle ilgili şikayetleri ve soruları olan çalışanlar, bu konuyu öncelikle şirket yönetim kurulu üyeleri ve yönetici asistanlarıyla birlikte görüşmelidirler.

7.1.2 Sorunun şirket yönetim kurulu aracılığıyla çözülemediği hallerde, şirket iç yönetmelik ve düzenlemeleri ile iş sözleşmesi hükümlerine göre ihtilafların çözümü yoluna gidilmelidir.

8- Uyumluluk Denetimi

8.1 Yıllık Veri Koruma Denetimi

Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme en azından aşağıda sayılan hususları kapsamalıdır:

8.2.1 Departmanlar

Departmanlar, hangi Kişisel Veriler’in departman tarafından toplandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin esas kullanımı, ilgili kişinin bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesine ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.

8.2.2 Departmanlar

Departmanlar, bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunup bulunmadığını tespit edecektir.

8.2.3 Departmanlar

Departmanlar kendi hakimiyeti veya kontrolü altındaki Kişisel Veri’nin aktarıldığı kişilerin kimliklerini tespit etmelidir. Departman aktarılan kişilerin bulundukları yerleri, aktarımın amaçlarını, en azından mevcut veri güvenliği seviyesini korumak için hangi fiziksel, teknik sistemlerin ve süreçlerin mevcut olduğunu belirlemelidir.

8.2.4

Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması, şirket politika ve prosedürlerinde güncelleme yapılması ve uygun süreçlerin temini için Şirket Yönetim Kurulu’na bildirilmelidir.

9- Uygulama

9.1. Yayımlama

Bu politika çalışanlara İnsan Kaynakları Departmanı tarafından sunulacaktır.

9.2. Yürürlük Tarihi

Bu politika yayınlandığı anda yürürlüğe girer. Tüm departmanlar işbirliği içinde, bu politikanın uygulanması için bir zaman çizelgesi ve süreci geliştirecektir. Bu uygulama süreci, bu Politika ve diğer mevcut politikalar arasındaki uyuşmazlıkların çözümünü içerecektir.

9.3. Değişiklikler

Bu politikada her zaman değişiklikler yapılabilir. Önemli değişikliklerin bildirimi çalışanlara, Şirket’nin İnsan Kaynakları Departmanı tarafından ve diğerlerine Yönetim Kurulu tarafından seçilen uygun bir mekanizma aracılığıyla iletilecektir.

10- Koruyucu

Veri Koruma Komisyonu, bu Politika’yı korumakla yükümlüdür. Her departman yöneticisi bu politikanın uygulanmasından sorumludur. Her departman yöneticisi bu politikanın uygulanmasıyla ilgili olan sorular Yönetim Kuruluna yönlendirilmelidir.

11- Bölünebilirlik

Bu politikanın her bir bölümü uygulanacak hukuk uyarınca söz konusu bölümü ayakta tutmaya yönelik olarak yorumlanacaktır, ancak herhangi bir hükmün yasaklanması veya geçersiz sayılması halinde, bu hükmün geçersizliği hükmün geri kalan kısmını veya bu politikanın geri kalan diğer hükümlerini etkilemeksizin, yalnızca o yasak ve geçersizlik açısından söz konusu olacaktır.