İÇİNDEKİLER

1. Şirketimiz ve Politika Hakkında

2. Politikanın Amacı ve Kapsamı

3. Politikada Yer Verilen Tanımlar

4. Sorumluluk

5. Kişisel Veri İşlenme İlkeleri

6. Kişisel Verilerin İşlenme Şartları

7. Kişisel Verilerin Aktarılması

8. Kişisel Verilerin Saklanması

9. Kişisel Verilerin İmha Edilmesi

10. Kişisel Verilerin Güvenliğinin ve Hukuka Uygun Olarak İşlenmesinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler

11. Kişisel Verilerinin Gizliliğinin ve Güvenliğinin Sağlanması

12. Veri Sahiplerinin Hakları

13. Politikanın Güncellenmesi

14. Politika İle İlgili Sorular

1. Şirketimiz ve Politika Hakkında

Kosifler Oto Servis Ticaret A.Ş (“Kosifler” veya “Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile kişisel verilerin korunmasına ilişkin hazırlanan ikincil düzenlemeler ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları doğrultusunda tüm kişisel veri işleme faaliyetlerimizi geçerli mevzuata uygun şekilde gerçekleştirmek ve elde ettiğimiz kişisel verilerin uygun şekilde korunmasını sağlamak önceliğimizdir.

Şirketimizin kişisel veri işleme faaliyetlerini Kanun’a ve ilgili mevzuata uygun şekilde gerçekleştirmesi adına rehber olacak biçimde hazırlanan işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı (“Politika”) Kosifler çalışanları ile paylaşmaktayız.

2. Politikanın Amacı ve Kapsamı

İşbu Politika ile müşterilerimizin, iş ortaklarımızın, tedarikçilerimizin kişisel verilerini işlediğimiz yetkililerini ve çalışanlarını kişisel verilerinin Kosifler tarafından yönetilen tüm kişisel veri işleme faaliyetlerinde nasıl işlendiği hususunda en uygun ve doğru şekilde bilgilendirmeyi amaçlamaktayız.

İşbu Politika’da kişisel verilerin işleme şartları belirtilmekte olup Kanun kapsamındaki yükümlülüklerimiz ile ilgili mevzuat uyarınca uymamız gerekli olan usul ve prensiplere yer verilmektedir. Çalışanlarımızın kişisel verilerinin işlenmesine ilişkin süreçlerimize ise Çalışan Kişisel Verilerinin Korunması ve İşlenmesi Politikası’nda yer vererek çalışanlarımızı, çalışan süreçlerini göz önünde bulundurarak ve özel olarak hazırladığımız ayrı bir politika ile bilgilendirmekteyiz.

3. Politikada Yer Verilen Tanımlar

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
• Çalışan: Kosifler çalışanlarını, alt işveren çalışanlarını ve stajyerleri.
• İlgili Kişi/Veri Sahibi: Kişisel verisi işlenen gerçek kişi veya kişileri.
• Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
• Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
• Kişisel Verilerin İşlenmesi: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, açıklanması, aktarılması gibi her türlü işlem.
• Kurum: Kişisel Verileri Koruma Kurumu’nu,
• Kurul: Kişisel Verileri Koruması Kurulu’nu,
• Kişisel Verileri Koruma Komitesi: Kosifler tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan ekibi,
• Otomatik Olarak Veri İşlemeBilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetini,
• Özel Nitelikli Kişisel Veri: Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
• Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
• Veri İşleyenVeri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
• Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

1. Veri Sorumlusu

Kanun uyarınca Kosifler, veri sorumlusu olarak kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.

Kosifler, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. Ayrıca, Şirketimiz Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmakla da yükümlüdür.

Kosifler, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede (en fazla yetmiş iki saat içerisinde) ilgili kişiye/kişilere ve Kurul’a bildirmekle yükümlüdür. Şirketimiz, veri sahibinin ilgili kişi başvurularında yer alan taleplerini, talebin niteliğine göre en kısa sürede (en geç otuz gün içerisinde) ücretsiz olarak sonuçlandıracaktır.

İşlemin ayrıca bir maliyet gerektirmesi durumunda ise Kosifler geçerli mevzuata uygun şekilde ücret talep edebilecektir. Kosifler, Kurul tarafından istenilen bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.

2. Kişisel Verileri Koruma Komitesi

Şirketimiz tarafından, geçerli mevzuatına uygunluğun ve Kosifler bünyesinde kişisel verilere ilişkin süreçlerin gerekli koordinasyonunun sağlanması adına “Kişisel Verilerin Korunması Komitesi” (“Komite”) kurulmuştur.

Komite, kişisel verilerin korunmasına ilişkin politika ve prosedürleri hazırlamak, güncellenmesini sağlamak ve mevzuata uyumluluğu sağlamak ile yükümlüdür. Komite ayrıca kişisel veri işleyen olarak nitelendirilebilecek olan Şirket çalışanları için gerekli eğitimlerin planlanmasını ve gerçekleştirilmesini sağlar.

Komite, mevcut politika ve prosedürleri belirli aralıklarla gözden geçirecek ve öngörülen değişiklikleri Şirket yönetiminin onayına sunacaktır.

3. İrtibat Kişisi

Şirketimizin geçerli mevzuatına uyum sağlamaya yönelik çalışmalarını İrtibat Kişisi takip eder. Zira, İrtibat Kişisi’nin başlıca sorumluluğu, Komite’nin yukarıda sayılan görev ve sorumluluklarını yerine getirmesine yönelik çalışmaktır.

İrtibat Kişisi, Komite üyesidir ve gerekli durumlarda Komite’yi toplantıya çağırır. İrtibat Kişisi aynı zamanda Şirketimizin veri sorumluları sicili ve Kurum nezdinde geçerli mevzuat uyarınca irtibat kişisi olarak hareket eder.

İrtibat Kişisi’nin Şirketimiz’de bulunmaması durumunda ise farklı bir Şirket çalışan Komite tarafından geçici olarak görevlendirilir. Bu durumda geçici olarak görevlendirilen kişi, Politika kapsamında İrtibat Kişisi’ne atanan tüm görevlerin yerine getirilmesinden sorumludur.

4. Birim Yöneticisi

Kosifler bünyesinde yer alan her iş biriminin veri işleme süreçlerinin geçerli mevzuata uygun şekilde yürütülmesinden birim yöneticisi sorumludur. Birim yöneticisi, görevli olduğu iş birimi kapsamında Politika ile yasal mevzuatın gereklerini yerine getirir, bu bağlamda İrtibat Kişisi ve Komite ile iş birliği içerisinde çalışır.

Birim yöneticisi, kişisel veri ihlali durumunda ilk müdahaleyi yapar, Komite’yi bu ihlalden derhal haberdar eder ve alınması gereken tedbirler konusunda Komite ile iş birliği içerisinde çalışır. Birim yöneticisi, görev ve sorumlulukları doğrultusunda Komite’nin kararlarının uygulanması ve Komite faaliyetlerinin gereği gibi sürdürülmesi amacıyla her türlü makul desteği sağlayacaktır. Birim yöneticisi ayrıca kişisel veri işleme süreçlerinin iyileştirilmesine yönelik istek, talep ve önerilerini Komite’ye iletir.

5. Tüm Çalışanlar

Kosifler bünyesinde görevli çalışanlar, Politika kapsamındaki şart ve koşullara, Komite kararlarına ve geçerli mevzuat hükümlerine uygun şekilde hareket etmekle yükümlüdür. Kosifler çalışanları ayrıca Komite’nin kararlarının, faaliyetlerinin gereği gibi hayata geçirilmesi amacıyla gerekli makul çabayı göstermekle yükümlüdür.

6. Kişisel Veri İşleme İlkeleri

Şirketimiz kişisel verileri işlerken Kanun’un 4. Maddesinde yer alan kişisel veri işleme ilkelerine uygun hareket etmektedir. Şirketimiz bünyesinde yer alan yönetim ve denetim mekanizmaları ile Kanun’da belirtilen veri işleme ilkelerine uygunluk kontrol edilmektedir. İlgili veri işleme ilkelerine ilişkin açıklamalar aşağıda başlıklar altında yer verilmektedir:

No.	Veri İşleme İlkesi	Açıklama
1.	Hukuka ve dürüstlük kurallarına uygun olma	Şirketimiz, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte ve geçerli mevzuattan doğan yükümlülüklerini yerine getirmektedir.
2.	Doğru ve gerektiğinde güncel olma	Kosifler’in veri sorumlusu sıfatıyla işlediği kişisel verilerinizin eksik veya yanlış işlenmesi halinde bunların düzeltilmesini isteme hakkına sahipsiniz. Şirketimiz bu ilke gereğince, ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları her zaman açık tutmaktadır.
3.	Belirli, Açık ve Meşru Amaçlar İçin İşlenme	Şirketimiz tarafından belirlenen kişisel veri işleme amaçları, meşru ve hukuka uygun olacak biçimde açık ve kesin niteliktedir. Şirketimiz, kişisel verileri süreçle bağlantılı ilgili sürecin yürütülmesi için gerekli olduğu ölçüde işlemektedir. İlgili kişilerin kişisel verileri Şirketimiz tarafından işlenme amacı dışında bir veri işleme faaliyetine konu edilmemektedir.
4.	İşleme Amaçlarıyla Bağlantılı, Sınırlı ve Ölçülü Olma	Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine uygun şekilde işlemekte ve amacın gerçekleştirilmesi için uygun veya gerekli olmayan kişisel verileri işlememektedir. Kişisel veri işleme faaliyetinin başında amacın gerçekleştirilmesi için gerekli olan kişisel verileri tespit etmekte ve ihtiyaç duyulmayan hiçbir veriyi toplamamaktadır.
5.	İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme	Şirketimiz tarafından işlenen kişisel veriler, ilgili Kanun’da ve ilgili diğer düzenlemelerde belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Şirketimiz ilgili mevzuatta öngörülen süre sonunda veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileriniz, Kanun’a ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

7. Kişisel Verilerin İşlenme Şartları

A) Kişisel Verilerin İşlenmesi

Kişisel verilerin işlenme şartları Kanun’un 5. ve 6. maddelerinde yer almaktadır. Bu işleme şartları, kişisel veri işleme faaliyetinin hukuki sebebini ifade etmektedir. Şirketimiz, kişisel verileri işlerken bu veri işleme şartlarına uygun hareket etmektedir. Şirketimiz aydınlatma yükümlülüğünü yerine getirirken kişisel verilerin hangi veri işleme şartına/hukuki sebebe dayandığını açıkça belirtmekte ve veri sahiplerinin veri işleme faaliyetimizin yasallığı hakkında bilgilendirmektedir. Kanun’un 5. maddesinde yer alan ve Şirketimizin kişisel verileri işlerken dayandığı veri işleme şartları aşağıdaki gibidir:

• İlgili kişinin açık rızasının bulunması,
• Kanunlarda açıkça öngörülmesi,
• Kişisel verinin işlenmesi ilgili kişi veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Bir hakkın tesisi, kullanılması veya korunması için işlenmesi,
• Şirketimizin hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıda sayılan kişisel veri işleme şartlarından “ilgili kişinin açık rızasının bulunması” şartına yalnızca diğer maddelerde yer alan veri işleme şartlarından biri bulunmuyorsa dayanılmaktadır. Örneğin, kişisel verilerin işlenmesi “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanıyorsa, Şirketimiz söz konusu kişisel verileri işlemek için veri sahiplerinin açık rızasına dayanmamaktadır.

B) Özel Nitelikli Kişisel Verilerin İşlenmesi

Kanun’un 5. maddesi kişisel verilerin işlenme şartlarını düzenlerken Kanun’un 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Özel nitelikli kişisel veriler, Kanun’da sınırlı sayı ilkesi uyarınca belirtilmiştir. Özel nitelikli kişisel verilerin taşıdığı hassasiyet sebebiyle veri işleme şartları da kişisel verilere göre farklılık arz etmektedir.

Zira, Şirketimiz, Kanun’un 6. Maddesi uyarınca, aşağıdaki veri işleme şartlarından en az birinin bulunması halinde özel nitelikli kişisel verileri işlemektedir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

8. Kişsiel Verilerin Aktarılması

Şirketimiz, yukarıda belirtilen kişisel veri işleme amaçları doğrultusunda elde ettiği kişisel verileri üçüncü kişilere aktarabilmektedir. Şirketimizin gerçekleştirdiği veri aktarımları her bir kişisel veri işleme faaliyetine göre farklılık arz etmektedir. Şirketimiz aydınlatma yükümlülüğü kapsamında her bir kişisel veri işleme faaliyeti kapsamında kişisel verilerin hangi üçüncü kişilere aktarılacağını aydınlatma metinleri uyarınca veri sahiplerine açıklamaktadır.

Şirketimiz, kişisel verileri üçüncü taraflara aktarırken Kanun’un 8. ve 9. maddelerinde yer alan kurallara ve Kurul tarafından belirlenmiş olan ek düzenlemelere uygun davranılmasına büyük önem göstermektedir. Kişisel verilerin aktarılması süreçlerinde kişisel verinin niteliğine uygun gerekli güvenlik önlemlerini alarak aktarımı gerçekleştirmektedir.

Şirketimiz tarafından elde edilen kişisel veriler, kişisel verilerin aktarılmasının veri işlene amacını yerine getirebilmek için gerekli olduğu hallerde aşağıdaki veri işleme şartlarının bulunması halinde üçüncü taraflara aktarılabilmektedir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Kişisel verinin işlenmesi ilgili kişi veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve ilgili kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Bir hakkın tesisi, kullanılması veya korunması için işlenmesi,
• Şirketimizin hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yukarıda belirtilen “ilgili kişinin açık rızasının bulunması” şartına yalnızca diğer maddelerde yer alan aktarım şartlarından biri bulunmuyorsa dayanılmaktadır. İlgili kişinin açık rızasının bulunması dışındaki şartlardan biri bulunuyorsa, aktarım söz konusu şartlardan birine dayalı olarak gerçekleştirilmektedir.

Özel nitelikli kişisel verilerin aktarılması süreçlerinde, özel nitelikli kişisel verilerin aktarım şartlarından birinin varlığı halinde söz konusu veri aktarım şartı dikkate alınarak aktarılabilmektedir. Aksi durumda aktarım için veri sahibinin açık rızasına başvurulmaktadır

Şirket faaliyetlerimizin en verimli şekilde yürütülmesi ve teknolojinin imkanlarından faydalanılması için bilişim teknolojisi aracılığı ile kişisel verilerinizi gerekli teknik ve idari tedbirleri alarak yurt dışına aktarmaktayız. Kişisel verileriniz, Şirket faaliyetlerimizin yürütülmesi ve iş organizasyonunun sağlanması amacıyla yurt dışında bulunan işletmelerimize aktarırken Kanun’un 9. maddesinde yer alan kurallara uygun hareket edilmektedir.

Şirketimiz öncelikle, kişisel verileri yurt dışına aktarmadan önce kişisel verinin niteliğine uygun olarak gerekli idari ve teknik önlemleri almaktadır. Bu doğrultuda özellikle hassas veri kategorisinde bulunan özel nitelikli kişisel verilerin aktarılmasında aktarımın yapılacağı vasıta özelinde gerekli önlemler alınmaktadır

Şirketimiz kişisel verilerinizi ve özel nitelikli kişisel verilerinizi yurt dışına aktarırken Kanun’un 9. Maddesinde öngörülen kurallara uygun hareket etmekte ve kişisel verilerinizin üçüncü taraflarca güvenli bir şekilde ve işbu Metne uygun olarak işlenmesini sağlamak için gerekli tüm idari ve teknik tedbirleri almaktadır

Yurt İçinde ve Yurt Dışında Paylaşım Yapılan Taraflar

Kosifler içerisinde, kişisel verilerinize erişim bu Politika içerisinde tanımlanan amaçlar doğrultusunda sadece bilgileri bilmesi zorunlu çalışanlarla sınırlı olacaktır. Verilerinizin toplanma amaçlarını gerçekleştirmek için Kişisel Verilerinizi aşağıda belirtilen kişi ve kurumlara aktarıyoruz:

Kosifler Grup Şirketleri:

Kosifler grup şirketlerine bağlı olarak faaliyet göstermemiz nedeniyle, verileriniz Türkiye’de kurulu bağlı olarak faaliyet gösterdiğimiz grup şirketleri ile paylaşılmakta ve onların erişimine açılmaktadır. Bu paylaşım yalnızca ilgili Kosifler grup şirketindeki yetkili çalışanlar ile yapılacaktır. Ancak genel olarak yaptığımız veri paylaşımının şirket karlılığı, verimliliği gibi şirket faaliyetlerine ilişkin finansal raporlamalar kapsamında kişisel veri içermeyecek şekilde yürütüldüğünü belirtmek isteriz. Bazı özel durumlarda Kosifler grup şirketleri ile anonim bilgi paylaşmak yerine kişisel veri paylaşmamız söz konusu olabilir (sözleşme süreçlerinin yürütülmesi gibi). Kişisel verilerinizin Kosifler grup şirketleri arasında aktarımına ilişkin Veri Paylaşım Sözleşmesi imzalanmış ve gerekli tedbirler uygulamaya alınmıştır.

Hizmet Sağlayıcılar:

Şirketimiz, ticari faaliyetlerini yürütürken bilgi ve iletişim teknolojisi sağlayıcıları, kargo şirketleri, seyahat acenteleri gibi güvenilir üçüncü şahıslarla çalışabilir ve bu kapsamda faaliyetlerimizi yürütmek için veri paylaşımında bulunabilir. Şirketimizin faaliyetlerini en verimli şekilde yürütmek ve teknolojinin imkanlarından maksimum düzeyde faydalanmak için bulut bilişim teknolojileri kullanmakta ve bu kapsamda bilişim hizmeti sunan firmalar aracılığı ile kişisel verilerinizi yurt içinde ve yurt dışında işleyebilmekteyiz.

Kamu Kurum ve Kuruluşları

Kanunların gerektirdiği durumlarda veya haklarımızı korumamız gerektiğinde, kişisel verilerinizi ilgili resmi, adli ve idari merciler ile paylaşabiliriz.

Özel Hukuk Kişileri:

İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kişisel veri paylaşımı yapılabilmektedir (Örn. İş Sağlığı ve Güvenliği Şirketi).

Profesyonel danışmanlar ve diğerleri

Hak kazandığınız maaş ve yan hakların tarafınıza sağlanabilmesi, Şirket kredi kartı işlemlerinin yönetilmesi ve adınıza şirket kredi kartı tanımlanması ve tahsis edilmesi, Kişisel Verilerinizi aşağıda belirtilenler gibi profesyonel danışmanlar dahil diğer kişiler ile paylaşıyoruz:

• Bankalar
• Sigorta Şirketleri
• Avukatlar
• Muhasebeciler
• Havayolu Şirketleri
• Oteller
• Medya Ajansları
• Diğer harici profesyonel danışmanlar

9. Özel Nitelikli Kişisel Verilerin Aktarılması

Kosifler özel nitelikli kişisel verileri üçüncü kişilere aktarırken Kanun’un 8 ve 9. maddelerinde belirtilen esaslara uymaktadır. Özel nitelikli kişisel veriler, yeterli önlemlerin alınması kaydıyla 6. başlıkta sayılan şartlardan birinin bulunması halinde ilgili şarta dayanarak özel nitelikli kişisel veriler aktarılabilir.

Kişisel verilerin şirket dışı taraflarla (müşteri, bir grup şirketi, tedarikçi, kamu kurumu vb.) paylaşımı, kişisel verilerin korunması açısından hassasiyet taşımaktadır. Özel nitelikli kişisel verileri paylaşırken, aşağıdaki üç husus değerlendirilmelidir:

Özel Nitelikli Kişisel Veriler Tablosu

No.	Konu	Açıklama
1.	Özel nitelikli kişisel verileri paylaşmanız zorunlu mu?	Eğer süreç özel nitelikli verileri (ya da herhangi bir kişisel veriyi) paylaşmadan da yürütülebilecek ise, özel nitelikli verileri şirket dışı üçüncü bir tarafla paylaşmamalısınız. Örneğin, işyeri hekimi bir kişinin aşı olup olmadığı hakkında topladığı bilgiyi, zorunlu olmadığı müddetçe şirket içi veya şirket dışı taraflarla doğrudan paylaşmamalıdır. İşyeri hekimi bunun yerine, kişinin aşı durumu hakkında bilgi edinip, kişinin tesislere girişi uygundur/değildir gibi sınırlı bilgi paylaşımı yapabilir.
2.	Özel nitelikli verilerin tümünü paylaşmanız zorunlu mu?	Eğer zorunluluk hali yoksa bu verilerin tümünü üçüncü bir taraf ile paylaşmamalısınız. Bu verileri paylaşırken olabildiğince sınırlamalı ve minimum veri paylaşmalısınız. Eğer teknik olarak mümkünse, veriyi tamamen anonimleştirip paylaşmanız önerilmektedir.
3.	Özel nitelikli verileri paylaşmak için gerekli tedbirler alındı mı?	Özel nitelikli verilerin üçüncü bir tarafa aktarımında, bu verilerin güvenliğini sağlamak sizlerin sorumluluğundadır. Özel nitelikli verileri paylaşırken her zaman güvenli veri aktarım yöntemlerini tercih etmelisiniz. Örneğin, toplu olarak özel nitelikli kişisel verileri paylaşmanız gereken durumlarda, Bilgi Teknolojileri biriminin yönlendirmeleri doğrultusunda FTP, SFTP gibi güvenli veri aktarım yöntemlerini tercih etmelisiniz.

Ayrıca, özel nitelikli kişisel verileri paylaştığınız üçüncü taraflar ile “Kişisel Verilerin Aktarılması ve Güvenliğine İlişkin Sözleşme”nin imzalanması gerekmektedir. Özel nitelikli kişisel verileri bir üçüncü taraf ile paylaşmadan önce, kullanılacak metinler ve alınacak diğer uyum aksiyonları için lütfen Hukuk birimi ile iletişime geçiniz.

10. Özel Nitelikli Kişisel Verilerin Güvenliği İçin Alınan Tedbirler

Kanunda özel nitelikli kişisel verilerin işlenmesi faaliyetlerinde alınması gereken önlemler, Kurulun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’nda (“Karar”) belirlenmişti

Kosifler, özel nitelikli kişisel verilerin güvenliğini sağlamak için Karar’da belirtilen önlemleri almakla yükümlüdür. Bu noktada, aşağıda belirtilen önlemlerin uygulanmasına ilişkin olarak, çalışanların büyük özen göstermesi beklenmektedir:

• Özel nitelikli kişisel veriler işlenirken işbu Politika’da belirlenen kural ve prensiplere uyulur.
• Çalışanlarımızın kişisel verilerin korunması mevzuatı ve özel nitelikli verilerin güvenliği konusunda düzenli olarak eğitim almaları sağlanır; çalışanlarımızın bu eğitimlere katılmaları ve öğrendiklerini kişisel veri işlenedikleri süreçlerde uygulamaları beklenir.
• Özel nitelikli kişisel veriye erişimi olan çalışanlarımız, ilgili verileri gizli tutacakları, hukuka aykırı kullanmayacakları ve korumak için en yüksek derecede özeni gösterecekleri yönünde taahhütname imzalarlar.
• Özel nitelikli verilere erişim yetkisine sahip çalışanlarımızın yetkilerinin kapsam ve süreleri net olarak belirlenir ve düzenli olarak bu yetkiler kontrol edilir. Bu kapsamda çalışanlarımız, sistemlere erişim için yetkilendirme prosedürlerine mutlak surette uymalı, kullanıcı adı ve şifrelerini güvenli bir şekilde saklamalı ve üçüncü kişilerle kesinlikle paylaşmamalıdır.
• Görev değişikliğine uğrayan ya da işten ayrılan çalışanların özel nitelikli kişisel verilere erişim yetkileri derhal kaldırılır ve kendisine tahsis edilen envanter geri alınır. Çalışanlarımız, aramızdan ayrılmaları durumunda söz konusu devir teslimlere hassasiyet ve özen göstermelidir

Çalışanlarımızın özel nitelikli kişisel verilerin işlendiği ve/veya muhafaza edildiği elektronik ortamlarda aşağıdaki tedbirleri almaları gerekmektedir:

• Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
• Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
• BT departmanımızdaki çalışanlarımız tarafından kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
• BT departmanımızdaki çalışanlarımız tarafından verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi ve gerekli güvenlik testlerinin düzenli olarak yaptırılması ve test sonuçlarının kayıt altına alınması,
• Verilere bir yazılım aracılığı ile erişilen durumlarda kullanıcı yetkilendirmelerine uygun hareket edilmesi ve gerekli güvenlik testlerinin düzenli olarak yaptırılması ve test sonuçlarının kayıt altına alınması,
• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin kullanılması,
• Anti virüs taramalarının düzenli olarak yapılması,
• Kullanıcı adı ve şifrelerin üçüncü kişilerin görebileceği şekilde yapışkan kağıtlarla masa, tahta, pano vb. şeylerin üzerine asılmaması

Çalışanlarımızın özel nitelikli kişisel verilerin işlendiği ve/veya muhafaza edildiği fiziksel ortamlarda aşağıdaki tedbirleri almaları gerekmektedir:

• Veriler e-posta yolu ile aktarılacaksa şifreli olarak kurumsal e-posta adresleri veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalı
• Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla veriler aktarılacaksa, kriptografik yöntemler uygulanmalı ve şifreler ile kriptografik anahtarlar farklı ortamlarda tutulmalı
• Farklı fiziksel ortamlardaki sunucular arasında aktarım gerçekleşecekse, sunucular arasında VPN kurma yolu veya sFTP yöntemiyle veri aktarımı gerçekleştirilmeli
• Veriler kâğıt ortamı yoluyla aktarılacaksa, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmalı ve evrak “gizlilik dereceli belge” olarak gönderilmelidir.
• Verilere bir yazılım aracılığı ile erişilen durumlarda kullanıcı yetkilendirmelerine uygun hareket edilmesi ve gerekli güvenlik testlerinin düzenli olarak yaptırılması ve test sonuçlarının kayıt altına alınması,
• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin kullanılması,
• Anti virüs taramalarının düzenli olarak yapılması,
• Kullanıcı adı ve şifrelerin üçüncü kişilerin görebileceği şekilde yapışkan kağıtlarla masa, tahta, pano vb. şeylerin üzerine asılmaması

Belirtilen önlemler dışında da çalışanlarımızın kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin güvenli bir şekilde muhafazasını sağlamak adına Şirket tarafından alınan önlemlere uygunluk göstermeleri gerekmektedir. Ayrıca Çalışanlarımızın ve Veri İşleyenlerimizin, özel nitelikli veriler başta olmak üzere tüm kişisel verileri “Gizli Bilgi” olarak değerlendirmeleri ve üçüncü kişilere izinsiz/hukuka aykırı şekilde paylaşmamaları gerekmektedir.

11. Özel Nitelikli Kişisel Verilerin işlendiği Süreçlere Özgü Kurallar

Kimlik Fotokopileri

Kişisel Verileri Koruma Kurulu’nun 01.10.2019 Tarihli ve 2019/294 sayılı Karar Özeti doğrultusunda, eski tip kimlik fotokopilerinin talep edilmesi / alınması ile elde edilen “kan grubu” ve “din hanesi” bilgilerinin işlenmesi hassasiyet teşkil etmektedir. Zira, Kurul bahsi geçen kararında, kimlik fotokopisinde yer alan kan grubu ve din hanesi bilgilerinin özel nitelikli veri olarak değerlendirileceği belirtilmiştir.

• 1)Süreç kapsamında kimlik fotokopisinin alınması zorunlu değilse, kişiden bu belge hiç temin edilmemelidir (Eğer kimlik fotokopisinin alınmasına ilişkin yasal bir zorunluluk veya hukuki bir yükümlülük bulunuyorsa ya da kimlik fotokopisinin bir kurum tarafından istenmesi gibi durumlar söz konusu ise, kimlik fotokopisinin alınması zorunluluğundan söz edilebilir).
• 2)Süreç kapsamında kimlik fotokopisinin kendisinin alınmadan yalnızca kimlikte yer alan belirli bilgilerin alınmasıyla süreç yürütülebiliyor ise, sadece bu bilgilerin toplanması ve kişiden kimlik fotokopisinin alınmaması gerekmektedir
• 3)Süreç kapsamında kimlik fotokopisinin alınması gerekiyor ancak sadece kimliğin ön yüz fotokopisinin alınması, sürecin yürütülebilmesi için yeterli oluyor ise, sadece ön yüz fotokopisinin alınması gerekmektedir.

İlgili süreç kapsamında kimliğin her iki yüzünün de alınması gerekiyorsa, kimlikteki kan grubu ve din hanesi bilgileri karartılmalı/maskelenmelidir.

Sağlık Bilgileri

Sağlık bilgilerinin özel nitelikli veri olması ve veri güvenliği anlamında hassasiyet taşıması nedeniyle, sağlık verilerinin diğer veri ve kayıtlardan ayrı bir şekilde, kişisel sağlık dosyası şeklinde saklanması gerekmektedir. Söz konusu dosyaların üzerinde “GİZLİ” ibaresi yer almalı ve dosyalar iş yeri hekimi kontrolünde, kilitli dolaplar içerisinde ya da sadece iş yeri hekiminin erişiminin olduğu sistemlerde tutulmalıdır.

Sağlık verisi toplanan tüm süreçlerde, öncelikle bu verinin toplanmasına ilişkin ihtiyacın derecesi değerlendirilmelidir. Eğer süreç için sağlık verisinin toplanması mutlaka zorunlu değil ise, bu veri hiç toplanmamalıdır.

Sağlık bilgisinin toplanmasının zorunlu olduğu süreçlerde ise, öncelikle bu verinin münhasıran işyeri hekimi tarafından işlenmesinin mümkün olup olmadığı değerlendirilmelidir. Örneğin, Şirket tesislerinde çalışacak personellerin bulaşıcı hastalık risk durumlarıyla ilgili bilgileri toplanmak isteniyorsa, kişiler sağlık durumuyla ilgili bilgileri sağlamaları için işyeri hekimine yönlendirilmelidir. İşyeri hekimi çalışandan gerekli bilgileri topladığında, gerekli birimlere çalışanın sağlık durumuyla ilgili bilgi vermeden, “çalışanın tesislere girişi uygundur/değildir” şeklinde sınırlı bilgi verebilir.

Adli Sicil Kaydı

Adli sicil kaydı, özel nitelikli (hassas) veri kategorisinde değerlendirilmektedir. Bu veri genellikle kişinin rızası olmadan kullanılamamaktadır.

Adli sicil bilgisi iş süreciniz için mutlaka zorunlu değilse, hiç toplanmamalıdır. Ancak bu belgenin toplanmasına devam edilmek istenildiği durumlarda, riski minimize etmek için aşağıdaki önlemler alınmalıdır:

Tüm kişilerden adli sicil kaydı talep etmek yerine, yalnızca belirli, kritik pozisyonlarda çalışacak kişiler için adli sicil kaydı toplanması değerlendirilebilir. Adli sicil sorgulaması gerekmeyen pozisyonlarda çalışan kişilerden bu belge hiç temin edilmez.

Adli sicil kayıtları kişilerden fiziki ortamda istenip, kontroller sağlandıktan sonra belge kişiye iade edilebilir ve kişilerin dosyalarında ayrıca muhafaza edilmez.

12. Kişisel Verilerin Saklanması

Kişisel verilerinizi yalnızca toplandıkları amacı yerine getirmek için gerekli süre boyunca saklıyoruz ve ilgili sürelerin sona ermesinin sonunda kişisel verilerinizi saklamamız gereken başkaca bir sebep bulunmuyorsa kişisel verilerinizi Kanun’a uygun bir şekilde imha ediyoruz.

Kişisel verilerinizin imha sürelerini belirlerken aşağıdaki kriterleri dikkate alıyoruz:

• İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
• İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
• İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
• İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
• Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
• Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
• Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi

13. Kişisel Verilerin İmha Edilmesi

Kosifler, geçerli mevzuata uygun şekilde işlenmiş olmasına rağmen, işlemiş olduğu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişisel verileri kendi inisiyatifi doğrultusunda ve/veya ilgili kişinin bu yönde bir talebi olması halinde işlenen siler, imha eder veya anonim hâle getirir.

Bu kapsamda Kişisel Veri Saklama ve İmha Politikası hazırlanmıştır. Şirketimizin ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda ilgili kişinin talebini yerine getirmeme hakkı saklıdır. Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlendiğinde, veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Şirketimiz, kendisi adına kişisel verileri işlemesi için bir kişi veya kuruluş ile anlaştığında, kişisel veriler bu kişi veya kuruluşlar tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

14. Kişisel Verilerin Güvenliğinin ve Hukuka Uygun Olarak İşlenmesinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler

Şirketimiz, fiziki ve elektronik kayıt ortamlarında, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin aktarıldığı süreçlerde güvenli bir şekilde aktarılmasını sağlamak ve kişisel verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır.

Bu kapsamda Şirketimiz tarafından alınan tedbirler aşağıdaki şekildedir:

Teknik Tedbirler

İdari Tedbirler

Kişisel verilerin muhafaza edildiği elektronik ortamların dışarıdan müdahalelere karşı korunabilmesi için güvenlik duvarları kullanılmaktadır. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. Çalışanlar için yetki matrisi oluşturulmuştur. Erişim logları düzenli olarak tutulmaktadır. Gerektiğinde veri maskeleme önlemi uygulanmaktadır. Güncel anti-virüs sistemleri kullanılmaktadır. Güvenlik duvarları kullanılmaktadır. Kişisel veri güvenliğinin takibi yapılmaktadır. Kişisel veriler, kişisel verilerin bulunduğu bilgi sistemleri yedeklenmekte ve yedeklenen kişisel verilerin güvenliği şifrelenerek ve ilgili diğer önlemler de alınarak sağlanmaktadır. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. Saldırı tespit ve önleme sistemleri kullanılmaktadır. Sızma testi uygulanmaktadır. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. Bilgi sistemleri güncel halde tutulmaktadır. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal önlemler alınmaktadır. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, yetki - erişim prensiplerine göre sınırlandırılmaktadır. Güvenlik açıkları takip edilerek, uygun güvenlik yamaları yüklenmektedir. Hukuka aykırı veri işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve mahiyetine uygun olan sistemlerde log kayıtları, zaman damgalı olarak tutulmaktadır. Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. Bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

Kişisel verilerin işlenmesi ve korunması hususunda erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya geçirilmiştir. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. Kişisel verilere ilişkin mevcut risk ve tehditler belirlenmiştir. Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır. Güvenli yazılım geliştirme yaşam döngüsü prosedür ve politikaları uygulanmaktadır. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. Çalışanlar için veri güvenliği içeren disiplin düzenlemeleri mevcuttur. Kişisel veri işleme envanteri hazırlanmıştır. Çalışanların, kişisel verilerin hukuka aykırı olarak ifşa edilmemesi ve paylaşılmaması gibi veri güvenliğine ilişkin konular hakkında belirli aralıklarla eğitim almaları ve çalışanlara yönelik farkındalık çalışmalarının yapılması sağlanmaktadır. Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. Kişisel veri içeren fiziki ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. Kişisel veri içeren ortamların güvenliği sağlanmaktadır. Verilerin gizliliğinin sağlanmasına yönelik olarak gizlilik taahhütnameleri yapılmaktadır. Kişisel veri aktarımı yapılan veri sorumluları ve veri işleyenler ile veri aktarım sözleşmeleri imzalanmaktadır ve bunların farkındalığı sağlanmaktadır. Kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından elde edilmesi halinde bu durumu ilgili kişilere ve Kurul’a bildirmek için uygulanacak prosedürler belirlenmiştir. Özel nitelikli kişisel verilerin güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalıkları sağlanmaktadır.

15. Kişisel Verilerin Gizliliğinin ve Güvenliğinin Sağlanması

Şirketimiz, işlediği kişisel verilerin güvenliğinin sağlanması, işleme faaliyetlerinin Kanun’a ve ilgili mevzuata uygun olarak yürütülmesi amacıyla gerekli gizlilik önlemlerini almaktadır

Kişisel verilerin Kanun’a ve işbu Politika hükümlerine aykırı şekilde üçüncü kişilere açıklanmaması, işlenme amacının dışında bir amaçla kullanılmaması ve Kanun’a uygun olmayan yollarla başkaları tarafından erişim sağlanmasının engellenmesi adına Şirketimizin kendi teknolojik imkân ve uygulama maliyetleri çerçevesinde tüm teknik ve idari tedbirler alınmaktadır

Şirketimiz ayrıca, elde ettiği kişisel verilere yönelik olarak bir saldırı gerçekleştirilmesi veya başkaca yollarla kişisel verilere erişim sağlanması, kişisel verilerin yetkisiz üçüncü kişilerin eline geçmesi halinde ilgili veri ihlalinin etkilerinin ortadan kaldırılması veya etkilerinin azaltılması için söz konusu durumu başta kişisel verileri yetkisiz kişilerce erişilen veri sahiplerine ve Kurul’a bildirmek üzere Şirket içerisinde gerekli mekanizmaları oluşturmuştur. Bu doğrultuda bir Veri İhlali Müdahale Prosedürü oluşturulmuş ve bu prosedür Şirketimiz bünyesinde görevli çalışanlar ile paylaşılmıştır.

Ayrıca, kişisel verilerin gizliliğinin ve güvenliğinin sağlanması adına, çalışanlarımızın kişisel veri işleme süreçlerine yönelik farkındalıklarının arttırılması ve kişisel veri koruma bilincinin güçlendirilmesine çeşitli farkındalık ve eğitim çalışmaları yürütülmektedir

16. Veri Sahiplerinin Hakları

Kanun’un 11. maddesi “ilgili kişi haklarını” düzenlemektedir. Kişisel verisi Kosifler tarafından işlenen tüm gerçek kişiler, Kanun uyarınca Şirketimize başvurma ve Kanun’da sayılmış yasal haklarını kullanma hakkına sahiptir.

Kanun’un 11. maddesinde sayılan haklara aşağıda yer verilmiştir:

• Kosifler tarafından kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmiş ise hakkında bilgi talep etme,
• Kişisel verilerinizin işleme amaçları ve kişisel verileri amacına uygun kullanılıp kullanılmadığını öğrenme,
• Kişisel verilerinizin yurt içi ve yurt dışında aktarıldığı üçüncü kişileri öğrenme,
• Eksik veya yanlış işlenmiş kişisel verilerin düzeltilmesini ve bu işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
• Kişisel verilerinizin Kanun ve ilgili mevzuata uygun olarak işlenmiş olmasına rağmen, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde verilerinizin silinmesini veya yok edilmesini isteme ve bu işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenilen kişisel verilerinizin, münhasıran otomatik sistemler vasıtasıyla analiz edilmesi aleyhinize bir sonuç ortaya çıkarmış ise itiraz etme ve kişisel verilerinizin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
• Kişisel verilerinizin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Kanun’un 11. maddesi kapsamındaki haklarınıza ilişkin taleplerinizi;

• Posta yoluyla, [İçerenköy Mh, Askent Sk. 3B D:3-6, 34752 Ataşehir/İstanbul] adresine göndererek,
• Mobil imza veya güvenli elektronik imza ile imzalayıp [kosifleroto@hs02.kep.tr] adresine e-posta gönderilerek,
• Sistemlerimizde kayıtlı olan e-posta adresini aracılığıyla [kvkk@kosifler.com.tr] adresine e-posta göndererek Kosifler’e iletebilirsiniz

Taleplerinizi iletmek için ayrıca Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen diğer yöntemleri de tercih edebilirsiniz.

Kosifler veri sorumlusu sıfatına haiz olduğu durumlarda Kanun’un 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.

Kosifler, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirketimiz ayrıca ilgili kişinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilir.

Kanun’un 28. maddesi gereğince aşağıdaki hallerin Kanun’un kapsamında olmaması sebebiyle, ilgili kişilerin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hakkı hariç olmak üzere, ilgili kişilerin haklarını ileri sürmeleri mümkün olmayacaktır:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

17. Politikanın Güncellenmesi

Şirketimiz işbu Politika’yı yılda en az bir kes gözden geçirmekte ve gerekli hallerde güncellemektedir. Kanun ve ikincil düzenlemeler ile Kurul kararları olmak üzere ilgili mevzuatta yapılan değişiklikler nedeniyle Politika güncellenmemiş olsa bile, ilgili mevzuatta meydana gelen değişiklikler derhal uygulanacaktır.

18. Politika İle İlgili Sorular

Bu Politikaya ve kişisel verilerin işlenmesine ilişkin tüm sorularınız için kvkk@kosifler.com.tr e-posta adresi üzerinden iletişime geçebilirsiniz.

Son güncelleme Tarihi: 16/09/2024