Kişisel Verilerin Korunması Politikası

Yasal Dayanak

Anayasa’nın 20. maddesinde düzenlenen; herkesin, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahip olduğu, bu hakkın; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsadığını, kişisel verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceğini temel yasal dayanak alarak 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kişisel Verilerin hukuka uygun olarak korunması ve işlenmesine azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket etmekteyiz.

Amaç

6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun ile, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir. Bu kapsamda hazırlanan politikamızın amacı; kişisel verilerin korunması hakkındaki yükümlülüklere uyumun sağlanması, Şirketimizin gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi, aktarılması ve gizliliğinin korunması ile ilgili hususlar hakkında müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, Şirket hissedarlarımız, Şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurum/kuruluşların çalışanları, hissedarları ve yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamak amaçlanmaktadır.

Kapsam

Bu politika; müşterilerimizin, potansiyel müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, Şirket hissedarlarının, Şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri Şirket yapısına uygun düzeyde almaktadır. Bu kapsamda;

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır bu kapsamda veri aktarımında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır, yetki matrisi çerçevesinde erişimler gerçekleştirilmektedir.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar dahilinde hareket edilmektedir, kişisel veri güvenliğinin takibi yapılmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Güncel anti-virüs sistemleri ve güvenlik duvarları kullanılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla, dış risklere (yangın, sel vb.) karşı ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Bu veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır, sızma testi uygulanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.
Saklama ve İmha
Saklamayı gerektiren işleme amaçları
  • İnsan kaynakları süreçlerini yürütmek,
  • Kurumsal iletişimi sağlamak,
  • İstatiksel çalışmalar yapabilmek,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
  • Kurum ile iş ilişkisinde bulunan gerçek/ tüzel kişilerle irtibat sağlamak,
  • Çağrı merkezi süreçlerini yönetmek,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
İmhayı gerektiren sebepler
  • Kişisel verinin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Kişisel verinin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel veriyi işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • İlgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kuruluna şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Periyodik imha süreleri

Şirket saklama süresi dolan kişisel verileri saklama süresinin dolduğu tarihten itibaren en geç 180 gün içerisinde imha eder.

  • Şirket; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
  • Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasına, prosedürlere ve şirketin iş akışına uygun olarak belirlenir. Bu süre her halde altı ayı geçemez.
  • Şirket; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.