Erdemoğlu Holding A.Ş. Kişisel Verilerin İşlenmesi Ve Korunması Politikası
İÇİNDEKİLER
1. AMAÇ
2. KAPSAM
3. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
4. TANIMLAR
5. KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK İLKELER
6. KİŞİSEL VERİLER
7. KİŞİSEL VERİLERİN İŞLEME AMAÇLARI
8. KİŞİSEL VERİLERİN AKTARILMASI
9. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
10. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
11. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLEME AMAÇLARI
12. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
13. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
14. KAYIT ORTAMLARI
15. KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNİN ÖNLENMESİ AMACIYLA ŞİRKET TARAFINDAN ALINAN TEDBİRLER
15.1. Teknik Tedbirler
15.2. İdari Tedbirler
16. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA VE İMHA SEBEPLERİ
17. VERİ SAHİBİNİN HAKLARI
18. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI’NIN YAYIMLANMASI VE SAKLANMASI
19. POLİTİKANIN GÜNCELLENME PERİYODU
İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. ve 6. Maddelerinde yer verilen kişisel ve özel nitelikli kişisel verilerin işlenmesine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel verilerin korunması, Erdemoğlu Holding Anonim Şirketi’nin (“Erdemoğlu Holding” veya “Şirket”) en önemli öncelikleri arasında olup bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu Erdemoğlu Holding Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirket veri işleme faaliyetlerinin Kanun’da yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirket, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
Bu kapsamda Şirket çalışan adayları, çalışan, stajyer, müşteri, müşteri çalışanı, şirket ortakları, iş ortağı, tedarikçi, tedarikçi çalışanı ve yetkililerinin, ziyaretçi, 3. kişi çalışanları, internet sitesi ziyaretçileri, danışmanlar, potansiyel ürün/hizmet alıcısı veya herhangi bir nedenle Şirket nezdinde kişisel ve/veya özel nitelikli kişisel verisi bulunan tüm gerçek kişilerin kişisel ve/veya özel nitelikli kişisel verileri, işbu Politika çerçevesinde yönetilmektedir. Şirket, hukuki sorumluluğunun bir parçası olarak kişisel verileri koruma, işleme ve imha süreçlerini KVKK ve yürürlükte olan mevzuat çerçevesinde uygulamaktadır.
Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verinin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü, etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik tedbirlerini almaktayız.
Şirket çalışan adayları, çalışan, stajyer, müşteri, müşteri çalışanı, şirket ortakları, iş ortağı, tedarikçi, tedarikçi çalışanı ve yetkililerinin, ziyaretçi, 3. kişi çalışanları, internet sitesi ziyaretçileri, fuar firması yetkilileri/personelleri, danışmanlar, potansiyel ürün/hizmet alıcısı veya herhangi diğer kişilere ait kişisel ve/veya özel nitelikli kişisel veriler bu Politika kapsamında olup Şirket’in elde ettiği ya da Şirket tarafından yönetilen kişisel ve/veya özel nitelikli kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
İşbu Politika’da;
Açık rıza: Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı,
Birden fazla bilgisayarın bilgi paylaşımı, yazılım ve donanım paylaşımı, merkezi yönetim ve destek kolaylığı gibi çok çeşitli sebeplerden dolayı birbirine bağlandığı yapıyı,
Alıcı grubu: Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Bilgi güvenliği: Bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemeyi,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
24.03.2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kişisel Verileri Koruma Kurumu’nu
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
İşbu Özel Nitelikli Kişisel Veri Politikası’nı,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri işleyen: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiyi
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
ifade eder.
Kişisel veriler Kanun’un “genel ilkeler” başlıklı 4. maddesinde ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek olup Şirket tarafından Kanun’a ve diğer sair mevzuata uygun olarak işleme faaliyeti gerçekleştirilmektedir. Bu ilkeler;
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklindedir.
Kişisel veri, Kanun’un 3/1-d maddesinde tanımlanmış olup kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişisel verilerin korunması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin veri içermeyen bilgiler kişisel veri korunması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz. İşbu Politika doğrudan bir kişiyi ifade eden kişinin adı, soyadı, T.C. Kimlik Numarası gibi verilere uygulandığı gibi dolaylı şekilde ilgili kişinin tespit edilebildiği verilere de uygulanır.
Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde Şirket tarafından kişisel veriler işlenmektedir. Şirket, bu verileri Kurul tarafından ilan edilmiş olan kişisel veri işleme amaçlarına uygun olarak işlemekte olup bu amaçlar;
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans Ve Muhasebe İşlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Organizasyon Ve Etkinlik Yönetimi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Taşınır Mal Ve Kaynakların Güvenliğinin Temini
- Ücret Politikasının Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Yatırım Süreçlerinin Yürütülmesi
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
- Diğer-Türk Ticaret Kanunu uyarınca
şeklindedir.
Kişisel veriler Şirket tarafından Kanun’un 8. maddesi uyarınca Kanun’un 5/2. maddesinde belirtilen şartlardan birinin varlığı halinde açık rıza alınmadan, bunlar dışındaki durumlarda veri ilgilisinin açık rızası alınarak;
- Gerçek kişiler veya özel hukuk tüzel kişilerine
- Hissedarlara
- İş Ortaklarına
- İştirakler ve bağlı ortaklıklara
- Tedarikçilere
- Topluluk Şirketlerine
- Yetkili Kamu Kurum ve Kuruluşlarına
aktarılmaktadır.
Şirket, Kanun’un 9. maddesi çerçevesinde aşağıda yer alan şartların birinin varlığı halinde kişisel verileri yurt dışına aktarır:
- Kanun’da belirtilen işleme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması
- Kişisel veriler, yeterlilik kararının bulunmaması durumunda Kanun’da belirtilen işleme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, sayılan uygun güvencelerin varlığı halinde; (i) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, (ii) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, (iii) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı, (iv) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve Kanun’da öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir; (i) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, (ii) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, (iii) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, (iv) Aktarımın üstün bir kamu yararı için zorunlu olması, (v) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, (vi) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, (vii) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Öğrenilmesi halinde, ilgili kişi hakkında ayrımcılığa neden olabilecek özel nitelikli kişisel verilerin işlenmesi ve korunması bakımından Şirket tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
Özel nitelikli kişisel verilere ilişkin tanıma, Kanun’un 6. maddesinde yer verilmiştir. Buna göre özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak sayılmıştır.
Kanun’un 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde Şirket tarafından özel nitelikli kişisel veriler işlenmektedir. Şirket, bu verileri Kurul tarafından ilan edilmiş olan kişisel veri işleme amaçlarına uygun olarak işlemekte olup bu amaçlar;
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Taşınır Mal Ve Kaynakların Güvenliğinin Temini
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
şeklindedir.
Özel nitelikli kişisel veriler Şirket tarafından Kanun’un 8. maddesi uyarınca, yeterli önlemler alınarak Kanun’un 6/3. maddesinde belirtilen şartlardan birinin varlığı halinde;
- Gerçek kişiler veya özel hukuk tüzel kişilerine
- Hissedarlara
- İş Ortaklarına
- İştirakler ve bağlı ortaklıklara
- Tedarikçilere
- Topluluk Şirketlerine
- Yetkili Kamu Kurum ve Kuruluşlarına
aktarılmaktadır.
Şirket, Kanun’un 9. maddesi çerçevesinde aşağıda yer alan şartların birinin varlığı halinde kişisel verileri yurt dışına aktarır:
- Kanun’da belirtilen işleme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması
- Kişisel veriler, yeterlilik kararının bulunmaması durumunda Kanun’da belirtilen işleme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, sayılan uygun güvencelerin varlığı halinde; (i) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, (ii) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, (iii) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı, (iv) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve Kanun’da öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir; (i) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, (ii) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, (iii) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, (iv) Aktarımın üstün bir kamu yararı için zorunlu olması, (v) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, (vi) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, (vii) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Veri Sorumlusu, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediği kişisel ve/veya özel nitelikli kişisel verileri hukuka uygun olarak aşağıdaki tabloda belirtilen ortamlarda saklamaktadır.
15.KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNİN ÖNLENMESİ AMACIYLA ŞİRKET TARAFINDAN ALINAN TEDBİRLER
Kişisel verilerin hukuka aykırı işlenmesinin önlenmesi ve korunması amacıyla, Veri Sorumlusu tarafından birtakım teknik ve idari tedbirler alınmaktadır.
15.1.Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Güvenlik kamerası ayrı bir wlan'da çalışıyor (ayrı bir internet hattı mevcut).
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
- Yedekleme backup sisteminde fiziksel yedekleme yapılıyor.
15.2.İdari Tedbirler
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
16.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA VE İMHA SEBEPLERİ
Şirket tarafından çalışan adayları, çalışan, stajyer, müşteri, müşteri çalışanı, şirket ortakları, iş ortağı, tedarikçi, tedarikçi çalışanı ve yetkililerinin, ziyaretçi, 3. kişi çalışanları, internet sitesi ziyaretçileri, fuar firması yetkilileri/personelleri, danışmanlar, potansiyel ürün/hizmet alıcısı veya herhangi bir nedenle Şirket nezdinde kişisel ve/veya özel nitelikli kişisel verisi bulunan tüm gerçek kişilere ait kişisel ve/veya özel nitelikli kişisel veriler, Kanun’a uygun olarak saklanır ve imha edilir. Erdemoğlu Holding faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara Kişisel Veri Saklama ve İmha Politikamız’da ayrıca değinilmiş olup işbu Politika’da düzenlenmemiş olan hususlar bakımından Kişisel Veri Saklama ve İmha Politikamızdaki hükümler geçerlidir.
17.VERİ SAHİBİNİN HAKLARI
Veri Sorumlusu faaliyetlerimizin yürütülmesi sırasında, kişisel ve/veya özel nitelikli kişisel verileri elde edilen veri sahipleri, Kanun gereğince, Kanun’da yer verilen usullere ve Kişisel Verileri Koruma Kurulu’nun 10 Mart 2018 tarihli Resmî Gazete’de yayınlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliği’ne uygun şekilde tarafımıza başvurarak; Kanun’un 11’inci maddesinde yer verilen aşağıda belirtilmiş olan haklarını kullanabilirler:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
18. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI’NIN YAYIMLANMASI VE SAKLANMASI
İşbu Politika, elektronik ortamda yayımlanır ve saklanır.
19.POLİTİKANIN GÜNCELLENME PERİYODU
İşbu Politika en geç yıllık periyotlar halinde gözden geçirilir ve gerekli görülmesi halinde güncellenir.