Erdemoğlu Holding A.Ş. Kişisel Verilerin İşlenmesi Ve Korunması Politikası
İÇİNDEKİLER
3. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
5. KİŞİSEL VERİLERİN İŞLENMESİNDE UYULACAK İLKELER
7. KİŞİSEL VERİLERİN İŞLEME AMAÇLARI
8. KİŞİSEL VERİLERİN AKTARILMASI
9. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
10. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
11. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLEME AMAÇLARI
12. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
13. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
16. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLAMA VE İMHA SEBEPLERİ
18. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI’NIN YAYIMLANMASI VE SAKLANMASI
19. POLİTİKANIN GÜNCELLENME PERİYODU
İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. ve 6. Maddelerinde yer verilen kişisel ve özel nitelikli kişisel verilerin işlenmesine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
Kişisel verilerin korunması, Erdemoğlu Holding Anonim Şirketi’nin (“Erdemoğlu Holding” veya “Şirket”) en önemli öncelikleri arasında olup bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu Erdemoğlu Holding Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirket veri işleme faaliyetlerinin Kanun’da yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirket, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
Bu kapsamda Şirket çalışan adayları, çalışan, stajyer, müşteri, müşteri çalışanı, şirket ortakları, iş ortağı, tedarikçi, tedarikçi çalışanı ve yetkililerinin, ziyaretçi, 3. kişi çalışanları, internet sitesi ziyaretçileri, danışmanlar, potansiyel ürün/hizmet alıcısı veya herhangi bir nedenle Şirket nezdinde kişisel ve/veya özel nitelikli kişisel verisi bulunan tüm gerçek kişilerin kişisel ve/veya özel nitelikli kişisel verileri, işbu Politika çerçevesinde yönetilmektedir. Şirket, hukuki sorumluluğunun bir parçası olarak kişisel verileri koruma, işleme ve imha süreçlerini KVKK ve yürürlükte olan mevzuat çerçevesinde uygulamaktadır.
Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verinin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü, etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik tedbirlerini almaktayız.
Şirket çalışan adayları, çalışan, stajyer, müşteri, müşteri çalışanı, şirket ortakları, iş ortağı, tedarikçi, tedarikçi çalışanı ve yetkililerinin, ziyaretçi, 3. kişi çalışanları, internet sitesi ziyaretçileri, fuar firması yetkilileri/personelleri, danışmanlar, potansiyel ürün/hizmet alıcısı veya herhangi diğer kişilere ait kişisel ve/veya özel nitelikli kişisel veriler bu Politika kapsamında olup Şirket’in elde ettiği ya da Şirket tarafından yönetilen kişisel ve/veya özel nitelikli kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politika; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.
İşbu Politika’da;
Açık rıza: Belirli bir konuya ilişkin bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı,
Alıcı grubu: Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Bilgi güvenliği: Bilginin izinsiz veya yetkisiz bir biçimde erişim, kullanım, değiştirilme, ifşa edilme, ortadan kaldırılma, el değiştirme ve hasar verilmesini önlemeyi,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri işleyen: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiyi
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
ifade eder.
Kişisel veriler Kanun’un “genel ilkeler” başlıklı 4. maddesinde ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilecek olup Şirket tarafından Kanun’a ve diğer sair mevzuata uygun olarak işleme faaliyeti gerçekleştirilmektedir. Bu ilkeler;
şeklindedir.
Kişisel veri, Kanun’un 3/1-d maddesinde tanımlanmış olup kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişisel verilerin korunması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin veri içermeyen bilgiler kişisel veri korunması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz. İşbu Politika doğrudan bir kişiyi ifade eden kişinin adı, soyadı, T.C. Kimlik Numarası gibi verilere uygulandığı gibi dolaylı şekilde ilgili kişinin tespit edilebildiği verilere de uygulanır.
Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde Şirket tarafından kişisel veriler işlenmektedir. Şirket, bu verileri Kurul tarafından ilan edilmiş olan kişisel veri işleme amaçlarına uygun olarak işlemekte olup bu amaçlar;
şeklindedir.
Kişisel veriler Şirket tarafından Kanun’un 8. maddesi uyarınca Kanun’un 5/2. maddesinde belirtilen şartlardan birinin varlığı halinde açık rıza alınmadan, bunlar dışındaki durumlarda veri ilgilisinin açık rızası alınarak;
aktarılmaktadır.
Şirket, Kanun’un 9. maddesi çerçevesinde aşağıda yer alan şartların birinin varlığı halinde kişisel verileri yurt dışına aktarır:
- Kanun’da belirtilen işleme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması
- Kişisel veriler, yeterlilik kararının bulunmaması durumunda Kanun’da belirtilen işleme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, sayılan uygun güvencelerin varlığı halinde; (i) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, (ii) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, (iii) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı, (iv) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve Kanun’da öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir; (i) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, (ii) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, (iii) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, (iv) Aktarımın üstün bir kamu yararı için zorunlu olması, (v) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, (vi) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, (vii) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Öğrenilmesi halinde, ilgili kişi hakkında ayrımcılığa neden olabilecek özel nitelikli kişisel verilerin işlenmesi ve korunması bakımından Şirket tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır.
Özel nitelikli kişisel verilere ilişkin tanıma, Kanun’un 6. maddesinde yer verilmiştir. Buna göre özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak sayılmıştır.
Kanun’un 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde Şirket tarafından özel nitelikli kişisel veriler işlenmektedir. Şirket, bu verileri Kurul tarafından ilan edilmiş olan kişisel veri işleme amaçlarına uygun olarak işlemekte olup bu amaçlar;
şeklindedir.
Özel nitelikli kişisel veriler Şirket tarafından Kanun’un 8. maddesi uyarınca, yeterli önlemler alınarak Kanun’un 6/3. maddesinde belirtilen şartlardan birinin varlığı halinde;
aktarılmaktadır.
Şirket, Kanun’un 9. maddesi çerçevesinde aşağıda yer alan şartların birinin varlığı halinde kişisel verileri yurt dışına aktarır:
- Kanun’da belirtilen işleme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması
- Kişisel veriler, yeterlilik kararının bulunmaması durumunda Kanun’da belirtilen işleme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, sayılan uygun güvencelerin varlığı halinde; (i) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, (ii) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı, (iii) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı, (iv) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
- Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve Kanun’da öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir; (i) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, (ii) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, (iii) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, (iv) Aktarımın üstün bir kamu yararı için zorunlu olması, (v) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, (vi) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, (vii) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Veri Sorumlusu, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediği kişisel ve/veya özel nitelikli kişisel verileri hukuka uygun olarak aşağıdaki tabloda belirtilen ortamlarda saklamaktadır.
ELEKTRONİK ORTAMLAR |
ELEKTRONİK OLMAYAN ORTAMLAR |
|
|
Kişisel verilerin hukuka aykırı işlenmesinin önlenmesi ve korunması amacıyla, Veri Sorumlusu tarafından birtakım teknik ve idari tedbirler alınmaktadır.
Şirket tarafından çalışan adayları, çalışan, stajyer, müşteri, müşteri çalışanı, şirket ortakları, iş ortağı, tedarikçi, tedarikçi çalışanı ve yetkililerinin, ziyaretçi, 3. kişi çalışanları, internet sitesi ziyaretçileri, fuar firması yetkilileri/personelleri, danışmanlar, potansiyel ürün/hizmet alıcısı veya herhangi bir nedenle Şirket nezdinde kişisel ve/veya özel nitelikli kişisel verisi bulunan tüm gerçek kişilere ait kişisel ve/veya özel nitelikli kişisel veriler, Kanun’a uygun olarak saklanır ve imha edilir. Erdemoğlu Holding faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara Kişisel Veri Saklama ve İmha Politikamız’da ayrıca değinilmiş olup işbu Politika’da düzenlenmemiş olan hususlar bakımından Kişisel Veri Saklama ve İmha Politikamızdaki hükümler geçerlidir.
Veri Sorumlusu faaliyetlerimizin yürütülmesi sırasında, kişisel ve/veya özel nitelikli kişisel verileri elde edilen veri sahipleri, Kanun gereğince, Kanun’da yer verilen usullere ve Kişisel Verileri Koruma Kurulu’nun 10 Mart 2018 tarihli Resmî Gazete’de yayınlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkındaki Tebliği’ne uygun şekilde tarafımıza başvurarak; Kanun’un 11’inci maddesinde yer verilen aşağıda belirtilmiş olan haklarını kullanabilirler:
İşbu Politika, elektronik ortamda yayımlanır ve saklanır.
İşbu Politika en geç yıllık periyotlar halinde gözden geçirilir ve gerekli görülmesi halinde güncellenir.