KVKK
GÖREME BALONCULUK GENEL HAVACILIK REKLAMCILIK TURİZM SANAYİ
TİCARET ANONİM ŞİRKETİ
KİŞİSEL
VERİLERİ KORUMA, İŞLEME, SAKLAMA VE İMHA POLİTİKASI
1. GİRİŞ
1.1.
Politikanın Amacı ve Kapsamı
İşbu Kişisel
Verilerin İşlenmesi ve Korunması Politikası (“Politika”),
GÖREME BALONCULUK GENEL HAVACILIK REKLAMCILIK TURİZM SANAYİ
TİCARET ANONİM ŞİRKETİ‘nin (“Şirket”) 6698 sayılı
Kişisel Verilerin Korunması Kanununa, Avrupa Birliği Genel
Veri Koruma Tüzüğü(General Data Protection) ‘ne ve ikincil
düzenlemelere uyumluluğunun sağlanmasını ve Şirket
tarafından kişisel verilerin korunması ve işlenmesine
ilişkin yükümlülüklerin yerine getirilmesinde uyulacak
prensiplerin belirlenmesini amaçlamaktadır. Politika,
kişisel verilerin işleme şartlarını belirlemekte ve kişisel
verilerin işlenmesinde Şirket tarafından benimsenen ana
ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Şirket
tarafından Kanun kapsamındaki tüm kişisel veri işleme
faaliyetlerini, Şirket’in işlediği tüm kişisel verilerin
sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.
1.2. Yürürlük
ve Değişiklik
Politika, Şirket
tarafından internet sitesinde yayımlanarak kamuoyuna
sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat
ile bu Politika’da yer verilen düzenlemelerin çelişmesi
halinde mevzuat hükümleri uygulanır. Şirket, yasal
düzenlemelere paralel olarak Politika’da değişiklik yapma
hakkını saklı tutar.
2. VERİ
SORUMLUSU TARAFINDAN KİŞİSEL VERİ İŞLEME FAALİYETLERİNE
YÖNELİK VERİ SAHİPLERİ, VERİ İŞLEME AMAÇLARI VE VERİ
KATEGORİLERİ
2.1. Veri
Sahipleri
·
Politika kapsamındaki veri sahipleri, Şirket tarafından
kişisel verileri işlenmekte olan tüm gerçek kişilerdir. Bu
çerçevede genel olarak veri sahibi kategorileri aşağıdaki
şekildedir:
·
Müşteri:
Şirket’in sunduğu ürün ve hizmetlerden yararlanan gerçek
kişileri ifade etmektedir.
·
Potansiyel
Müşteri:
Şirket’in sunduğu ürün ve hizmetleri kullanma ilgisini
gösteren, müşteriye dönüşme potansiyeli olan gerçek kişileri
ifade etmektedir.
·
Ziyaretçi:
Şirket merkezi, yerleşkeyi ziyaret eden gerçek kişileri
ifade etmektedir.
·
Çalışan Adayı:
Şirket ’e CV göndererek veya başka yöntemlerle iş başvurusu
yapan gerçek kişileri ifade etmektedir.
·
Çalışan:
Şirket çalışanı olan gerçek kişiler.
·
Tedarikçi:
Şirket’ten aldığı talimatlar doğrultusunda ve Şirket ile
arasındaki sözleşmeye dayanarak Şirket’in ticari
faaliyetlerini sürdürmesine yönelik hizmet sunan taraflar
·
İş Ortağı:
Şirket’in ticari faaliyetlerini yürütürken iş ortaklığı
kurduğu taraflar
·
Hissedarlar:
Şirket ortakları
·
Üçüncü Kişiler:
Yukarıda yer verilen veri sahibi kategorileri hariç gerçek
kişileri ifade etmektedir.
Veri sahibi
kategorileri genel bilgi paylaşımı amacıyla belirtilmiştir.
Veri sahibinin, bu kategorilerden herhangi birinin kapsamına
girmemesi, Kanun’da belirtildiği şekilde veri sahibi
niteliğini ortadan kaldırmamaktadır.
2.2. Kişisel
Veri İşleme Amaçları
Şirket
tarafından kişisel verileriniz ve özel nitelikli kişisel
verileriniz, Kanun’da ve ilgili mevzuatta yer alan kişisel
veri işleme şartlarına uygun olarak aşağıdaki amaçlarla
işlenebilmektedir:
·
İnsan Kaynakları operasyon ve faaliyetlerin kurgulanması ve
icrası ve geliştirilmesi
·
Şirkete özel ticari faaliyetlerin kurgulanması, koordine
edilmesi, geliştirilmesi, icrası, iş geliştirmeye ve ticari
aktivitelere yönelik faaliyetlerin planlanması ve icrası
·
Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili
kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin
edilmesi ile yükümlülüklerin ifasına yönelik faaliyetlerin
gerçekleştirilmesi
·
Kurumsal ilişkilerinin planlanması, icrası ve yönetilmesi
·
Talep ve şikayet yönetimi ile satış sonrası süreçlerin
kurgulanması ve icrası
·
Ürün ve hizmetlerin kişilere göre özelleştirilmesi,
profilleme, tanıtım ve pazarlanmaya yönelik faaliyetlerin
kurgulanması ve icrası başta olmak üzere;
·
Dilek, şikâyet ve önerilerinizin değerlendirmeye
alınabilmesi ve iletişim, • Müşterilerle kurulan
sözleşmelerin ifası ve müşterilerle ilişkilerin yürütülmesi,
yönetilmesi, planlanması ve icrası, • Ticari işlerin,
çalışmaların, operasyonların geliştirilmesine, takibine,
kontrolüne yönelik faaliyetlerin planlanması ve icrası, •
Finans ve muhasebeye yönelik faaliyetlerin planlanması,
takibi ve icrası, • Sistemlere erişime yönelik
faaliyetlerin/geliştirmelerin ve analizlerin
gerçekleştirilmesi, planlanması ve icrası, • Bilişim
Teknolojileri ve veri güvenliği faaliyetlerinin planlanması
ve icrası, • Kontrol, veri yönetimi, analiz, sosyal amaçlı
aktivite, süreç geliştirme ve benzeri faaliyetlere yönelik
çalışmalar ile ilgili raporlamaların gerçekleştirilmesi, •
Şirketin fiziki/elektronik güvenliğine yönelik çalışmaların
planlanması ve icrası, • Marka hakkındaki algı düzeyini
artırmaya yönelik aksiyonların ve marka yönetimi
faaliyetlerinin planlanması ve icrası, • Müşterilere yönelik
reklam, satış ve pazarlamaya yönelik operasyonların
planlanması ve icrası, • Müşterilerin kullanım
alışkanlıklarını, eğilimlerini analiz ederek ürün ve
hizmetlerin geliştirilmesi • Çalışanların sözleşmeleri
kapsamında yapılması gereken ödemelere ilişkin işlemlerin
gerçekleştirilmesi, • Müşterilerle sözleşme ilişkisi
içerisine girmeye veya sözleşme yenilemeye yönelik
operasyon, araştırma, analiz, raporlama faaliyetlerinin
gerçekleştirilmesi, • Sözleşme öncesi ve sözleşme sonrası
ilişkilerin yürütülmesi, satış sonrası hizmetler ve
sözleşmesel ilişkiden doğan yükümlülüklerin yerine
getirilmesine yönelik işlem ve faaliyetlerin
gerçekleştirilmesi ve takibi, • Tedarikçi/bayi/iş ortağı ile
ilişkilerin yönetimi, geliştirilmesi, planlanması ve icrası,
• Üretim ve/veya operasyon süreçlerinin planlanması ve
icrası, • İş sürekliliğinin sağlanması faaliyetlerinin
planlanması ve/veya icrası, • Stratejik planlama
faaliyetlerinin icrası; gibi amaçlar (hepsi birlikte
“Amaçlar”) kapsamında işleyebilmekteyiz.
2.3. Kişisel
Veri Kategorileri
Şirket
tarafından aşağıda kategorize edilmiş kişisel verileriniz,
Kanun’da ve ilgili mevzuatta yer alan kişisel veri işleme
şartlarına uygun olarak işlenmektedir:
KİŞİSEL VERİ
KATEGORİZASYONU AÇIKLAMA
Kimlik Bilgisi
Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık
kimliği, evlilik cüzdanı gibi dokümanlarda yer alan kişinin
kimliğine dair tüm bilgiler
İletişim Bilgisi
Telefon numarası, adres, e-mail gibi veri sahibiyle iletişim
kurulmasına yönelik bilgiler
Aile Bireyleri
ve Yakın Bilgisi
Sunduğumuz ürün ve hizmetlerle ilgili veya Şirketin ve veri
sahibinin hukuki menfaatlerini korumak amacıyla işlenen
kişisel veri sahibinin aile bireyleri ve yakınları
hakkındaki bilgiler
Müşteri İşlem
Bilgisi
Ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile
müşterinin ürün ve hizmetleri kullanımı için gerekli olan
talimatları ve talepleri gibi bilgiler
Fiziksel Mekan
Güvenlik Bilgisi
Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış
sırasında alınan kamera kayıtlarına kişisel veriler
Finansal Bilgi
Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki
ilişkinin tipine göre yaratılan her türlü finansal sonucu
gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel
veriler
Hukuki İşlem ve
Uyum Bilgisi
Hukuki alacak ve haklarımızın tespiti, takibi ve
borçlarımızın ifası ile kanuni yükümlülüklerimiz ve
şirketimizin politikalarına uyum kapsamında işlenen kişisel
veriler
Özlük Bilgisi
Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi
kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri,
Performans değerlendirme raporları v.b.
Mesleki Deneyim
Bilgisi
Diploma
bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri,
Sertifikalar, Transkript bilgileri v.b.
Görsel ve
İşitsel Kayıtlar
Görüntü
kayıtları gibi,
Özel Nitelikli
Veri
Kişilerin ırkı, etnik kökeni, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, sendika üyeliği,
sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
verileri özel nitelikli kişisel veridir.
Diğer Bilgiler
Şirketimize yöneltilmiş olan her türlü talep veya şikâyetin
alınması ve değerlendirilmesine ilişkin kişisel veriler,
kişinin ürün ve hizmetler hakkında yaptığı taleplerle ilgili
alınan bilgiler ve kayıtlar, kişinin ürün ve hizmetler
hakkında yaptığı şikayetlerle ilgili toplanan bilgiler ve
kayıtlar
3. KİŞİSEL
VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR
3.1. Kişisel
Verilerin İşlenmesine İlişkin İlkeler
Şirket
tarafından kişisel verileriniz, Kanun’un 4. maddesinde yer
alan kişisel veri işleme ilkelerine uygun olarak
işlenmektedir. Bu ilkelere her bir kişisel veri işleme
faaliyeti açısından uyulması zorunludur: • Kişisel verilerin
hukuka ve dürüstlük kurallarına uygun olarak işlenmesi;
Şirket, kişisel verilerinizin işlenmesinde kanunlara,
ikincil düzenlemelere ve hukukun genel ilkelerine uygun
olarak hareket eder; kişisel verileri işlenme amacı ile
sınırlı olarak işlemeye ve veri sahiplerinin makul
beklentilerini dikkate almaya önem verir. • Kişisel
verilerin doğru ve güncel olması; Şirket tarafından işlenen
kişisel verilerinizin güncel olup olmadığına, buna ilişkin
kontrollerin yapılmasına dikkat edilir. Veri sahiplerine bu
kapsamda doğru ve güncel olmayan verilerinin düzeltilmesini
veya silinmesini isteme hakkı tanınır. • Kişisel verilerin
belirli, açık ve meşru amaçlar için işlenmesi; Şirket, her
bir kişisel veri işleme faaliyetinden önce veri işleme
amaçlarını tespit eder ve bu amaçların hukuka aykırı
olmamasına dikkat eder. • Kişisel verilerin işlendiği amaçla
bağlantılı, sınırlı ve ölçülü olması; Şirket tarafından veri
işleme faaliyeti toplama amacını gerçekleştirme için gerekli
olan kişisel verilerle sınırlandırılmakta ve bu amaçla
ilişkili olmayan kişisel verilerin işlenmemesi için gerekli
adımlar atılmaktadır. • Kişisel verilerin mevzuatın ya da
işleme amaçlarının gerektirdiği süre kadar saklanması;
Şirket tarafından kişisel veri işleme amacının ortadan
kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması
ile birlikte kişisel veriler silinmekte, yok edilmekte veya
anonimleştirilmektedir.
3.2. Kişisel
Verilerin İşlenmesine İlişkin Şartlar
Şirket
tarafından kişisel verileriniz, Kanun’un 5. maddesinde yer
alan kişisel veri işleme şartlarından en az birinin varlığı
halinde işlenmektedir. Söz konusu şartlara ilişkin
açıklamalar aşağıda yer almaktadır:
• Kişisel veri
sahibinin açık rızasının olması diğer veri işleme
şartlarının var olmadığı durumlarda, 3.1. başlık altında yer
verilen genel ilkelere uygun olarak, Şirket tarafından veri
sahibinin kişisel verileri, veri sahibinin özgür iradesi ile
kişisel veri işleme faaliyetine ilişkin yeterli bilgi sahibi
olarak, tereddüde yer bırakmayacak şekilde ve sadece o
işlemle sınırlı olarak onay vermesi halinde
işlenebilmektedir. • Kişisel veri işleme faaliyetinin
kanunlarda açıkça öngörülmesi halinde Şirket tarafından
kişisel veriler, veri sahibinin açık rızası olmadan
işlenebilecektir. Bu durumda Şirket, ilgili hukuki düzenleme
çerçevesinde kişisel verileri işleyecektir. • Fiili
imkânsızlık nedeniyle veri sahibinin açık rızasının elde
edilememesi ve kişisel veri işlemenin zorunlu olması
halinde, Şirket tarafından rızasını açıklayamayacak durumda
olan veya rızasına geçerlilik tanınamayacak olan veri
sahibine ait kişisel veriler, veri sahibinin veya üçüncü bir
kişinin hayatı veya beden bütünlüğünü korumak adına kişisel
veri işlemenin zorunlu olması durumunda işlenecektir. •
Kişisel veri işleme faaliyetinin bir sözleşmenin kurulması
veya ifasıyla doğrudan doğruya ilgili olması durumunda, veri
sahibi ile Şirket arasında kurulan veya halihazırda
imzalanmış olan sözleşmenin taraflarına ait kişisel
verilerin işlenmesi gerekli ise kişisel veri işleme
faaliyeti gerçekleştirilecektir. • Veri sorumlusu hukuki
yükümlülüğünü yerine getirme için kişisel veri işleme
faaliyeti yürütülmesinin zorunlu olması durumunda Şirket,
yürürlükteki mevzuat kapsamında öngörülen hukuki
yükümlülüklerini yerine getirme amacıyla kişisel verileri
işlemektedir. • Veri sahibinin kişisel verilerini
alenileştirmiş olması, veri sahibi tarafından herhangi bir
şekilde kamuoyuna açıklanmış, alenileştirilme sonucu
herkesin bilgisine açılmış olan kişisel veriler
alenileştirme amacı ile sınırlı olarak Şirket tarafından
veri sahiplerinin açık rızası olmasa da işlenebilecektir. •
Bir hakkın tesisi, kullanılması veya korunması için kişisel
veri işlemenin zorunlu olması durumunda, Şirket zorunluluk
kapsamında veri sahiplerinin açık rızası olmaksızın veri
sahibinin kişisel verilerini işleyebilecektir. • Veri
sahibinin temel hak ve özgürlüklerine zarar vermemek
kaydıyla, veri sorumlusunun meşru menfaatleri için veri
işlemenin zorunlu olması halinde, Şirket ile veri sahibinin
menfaat dengesinin gözetilmesi şartıyla Şirket tarafından
kişisel veriler işlenebilecektir. Bu kapsamda, meşru
menfaate dayanarak verilerin işlenmesinde Şirket öncelikle
işleme faaliyeti sonucunda elde edeceği meşru menfaati
belirler. Kişisel verilerin işlenmesinin veri sahibinin hak
ve özgürlükleri üzerindeki olası etkisini değerlendirir ve
dengenin bozulmadığı kanaatindeyse işleme faaliyetini
gerçekleştirir.
3.3. Özel
Nitelikli Kişisel Verilerin İşlenmesine İlişkin Şartlar
Kanunun 6.
maddesinde özel nitelikli kişisel veriler, sınırlı sayıda
olacak şekilde belirtilmiştir. Bunlar; kişilerin ırkı, etnik
kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileridir. Şirket, özel nitelikli kişisel verileri
Kişisel Verileri Koruma Kurulu tarafından belirlenen ilave
tedbirlerin alınmasını sağlayarak aşağıdaki durumlarda
işleyebilmektedir:
• Sağlık ve
cinsel hayat dışındaki özel nitelikli kişisel verilerin
işlenmesi, veri sahibinin açık rıza vermesi halinde veya
kanunlarda açıkça öngörülmesi durumunda işlenebilmektedir. •
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbî teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından veri sahibinin açık rızası
aranmaksızın işlenebilmektedir.
4. KİŞİSEL
VERİLERİN AKTARILMASI
Şirket, Kanun’un
8. ve 9. maddelerinde sıralanan ve Kişisel Verileri Koruma
Kurulu tarafından belirlenmiş olan ilave düzenlemelere uygun
olarak; kişisel verilerin aktarılması şartlarının bulunması
durumunda kişisel verileri yurtiçinde veya yurtdışına
aktarabilmektedir.
·
Kişisel verilerin yurtiçinde üçüncü kişilere aktarımı,
Kanun’un 5. ve 6. maddesinde yer alan ve işbu Politika’nın
3. Başlığı altında açıklanmış olan veri işleme şartlarından
en az birinin varlığı halinde ve veri işleme şartlarına
ilişkin temel ilkelere uymak şartıyla kişisel verileriniz
Şirket tarafından aktarılabilmektedir.
·
Kişisel verilerin yurtdışında üçüncü kişilere aktarımı,
kişinin açık rızası olmadığı hallerde, Kanun’un 5. ve 6.
maddesinde yer alan ve işbu Politika’nın 3. Başlığı altında
açıklanmış olan veri işleme şartlarından en az birinin
varlığı halinde ve veri işleme şartlarına ilişkin temel
ilkelere uymak şartıyla Şirket tarafından kişisel
verileriniz yurtdışına aktarılabilmektedir. Aktarımın
yapılacağı ülkenin Kişisel Verileri Koruma Kurulu tarafından
ilan edilecek güvenli ülkelerden olmaması halinde, Şirket ve
ilgili ülkedeki veri sorumlusunun yeterli korumayı yazılı
olarak taahhüt etmesi üzerine, Kişisel Verileri Kurul’un bu
işleme izin vermesi ile Kanun’un 5. ve 6. maddesinde yer
alan veri işleme şartlarından (bakınız Politika 3. Başlık)
en az birinin varlığı halinde kişisel veriler yurtdışında
üçüncü taraflara aktarılabilmektedir.
Kanunun genel
ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme
şartları dahilinde Şirket, aşağıdaki tabloda kategorizasyonu
yapılmış taraflara veri aktarımı gerçekleştirebilmektedir:
PAYLAŞILAN TARAF KATEGORİZASYONU |
KAPSAM |
AKTARIM AMACI |
İş
Ortağı |
Şirket’in ticari faaliyetlerini yürütürken iş
ortaklığı kurduğu taraflar |
İş
Ortağı İş ortaklığının kurulma amaçlarının yerine
getirilmesini temin etmek amacıyla sınırlı olarak
kişisel verilerin paylaşımı |
Hissedarlar |
Şirket
ortakları |
Hissedarların Şirketin ticari faaliyetlerinin
yürütülmesi sırasında bilgi alma hakkının yerine
getirilmesini temin etmek amacıyla sınırlı olarak
kişisel veri paylaşımı |
Tedarikçi |
Şirket’ten aldığı talimatlar doğrultusunda ve Şirket
ile arasındaki sözleşmeye dayanarak Şirket’in ticari
faaliyetlerini sürdürmesine yönelik hizmet sunan
taraflar |
Tedarikçiden dış kaynaklı olarak temin edilen
hizmetlerin alınması ile sınırlı olarak aktarım |
Kanunen
Yetkili Kamu Kurumu |
Hukuken
Şirket’ten bilgi ve belge almaya yetkili kamu kurum
ve kuruluşları |
İlgili
kamu kurum ve kuruluşlarının bilgi talep etme
amacıyla sınırlı olarak kişisel veri paylaşımı |
Kanunen
Yetkili Özel Kurum |
Hukuken
Şirketten bilgi ve belge almaya yetkili özel hukuk
kişileri |
İlgili
özel hukuk kişilerinin hukuki yetkisi dahilinde
talep ettiği amaçla sınırlı olarak verilerin
paylaşımı |
5. VERİ
SAHİPLERİNİN AYDINLATILMASI VE VERİ SAHİPLERİNİN HAKLARI
Kanunun 10.
maddesine göre kişisel verilerin işlenmesinden önce veya en
geç kişisel verilerin işlenmesi anında, veri sahiplerinin
kişisel veri işlenmesine ilişkin aydınlatılmaları
gerekmektedir. İlgili madde gereğince veri sorumlusu
sıfatıyla Şirket tarafından kişisel veri işleme faaliyetinin
yürütüldüğü her durumda veri sahiplerinin aydınlatılmasını
sağlamak üzere şirket içi gerekli yapı oluşturulmuştur.
Bu kapsamda; •
Kişisel verilerinizin işlenme amacı için lütfen Politika’nın
2.2. bölümünü inceleyiniz.
• Kişisel
verilerinizin aktarıldığı taraflar ve aktarım amacı için
lütfen Politika’nın 4. Bölümünü inceleyiniz.
• Fiziki veya
elektronik ortamlarda farklı kanallarla toplanabilen kişisel
verilerinizi işlenmesine ilişkin şartları incelemek için
lütfen Politika’nın 3.2 ve 3.3. bölümüne bakınız.
• Veri sahibi
olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip
olduğunuzu belirtmek isteriz: ― Kişisel verilerinizin
işlenip işlenmediğini öğrenme, ― Kişisel verileriniz
işlenmişse buna ilişkin bilgi talep etme, ― Kişisel
verilerinizin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme, ― Yurt içinde veya yurt
dışında kişisel verilerinizin aktarıldığı üçüncü kişileri
bilme, ― Kişisel verilerinizin eksik veya yanlış işlenmiş
olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda
yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü
kişilere bildirilmesini isteme, ― Kanun’a ve ilgili diğer
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde
kişisel verilerin silinmesini veya yok edilmesini isteme ve
bu kapsamda yapılan işlemin kişisel verilerinizin
aktarıldığı üçüncü kişilere bildirilmesini isteme, ― İşlenen
verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması
durumunda buna itiraz etme, ― Kişisel verilerinizin kanuna
aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde
zararın giderilmesini talep etme. Yukarıda sıralanan
haklarınıza ilişkin taleplerinizi, ‘Karaseki Mah. 793 Sok.
No:6 Avanos/Nevşehir’ adresimizde yer alan Operasyon
Merkezimizden temin edebileceğiniz Veri Sahibi Başvuru
Formu’nu kullanarak, ‘‘Karaseki Mah. 793 Sok. No:6
Avanos/Nevşehir’ adresine adresine zarfın/tebligatın üzerine
“Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi”
yazılması suretiyle, ıslak imzalı olacak biçimde, şahsen,
posta yolu ile veya noter kanalı ile iletebilirsiniz.
Talebinizin niteliğine göre en kısa sürede ve en geç otuz
gün içinde başvurularınız ücretsiz olarak
sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet
gerektirmesi halinde Kişisel Verileri Koruma Kurulu
tarafından belirlenecek tarifeye göre tarafınızdan ücret
talep edilebilecektir.
Şirket,
başvuruların değerlendirilmesi sırasında öncelikle talepte
bulunan kişinin gerçek hak sahibi olup olmadığını tespit
etmektedir. Bununla birlikte Şirket gerek gördüğü durumlarda
talebin daha iyi anlaşılabilmesi için detaylı ve ek bilgi
isteyebilmektedir. Şirket tarafından veri sahibi
başvurularına yanıtlar, yazılı olarak veya elektronik
ortamda veri sahiplerine bildirilmektedir. Başvurunun
reddedilmesi halinde ret nedenleri gerekçeli olarak veri
sahibine açıklanacaktır. Kişisel verilerin doğrudan veri
sahibinden elde edilmemesi halinde; Şirket tarafından (1)
kişisel verilerin elde edilmesinden itibaren makul bir süre
içerisinde, (2) kişisel verilerin veri sahipleri kişi ile
iletişim amacıyla kullanılacak olması durumunda, ilk
iletişim kurulması esnasında, (3) kişisel verilerin
aktarılacak olması halinde, en geç kişisel verilerin ilk kez
aktarımının yapılacağı esnada veri sahiplerinin
aydınlatılmasına ilişkin faaliyetler yürütülmektedir.
6. KİŞİSEL
VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kanun’un 7.
maddesi gereğince hukuka uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde resen veya veri sahibinin talebi üzerine Şirket,
Kurum tarafından yayımlanan rehberlere uygun olarak kişisel
verileri siler, yok eder veya anonim hâle getirir.
6.1.
Saklama Süreleri
VERİ
SAHİBİ |
VERİ KATEGORİSİ |
VERİ SAKLAMA SÜRESİ |
Çalışan |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna
gerçekleştirilen; hizmet süresine ve ücrete dair
bildirimlere esas özlük verileri |
Hizmet akdinin devamında ve hitamından itibaren de
50(elli) yıl müddetle muhafaza edilir. |
Çalışan |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna
gerçekleştirilen; hizmet süresine ve ücrete dair
bildirimlere esas özlük verileri dışında kalan özlük
verileri |
Hizmet akdinin devamında ve hitamını takip eden
takvim yılı yılbaşından itibaren de 10(on) yıl
müddetle muhafaza edilir. |
Çalışan |
İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler |
Hizmet akdinin devamında ve hitamından itibaren
sınırsız süre ile muhafaza edilir. |
Çalışan |
Kamera görüntüleri |
2 yıl süre ile saklanır. |
İş Ortağı/Çözüm Ortağı/Danışman |
İş Ortağı/Çözüm Ortağı/Danışman ile Şirket
arasındaki ticari ilişkinin yürütümüne dair kimlik
bilgisi, iletişim bilgisi, finansal bilgiler, İş
Ortağı/Çözüm Ortağı/Danışman çalışanı verileri |
İş Ortağı/Çözüm Ortağı/Danışmanın, Şirket ile olan
iş/ticari ilişkisi süresince ve sona ermesinden
itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret
Kanunu md.82 uyarınca 10 yıl süre ile saklanır. |
İş Ortağı/Çözüm Ortağı/Danışman |
Kamera görüntüleri |
2 yıl süre ile saklanır. |
Ziyaretçi |
Kamera kayıtları |
2 yıl süre ile saklanır. |
Çalışan Adayı |
Çalışan Adayına ait özgeçmiş ve işe başvuru formunda
yer alan bilgiler |
En fazla 2 yıl olmak üzere özgeçmişin güncelliğini
kaybedeceği süre kadar saklanır. |
Çalışan Adayı |
Kamera görüntüleri |
2 yıl süre ile saklanır. |
Stajyer(öğrenci) |
Stajyer'e ait staj dosyasında yer alan bilgiler |
Staj ilişkisinin devamında ve hitamını takip eden
takvim yılı yılbaşından itibaren de 10(on) yıl
müddetle muhafaza edilir. |
Stajyer(öğrenci) |
Kamera görüntüleri |
2 yıl süre ile saklanır. |
Müşteri |
Kamera görüntüleri dışında kalan Müşteri'ye ait ad,
soyad, T.C.K.N., imzası,ödeme bilgileri ve
yöntemleri gibi. |
Müşteri'nin, satın almış olduğu her bir
ürün/hizmetin sunulmasından itibaren Sivil Havacılık
Genel Müdürlüğü mevzuatlarına göre 5 yıl süre ile
saklanır. |
Müşteri |
Kamera görüntüleri |
2 yıl süre ile saklanır. |
Müşteri |
Müşteri belirtmiş ise sağlık verisi |
Sınırsız süre ile saklanır. |
Potansiyel Müşteri |
Potansiyel Müşteri ile Şirket arasındaki ticari
ilişki kurulmasına dair sözleşme görüşmeleri
sırasında alınan kimlik bilgisi, iletişim bilgisi,
finansal bilgiler, telefon aramalarında alınan ses
kayıtları |
2 yıl süre ile saklanır. |
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar
(Tedarikçi) |
Şirketin işbirliği içinde olduğu Kurum/Firmalar ile
Şirket arasındaki ticari ilişkinin yürütümüne dair
kimlik bilgisi, iletişim bilgisi, finansal bilgiler,
Şirketin İşbirliği İçinde Olduğu Kurum/Firma
çalışanı verileri |
Şirketin İşbirliği İçinde Olduğu Kurum/Firmaların,
Şirket ile olan iş/ticari ilişkisi süresince ve sona
ermesinden itibaren Türk Borçlar Kanunu md.146 ile
Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile
saklanır. |
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar
(Tedarikçi) |
Kamera görüntüleri |
2 yıl süre ile saklanır. |
*
Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da
mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama
süreleri vb. için daha uzun bir süre öngörülmüş olması
halinde, mevzuat hükümlerindeki süreler azami saklama süresi
olarak kabul edilir.
6.2.
İmha Süreleri
Şirket, Kanun,
ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması
Politikası ve işbu Kişisel Verileri Saklama ve İmha
Politikası uyarınca sorumlu olduğu kişisel verileri silme,
yok etme veya anonim hale getirme yükümlülüğünün ortaya
çıktığı tarihi takip eden en geç 6 aylık periyotlarda imha
işleminde, kişisel verileri siler, yok eder veya anonim hale
getirir.
İlgili kişi,
Kanunun 13’ncü maddesine istinaden Şirkete başvurarak
kendisine ait kişisel verilerin silinmesini veya yok
edilmesini talep ettiğinde;
6.2.1.
Kişisel verileri
işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe
konu kişisel verileri talebi aldığı günden itibaren 30
(otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi
ile siler, yok eder veya anonim hale getirir. Şirketin
talebi almış sayılması için ilgili kişinin talebini Kişisel
Verilerin İşlenmesi ve Korunması Politikasına uygun olarak
yapmış olması gerekir. Şirket, her halde yapılan işlemle
ilgili ilgili kişiye bilgi verir.
6.2.2.
Kişisel verileri
işleme şartlarının tamamı ortadan kalkmamışsa, bu talep
Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası
uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı
ilgili kişiye en geç otuz gün içinde yazılı olarak ya da
elektronik ortamda bildirilir.
6.3.
PERİYODİK İMHA
Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda; Şirket işleme şartları ortadan kalkmış
olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha
Politikasında belirtilen ve tekrar eden aralıklarla re’sen
gerçekleştirilecek bir işlemle siler, yok eder veya anonim
hale getirir.
Periyodik imha
süreçleri her 6 (altı) ayda bir tekrar eder.
6.4.
İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ
Şirket, gerek
talep üzerine gerekse periyodik imha süreçlerinde re’sen
gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata,
Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve
işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak
yapar.
Şirket, imha
işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin
etmek amacıyla bir takım idari ve teknik tedbirler
almaktadır.
6. 4.1.
Teknik Tedbirler
-
Şirket, işbu
politikada yer alan her bir imha yöntemine uygun teknik
araç ve ekipman bulundurur.
-
İmha
işlemlerinin yapıldığı yerin güvenliğini sağlar.
-
İmha
işleminin kayıtlarını tutar.
-
İmha
işlemini yapacak yetkin ve tecrübeli elemanlar istihdam
eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet
alır.
6. 4.2. İdari
Tedbirler
-
Şirket,
çalışanlarının bilgi güvenliği, kişisel veriler ve özel
hayatın gizliliği konularında farkındalıklarının
artırılması ve bilinçlendirilmesi için çalışmalar yapar,
-
Şirket,
Bilgi güvenliği, özel hayatın gizliliği, kişisel
verilerin korunması ve güvenli imha teknikleri
alanındaki gelişmeleri takip etmek ve gerekli
aksiyonları almak üzere hukuki ve teknik danışmanlık
hizmeti almıştır,
-
Teknik ya da
hukuki gereklilikler nedeniyle imha işlemini üçüncü
kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle
kişisel verilerin korunması amacıyla protokoller
imzalar, ilgili üçüncü kişilerin bu protokollerdeki
yükümlülüklerine uyması için gerekli tüm özeni gösterir,
-
İmha
işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha
Politikasında belirtilen şart ve yükümlülüklere uygun
olarak yapılıp yapılmadığını düzenli olarak denetler,
gereken aksiyonları alır,
-
Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale
getirilmesiyle ilgili yapılan bütün işlemleri kayıt
altına alır
ve söz
konusu kayıtları, diğer hukuki yükümlülükler hariç olmak
üzere en az üç yıl süreyle saklar.
7.
KİŞİSEL VERİLERİN KORUNMASI AMACIYLA ALINAN VERİ
GÜVENLİĞİ TEDBİRLERİ
Şirketimizde,
gerek basılı evrak gerekse dijital evrakların korunması
kapsamında aşağıdaki teknik ve idari tedbirler alınmaktadır;
7.1.
İdari Tedbirler;
Çalışanlar için veri güvenliği hükümleri içeren disiplin
düzenlemeleri mevcuttur. Çalışanlar için veri güvenliği
konusunda belli aralıklarla eğitim ve farkındalık
çalışmaları yapılmaktadır. Çalışanlar için yetki matrisi
oluşturulmuştur. Erişim, bilgi güvenliği, kullanım, saklama
ve imha konularında kurumsal politikalar hazırlanmış ve
uygulamaya başlanmıştır. Gizlilik taahhütnameleri
yapılmaktadır. Görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkileri kaldırılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik
tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge
formatında gönderilmektedir. Kişisel veri güvenliği politika
ve prosedürleri belirlenmiştir. Kişisel veri güvenliği
sorunları hızlı bir şekilde raporlanmaktadır. Kişisel veri
içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli
güvenlik önlemleri alınmaktadır. Kişisel veri içeren
fiziksel ortamların dış risklere (yangın, sel vb.) karşı
güvenliği sağlanmaktadır. Kişisel veri içeren ortamların
güvenliği sağlanmaktadır. Kişisel veriler mümkün olduğunca
azaltılmaktadır. Kurum içi periyodik ve/veya rastgele
denetimler yapılmakta ve yaptırılmaktadır. Mevcut risk ve
tehditler belirlenmiştir. Özel nitelikli kişisel veri
güvenliğine yönelik protokol ve prosedürler belirlenmiş ve
uygulanmaktadır.
7.2.
Teknik Tedbirler;
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Ağ
yoluyla kişisel veri aktarımlarında kapalı sistem ağ
kullanılmaktadır. Bilgi teknolojileri sistemleri tedarik,
gelistirme ve bakımı kapsamındaki güvenlik önlemleri
alınmaktadır. Erişim logları düzenli olarak tutulmaktadır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır. Güncel
anti-virüs sistemleri kullanılmaktadır. Güvenlik duvarları
kullanılmaktadır. Kişisel veri güvenliğinin takibi
yapılmaktadır. Kişisel veriler yedeklenmekte ve yedeklenen
kişisel verilerin güvenliği de sağlanmaktadır. Kullanıcı
hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup
bunların takibi de yapılmaktadır. Log kayıtları kullanıcı
müdahalesi olmayacak şekilde tutulmaktadır. Saldırı tespit
ve önleme sistemleri kullanılmaktadır. Sızma testi
uygulanmaktadır. Siber güvenlik önlemleri alınmış olup
uygulanması sürekli takip edilmektedir. Taşınabilir bellek,
CD, DVD ortamında aktarılan özel nitelikli kişiler veriler
şifrelenerek aktarılmaktadır. Taşınabilir bellek, CD, DVD
ortamında aktarılan özel nitelikli kişiler veriler
şifrelenerek aktarılmaktadır. Veri kaybı önleme yazılımları
kullanılmaktadır.
8. KANUN KAPSAMI
VE UYGULANMASINA İLİŞKİN KISITLAMALAR
Aşağıda
belirtilen durumlar Kanun kapsamı dışındadır:
-Kişisel
verilerin, üçüncü kişilere verilmemek ve veri güvenliğine
ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler
tarafından tamamen kendisiyle veya aynı konutta yaşayan aile
fertleriyle ilgili faaliyetler kapsamında işlenmesi. -
Kişisel verilerin resmi istatistik ile anonim hale
getirilmek suretiyle araştırma, planlama ve istatistik gibi
amaçlarla işlenmesi. - Kişisel verilerin millî savunmayı,
millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını
ihlal etmemek ya da suç̧ teşkil etmemek kaydıyla, sanat,
tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi. -Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla
görev ve yetki verilmiş̧ kamu kurum ve kuruluşları
tarafından yürütülen önleyici, koruyucu ve istihbarat
faaliyetleri kapsamında işlenmesi. - Kişisel verilerin
soruşturma, kovuşturma, yargılama veya infaz işlemlerine
ilişkin olarak yargı makamları veya infaz mercileri
tarafından işlenmesi.
Aşağıda sayılan
durumlarda Şirket tarafından veri sahiplerine aydınlatma
yapılması gerekmemektedir ve veri sahipleri, zararlarının
giderilmesine ilişkin hakları hariç olmak üzere, Kanun’da
belirtilen haklarını kullanamayacaklardır:
- Kişisel veri
islemenin suç işlenmesinin önlenmesi veya suç soruşturması
için gerekli olması. - İlgili kişinin kendisi tarafından
alenileştirilmiş kişisel verilerin işlenmesi. - Kişisel veri
işlemenin kanunun verdiği yetkiye dayanılarak görevli ve
yetkili kamu kurum ve kuruluşları ile kamu kurumu
niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma
veya kovuşturması için gerekli olması. - Kişisel veri
işlemenin bütçe, vergi ve mali konulara ilişkin olarak
Devletin ekonomik ve mali çıkarlarının korunması için
gerekli olması.
KVKK-Başvuru
Formu Göreme
Balonculuk.docx
|