KVKK Politikası
Bu Politika Şirketimizin tamamını kapsamakta olup Şirketimizin veri sorumlusu olduğu tüm kişisel veri işleme faaliyetleri için geçerlidir.
TANIMLAR
Bu Politikanın uygulanmasında kullanılan terimler aşağıdaki anlamlara sahiptir:
Çalışanlar |
Şirketimizin çalışanlarını ifade eder. |
Kişisel Veri Sahibi |
Kişisel verisi işlenen gerçek kişi. Örneğin; çalışan, ziyaretçi. |
Kişisel Verilerin İşlenmesi |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin; edinme, kaydetme, saklama, değiştirme, aktarma. |
KVK Hukuku |
6698 Sayılı Kişisel Verilerin Korunması Kanununu ifade eder. |
KVK Kurulu |
Kişisel Verileri Koruma Kurulunu ifade eder. KVK Kurumunun karar organıdır. |
KVK Kurumu |
Kişisel Verileri Koruma Kurumu'nu temsil eder. KVK Kanunu ile kurulmuş idari ve mali özerkliğe sahip resmi makamdır. |
Özel Nitelikli Kişisel Veri |
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve güvenlik tedbirleriyle ilgili verileri ifade eder. bireylerin genetik verileri. . |
Veri işlemcisi |
Veri sorumlusunun verdiği yetkiye dayanarak kişisel verileri onun adına işleyen gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre işlendiği ve yapılandırıldığı bir kayıt sistemidir. Örneğin; belgeleri klasörlere veya dosyalara arşivlemek. |
Veri kontrolü |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
KVKK Çalışma Grubu |
Şirketin Kanunlara tam uyumunu sağlamak üzere görevlendirilen çalışan veya danışmanlardan oluşan, belirli rol ve sorumluluklara sahip kişilerden oluşan bir ekiptir. |
Veri kontrolü
İşbu Politika kapsamındaki kişisel veri işleme faaliyetleri açısından veri sorumlusu Şirketimizin tüzel kişiliğidir.
Envanter ve Kayıt Tutma
Kişisel veri işleme faaliyetlerinin takibi, yönetilmesi ve hukuki yükümlülüklerimize uyum sağlanması amacıyla şirketimiz tarafından kişisel veri işleme envanteri tutulmaktadır. Bu envanter kapsamında kişisel veri kategorileri ve işlenme amaçları, aktarıldığı alıcı grupları, saklama süreleri gibi bilgiler Şirketimizin iş süreçleriyle ilişkilendirilerek listelenmektedir. Envanter özeti VERBİS platformuna bildirilerek kamuya açık olarak takip edilebilir.
Eğitim ve Farkındalık
Şirketimizin kişisel veri işleme faaliyetlerinde görev alan ve/veya kişisel verilere erişimi olan çalışanların gerekli mevzuat ve bilgi güvenliği eğitimlerini almalarını sağlayarak, Şirketimizin kişisel verilerin korunması konusunda genel farkındalığının devamını ve sağlanmasını sağlar. Şirketimize yeni katılan çalışanların bu bilinç düzeyinde olduklarını görüyoruz. Şirketimiz çalışanlarına yönelik gerekli mevzuat ve bilgi güvenliği eğitimleri periyodik olarak gerçekleştirilmektedir.
KİŞİSEL VERİLERİN KORUNMASI
Kişisel veri işleme faaliyetleri, kişisel verilerin korunması mevzuatına ve özellikle KVK Kanununa uygun olarak yürütülmekte olup, bu bölümde açıklanan tüm şartlar, durumun özelliğine uygun olduğu ölçüde yerine getirilmektedir.
Genel İlkeler
Şirketimiz tarafından yürütülen tüm kişisel veri işleme faaliyetlerinde her zaman aşağıdaki ilkelere uyulmaktadır.
Hukuka Uygunluk ve Dürüstlük
Kişisel verilerin işlenmesinde sadece KVK Kanunu değil, diğer tüm kanun ve düzenlemelere uygun hareket edilmeli, kişisel veri sahiplerinin menfaatleri ve makul beklentileri dikkate alınmalıdır.
Doğru ve Gerektiğinde Güncel Olmak
Kişisel verilerin doğru ve güncel tutulabilmesi için kişisel verilerin elde edilme aşamasında gerçeğe uygun şekilde toplanması ve bilgilerin doğru olması gerekmektedir. Ayrıca kişisel veri sahiplerinin, verilerin doğru veya güncel olmamasından kaynaklanabilecek taleplerini iletebilmelerine olanak sağlayacak fırsatlar yaratılmalı ve bu talepler dikkatle ele alınmalıdır.
İşleme faaliyetinin kişisel veri sahibi açısından sonuç doğuracak nitelikte olması halinde, kişisel verilerin güncel olup olmadığı kontrol edilmeli ve gerekiyorsa verilerin güncellenmesi için kişisel veri sahibiyle iletişime geçilmelidir. .
Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel verinin işlenme amacının, kişisel veri elde edilmeden önce açık ve kesin olarak belirlenmesi ve bu amacın meşru yani hukuka uygun olması gerekmektedir. Bu bağlamda kişisel verilerin bir amaç belirtilmeden veya çok genel bir amaç doğrultusunda toplanmaması gerekmektedir. Elde edilen kişisel verilerin toplanma amacı dışında kullanılmadan önce yeni bir işleme esası (rıza alınması gibi) belirlenmeli, bunun mümkün olmaması halinde ise toplama amacı aşılmamalıdır. Ayrıca kişisel veri sahibinin işlenme amacını bilmesini sağlayacak şeffaflık adımları atılmalıdır.
Şirketimiz, yürüttüğü işleme faaliyetleri açısından kişisel veri işleme envanteri kapsamında işleme amaçlarını belirlemekte ve meşruiyetini kontrol etmektedir. Ayrıca aydınlatma yükümlülüğü kapsamında söz konusu amaçlar kişisel veri sahiplerine bildirilmektedir.
Amaca Uygun, Sınırlı ve Ölçülü Olmak
Asgari işleme ilkesi olarak da ifade edilen bu ilkeye göre, kişisel verilerin belirlenen amaçların gerçekleştirilmesine uygun olması ve amacın gerçekleştirilmesiyle ilgili olmayan veya bunun için gerekli olmayan kişisel verilerin işlenmesi gerekmektedir. bu amaçtan kaçınılmalıdır. Örneğin kişisel veriler daha sonra ortaya çıkabilecek ihtiyaçların karşılanması amacıyla toplanmamalıdır.
Gerektiğinde Koruma
Kişisel veriler, ilgili yasal mevzuatta öngörülen süre varsa bu süre kadar, işlendikleri amaç için gerekli olan süre daha uzun ise bu süre kadar saklanmalıdır. Kişisel verinin saklanmasını gerektiren geçerli bir sebep bulunmuyorsa, o kişisel verinin yok edilmesi yani silinmesi, yok edilmesi veya anonim hale getirilmesi gerekmektedir. Bu doğrultuda Şirketimiz kişisel verileri gerekli olduğu sürece muhafaza etmektedir.
Yasal uyum
İşlemenin Temelleri
Kişisel verilerin hukuka uygun olarak işlenebilmesi için işleme faaliyetinin KVK Kanunu'nda sayılan işleme esaslarından en az birine dayanması gerekmektedir. Kişisel veri sahibinin açık rızası bu işlemenin dayanaklarından yalnızca bir tanesi olup, kişisel veri sahibinin açık rızası alınmaksızın da kişisel verilerin işlenmesi mümkündür.
Kişisel veri işleme faaliyetinin açık rıza dışındaki işleme esaslarından birine dayanması halinde kişisel veri sahibinin açık rızasına gerek kalmayacaktır. Çünkü açık rıza dışında işlemenin gerçekleştirilmesi mümkün iken açık rızaya dayanmak yanıltıcı olabilir. Bu kapsamda kişisel veri işleme faaliyetinin öncelikle açık rıza dışındaki işleme sebeplerinden birine dayanıp dayanmadığı, açık rıza dışındaki sebeplerden en az birinin geçerli olmaması durumunda ise kişinin açık rızasının değerlendirilmesi gerekmektedir. İşleme faaliyetinin yürütülebilmesi için kişisel veri sahibinin edinilmesi gerekmektedir.
Şirketimiz tarafından yürütülen kişisel verilerin işlenmesi KVK Kanunu'nun 5. ve 6. maddelerinde belirtilen hukuki işleme ilkelerine dayanmaktadır. Ancak e-posta sisteminde şirket dışındaki gerçek kişilere ait verilerin aktarılması, kurumun kararı doğrultusunda yurt dışına veri aktarımı sayılır. Yurt dışına veri aktarımında kanuna uyum yollarından biri ilgili kişinin açık rızasını gerektirdiğinden kanunun 5(1) maddesi uyarınca bu işleme faaliyeti için açık rıza talep edilmektedir.
Özel Kişisel Verilerin İşlenmesi
Şirketimiz özel nitelikli kişisel verilerin korunmasına azami önem vermekte ve bu doğrultuda gerekli idari ve teknik tedbirleri uygulamaktadır.
Şeffaflık
Kişisel Veri Sahiplerinin Açıklanması
Kişisel veri işleme faaliyetinin kişisel veri sahibinin bilgisi dahilinde gerçekleşmesi Şirketimiz açısından esastır. Bu kapsamda sorumlu yöneticiler tarafından kişisel veri sahibine; Veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçlarla üçüncü kişilere aktarılabileceği, kişisel verilerin toplanma yöntemi ve hukuki mevzuatın açıklanması sağlanmaktadır. sebep ve kişisel veri sahibinin KVK Kanun’da sayılan hakları.
Öte yandan, ilgili kişi tarafından alenileştirilmiş kişisel verilerin işlenmesi de dahil olmak üzere KVK Kanunu'nun 28. maddesinde sayılan hallerde, KVK Kanunu'nun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, Bu madde kapsamında kişisel veri sahiplerine bilgi verilmesine gerek kalmayacaktır.
Kişisel Veri Sahiplerinin Taleplerinin Karşılanması
Kişisel Veri Sahiplerinin Hakları
Kişisel veri sahipleri KVK Kanunu uyarınca aşağıdaki haklara sahiptir:
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenmesini gerektiren sebepler ortadan kalkan kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahipleri, KVK Kanunu’nun amacına, temel ilkelerine uygun ve orantılı olmak kaydıyla, aşağıda sayılan hallerde zararın giderilmesini talep etme hakkı dışındaki diğer haklarını talep edemez:
- Kişisel veri işlemenin suçun önlenmesi veya ceza soruşturması için gerekli olması,
- İlgili kişi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin yetkili ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları tarafından kanunların verdiği yetkiye dayanarak denetleme veya düzenleme görevlerinin yerine getirilmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel verilerin işlenmesinin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel Veri Sahibi Haklarının Kullanımı
Kişisel veri sahipleri; Yazılı olarak kayıtlı e-posta (KEP) adreslerini, güvenli elektronik imzayı, mobil imzayı veya Şirketimize daha önce bildirilmiş ve sistemimizde kayıtlı olan e-posta adreslerini kullanarak haklarını talep edebilirler. Kişisel veri sahipleri tarafından yapılan başvurular en kısa sürede ve en geç 30 gün içerisinde cevaplandırılmaktadır.
Başvuru Maliyeti
Şirketimiz tarafından verilen yanıtın on sayfasına kadar ücret alınmaz, ancak on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilmektedir. Başvuruya cevabın CD, taşınabilir bellek gibi bir kayıt ortamında verilmesi halinde, ilgili kayıt ortamının ücreti kişisel veri sahibinden talep edilir. Başvurunun Şirketimizin hatasından kaynaklanması halinde tüm ücret ve masraflar kişisel veri sahibine iade edilir.
Veri Aktarımları ve Üçüncü Taraf Uyumluluğu
Yasal uyum
Kişisel verilerin üçüncü kişilere aktarılabilmesi durumunda, aktarıma özel işleme esasının geçerli olup olmadığı kontrol edilerek durumun yerine getirilip getirilmediği kontrol edilir. Örneğin, kişisel verilerin aktarımında hukuki zorunluluk olması veya kişisel verilerin aktarımı için açık rızanın alınmış olması gerekmektedir.
Özel nitelikli kişisel verilerin aktarımı söz konusu olduğunda gerekli tüm tedbirler uygulanmaktadır.
İdari ve Teknik Tedbirler
Kişisel verilerin üçüncü bir kişiye aktarılmasından veya üçüncü bir kişinin Şirketimizin saklama alanlarına erişimine izin verilmeden önce, karşı tarafın kişisel verilerin işlenmesinde yeterli özen ve özen göstermesi ve uygun güvenlik düzeyini sağlaması sağlanmaktadır.
Kişisel Verilerin Fiziksel Ortamda Aktarılması
Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabileceği elektronik ortamlar dışındaki tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikasının bu bölümü, kişisel verilerin fiziki olarak aktarılmasına ilişkin şartları içermektedir. Aksi belirtilmediği sürece şirket çalışanlarının kişisel verileri fiziksel ortamda aktarmaları halinde bu Politikaya uymaları gerekmektedir. Çalışanın devir yapması veya devir işlemine şahit olması halinde KVKK Çalışma Grubu'na bildirimde bulunmakla yükümlüdür.
Fiziksel ortamda veri aktarımı yapan çalışan veya birimin, aktarılacak kişisel verileri elde ederken kişinin açık rızasının alındığını kanıtlayabilmesi gerekmektedir. Açık rıza olmaksızın aktarılan kişisel verilerde sorumluluk yalnızca veriyi elde eden kişiye yüklenemez. Aktaran kişi veya birimin, aktardığı kişisel veriler üzerinde veri işleyenden ayrılamayacak düzeyde bir sorumluluğu bulunmaktadır.
Açık rıza olmaksızın veri aktarımı ancak Kanunda belirtilen istisnaların (8'inci maddenin ikinci fıkrası) öngörüldüğü hallerde geçerlidir. Bu istisnalar dışındaki tüm hallerde, ilgili kişinin açık rızası olmaksızın kişisel veriler aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubuna danışarak aktarım yapmalıdır.
Kişisel Veri içeren fiziksel belgeler aktarılırken işlenmemelidir. Aktarım sırasında belge üzerinde yer alan kişisel verilerin, aktaran kişi tarafından dahi görülmemesi gerekmektedir. Bu nedenle aktarım dosyalarının fiziksel boyutuna bağlı olarak kişisel veriler aktarılacak kişiye ulaşmadan önce işlenmişse aktarım sırasında aktarımın izlenebilir bir şekilde yapılması gerekmektedir. Bu takip mühürlü zarf, koli, kutunun mühürlenmesiyle gerçekleştirilecektir. Mühürlemenin mümkün olmadığı durumlarda aktarım ancak KVKK Çalışma Grubunun bilgisi ve onayı ile yapılabilir.
Gönderen taraf, beklenen aktarım süresi sonunda alan tarafla iletişime geçerek kişisel verilerin alındığını teyit etmekle yükümlüdür. Alıcı taraf ise aktarım sırasında kişisel verilerinin işlenmediğini gönderene bildirir (mührünü korur) ve aksini düşündüğü durumlarda durumu gönderen tarafa ve KVKK'daki ilgili kişiye aktarır. Çalışma Grubu.
Kişisel Verilerin Elektronik Aktarımı
Elektronik ortamdaki kişisel veriler, kişisel verilerin elektronik bir cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikasının bu bölümü, kişisel verilerin elektronik olarak aktarılmasına ilişkin gereklilikleri açıklamaktadır. Aksi belirtilmediği sürece şirket çalışanlarının kişisel verileri elektronik ortamda aktarmaları halinde bu Politikaya uymaları gerekmektedir. Çalışanın devir yapması veya devir işlemine şahit olması halinde KVKK Çalışma Grubu'na bildirimde bulunmakla yükümlüdür.
Verileri elektronik ortamda aktaran çalışan veya birimin, aktarılacak kişisel verileri alırken kişinin açık rızasının alındığını kanıtlayabilmesi gerekmektedir. Açık rıza olmaksızın aktarılan kişisel verilerde sorumluluk yalnızca veriyi elde eden kişiye yüklenemez. Aktaran kişi veya birimin, aktardığı kişisel veriler üzerinde veri işleyenden ayrılamayacak düzeyde bir sorumluluğu bulunmaktadır. Açık rıza olmaksızın veri aktarımı ancak kanunda belirtilen istisnaların (8'inci maddenin ikinci fıkrası) öngörüldüğü hallerde geçerlidir. Bu istisnalar dışındaki tüm hallerde, ilgili kişinin açık rızası olmaksızın kişisel veriler aktarılamaz. Kişi istisnanın geçerliliğinden emin değilse KVKK Çalışma Grubuna danışarak aktarım yapmalıdır.
Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının verileri işlemeye yetkili olduğundan emin olunmalıdır.
Kişisel verilerin elektronik aktarımı aşağıda belirtilen yöntemlerle yapılabilmekte olup, ancak belirtilen şartların sağlanması halinde bu yöntemlerin yetersiz kalması durumunda KVKK Çalışma Grubu'na bilgi verilmesi gerekmektedir.
- Elektronik posta
Transferi gerçekleştiren departman yöneticisinin e-posta alıcıları arasında olması durumunda transfer işlemi gerçekleştirilebilir. Departman Yöneticisinin bilgisi dahilinde dahi olsa, e-postanın alıcısı olmadığı durumlarda çalışanın politikaya aykırı davrandığı kabul edilecektir.
E-posta metninde, e-postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğine dair bilgi verilmeli, şifrelenerek kişisel verilerin işlenmesi engellenmelidir. Şifrenin alıcıyla başka bir e-posta veya iletişim yöntemi aracılığıyla paylaşılması gerekmektedir. Şifreleme işleminin yapılmaması durumunda ilgili çalışanın birim yöneticisini, birim yöneticisinin de KVKK Çalışma Grubunu bilgilendirerek onay alması gerekmektedir.
- Taşınabilir Medya
taşınabilir medya; hard diskler, CD’ler, DVD’ler, teypler, USB stickler, USB hard diskler, hafıza kartları ve elektronik ortamın fiziksel olarak taşınabildiği tüm elektronik platformlar.
Kişisel verilerin taşınabilir ortamlarla aktarımı sırasında taşınabilir ortamlar şifrelenebilir. Özel nitelikli kişisel veriler şifresiz olarak taşınabilir ortama aktarılamaz. Şifre gönderici tarafından alıcıya farklı bir iletişim kanalı kullanılarak iletilir.
Verileri aktaran çalışan, çıkarılabilir ortamdaki verilerin yok edilmesinden de sorumludur. Taşınabilir ortamdaki kişisel veriler yok edilmeden ortam başka hiçbir işlem için kullanılamaz.
Taşınabilir medyanın fiziksel aktarımı doğrudan göndericiden alıcıya yapılmalıdır. Bu aktarımın doğrudan yapılamadığı durumlarda aktarımın minimum aracı kullanılarak yapılması gerekmektedir. Transfer sırasında firmanın anlaşmalı olduğu kargo hizmeti kullanılır, transferde kargo hizmeti kullanılamaz.
- Bulut Paylaşımı (Bulut)
Bulut paylaşımı, kişisel verilerin gönderici tarafından çevrimiçi bir depolama alanına yüklendiği ve alıcının verileri buradan elde ettiği tüm paylaşımları kapsamaktadır.
Kişisel verileri bulut paylaşımı yoluyla aktaran çalışan, her aktarım öncesinde kişisel verinin sahibi departman yöneticisi ile birlikte Şirket Bilgi Teknolojileri Departmanı ile en güvenli yönteme ilişkin bilgi paylaşımında bulunur. Kişisel verilerin bulut paylaşımı yoluyla paylaşılacağı tüm durumlarda Şirket Bilgi Teknolojileri Departmanı'na bilgi verilmesi zorunludur.
Bulut paylaşım yöntemiyle paylaşılan veriler şifrelenir. Şifre gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca şirket donanımı ve ağı kullanılarak yapılabilir, çalışanın şirket donanımını ve ağını kullanmadan bulut paylaşımı yapmasına izin verilmez.
- Ağ Paylaşımı
Kişisel veriler, şirket ortak alanları kullanılarak departmanlar arasında ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden paylaşımda kişisel veriler yalnızca şifreli olarak aktarılabilmektedir ve aktarım sırasında kriptografik protokoller uygulanmaktadır. Şifre göndericiden alıcıya farklı bir iletişim kanalı kullanılarak iletilir. Çalışanın, kişisel veri aktarımının şifrelemeye veya kriptografik protokollerin uygulanmasına uygun olmadığı kanaatine varması halinde, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubu'na bilgi verilir ve yalnızca Grubun uygun gördüğü hallerde aktarım gerçekleştirilir.
Ağ üzerinde paylaşım yapılırken kullanılan alana yalnızca alıcı departmanın ve/veya çalışanın erişimi olmalıdır ve bu kontrol gönderenin sorumluluğundadır. Paylaşımın tamamlanmasının ardından alıcının, kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermesi gerekmektedir. Bilgiyi alan gönderen, kişisel verilerin artık ağdaki ortak alanda bulunmadığını kontrol etmeli ve emin olmalıdır.
Kişisel Verilerin Yurt Dışına Aktarılması
Kişisel verilerin yurt dışına aktarılabilmesi için bu Politikanın “Kanuna Uygunluk” başlığı altında belirtilen işleme esaslarının yurt dışına aktarıma özel olarak geçerli olup olmadığı kontrol edilir ve buna göre işlem yapılır. İşlemenin dayanağı açık rıza değilse, işlemenin dayanağına ek olarak ayrıca:
- Kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya
- Yeterli korumanın bulunmaması halinde, alıcı taraf ile yurt dışında sözleşme ilişkisi kurulması ve KVK Kurumu tarafından yayınlanan "Yurtdışına Veri Aktarımında Veri Sorumluları Tarafından Hazırlanacak Taahhütte Yer Alacak Asgari Unsurlar" yer almaktadır.
- Yurt dışına veri aktarımında kanuna uyum yollarından biri ilgili kişinin açık rızasını gerektirdiğinden kanunun 5(1) maddesi uyarınca bu işleme faaliyeti için açık rıza talep edilmektedir.
Gerekli koşulların sağlanmasının yanı sıra, fiziki ortamdaki kişisel verilerin yurtiçi aktarımı mümkün olduğu durumlarda doğrudan göndericiden alıcıya gerçekleştirilir. Dolaylı veya elden transfer yalnızca gerekli durumlarda tercih edilir.
Kişisel verilerin yurt dışına fiziki ortamda aktarımı ancak Kurul tarafından ilan edilecek yeterli korumanın bulunduğu ülkelere yapılabilecektir. Aktarılacak ülkenin yeterli korumaya sahip ülke olarak belirlenmemesi durumunda aktarım öncesinde KVKK Çalışma Grubunun bilgisine başvurulacaktır.
Veri güvenliği
İdari ve Teknik Tedbirler
Şirketimiz tarafından yürütülen tüm faaliyetlerde, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin korunmasını sağlamak amacıyla uygun güvenlik düzeyinin sağlanması için gerekli teknik ve idari her türlü tedbir alınmaktadır. . İdari ve teknik tedbirlerimiz VERBİS platformunda kamuoyuna açıklanmıştır.
Veri Güvenliği İhlali
Şirketimiz tarafından işlenen kişisel verilerin hukuka aykırı olarak üçüncü kişilerce elde edilmesi halinde bu durumun en kısa sürede ilgili kişisel veri sahiplerine ve KVK Kuruluna bildirilmesi gerekmektedir. Bu yükümlülüğe uyumun sağlanması amacıyla Şirketimiz genelinde kişisel veri güvenliği açısından önemli olaylar takip edilmekte ve veri güvenliği ihlali teşkil edip etmediği değerlendirilerek gerekli aksiyonlar alınmaktadır. Veri güvenliği ihlali söz konusu ise ihlalin öğrenildiği andan itibaren en geç 72 saat içinde KVK Kurulu'na bilgi verilir.
Kişisel Verilerin İmhası
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde ilgili kullanıcılar için erişilemez hale getirilmesi işlemidir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, kurtarılamaz ve kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin anonimleştirilmesi, bir veri kümesinde yer alan doğrudan ve/veya dolaylı tüm belirleyicilerin kaldırılması veya değiştirilmesi, veri sahibinin kimliğinin tespitinin engellenmesi veya bir grup/kalabalık içerisinde herhangi bir veriyle ilişkilendirilemeyecek şekilde ayırt edici özelliğini kaybetmesidir. doğal insan.
Veri sorumlusu olarak kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbiri almakla yükümlüyüz. Saklama süreleri yılda iki kez tamamlanan fiziksel veya elektronik kişisel veriler tespit edilerek imha edilmektedir.