Kisisel Verileri Korunması ve Gizlilik Politikası

ECE KIRMIT (SIRKET ISMI)

Kisisel Verilerin Korunması ve Islenmesi Politikası

GIRIS

ECE KİRMİT SIRKET (“Sirket”) olarak, 6698 Sayılı Kisisel Verilerin Korunması Kanunu’nun (“KVKK” veya ‘‘Kanun’’) ve 28.10.2017 tarihli Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüge giren Kisisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in, 30.12.2017 tarihli Resmi Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüge giren Veri Sorumluları Sicili Hakkında Yönetmelik’in ve ilgili mevzuatın yürürlüge girdigi tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir sekilde temas ettigimiz tüm gerçek kisilere ait kisisel verilerin korunmasına, islenmesine, silinmesine, yok edilmesine veya anonim hale getirilmesine ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz.

Isbu Kisisel Verilerin Korunması ve Islenmesi Politikası (“Politika”), kisisel verilerin Sirket tarafından toplanması, kullanılması, paylasılması, saklanması, islenmesi, silinmesi, yok edilmesi veya anonim hale getirilmesi süre.leri ve prensipleri hakkında bilgilendirmek amacıyla hazırlanmıstır. Isbu Politika’da, Sirket tarafından veri sahiplerine ait kisisel verilerin islenmesine, silinmesine, yok edilmesine veya anonim hale getirilmesine iliskin esaslara yer verilmis olup, bu açıklamalar Sirket çalısanlarını, taseronlarımızı ve çalısanlarını, aktif ve potansiyel müsterilerimizi, tedarikçilerimizi, ziyaretçilerimizi ve Sirket ile iliski içinde bulunan diger gerçek kisileri kapsamaktadır.

2. KISISEL VERILERIN KORUNMASINA ILISKIN USUL VE ESASLAR

A. TANIMLAR

Isbu Politika’da yer verilen terim ve kısaltmalara iliskin tanımlar asagıdaki gibidir:

Açık Rıza: Belirli bir konuya iliskin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla islenen kisisel verilerin bulundugu her türlü ortam.

Anonim Hâle Getirme: Kisisel verilerin, baska verilerle eslestirilerek dahi hiçbir surette kimligi belirli

veya belirlenebilir bir gerçek kisiyle iliskilendirilemeyecek hale getirilmesi.

Kisisel Verilerin Silinmesi: Kisisel verilerin Ilgili Kullanıcılar için hiçbir sekilde erisilemez ve tekrar

kullanılamaz hale getirilmesi.

Kisisel Verilerin Yok Edilmesi: Kisisel verilerin hiç kimse tarafından hiçbir sekilde erisilemez, geri

getirilemez ve tekrar kullanılamaz hale getirilmesi islemi.

Imha: Kisisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kisisel Verilerin Korunması Kanunu.

Kisisel Veri: Kimligi belirli veya belirlenebilir gerçek kisiye iliskin her türlü bilgi.

Kisisel Verilerin Islenmesi: Kisisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, degistirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçeklestirilen her türlü islem.

Kurul: Kisisel Verileri Koruma Kurulu.

Özel Nitelikli Kisisel Veri: Kisilerin ırkı, etnik kökeni, siyasi düsüncesi, felsefi inancı, dini, mezhebi veya diger inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeligi, saglıgı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik Imha: Kanun’da yer alan kisisel verilerin islenme sartlarının tamamının ortadan kalkması durumunda kisisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçeklestirilecek silme, yok etme ve anonim hale getirme islemi

Veri Sahibi/Ilgili Kisi: Kisisel verisi islenen gerçek kisi.

Veri Sorumlusu: Kisisel verilerin isleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kisi.

Yönetmelik: 28.10.2017 tarihinde Resmî Gazete’de yayımlanan Kisisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, 30.12.2017 tarihli Resmî Gazete’de yayımlanan Veri Sorumluları Sicili Hakkında Yönetmelik.

B. KISISEL VERILERIN ISLENMESINE ILISKIN GENEL ILKELER

Sirket kisisel verileri KVKK ve ilgili diger kanunlarda .ng.rülen usul ve esaslara uygun olarak islemekte, saklamakta ve imha etmektedir. Bu çerçevede, Sirket tarafından kisisel veriler islenirken, saklanırken ve imha edilirken KVKK’da yer alan asagıdaki ilkelere tam uyum saglanmaktadır.

Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca, Sirketin veri isleme süre.leri basta

Anayasa ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kurallarının gerektirdigi sınırlar içinde kalınarak yürütülmektedir.

Dogru ve gerektiginde güncel olma: Sirket tarafından islenen kisisel verilerin dogru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve islenmekte olan verilerin gerçek durumu yansıtmasını saglamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.

Belirli, açık ve mesru amaçlar için islenme: Sirket yalnızca açık ve kesin olarak belirlenen mesru amaçlarla kisisel veri islemekte olup, bu amaçlar dısında veri isleme faaliyetinde bulunmamaktadır. Bu kapsamda, Sirket yalnızca veri sahipleriyle kurulan is iliskisi ile baglantılı olarak ve bunlar açısından gerekli olması halinde kisisel veri islemektedir.

Islendikleri amaçla baglantılı, sınırlı ve .l.ülü olma: Sirket tarafından veriler, KVKK ve ilgili diger mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçeklestirilebilmesine elverisli, amacın gerçeklestirilmesiyle ilgili ve .l.ülü olarak islenmekte olup, ihtiyaç duyulmayan kisisel verilerin islenmesinden kaçınılmaktadır.

Ilgili mevzuatta .ng.rülen veya islendikleri amaç için gerekli olan süre kadar muhafaza edilme: Sirket tarafından islenen kisisel veriler, ancak ilgili mevzuatta .ng.rülen veya islendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, Sirket ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak islendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu dogrultuda mevzuatta .ng.rülen sürenin bitimi veya kisisel verilerin islenmesini gerektiren sebeplerin ortadan kalkması halinde kisisel veriler Sirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Sirket gelecekte kullanma ihtimalinin varlıgına dayanarak veri saklamamaktadır.

C. KISISEL VERILERIN ISLENME SARTLARI

KVKK 5. maddesinde kisisel verilerin islenmesine iliskin kosullar düzenlenmis olup, Sirket tarafından kisisel veriler KVKK’da belirtilmis olan verilerin islenmesi kosullarına uygun olmak sartı ile asagıda

belirtilen kosullarda islenmektedir. Kanun'da sayılan istisnalar dısında, Sirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kisisel veri islemektedir. Kanun’da sayılan asagıdaki hallerin varlıgı durumunda ise, veri sahibinin açık rızası olmasa dahi kisisel veriler islenebilmektedir:

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kisinin kendisinin ya da bir baskasının hayatı veya beden bütünlügünün korunması için

zorunlu olması,

Bir sözlesmenin kurulması veya ifasıyla dogrudan dogruya ilgili olması kaydıyla sözlesmenin taraflarına ait kisisel verilerin islenmesinin gerekli olması.

Veri sorumlusunun hukuki yükümlülügünü yerine getirebilmesi için zorunlu olması,

Veri sahibinin kendisi tarafından alenilestirilmis olması,

Bir hakkın tesisi, kullanılması veya korunması için veri islemenin zorunlu olması,

Veri sahibinin temel hak ve .zgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olması.

Veri sahipleri açısından korunmasının çesitli açılardan daha kritik önem teskil ettigine inanılan özel nitelikli kisisel verilerin islenmesinde ise Sirket tarafından özel hassasiyet gösterilmektedir. Bu

kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması sartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın islenmemektedir. Ancak, özel nitelikli kisisel veriler, kanunlarda .ng.rülen

hallerde veri sahibinin açık rızası olmaksızın da islenebilmektedir. Bununla beraber, saglık ve cinsel hayata iliskin veriler ise yeterli önlemlerin alınması sartıyla ve asagıda sayılan sebeplerin varlıgı halinde

veya kanunda .ng.rülmesi durumunda, açık rızası alınmaksızın islenebilmektedir:

Kamu saglıgının korunması,

Koruyucu hekimlik,

Tıbbî teshis,

Tedavi ve bakım hizmetlerinin yürütülmesi,

Saglık hizmetleri ile finansmanının planlanması ve yönetimi.

D. KISISEL VERILERIN ISLENME AMAÇLARI

Sirket tarafından elde edilen kisisel verileriniz, asagıda açıklanan kapsamlar dahilinde islenebilecektir:

Stratejik planlama ve is ortakları/tedarikçi yönetimi,

Müsteriye dokunan süre. ve operasyonlar,

Sirket iç operasyonları,

Hukuksal, teknik ve idari sonucu olan faaliyetler,

IK operasyonları,

Pazarlama operasyonları

Yukarıda belirtilen kategoriler bilgilendirme amaçlı olup, Sirketin gelecekteki ticari ve isletmesel faaliyetlerini yürütebilmesi için tarafımızca baska kategoriler de eklenebilecektir. Bu gibi durumlarda

Sirket, en hızlı sekilde bilgilendirmeye devam edebilmek için, belirtilen kategorileri ilgili metinlerde güncellemeye devam edecektir.

E. KISISEL VERILERIN SAKLANMASI

Elde ettigimiz kisisel veriler, Sirketin ticari faaliyetlerini yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir sekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, Sirket tarafından kisisel verilerin korunmasına iliskin olarak KVKK basta olmak üzere, ilgili tüm mevzuatta .ng.rülen yükümlülüklere uygun hareket edilmektedir.

Ilgili mevzuatlar uyarınca, kisisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kisisel verilerin islenme amaçlarının sona ermesi durumunda,

Sirket tarafından re ’sen yahut ekte bulunan veri sahibi basvuru formu aracılıgıyla ve kullanılabilecek farklı teknikler (Fiziksel olarak yok etme, yazılımdan kalıcı olarak silme, maskeleme, veri türetme, toplulastırma, veri karma, uzman tarafından silme vb.) ile veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonimlestirilecektir. Kisisel verilerin söz konusu yöntemler vasıtasıyla imha edilmesi durumunda, bu veriler tekrar hiçbir sekilde kullanılamayacak ve geri getirilemeyecek sekilde imha edilecektir.

Ancak Sirketin mesru menfaatinin oldugu durumlarda, veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kisisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanasımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanasımı süresinin sona ermesinin ardından kisisel veriler, yukarıda belirtilen prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir.

Yürürlükteki mevzuatta ilgili verinin saklanması için Sirkete daha uzun süre ile yükümlülük yüklenmis olması halinde, Sirket, on yıllık zamanasımı süresi ile baglı olmaksızın, veriyi saklama hakkına sahiptir.

Saklama süresi dolan kisisel veriler, isbu Politika’da yer alan imha süreleri çerçevesinde 6 aylık periyodlarla isbu Politika’da yer verilen usullere uygun olarak imha edilir.

Kisisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün islemler kayıt altına alınır ve söz konusu kayıtlar, diger hukuki yükümlülükler hariç olmak üzere en az ü. yıl süreyle

saklanır.

F. KISISEL VERILERIN YURTIÇINDEKI KISILERE AKTARILMASI

Sirket kisisel verilerin üçüncü taraflarla paylasılması hususunda, diger kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen sartlara özenle uymaktadır. Bu çerçevede, kisisel veriler,

Sirket tarafından veri sahibinin açık rızası olmadan ü.üncü kisilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen asagıdaki sartlardan birinin varlıgı halinde kisisel veriler Sirket tarafından, veri

sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

Kanunlarda açıkça öngörülmesi,

Bir sözlesmenin kurulması veya ifasıyla dogrudan dogruya ilgili olması kaydıyla, sözlesmenin taraflarına ait kisisel verilerin islenmesinin gerekli olması,

Veri sorumlusunun hukuki yükümlülügünü yerine getirebilmesi için zorunlu olması,

Veri sahibinin kendisi tarafından alenilestirilmis olması,

Bir hakkın tesisi, kullanılması veya korunması için veri islemenin zorunlu olması,

Veri sahibinin temel hak ve .zgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun mesru menfaatleri için veri islenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; saglık ve cinsel hayat dısındaki özel nitelikli kisisel veriler bakımından kanunlarda öngörülmesi, saglık ve cinsel hayata iliskin özel nitelikli kisisel veriler bakımından ise,

Kamu saglıgının korunması,

Koruyucu hekimlik,

Tıbbî teshis,

Tedavi ve bakım hizmetlerinin yürütülmesi,

Saglık hizmetleri ile finansmanının planlanması ve yönetimi

Mevzuata uygun olarak ve mevzuat geregince kamu, yarı özel, özel kurum ve kuruluslardan gelen taleplerin bulunması durumunda aktarılır.

Özel nitelikli kisisel verilerin aktarılmasında da bu verilerin islenme sartlarında belirtilen kosullara uyulmaktadır.

G. KISISEL VERILERIN YURTDISINA AKTARILMASI

Kisisel verilerin yurtdısına aktarılmasına iliskin olarak, KVKK’nın 9. maddesi dogrultusunda veri sahibinin açık rızası aranmaktadır. Ancak, özel nitelikli kisisel veriler dahil, kisisel verilerin veri sahibin açık rızası olmaksızın islenmesine izin verilen sartların varlıgı halinde, kisisel verinin aktarılacagı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da Sirket tarafından kisisel veriler yurtdısına aktarılabilecektir. Eger aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulundugu ülkeler arasında belirlenmemis ise, Sirket ve ilgili ülkedeki veri sorumlusu/veri isleyen yeterli korumayı yazılı olarak taahhüt edecektir.

Kisisel verilerin paylasıldıgı/paylasılabilecegi kisilere, isbu Politika’nın 2 no’lu ekinde yer alan destek hizmeti alınan firmalar listesinden ulasabilirsiniz. Ancak belirtmek isteriz ki belirtilen listeler bilgilendirme amaçlı olup, degisiklik olması halinde Sirket tarafından güncellenecektir.

H. VERI SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜGÜ

KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kisisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülügü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler sunlardır:

Veri sorumlusunun ve varsa temsilcisinin kimligi,

Kisisel verilerin hangi amaçla islenecegi,

Islenen kisisel verilerin kimlere ve hangi amaçla aktarılabilecegi,

Kisisel veri toplamanın yöntemi ve hukuki sebebi,

KVKK’nın 11. Maddesinde sayılan Ilgili Kisinin diger hakları.

Sirket aydınlatma yükümlülügünü yerine getirmek amacıyla, süre. ve verileri islenen kisiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıstır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, Sirketin ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri isleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıstır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teskil eden Avrupa Birligi düzenlemelerine paralel olarak, veri sahiplerine kisisel verilerinin Sirket tarafından islenip islenemeyecegine dair seçim hakkı tanınmıs ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmustur. Öte yandan, KVKK’nın 28 maddesinin 1. maddesi çerçevesinde, asagıda sayılan durumlarda veri sorumlusunun aydınlatma yükümlülügü bulunmamaktadır:

Kisisel verilerin, üçüncü kisilere verilmemek ve veri güvenligine iliskin yükümlülüklere uyulmak kaydıyla gerçek kisiler tarafından tamamen kendisiyle veya aynı konutta yasayan aile fertleriyle ilgili

faaliyetler kapsamında islenmesi, Kisisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle arastırma, planlama ve istatistik gibi amaçlarla islenmesi,

Kisisel verilerin millî savunmayı, millî güvenligi, kamu güvenligini, kamu düzenini, ekonomik güvenligi, özel hayatın gizliligini veya kisilik haklarını ihlal etmemek ya da suç teskil etmemek kaydıyla, sanat,

tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlügü kapsamında islenmesi,

Kisisel verilerin millî savunmayı, millî güvenligi, kamu güvenligini, kamu düzenini veya ekonomik güvenligi saglamaya yönelik olarak kanunla görev ve yetki verilmis kamu kurum ve kurulusları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında islenmesi,

Kisisel verilerin sorusturma, kovusturma, yargılama veya infaz islemlerine iliskin olarak yargı makamları veya infaz mercileri tarafından islenmesi.

Bununla beraber, KVKK’nın 28 maddesinin 2. bendi çerçevesince, veri sorumlusunun aydınlatma yükümlülügü asagıdaki hallerde uygulama alanı bulmayacaktır:

Kisisel veri islemenin suç islenmesinin önlenmesi veya suç sorusturması için gerekli olması,

Veri sahibinin kendisi tarafından alenilestirilmis kisisel verilerin islenmesi,

Kisisel veri islemenin kanunun verdigi yetkiye dayanılarak görevli ve yetkili kamu kurum ve kurulusları

ile kamu kurumu niteligindeki meslek kuruluslarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin sorusturma veya kovusturması için gerekli olması,

Kisisel veri islemenin bütçe, vergi ve mali konulara iliskin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

I. VERI SAHIBININ HAKLARI

Sirket tarafından isbu Politika’da yer alan esaslara uygun olarak islenen kisisel verilere iliskin olarak,

KVKK’nın 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıstır. Bahse konu haklar sunlardır:

a) Kisisel veri islenip islenmedigini ögrenme,

b) Kisisel verileri islenmisse buna iliskin bilgi talep etme,

c) Kisisel verilerin islenme amacını ve bunların amacına uygun kullanılıp kullanılmadıgını ögrenme,

ç) Yurt içinde veya yurt dısında kisisel verilerin aktarıldıgı ü.üncü kisileri bilme,

d) Kisisel verilerin eksik veya yanlıs islenmis olması hâlinde bunların düzeltilmesini isteme,

e) Kanun’un 7. maddesinde .ng.rülen sartlar çerçevesinde kisisel verilerin silinmesini veya yok edilmesini isteme,

f) Yukarıdaki (d) ve (e) maddeleri uyarınca yapılan islemlerin, kisisel verilerin aktarıldıgı üçüncü kisilere bildirilmesini isteme,

g) Islenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kisinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

g) Kisisel verilerin kanuna aykırı olarak islenmesi sebebiyle zarara ugraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, yukarıda sayılan haklarını, isbu Politika’nın 1 no’lu ekinde bulunan veri sahibi basvuru formunun ıslak imzalı bir nüshasını, Sirket iletisim adreslerine, posta, e- posta yahut iadeli taahhütlü mektup vasıtasıyla ileterek kullanabilirler. Formun doldurulması yahut Sirkete gönderilmesi hakkında detaylı bilgiler, 1 no’lu ekte bulunan basvuru formunda yer almaktadır. Sirket, ilgili basvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili veri sahibine ulastıracaktır.

Sirket talebin niteligine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, islemin ayrıca bir maliyeti gerektirmesi halinde, Sirket tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, Sirket tarafından veri güvenliginin saglanması ayrıca basvurucunun kisisel verilerin sahibi olup olmadıgının tespit edilebilmesi amacıyla basvuruculardan ek bilgi veyahut belge talep edilebilecektir.

Öte yandan, KVKK’nın 28(1). Maddesi çerçevesinde, veri sahipleri, asagıda sayılan hallerde KVKK’nın 11. maddesinde sayılan yukarıdaki hakları kullanamaz:

Kisisel verilerin, üçüncü kisilere verilmemek ve veri güvenligine iliskin yükümlülüklere uyulmak

kaydıyla gerçek kisiler tarafından tamamen kendisiyle veya aynı konutta yasayan aile fertleriyle ilgili faaliyetler kapsamında islenmesi,

Kisisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle arastırma, planlama ve istatistik gibi amaçlarla islenmesi,

Kisisel verilerin sorusturma, kovusturma, yargılama veya infaz islemlerine iliskin olarak yargı makamları veya infaz mercileri tarafından islenmesi.

Bununla beraber, KVKK’nın 28(2). Maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere,

KVKK’nın 11. maddesinde sayılan yukarıdaki haklar asagıdaki durumlarda uygulama alanı bulmayacaktır:

Kisisel veri islemenin suç islenmesinin önlenmesi veya suç sorusturması için gerekli olması,

Veri sahibinin kendisi tarafından alenilestirilmis kisisel verilerin islenmesi,

Kisisel veri islemenin kanunun verdigi yetkiye dayanılarak görevli ve yetkili kamu kurum ve kurulusları ile kamu kurumu niteligindeki meslek kuruluslarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin sorusturma veya kovusturması için gerekli olması,

Kisisel veri islemenin büt.e, vergi ve mali konulara iliskin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

VERI GÜVENLIGI IÇIN ALINAN TEDBIRLER

Sirket, kisisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12(1). Maddesinde .ng.rülen tedbirler

sunlardır:

Kisisel verilerin hukuka aykırı olarak islenmesini önlemek,

Kisisel verilere hukuka aykırı olarak erisilmesini önlemek,

Kisisel verilerin muhafazasını saglamak.

Sirketin bu kapsamda aldıgı önlemler asagıda sayılmıstır:

Idari Tedbirler:

Sirket kendi kurum veya kurulusunda, Kanun hükümlerinin uygulanmasını saglamak amacıyla gerekli denetimleri yapar ve yaptırır.

Islenen kisisel verilerin kanuni olmayan yollarla baskaları tarafından elde edilmesi hâlinde, Sirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

Kisisel verilerin paylasılması ile ilgili olarak, Sirket, kisisel verilerin paylasıldıgı kisiler ile çerçeve sözlesme imzalar yahut sözlesmelere ekleyecegi hükümler ile veri güvenligini saglar.

Sirket kisisel verilerin islenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli KVK egitimlerini verir.

Teknik Tedbirler:

Sirket veri güvenligini saglamak amacıyla bilgili ve deneyimli kisiler istihdam eder ve personeline gerekli KVK egitimlerini verir.

Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.

Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, BT risk degerlendirmesi ve is etki analizinin gerçeklestirilmesi süreçlerini yürütür.

Kisisel verilerin kurum dısına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin olusturulmasını saglar.

Bilgi teknolojileri birimlerinde çalısanların kisisel verilere erisimi yetkilerinin kontrol altında tutulmasını saglar.

Sirket tarafından özel nitelikli kisisel verilerin islenmesi kapsamında alınan önlemler asagıda sayılmıstır:

Özel nitelikli kisisel verilerin güvenligine yönelik sistemli, kuralları net bir sekilde belli, yönetilebilir ve sürdürülebilir politika ve prosedürleri belirler.

Özel nitelikli kisisel verilerin islemesi süre.lerinde yer alan çalısanlara yönelik olarak;

Kanun ve buna baglı yönetmelikler ile özel nitelikli kisisel veri güvenligi konularında düzenli olarak egitimler verir.

Gizlilik sözlesmeleri yapar.

Verilere erisim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlamasını yapar.

Periyodik olarak yetki kontrollerini gerçeklestirir.

Görev degisikligi olan ya da isten ayrılan çalısanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda veri sorumlusu tarafından kendisine tahsis edilen envanterin iadesi saglanır.

Özel nitelikli kisisel verilerin islendigi, muhafaza edildigi ve/veya erisildigi ortamlar elektronik ortam ise;

Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesini saglar.

Kriptografik anahtarların güvenli ve farklı ortamlarda tutulmasını saglar.

Verilerin üzerinde gerçeklestirilen tüm hareketlerin islem kayıtlarının güvenli olarak loglanmasını saglar.

Verilerin bulundugu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılmasını/yaptırılmasını, test sonuçlarının kayıt altına alınmasını saglar.

Verilere bir yazılım aracılıgı ile ulasılıyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılmasını/yaptırılmasını, test sonuçlarının kayıt altına

alınmasını saglar.

Verilere uzaktan erisim gerekiyorsa en az iki kademeli kimlik dogrulama sistemi olusturur.

Özel nitelikli kisisel verilerin islendigi, muhafaza edildigi ve/veya erisildigi ortamlar, fiziksel ortam ise;

Özel nitelikli kisisel verilerin bulundugu ortamın niteligine göre yeterli güvenlik önlemlerinin (elektrik kaçagı, yangın, su baskını, hırsızlık vb. durumlara karsı) alınmasını saglar.

Bu ortamların fiziksel güvenliginin saglanmasıyla yetkisiz giris çıkısların engellenmesi saglanır.

Özel nitelikli kisisel veriler aktarılacaksa; .

Verilerin e-posta yoluyla aktarılması gerekiyorsa sifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması yapılmaktadır.

Tasınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle sifrelenmesi ve kriptografik anahtarın farklı ortamlarda tutulması saglanmaktadır.

Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçeklestiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçeklesmesi saglanmaktadır.

Verilerin kâgıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kisiler tarafından görülmesi gibi risklere karsı gerekli önlemler alınarak ve evrakın “gizlilik dereceli belgeler”

formatında gönderilmesi saglanmaktadır.

K: GÖRÜNTÜ KAYITLARININ ISLENMESI

Sirket tarafından, Sirket tesis ve isletmelerinin genel ve ticari güvenliginin temin edebilmesi amacıyla,

KVKK’da öngörülen ve isbu Politika’da yer verilen temel ilkelere uygun olarak ziyaretçilerin, çalısanların ve diger ilgili kisilerin g.rüntü kaydı alınmakta ve bu kayıtlar islenme amaçlarına uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir sekilde saklanmaktadır (bkz. “E” maddesi).

Görüntü kaydı alınan yerlerde, veri sahiplerinin bilgilendirilmesi amacıyla, görüntü kaydı alındıgına dair uyarı görünür bir biçimde yer almaktadır. Söz konusu faaliyetler kapsamında Sirket tarafından kisiselverilerin korunmasına iliskin olarak KVKK basta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksek oldugu yerlerde ise görüntüleme yapılmamaktadır.

3. DIGER HUSUSLAR

KVKK ve ilgili diger mevzuat hükümleri ile isbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diger mevzuat hükümleri uygulanacaktır.

Sirket tarafından hazırlanan isbu Politika Yönetim Kurulu tarafından onaylandıgı tarihten itibaren yürürlüge girecektir. Isbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak olan degisiklikler ve ne sekilde yürürlüge konulacagı hususunda Sirket tarafından Sirket Genel Müdür’üne yetki verilmistir. Genel Müdür onayıyla isbu Politika içerisinde degisiklik yapılabilecek ve yürürlüge konulabilecektir.

Isbu Politika her halük.rda yılda bir kez gözden geçirilir, gerekli degisiklikler varsa, Genel Müdür onayına sunularak güncellenir.

ECE KIRMIT (SIRKET ISMI)