KVKK POLİTİKASI
Kişisel Verilerin Korunması Politikası
URBANMEDİA REKLAM VE İLETİŞİM HİZMETLERİ A.Ş. (“Şirketimiz”), her türlü faaliyetini kişisel verilerin korunması mevzuatına uygun bir biçimde sürdürmeyi ve kişisel veri sahiplerinin temel hak ve özgürlüklerine en yüksek derecede koruma sağlamayı hedef edinmektedir.
Bu Politika, Şirketimizin tamamını kapsamakta olup Şirketimizin veri sorumlusu konumunda bulunduğu tüm kişisel veri işleme faaliyetleri bakımından uygulanır.
TANIMLAR
Bu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade ederler:
Çalışanlar | Şirketimizin çalışanlarını ifade eder. |
Kişisel Veri Sahibi | Kişisel verisi işlenen gerçek kişidir. Örneğin; çalışan, ziyaretçi. |
Kişisel Verilerin İşlenmesi | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin; elde etmek, kaydetmek, depolamak, değiştirmek, aktarmak. |
KVK Kanunu | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
KVK Kurulu | Kişisel Verileri Koruma Kurulu’nu ifade eder. KVK Kurumunun karar organıdır. |
KVK Kurumu | Kişisel verileri Koruma Kurumu’nu ifade eder. KVK Kanunu ile kurulmuş idari ve mali özerkliğe sahip resmi otoritedir. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. Örneğin; belgeleri klasörler veya dosyalar halinde arşivlemek. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
KVKK Çalışma Grubu | Şirketin, Yasaya tam uyumunu sağlamak üzere görevlendirilmiş çalışanlarından veya danışmanlardan oluşmuş rol ve sorumlulukları belirli kişilerin oluşturduğu takımdır. |
Veri Sorumlusu
Bu Politika kapsamına giren kişisel veri işleme faaliyetleri bakımından veri sorumlusu, Şirketimiz tüzel kişiliğinin kendisidir.
Envanter ve Kayıt Tutma
Şirketimiz tarafından gerek kişisel veri işleme faaliyetlerinin takibi ve yönetilebilmesi gerekse hukuki yükümlülüklerimize uyum sağlanabilmesi amaçlarıyla bir kişisel veri işleme envanteri tutulmaktadır. Bu envanter kapsamında kişisel veri kategorileri ve işleme amaçları ile bunların aktarıldığı alıcı grupları, saklama süreleri gibi bilgiler, Şirketimizin iş süreçleriyle ilişkilendirilerek listelenmektedir. Envanter özeti VERBİS platformuna beyan edilerek kamuya açık şekilde takip edilebilir.
Eğitim ve Farkındalık
Şirketimizin kişisel verileri işleme faaliyetlerinde rol alan ve/veya kişisel verilere erişim yetkisine sahip çalışanlarına gerekli mevzuat ve bilgi güvenliği eğitimlerinin yaptırılması, böylece Şirketimizin kişisel verilerin korunmasına ilişkin genel farkındalığının muhafaza edilmesi ve Şirketimize yeni katılan çalışanların bu farkındalık düzeyinde olduğundan emin olunmasını sağlar. Şirketimiz çalışanlarına yönelik gerekli mevzuat ve bilgi güvenliği eğitimlerinin periyodik bir biçimde gerçekleştirilmektedir.
KİŞİSEL VERİLERİN KORUNMASI
Kişisel veri işleme faaliyetleri, kişisel verilerin korunması mevzuatına ve özellikle KVK Kanununa uygun gerçekleştirilmekte ve için bu bölümde açıklanan tüm şartların durumun özelliklerine uygun düştükleri ölçüde yerine getirilmektedir.
Genel İlkeler
Şirketimiz tarafından gerçekleştirilen tüm kişisel veri işleme faaliyetlerinde her daim aşağıdaki ilkelere uygun hareket edilir.
Hukuka ve Dürüstlük Kuralına Uygunluk
Kişisel verilerin işlenmesinde yalnızca KVK Kanununa değil, diğer tüm kanunlarla ve yasal düzenlemelere uygun hareket edilmeli, kişisel veri sahiplerinin çıkarları ve makul beklentileri dikkate alınmalıdır.
Doğru ve Gerektiğinde Güncel Olma
Kişisel verilerin doğru ve güncel tutulabilmesi için kişisel veriler, elde edilmesi safhasında gerçek ile uyumlu bir mahiyette toplanmalı ve bilgilerin isabetli olması sağlanmalıdır. Ayrıca kişisel veri sahiplerinin, verilerin doğru veya güncel olmamasından kaynaklanabilecek taleplerini iletebilmelerini sağlayacak imkânlar oluşturulmalı ve bu talepler dikkatle ele alınmalıdır.
Bir işleme faaliyeti, kişisel veri sahibi bakımından sonuç doğurabilecek nitelikteyse kişisel verilerin güncel olup olmadığı kontrol edilmeli ve gerekli görülmesi halinde verilerin güncellenebilmesi için kişisel veri sahibiyle iletişime geçilmelidir.
Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Kişisel veri işleme amacının, kişisel veri elde edilmeden önce açık ve kesin olarak belirlenmesi ve bu amacın meşru, yani hukuka uygun olması zorunludur. Bu bağlamda kişisel veriler, bir amaç belirlenmeksizin veya çok genel bir amaca yönelik olarak toplanmamalıdır. Elde edilen bir kişisel veri, toplanma amacı dışında kullanılmadan önce yeni bir işleme temeli (rıza almak gibi) belirlenmeli, bu mümkün değilse toplanma amacının dışına çıkılmamalıdır. Ayrıca işleme amacının, kişisel veri sahibi tarafından bilinir hale getirilmesine yönelik şeffaflık adımları da atılmalıdır.
Şirketimiz, gerçekleştirdiği işleme faaliyetleri bakımından kişisel veri işleme envanteri kapsamında işleme amaçlarını belirlemekte ve bunların meşruiyetini denetlemektedir. Ayrıca aydınlatma yükümlülüğü kapsamında söz konusu amaçlar kişisel veri sahiplerine bildirilmektedir.
Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Asgari işleme prensibi olarak da ifade edilen bu ilkeye göre kişisel veriler, belirlenen amaçların gerçekleştirilebilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya bu amaç için ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır. Örneğin sonradan ortaya çıkabileceği düşünülen ihtiyaçların karşılanmasına yönelik olarak kişisel veri toplanmamalıdır.
Gerektiği Kadar Muhafaza Edilme
Kişisel veriler, ilgili yasal mevzuatta saklanmaları için öngörülen bir süre varsa bu süre kadar veya işlendikleri amaç için gerekli olan süre daha uzunsa bu süre kadar muhafaza edilmelidir. Bir kişisel verinin saklanması için geçerli bir sebep kalmaması halinde söz konusu kişisel veri imha edilmeli, yani silinmeli, yok edilmeli veya anonim hale getirilmelidir. Şirketimiz bu doğrultuda, kişisel verileri gerektiği kadar muhafaza etmektedir.
Hukuka Uygunluk
İşleme Temelleri
Herhangi bir kişisel verinin hukuka uygun bir biçimde işlenebilmesi için işleme faaliyetinin, KVK Kanununda sayılan işleme temellerinin en az bir tanesine dayanması gerekmektedir. Kişisel veri sahibinin açık rıza vermesi, bu işleme temellerinden yalnızca bir tanesi olup kişisel veri sahibinden açık rızası edinilmeksizin kişisel veri işlenmesi de mümkündür.
Kişisel veri işleme faaliyeti, açık rıza dışındaki işleme temellerinden birine dayanıyorsa, bu durumda kişisel veri sahibinden açık rıza alınmasına ihtiyaç bulunmayacaktır. Zira işleme faaliyetinin, açık rıza dışında bir temelde yürütülmesi mümkünken açık rızaya dayanılması, aldatıcı olabilecektir. Bu kapsamda, kişisel veri işleme faaliyetinin öncelikli olarak açık rıza dışındaki işleme temellerinden birine dayanıp dayanmadığı değerlendirilmeli, eğer açık rıza dışındaki temellerden en az biri uygulanabilir değilse bu durumda işleme faaliyetinin gerçekleştirilebilmesi için kişisel veri sahibinin açık rızası alınmalıdır.
Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi faaliyetleri KVK Kanunu 5’inci ve 6’ncı maddelerinde belirtilen hukuki işleme temellerine dayanmaktadır. Ancak e-mail sistemininde şirket dışı gerçek kişilere ait verilerin aktarımı kurum kararı gereğince yurt dışına veri transferi olarak kabul edilmektedir. Yurt dışına veri aktarımı için kanuna uyum yollarından birinin ilgili kişinin açık rızasını gerektirdiğinden bu işleme faaliyeti için yasanın 5 (1) maddesi gereğince açık rıza talep edilmektedir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz, özel nitelikli kişisel verilerin korunmasına azami önem atfetmekte ve bu doğrultuda gerekli idari ve teknik tedbirleri uygulamaktadır.
Şeffaflık
Kişisel Veri Sahiplerinin Aydınlatılması
Şirketimiz için kişisel veri işleme faaliyetlerinin kişisel veri sahibinin bilgisi dâhilinde gerçekleşmesi esastır. Bu kapsamda sorumlu yöneticiler tarafından kişisel veri sahibine; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçlarla işleneceği, kimlere ve hangi amaçlarla üçüncü kişilere aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVK Kanununda sayılan hakları konusunda bilgilendirme yapılması sağlanır.
Buna karşın KVK Kanunu amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla ilgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi dâhil KVK Kanununun 28. maddesinde sayılan durumlarda kişisel veri sahiplerine bu madde kapsamında bir bilgilendirme yapılması gerekmeyecektir.
Kişisel Veri Sahiplerinin Taleplerinin Karşılanması
Kişisel Veri Sahiplerinin Hakları
Kişisel veri sahipleri, KVK Kanunu uyarınca aşağıdaki haklara sahiptirler:
· Kişisel verilerinin işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenmesini gerektiren sebeplerin ortadan kalktığı kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararının giderilmesini talep etme.
KVK Kanunu amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla aşağıda sayılan durumlarda kişisel veri sahipleri, zararın giderilmesini talep etme hakkı hariç diğer haklarını ileri süremezler:
· Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
· İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
· Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
· Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri; yazılı olarak, kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirketimize daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adreslerini kullanarak haklarını ileri sürebilirler. Kişisel veri sahipleri tarafından yapılan başvurular en kısa sürede ve en geç 30 gün içinde cevaplanır.
Başvuruya İlişkin Maliyet
Şirketimiz tarafından sağlanan yanıtın on sayfaya kadar olan kısmı için bir ücret alınmaz ancak on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, taşınabilir bellek gibi bir kayıt ortamında verilmesi halinde ilgili kayıt ortamının maliyeti, kişisel veri sahibinden talep edilir. Başvurunun, Şirketimizin bir hatasından kaynaklanması hâlinde alınan tüm ücret ve masraflar kişisel veri sahibine iade edilir.
Veri Aktarımları ve Üçüncü Kişi Uyumu
Hukuka Uygunluk
Kişisel verilerin üçüncü kişilere aktarılabilmeleri gerektiğinde işleme temellerinin, aktarıma özgü bir biçimde uygulanabilir olup olmadığı kontrol edilir ve durumun gereği yerine getirilir. Örneğin, hukuki yükümlülüğün kişisel verilerin aktarılmasının yönelik olması veya açık rızanın kişisel verilerin aktarılması için alınmış olması gerekir.
Özel nitelikli kişisel verilerin aktarılması söz konusu olduğunda gerekli tüm tedbirler uygulanır.
İdari ve Teknik Tedbirler
Bir üçüncü kişiye kişisel veri aktarımı gerçekleşmeden veya bir üçüncü kişiye Şirketimiz saklama alanlarına erişim yetkisi verilmeden önce karşı tarafın kişisel verilerin işlenmesinde yeterli dikkat ve özeni göstereceğinden, uygun güvenlik düzeyini temin edeceğinden emin olunur.
Kişisel Verilerin Fiziksel Ortamda Aktarılması
Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikası’ nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikleri içerir. Şirket çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika’ ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür.
Fiziksel ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken gerektiğinde kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir.
Açık rıza alınmadan verilerin aktarılması yalnızca Kanun’da (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır.
Kişisel Veri içeren fiziki dökümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVKK Çalışma Grubu’nun bilgisi ve onayı dahilinde yapılabilir.
Gönderen taraf, beklenen aktarım süresi sonunda alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVKK Çalışma Grubu’ndaki ilgili kişiye durumu aktarır.
Kişisel Verilerin Elektronik Ortamda Aktarılması
Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır.
İşbu Kişisel Veri Aktarım Politikası’ nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Çalışma Grubu’na bildirmekle yükümlüdür.
Elektronik ortamda veri aktarımı yapan çalışan veya departman, aktarılacak olan kişisel veriler alınırken gerektiğinde kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya departman aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Çalışma Grubu’na danışarak aktarım yapmalıdır.
Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır.
Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Çalışma Grubu bilgilendirilmelidir.
1. Elektronik Posta
Aktarım işlemi aktarımı yapan departman müdürünün elektronik posta alıcıları arasında yer almasıyla gerçekleştirilebilir. Departman Müdürü bilgisi dahilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır.
Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVKK Çalışma Grubu’na bilgi vererek onay almalıdır.
2. Taşınabilir Medya
Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır.
Taşınabilir medyalar ile kişisel veri aktarılırken, taşınabilir medya şifrelenebilir. Özel nitelikli Kişisel veriler şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanarak iletilir.
Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz.
Taşınabilir medyanın fiziksel transferi göndericiden alıcıya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında şirketin anlaşmalı olduğu kurye hizmeti kullanılır, aktarımda kargo hizmeti kullanılamaz.
3. Bulut Paylaşımı (Cloud)
Bulut paylaşım, kişisel verilerin gönderici tarafından online bir depolama alanına yüklendiği alıcının ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır.
Bulut paylaşım ile kişisel veri aktaran çalışan, her bir aktarım öncesinde Şirketin Bilgi Teknolojileri Departmanı ile en güvenli yöntem konusunda kişisel veri sahibi departman müdürü ile birlikte bilgi paylaşımında bulunur. Bulut paylaşım ile kişisel veri paylaşılacağı tüm durumlarda Şirket Bilgi Teknolojileri Departmanı’nın bilgilendirilmesi zorunludur.
Bulut paylaşım yöntemi ile paylaşılan veri şifrelenir. Şifre, gönderici tarafından alıcıya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca şirket donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını şirket donanımları ve ağını kullanmadan yapmasına izin verilmez.
4. Ağ Üzerinden Paylaşım
Kişisel veriler, şirketin ortak alanları kullanarak departmanlar içerisinde ve/veya departmanlar arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden alıcıya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye veya kriptografik protokollerin uygulanmasına uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubu’na bilgi verilir ve yalnızca Grup’un onayı olduğu durumlarda aktarım gerçekleştirilir.
Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca alıcı departman ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.
Yurt Dışına Kişisel Veri Aktarımı
Kişisel verilerin yurt dışına aktarılabilmesi için bu Politikanın “Hukuka Uygunluk” başlığı altında belirtilen işleme temellerinin yurt dışına aktarıma özgü bir biçimde uygulanabilir olduğu kontrol edilir ve durumun gereği yapılır. İşleme temeli açık rıza değilse bu durumda işleme temellerine ilaveten ayrıca:
a. Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunduğundan emin olunur veya
b. Yeterli korumanın bulunmaması durumunda yurt dışındaki alıcı taraf ile bir sözleşmesel ilişki tesis edilmesi ve içeriğinde KVK Kurumu tarafından yayınlanan “Yurtdışına Veri Aktarımında Veri Sorumlularınca Hazırlanacak Taahhütnamede Yer Alacak Asgari Unsurlar’a yer verilir.
c. Yurt dışına veri aktarımı için kanuna uyum yollarından birinin ilgili kişinin açık rızasını gerektirdiğinden bu işleme faaliyeti için yasanın 5 (1) maddesi gereğince açık rıza talep edilmektedir.
Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden alıcıya şeklinde gerçekleştirilir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilir.
Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Kurulca ilan edilecek yeterli korumanın bulunduğu ülkelere yapılabilir. Aktarım yapılacak ülke yeterli korumanın bulunduğu ülke olarak belirlenmemiş ise aktarım öncesinde KVKK Çalışma Grubu’nun bilgisine başvurulacaktır.
Veri Güvenliği
İdari ve Teknik Tedbirler
Şirketimizce gerçekleştirilen tüm faaliyetlerde kişisel verilerin hukuka aykırı işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanması amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbir alınır. İdari ve teknik tedbirlerimiz VERBİS platformunda kamuya açık şekilde beyan edilmiştir.
Veri Güvenliği İhlali
Şirketimizce işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi hâlinde, bu durumun en kısa sürede ilgili kişisel veri sahiplerine ve KVK Kuruluna bildirilmesi gerekmektedir. Bu yükümlülüğe uyumu teminen kişisel veri güvenliği bakımından kayda değer vakıalar Şirketimiz genelinde izlenir ve bunların veri güvenliği ihlali teşkil edip etmediği değerlendirilerek gereği yapılır. Şayet bir veri güvenliği ihlali söz konusuysa ihlalin öğrenildiği andan itibaren en geç 72 saat içerisinde KVK Kuruluna bildirim yapılır.
Kişisel Verilerin imhası
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez hale getirilmesi işlemidir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
Kişisel verileri anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.
Veri sorumlusu olarak , kişisel verilerin silinmesi , yok edilmesi ya da anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüyüz. Yılda iki kez saklama süreleri tamamlanmış fiziksel ya da elektronik kişisel veriler tespit edilerek imha edilir.
İşbu Politika ………… tarihinde yürürlüğe girmiştir. Politika değişen koşullara ve mevzuata uyum amacıyla güncellenebilecektir