DAF TEKNOLOJİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ ÇALIŞANLAR VE STAJYERLER İÇİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
POLİTİKASI
Muhatap: DAF Teknoloji Sanayi ve Ticaret Limited Şirketi çalışanları
Hazırlayan: DAF Teknoloji Sanayi ve Ticaret Limited Şirketi ………
Onaylayan: DAF Teknoloji Sanayi ve Ticaret Limited Şirketi Müdürü/Müdürler Kurulu tarafından onaylanmıştır.
Yürürlük Tarihi: 22/22/2222
1. GİRİŞ
1.1Giriş
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi(“DAF Teknoloji” veya “Şirket”) kişisel verilerin korunması ve
işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerini korumaya azami önem atfetmektedir. Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“Kanun” ya da “KVK Kanunu”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine özen
göstermekte, tüm planlama ve faaliyetlerinde bu özenle hareket etmektedir.
Şirketimiz, özel hayatın gizliliğinin temeli olan kişisel verilerin korunması ve işlenmesini sadece mevzuata uyum
sağlama kapsamında değerlendirmemekte, yaklaşımının temeline insana verdiği değeri koymaktadır. Bu bilinçle hareket
eden Şirketimiz kişisel verilerin hukuka uygun olarak korunması ve işlenmesi için gerekli her türlü idari ve teknik önlemi
almaktadır.
1.2Politika’nın Amacı
Çalışanlar için Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, Kanun’un amacına uygun olarak tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen kişisel verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini azami derecede korumak ve Şirketimizin yükümlülükleri ile Kanun
uyarınca uyacağı usul ve esaslar hakkında kişisel veri sahiplerini bilgilendirmektir. Politika’nın amacı doğrultusunda,
Şirketimiz tarafından gerçekleştirilen kişisel verilerin korunması ve işlenmesi faaliyetlerinde mevzuata tam uyumun
sağlanması ve kişisel veri sahiplerinin özel hayatın gizliliği ve veri güvenliği hakkının korunması hedeflenmektedir.
1.3Politika’nın Kapsamı
Bu Politika; iş sözleşmesi ile bağlı olmak kaydıyla Şirket’in tüm çalışanlarına ve çalıştırılması halinde stajyerlere
uygulanacaktır . Hangi sıfatla olursa olsun tüzel kişilere bu Politika uygulanmayacaktır.
Bu politika, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenmesi halinde uygulanacak olup kişisel veri işleme faaliyetinin bu yollarla
olmaması halinde veya verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması halinde
uygulanmayacaktır.
1.4Tanım ve kısaltmalar
Bu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder:
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rızadır.
Alenileştirme
“Herkes tarafından bilinir kılma” anlamında olan alenileştirme
kavramı, 6698 sayılı Kanun’un 5. maddesinde, kişisel verilerin
işlenebilmesi için gerekli olan “kişisel verisi işlenen gerçek kişinin açık
rızasının alınması gerekliliği”nin istisnalarından biri olarak sayılmıştır.
2
Aydınlatma
Yükümlülüğü
Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin
kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak
işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi
vermesi yükümlülüğüdür.
Çalışan Şirketimizde iş akdiyle çalışan tüm gerçek kişilerdir.
İlgili Kişi/ Veri Sahibi İş sözleşmesi ile Şirket çalışanı olan tüm gerçek kişilerdir.
İlgili Kullanıcı
Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri
sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı
yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale
getirilmesini ifade eder.
Kişisel Verilerin
İşlenmesi
Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veiri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlemdir.
Kurul/KVK Kurulu Kişisel Verileri Koruma Kurulu’dur.
Kurum/ KVK Kurumu Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumudur.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
KVKK Kişisel Verilerin Korunması Kanunu’dur.
3
Otomatik Olarak Veri
İşleme
Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine
getirilen, yazılım veya donanım özellikleri aracılığıyla önceden
hazırlanan algoritmalar kapsamında insan müdahalesi olmadan
kendiliğinden gerçekleşen işleme faaliyetidir.
Özel Nitelikli Kişisel
Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik veriler özel nitelikli verilerdir.
Sicil Veri Sorumluları Sicili’dir.
Şirket / Şirketimiz DAF Teknoloji Sanayi ve Ticaret Limited Şirketi’dir.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri
işleyen gerçek veya tüzel kişidir.
Veri Kayıt Sistemi
Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini ifade eder.
Veri Sorumlusu
Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek
veya tüzel kişidir.
Veri Kategorisi
Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu
kişi grubu veya gruplarına at kişisel veri sınıfıdır.
Veri Konusu Kişi
Grubu
Bu Politika kapsamında veri kişi grubu, yalnızca Şirketimizde iş
akdiyle çalışan gerçek kişilerdir.
1.5Politika’nın Yürürlüğü
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi tarafından düzenlenerek 22.22.2222 tarihinde yürürlüğe giren Politika,
Çalışanın eposta adresine gönderilerek veya şirket internet sitesinde ya da inceleyebileceği herhangi bir mecrada
yayımlanarak kişisel veri sahiplerinin erişimine sunulur.
4
2. KİŞİSEL VERİLERİN KORUNMASI
2.1Kişisel Verilerin Güvenliği
Şirketimiz Kanun uyarınca kişisel verileri güvenli bir şekilde saklamak, kişisel verilerin hukuka aykırı olarak
işlenmesini ve erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve
teknik tedbiri alır. Şirketimiz Kanun ve sair mevzuatta yer alan düzenlemelere uygun hareket edilmesini teminen “Kişisel
Verilerin Korunması Kanunu”na uyum faaliyetlerini düzenli olarak yürütmektedir.
2.2Denetim
Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak
amacıyla gerekli denetimleri yapar ve yaptırır.
2.3Gizlilik
Şirketimiz ilgili veri sorumluları ve veri işleyenlerin, sahip oldukları kişisel verileri Kanun ve Politika hükümlerine aykırı
olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkan ve uygulama
maliyetlerine göre gerekli tüm idari ve teknik tedbirleri alır. Bu bağlamda Çalışanlar için Kanun ve Politika hakkında
bilgilendirme ve eğitim çalışmaları yürütülür, ilgili Çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik
sözleşmeleri imzalatılır.
2.4Kişisel Verilerin Yetkisiz İfşası
Şirketimiz tarafından işlenen kişisel verilerin kanuna uygun olmayan yollarla başkaları tarafından elde edilmesi
halinde, Şirketimiz bu durumun KVK Kurulunca belirlenen süreler dahilinde ilgili kişiye ve KVK Kuruluna bildirilmesi için
gerekli işlemleri yürütür. KVK Kurulu tarafından gerek görülmesi halinde bu durum KVK Kurulunun internet sitesinde ya
da KVK Kurulu tarafından uygun görülecek başka bir yöntemle ilan edilir.
2.5Kişisel Veri Sahiplerinin Yasal Haklarının Gözetilmesi
Şirketimiz kişisel veri sahiplerinin Politika ve Kanun’un uygulanması ile ilgili tüm yasal haklarını gözetir ve bu
haklarının korunması için gerekli tüm önlemleri alır.
2.6Özel Nitelikli Kişisel Verilerin Korunması
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek,
vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri özel nitelikli kişisel veridir. Şirketimiz özel nitelikli kişisel verilerin, başkaları tarafından öğrenildiği
takdirde Çalışanının mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte veriler olmalarının
farkında olup bu sebeple hukuka uygun olarak işlenen bu tür kişisel verilerden gerekli koşulları sağlandığında korunması
için Kurul tarafından belirlenen yeterli önlemleri hassasiyetle alır.
3. KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI
3.1Kişisel Verilerin İşlenmesinde ve Aktarılmasında Genel İlkeler
Şirketimiz tarafından kişisel veriler, Kanun’da ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir.
Şirketimiz kişisel verileri işlerken aşağıdaki ilkelere uyar.
3.1.1 Hukuka ve Dürüstlük Kurallarına Uygun Olma
5
Şirketimiz kişisel verileri ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak işler ve bu sınırlar içerisinde
kullanır. Dürüstlük kuralına uygun olma ilkesi uyarınca Şirketimiz, veri işlemedeki hedeflerine ulaşmaya çalışırken
Çalışanlarının çıkarlarını ve makul beklentilerini dikkate alır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği
sonuçların ortaya çıkmasını önleyici şekilde hareket eder. İlke uyarınca ayrıca Çalışan için söz konusu veri işleme
faaliyetinin şeffaf olmasını sağlar; bilgilendirme ve uyarı yükümlülüklerine uygun hareket eder.
3.1.2 Doğru ve Gerektiğinde Güncel Olma
Şirketimiz kişisel veri sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin
doğru ve güncel olmasını sağlar. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit
edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır. Kişisel verilerin
doğru ve güncel bir şekilde tutulması, Şirketimizin çıkarına uygun olduğu gibi Çalışanının temel hak ve özgürlüklerinin
korunması açısından da gereklidir. Şirketimiz aktif özen yükümlülüğü uyarınca her zaman kişisel veri sahibinin bilgilerinin
doğru ve güncel olmasını temin edecek kanalları açık tutar. Çalışan kişisel verilerinin doğru ve güncel bir şekilde
tutulması, Şirketimizin menfaatlerini koruduğu gibi Çalışanın temel hak ve özgürlüklerinin korunması bakımından da
gereklidir.
3.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Şirketimiz veri işleme amacını açık ve kesin olarak belirler ve bu amacın meşru olmasını sağlar. Amacın meşru olması
Şirketimizin işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli
olması anlamına gelir. Şirketimiz belirttiği bu amaçlar dışında başka amaçlarla veri işleme yapmaz. Bu itibarla, kişisel
veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine uyumda hassasiyet gösterir.
3.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz işlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını sağlar ve amacın
gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Şirketimiz mevcutta
olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplamaz veya işlemez. Sonradan ortaya çıkması
muhtemel ihtiyaçların karşılanmasına yönelik veri işlemek için, işlemeye ilk kez başlıyor gibi, Kanun’da düzenlenmiş olan
kişisel verilerin işlenme şartlarını gerçekleştirir. Ayrıca işlenen veriyi sadece amacın gerçekleştirilmesi için gerekli olanla
sınırlı tutar. Ölçülülük ilkesi kapsamında, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurar.
3.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Şirketimiz ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir;
aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Şirketimiz tarafından bir
kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda söz konusu veri silinir, yok edilir veya
anonim hale getirilir. Kişisel verilerin saklanması ve imhasına ilişkin prosedürler Şirketimizin Kişisel Veri Saklama ve İmha
Politikası’nda ayrıntılı olarak düzenlenmektedir.
3.2Kişisel Verilerin İşlenme Şartları
Şirketimiz kişisel verileri ilgili kişinin açık rızası olmaksızın işlemez. Kişisel veriler yalnızca aşağıdaki şartlardan birinin
varlığı hâlinde ilgili kişinin açık rızası aranmaksızın işlenebilir:
3.2.1 Kanunlarda Açıkça Öngörülmesi
Şirketimiz kanunların açıkça öngördüğü hallerde kişisel verileri ilgili kişinin açık rızasını aramaksızın işleyebilir.
6
3.2.2 Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması Kaydıyla, Sözleşmenin
Taraflarına Ait Kişisel Verilerin İşlenmesinin Gerekli Olması
Şirketimiz bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olarak sözleşmenin taraflarına ait kişisel
verilerin işlenmesinin zorunlu olması durumunda, hayatın olağan akışı gereği, bu amaçla sınırlı olmak üzere Çalışanının
kişisel verilerini açık rıza aramaksızın işleyebilir.
3.2.3 Şirketimizin Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması
Şirketimiz veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu olduğu hallerde Çalışanının
kişisel verilerini açık rıza aramaksızın işleyebilir.
3.2.4 İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması
Şirketimiz; kişisel veri sahiplerinin kendileri tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde
kamuoyuna açıklanmış olan kişisel verilerini, kişisel veri sahipleri tarafından alenileştirilen ve böylelikle herkes
tarafından bilinebilecek hale gelen bu tür verilerin işlenmesinde korunması gereken hukuki yararın ortadan kalktığı kabul
edilmesi sebebiyle alenileştirme amacıyla sınırlı olarak işleyebilir.
3.2.5 Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması
Şirketimiz hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde kişisel
veri sahiplerinin kişisel verilerini açık rıza aramaksızın işleyebilir.
3.2.6 Kişisel Veri Sahiplerinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla, Şirketimiz
Tarafından Meşru Menfaatleri İçin Veri İşlenmesinin Zorunlu Olması
Şirketimiz kişisel veri sahiplerinin Kanun ve Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek
kaydıyla meşru menfaatlerinin temini için kişisel verilerin işlenmesinin zorunlu olduğu durumlarda Çalışanların kişisel
verilerini işleyebilir. Şirketimiz, kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve Şirketimiz ile kişisel veri
sahiplerinin menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti göstermektedir. Meşru menfaatten kasıt;
meşru, Çalışanın temel hak ve özgürlüğü ile yarışabilecek düzeyde etkin, belirli ve halihazırda mevcut olan bir
menfaattir. Şirketimiz Çalışanın haklarına zarar gelmemesi için ek koruyucu tedbirler almaktadır. Şirketimizin menfaati
ile Çalışanın temel hak ve özgürlükleri arasında makul bir denge sağlanmaktadır.
3.3Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Şirketimiz özel nitelikli kişisel verileri ilgili kişinin açık rızası olmaksızın işlemez. Özel nitelikli kişisel veriler yalnızca
aşağıdaki şartlardan birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın işlenebilir:
3.3.1 Kanunlarda Açıkça Öngörülmesi
İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunların açıkça öngördüğü hallerde ilgili
kişinin açık rızası aranmaksızın işlenebilir.
3.3.2 Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin
Yürütülmesi, Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi Amacıyla
İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından işlenebilir.
7
3.4Kişisel Verilerin Aktarılma Şartları
Şirketimiz kişisel verileri gerekli güvenlik önlemlerini alarak Kanun’un 8. maddesi uyarınca aşağıda belirtilen kişisel
veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak üçüncü kişilere aktarabilmektedir:
● İlgili kişinin açık rızasının olması,
● Kanunlarda kişisel verinin aktarılmasına ilişkin açık bir düzenleme olması,
● İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için kişisel veri aktarımının
zorunlu olması ve ilgili kişinin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda veya rızasına hukuki
geçerlilik tanınmıyor olması,
● Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına
ait kişisel verinin aktarılmasının gerekli olması,
● Şirketimizin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımının zorunlu olması,
● Kişisel verilerin, ilgili kişi tarafından alenileştirilmiş olması,
● Bir hakkın tesisi, kullanılması veya korunması için kişisel veri aktarımının zorunlu olması,
● İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için
kişisel veri aktarımının zorunlu olması.
Özel nitelikli kişisel veriler ise aşağıdaki şartlardan birine dayalı ve sınırlı olarak yeterli önlemler alınmak kaydıyla
aktarılabilmektedir:
● İlgili kişinin açık rızasının olması,
● İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri söz konusuysa kanunlarda bu
verilerin aktarılmasına ilişkin açık bir düzenleme olması.
● İlgili kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri söz konusuysa bu veriler kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler
veya yetkili kurum ve kuruluşlar tarafından aktarılabilir.
3.4.1 Kişisel Verilerin Yurtdışına Aktarılma Şartları
Sözleşmenin kurulması ve ifası için zorunlu olanlarla sınırlı olmak ve gerektiği durumlarda karşı tarafla kimlik ve
iletişim bilgileriniz yurtdışına açık rızanız çerçevesinde aktarılabilmektedir. Bununla birlikte, Şirketimiz kişisel verileri
Kanun’un 5. maddesinin ikinci fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı halinde,
Türkiye’nin taraf olduğu uluslararası sözleşme hükümleri saklı kalmak üzere, yalnızca KVK Kurulu tarafından yeterli
korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili
yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu
yabancı ülkelere ilgili kişinin açık rızasını aramaksızın da aktarabilmektedir.
4. KİŞİSEL VERİ KATEGORİLERİ VE VERİ KONUSU KİŞİ GRUBU
4.1Kişisel Veri Kategorileri
Çalışanlara ilişkin kişisel veriler Şirketimiz tarafından aşağıdaki şekilde sınıflandırılarak işlenmektedir.
Kimlik
Kişisel veri sahiplerinin kimliğine dair bilgi içeren veriler: Ad-soyad,
T.C. kimlik numarası, medeni durumu, anne-baba adı soyadı, doğum
yeri ve tarihi, cinsiyeti ve sair kimlik bilgileri ve bu bilgileri içeren ehliyet,
8
nüfus cüzdanı ve pasaport suretleri; vergi numarası, SGK numarası, imza
bilgisi, vb.
İletişim
Kişisel veri sahiplerinin iletişim bilgileri: Telefon numarası, adres,
e-posta adresi, faks numarası vb.
Lokasyon
Kişisel veri sahiplerinin konumuna ilişkin bilgiler: Şirket ve Şirket’in
grup şirketlerine ait araçlar veya cihazlar kullanılırken elde edilebilen
konum bilgileri; OGS, taşıt tanıma ve yemek kartı vb. sistemler
üzerinden elde edilebilen lokasyon verileri.
Özlük
Kişisel veri sahiplerinin özlük haklarının korunmasına temel olacak
bilgilerin elde edilmesine yönelik işlenen bilgiler: Sicil numarası, unvan,
birim bilgileri; sosyal güvenlik/emeklilik bilgileri; maaş bilgisi, ehliyet,
askerlik, izin bilgileri vb.
Hukuki İşlem
Şirket’in hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası
ile kanuni yükümlülükleri kapsamında işlenen veriler: İmza sirküleri,
sözleşme bilgileri, vekaletname bilgileri, mahkeme ve idari merci
kararları, alacak ve haklara ilişkin bilgiler.
Fiziksel Mekan
Güvenliği
Şirket’e ait fiziksel mekanlara girişte ve fiziksel mekanların
içerisindeyken alınan kayıtlar ve belgelere ilişkin kişisel veriler:
Giriş-çıkış kayıtları, manyetik kart kayıtları, güvenlik kamerası kayıtları,
araç plakası vb.
İşlem Güvenliği
Şirket faaliyetleri yürütülürken gerek kişisel veri sahibinin gerek
Şirket’in teknik, idari, hukuki ve ticari güvenliğine ilişkin işlenen kişisel
veriler: IP adresi bilgileri, internet sitesi giriş çıkış (trafik) bilgileri,
internet erişim kayıtları, şifre ve parola bilgileri vb.
Finans
Şirket’in kişisel veri sahipleri ile kurmuş olduğu her türlü finansal
ilişkinin sonucunu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel
veriler ile banka hesap bilgileri, kredi kartı bilgisi, finansal profil,
malvarlığı ve sigorta bilgileri vb. bilgiler.
Mesleki Deneyim
Kişisel veri sahiplerinin işe alınma süreci ve sonrasında kayıt altına
alınan eğitim/kurs/sertifika bilgileri, referans bilgileri ehliyet bilgisi,
yabancı dil bilgileri vb. veriler.
Görsel ve İşitsel
Kayıtlar
Kişisel veri sahiplerinin fiziksel mekan güvenliği kapsamı dışında
alınabilen fotoğraf, kamera ve ses kayıtları ile bu verilerin aktarıldığı
diğer belgeler: Bilgi formlarına eklenen fotoğraflar, çağrı merkezi
kayıtları, görüntülü mülakat ve toplantı kayıtları vb.
Haberleşme Kayıtları
Şirket’in iletişim ve bilişim sistemleri üzerinden elde edilebilen
haberleşme verileri: Kurumsal telefon görüşme kayıtları, kurumsal
posta ve e-posta kayıtları vb.
9
ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Sağlık Bilgileri
Kişisel veri sahiplerine ait sağlık verileri: Muayene bilgileri, sağlık
raporları, sağlık izinleri, kan grubu bilgileri vb.
Ceza Mahkûmiyeti
ve Güvenlik Tedbirleri
Yalnızca hükümlü kontenjanından başvurarak işe alınan kişisel veri
sahipleri bakımından: ceza mahkûmiyeti ve güvenlik tedbiri kararlarına
ilişkin bilgileri içeren belgeler, Adli sicil kayıtları
Sendika Bilgileri Çalışanların üye olması halinde sendika bilgileri
5.2Veri Konusu Kişi Grubu
Bu Politika kapsamında veri konusu kişi grubu, Şirketimize iş akdiyle bağlı gerçek kişi Çalışanlar ile çalıştırılması
halinde stajyerlerdir.
6. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ
6.2Kişisel Verileri Toplama Yöntemi
Kişiler veriler; veri sahibinin kendisi, yakınları, adına vekil ya da temsilci kılınanlar, gösterdiği referanslardan veya
performans ve işe yatkınlık bilgisi bakımından eski çalışma yerlerindeki yetkili ya da görevlilerden, insan kaynakları
hizmeti sunan şirketler ve internet sitelerinden, yargı makamlarından(mahkemeler ve Cumhuriyet Başsavcılıkları), yetkili
kamu ve özel hukuk tüzel kişileri ile gerçek kişilerden (SGK, İŞKUR, GİB gibi kamu kurumları; ticaret ve sanayi odaları gibi
kamu kurumu niteliğinde meslek kuruluşları ile diğer meslek örgütleri ve sendikalar; yetkili hekimler ve sağlık
kuruluşları; bunların vekil ya da temsilcileri, yetkilileri, görevlileri v.b.), şirketin hizmet veya ürün aldığı veya verdiği şirket
veya kişilerden;
● Şirket İnternet sitesi, kayıtlı elektronik posta(kep) hesabı; kurumsal veya şirket yetkili ve çalışanlarının
(şirkete ulaştırılmak üzere iletilenlerle sınırlı olmak kaydıyla) şahsi e-posta ve diğer iletişim hesapları,
● Telefon görüşmeleri,
● İşyeri güvenlik kamerası, şirket bilişim sistemleri
● Sözlü veya yazılı beyanlar,
● Resmi yazılar, formlar, diğer yazılı bildirimler ve dilekçeler,
● İnsan kaynakları hizmeti sunan şirketlerden hizmet alımı ya da internet sitelerinde yer alan profil bilgilerine
erişim
ile sözlü ve yazılı olarak; elektronik ve fiziki ortamda; otomatik, kısmen otomatik veya otomatik olmayan yöntemlerle
elde edilmektedir.
6.3Kişisel Verilerin Toplanmasının Hukuki Sebebi
10
Şirketimiz kişisel verileri Kanun’un 5. ve 6. maddelerinde belirtilen hukuki sebeplerden birine dayanarak
toplamaktadır:
● İlgili kişinin açık rızası,
● Kanunlarda açıkça öngörülmesi;
● Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait
kişisel verilerin işlenmesinin gerekli olması,
● Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
● Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
● Kişisel veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimiz tarafından meşru
menfaatleri için veri işlenmesinin zorunlu olması.
7. KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI İLE
AKTARILDIĞI KİŞİLER/KURULUŞLAR
7.2Kişisel Verilerin İşlenme Amaçları
Kimlik:
Çalışanlar için iş akdi/mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışan memnuniyeti ve bağlılığı
süreçlerinin yürütülmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, yetenek/kariyer gelişimi
faaliyetlerinin yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi,
organizasyon ve etkinlik yönetimi, iş faaliyetlerinin yürütülmesi/denetimi amacıyla işlenmektedir.
İletişim:
İletişim faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, acil durum yönetimi süreçlerinin
yürütülmesi amacıyla işlenmektedir.
Özlük:
Çalışanlar için iş akdi/mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri
süreçlerinin yürütülmesi, çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi, denetim/etik faaliyetlerinin
yürütülmesi, performans değerlendirme süreçlerinin yürütülmesi, yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi,
ücret politikasının yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, yetkili kişi/kurum ve kuruluşlara bilgi
verilmesi, görevlendirme süreçlerinin yürütülmesi amacıyla işlenmektedir.
Hukuki İşlem:
Hukuk işlerinin takibi ve yürütülmesi, sözleşme süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi,
yetkili kişi/kurum ve kuruluşlara bilgi verilmesi amacıyla işlenmektedir.
Fiziksel Mekan Güvenliği:
Fiziksel mekan güvenliğinin temini, denetim/etik faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi
amacıyla işlenmektedir.
İşlem Güvenliği:
Bilgi güvenliği süreçlerinin yürütülmesi, erişim yetkilerinin yürütülmesi, iş faaliyetlerinin yürütülmesi / denetimi,
faaliyetlerin mevzuata uygun yürütülmesi amacıyla işlenmektedir.
11
Finans:
Çalışanlar için iş akdi/mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, finans ve muhasebe işlerinin
yürütülmesi amacıyla işlenmektedir.
Mesleki Deneyim:
Görevlendirme süreçlerinin yürütülmesi, yetenek/kariyer gelişimi faaliyetlerinin yürütülmesi, eğitim faaliyetlerinin
yürütülmesi, insan kaynakları süreçlerinin planlanması amacıyla işlenmektedir.
Görsel ve İşitsel Kayıtlar:
Çalışanlar için iş akdi/mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, fiziksel mekan güvenliğinin temini
amacıyla işlenmektedir.
Haberleşme Kayıtları:
Kurumsal telefon hatları, e-posta ve diğer iletişim hesapları üzerinden yapmış olduğunuz haberleşme verileri;
denetim/etik faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi/denetimi, performans değerlendirme süreçlerinin
yürütülmesi, talep/şikayetlerin takibi, faaliyetlerin mevzuata uygun yürütülmesi amacıyla işlenmektedir
Sağlık Bilgileri:
Acil durum yönetimi süreçlerinin yürütülmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
faaliyetlerin mevzuata uygun yürütülmesi, çalışanlar için iş akdi/mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
iş sağlığı/güvenliği faaliyetlerinin yürütülmesi amacıyla işlenmektedir.
7.3Kişisel Verilerin Aktarılma Amaçları ve Aktarılacağı Kişiler/Kuruluşlar
Şirketimiz, yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde aktarmakla yükümlü oldukları hariç
olmak üzere kişisel verileri Kanun’un 8. ve 9. maddelerinde belirtilen şartlar çerçevesinde aşağıdaki amaçlar ve kişi,
kurum/kuruluşlarla sınırlı olarak aktarmaktadır:
Veri Kategorisi Aktarılma Amacı Aktarılabilecek Yer
Kimlik
(Ad-soyadı, doğum
tarihi, cinsiyet,
kimlik/pasaport no)
İletişim (Kurumsal
iletişim bilgisi)
Çalışanlar için iş
akdi/mevzuattan kaynaklı
yükümlülüklerin yerine getirilmesi,
çalışanlar için yan haklar ve
menfaatleri süreçlerinin
yürütülmesi (maaş, kredi, prim,
emeklilik, sigorta vb. işlemler
kapsamında özel hizmetlerin
geliştirilmesi), yetkili kişi/kurum
ve kuruluşlara bilgi verilmesi, iş
faaliyetlerinin yürütülmesi/
denetimi, insan kaynakları
süreçlerinin planlanması,
organizasyon ve etkinlik yönetimi
(fuarlar, seyahatler, sosyal
Hissedarlar, yurt içi ve yurt
dışındaki yetkili kamu kurum ve
kuruluşları, iş ortakları, yurt içi ve
yurt dışındaki gerçek kişiler veya
özel hukuk tüzel kişileri (Şirket’in
bankacılık, sigorta, güvenlik,
muhasebe, hukuk, denetim, iş
güvenliği, seyahat / konaklama /
organizasyon ile çalışan
bağlılığı/memnuniyeti ölçme
değerlendirme vb. konularda
hizmet aldığı/almayı planladığı
kişi ve kuruluşlar ile Şirket’in
satış ve işbirliği içinde olduğu
diğer kişi ve kuruluşlar)
12
etkinlikler kapsamında),
yetenek/kariyer gelişimi
faaliyetlerinin yürütülmesi
Özlük
(Unvan, sosyal
güvenlik ve bordro
bilgileri)
Finans
(Banka hesap
bilgileri)
Finans ve muhasebe işlerinin
yürütülmesi, Çalışanlar için iş
akdi/mevzuattan kaynaklı
yükümlülüklerin yerine getirilmesi,
çalışanlar için yan haklar ve
menfaatleri süreçlerinin
yürütülmesi (maaş, kredi, prim,
emeklilik vb. işlemler kapsamında
özel hizmetlerin geliştirilmesi),
yetkili kişi/kurum ve kuruluşlara
bilgi verilmesi, ücret politikasının
yürütülmesi
Yetkili kamu kurum ve
kuruluşları, Gerçek kişiler veya
özel hukuk tüzel kişileri (Şirket’in
işbirliği içinde olduğu bankalar,
finans kuruluşları, denetim ve
muhasebe hizmeti veren şirketler)
Görsel ve İşitsel
Kayıtlar
(güvenlik kamerası
görüntüleri ve fotoğraf)
Fiziksel Mekan Güvenliğinin
Temini
Yetkili kamu kurum ve
kuruluşları
Hukuki İşlem
(Adli süreçler
kapsamındaki bilgiler)
Hukuk işlerinin takibi ve
yürütülmesi, yetkili kişi/kurum ve
kuruluşlara bilgi verilmesi
Yetkili kamu kurum ve
kuruluşları, gerçek kişiler veya
özel hukuk tüzel kişileri (Avukat,
hukuk bürosu)
Sağlık Bilgileri
(Muayene bilgileri,
sağlık raporları, sağlık
izinleri, kan grubu
bilgileri vb. sağlık
verileri)
Çalışanlar için iş
akdi/mevzuattan kaynaklı
yükümlülüklerin yerine getirilmesi,
çalışanlar için yan haklar ve
menfaatleri süreçlerinin
yürütülmesi (sigorta işlemleri), iş
sağlığı/güvenliği faaliyetlerinin
yürütülmesi
Yetkili kamu kurum ve
kuruluşları, gerçek kişiler veya
özel hukuk tüzel kişileri (yetkili
hekimler, sağlık kuruluşları, sağlık
sigortası firmaları)
8. KİŞİSEL VERİLERİN İMHASI VE SAKLANMA SÜRELERİ
8.2 Kişisel Verilerin İmhası
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesi işlemini ifade etmektedir. Verilerin yok edilmesi; kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir. Verilerin anonim hale
getirilmesi, maskeleme, değişken çıkartma, genelleştirme vb. tekniklerle kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini ifade
etmektedir. Şirketimiz bu kanun ve diğer kanun hükümlerine uygun olarak işlemiş olduğu kişisel verileri, yine mevzuata
uygun olarak resen veya ilgili kişinin talebi üzerine siler, yok eder veya anonim hale getirir.
13
8.3Kişisel Verilerin Saklanma Süreleri
Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kanunlarda ve sair
mevzuatta öngörülen bir saklama süresi bulunmuyorsa, Şirketimiz o kişisel veriyi işleme amacının gerçekleşmesi için
gereken süre kadar saklanmakta, daha sonra periyodik imha süreleri çerçevesinde silinmekte, yok edilmekte veya anonim
hale getirilmektedir.
9. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE KVKK UYARINCA
HAKLARI
9.2İlgili Kişinin Aydınlatılması
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri
sahiplerini aydınlatmaktadır. Bu kapsamda, varsa Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği,
işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile
kişisel veri sahiplerinin sahip olduğu hakları açıklığa kavuşturmaktadır.
9.3Politika ve Kanun’un Tamamen veya Kısmen Uygulanmayacağı Haller
Bu Politika ve atıfta bulunduğu kanunun ilgili hükümleri, kanunun 28. maddesinde yer alan ve aşağıda da belirtilen
istisnai hâllerde uygulanmayacaktır::
● Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla
gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler
kapsamında işlenmesi,
● Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi
amaçlarla işlenmesi,
● Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği,
özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih,
edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
● Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından
yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
● Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları
veya infaz mercileri tarafından işlenmesi.
Ayrıca bu Politika ve Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun
aydınlatma yükümlülüğünü düzenleyen 10’uncu, zararın giderilmesini talep etme hakkı hariç, Çalışanın haklarını
düzenleyen 11’inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16’ncı maddeleri de KVKK m.28/2 hükmü
gereği aşağıdaki hâllerde uygulanmayacaktır:
● Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
● İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
● Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile
kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile
disiplin soruşturma veya kovuşturması için gerekli olması,
● Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının
korunması için gerekli olması.
14
9.4İlgili Kişinin KVKK Uyarınca Hakları
Şirketimiz Kanun’un 10. maddesi uyarınca kişisel veri sahiplerine haklarını bildirmekte, söz konusu hakların nasıl
kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri
gerçekleştirmektedir. Kişisel verileri işlenen kişilerin Kanun’un 11. maddesi uyarınca sahip oldukları haklar aşağıda
sayılmaktadır:
● Kişisel verilerinin işlenip işlenmediğini öğrenme,
● Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
● Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
● Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
● Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
● Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini
isteme,
● Kanun’un 11. maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin (düzeltme ve imha), kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
● İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme,
● Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini
talep etme.
Söz konusu yasal haklar uyarınca talepler Kişisel Veri Sahibi(İlgili Kişi) Başvuru Formu doldurularak veya ayrıca bir
dilekçe ile yukarıda belirtilen adresimize bizzat elden, noter kanalıyla veya kimlik teyidi yapılması halinde iadeli taahhütlü
posta ile ulaştırabilecektir. Bunun yanında elektronik ortamda; ………. kayıtlı elektronik posta (KEP) adresimize kayıtlı
elektronik posta(KEP) adresi ile; ……... e-posta adresimize şirketimize daha önce bildirilen, sistemimizde kayıtlı bulunan
e-posta adresi ile veya güvenli elektronik imzalı ya da mobil imzalı surette diğer elektronik posta adresleri ile
iletebilecektir. Başvuruda ad, soyad ve başvuru yazılı ise imza; Türkiye Cumhuriyeti vatandaşları için T.C. kimlik
numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası; tebligata esas yerleşim yeri veya iş yeri
adresi; varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ile talep konusu bulunması zorunludur.
Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
Kişisel veri sahipleri olarak, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkına Tebliğ” hükümleri uyarınca sayılan
haklara ilişkin taleplerin belirtilen yöntemlerle şirketimize iletilmesi durumunda şirketimiz, talebin niteliğine göre talebi
en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde anılan
tebliğin 7. maddesinde belirtilen ücret alınacaktır.
Şirketimiz kendisine iletilen talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir ve yanıtını Çalışanına
yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirketimiz gereğini en
kısa sürede yerine getirir ve Çalışanını bilgilendirir. Başvurunun Şirketimizin hatasından kaynaklanması hâlinde alınan
ücret ilgili kişiye iade edilir. Başvurunun reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde başvuruya yanıt
verilmemesi hâllerinde; ilgili kişi, yanıtı öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış
gün içinde Kurula şikâyette bulunma hakkına sahiptir.
15
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
(Müşteri, Potansiyel Müşteri ve Ziyaretçiler İçin)
1. GIRIŞ
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi(“DAF Teknoloji” veya “Şirket”) kişisel
verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel
hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem
atfetmektedir. Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya
“KVKK”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine özen
göstermekte, tüm planlama ve faaliyetlerinde bu anlayışla hareket etmektedir.
Şirketimiz, özel hayatın gizliliğinin temeli olan kişisel verilerin korunması ve işlenmesini
sadece mevzuata uyum sağlama kapsamında değerlendirmemekte, yaklaşımının temeline
insana verdiği değeri koymaktadır. Bu bilinçle hareket eden Şirketimiz kişisel verilerin
hukuka uygun olarak korunması ve işlenmesi için gerekli her türlü idari ve teknik önlemi
almaktadır.
2. POLITIKA’NIN AMACI
Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) amacı, Kanun’un
amacına uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın
gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini azami derecede korumak ve
şirketimizin yükümlülükleri ile Kanun uyarınca uyacağı usul ve esaslar hakkında kişisel veri
sahiplerini (ilgili kişi) bilgilendirmektir. Politika’nın amacı doğrultusunda, Şirketimiz
tarafından gerçekleştirilen kişisel verilerin korunması ve işlenmesi faaliyetlerinde mevzuata
tam uyumun sağlanması ve kişisel veri sahiplerinin özel hayatın gizliliği ve veri güvenliği
hakkının korunması hedeflenmektedir.
3. POLITIKA’NIN KAPSAMI
Bu politika, DAF Teknoloji aracılığıyla ulaşılan hizmetlerin kullanımı dolayısıyla
oluşturulmuştur. Bu kapsamda internet sitemizi, diğer sosyal medya hesaplarımızı veya fiziki
işyerimizi ziyaret eden; posta, e-posta, telefon veya internet sitemizdeki formlar aracılığıyla
bizimle iletişim kuran veya herhangi bir yolla ulaşan ziyaretçilerimiz, müşterilerimiz/
potansiyel müşterilerimiz ile onların çalışan ve yetkilileri ile varsa veli, vasi, vekil ve
temsilcileri için hazırlanmış olup belirtilen kişiler kapsamında uygulanacaktır. Şirket, bu
Politika’yı internet sitesinde yayımlamak suretiyle bu kişisel veri sahiplerini Kanun hakkında
bilgilendirmektedir. Hangi sıfatla olursa olsun tüzel kişilere bu Politika uygulanmayacaktır.
Bu Politika, yukarıda belirtilen ilgili kişiler için, kişisel verilerinin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla Şirketimiz tarafından işlenmesi halinde uygulanacaktır. Verinin aşağıda
belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya şirketimiz tarafından
gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde
bu Politika uygulanmayacaktır.
4. KIŞISEL VERILERIN TOPLANMASI
Ziyaret nedeniyle: İşyerimizi ziyaret ettiğinizde, işyerimizde bulunan ve size veya herhangi
bir kişiye münhasır olmamak üzere işyerinin genelini güvenlik amaçlı görüntüleyen güvenlik
kamerası ile; internet sitemizi (www……….….) bu adresler üzerinden kullanıcı çerez…. ile
verileriniz toplanmaktadır. İnternet sitesi ve sosyal medya hesaplarımızı ziyaret ettiğinizde
toplanan veriler hakkında www……….….‘de yer alan Çerez Politikası ve Ziyaretçi Aydınlatma
Metni’ni inceleyebilirsiniz.
İletişim nedeniyle: Kurumsal veya şirkete iletilmek üzere çalışan/yetkililere ait; e-posta ve
Kayıtılı Elektronik Posta(KEP) adreslerine, telefon hatlarına, formlar aracılığıyla internet
sitesine, sosyal medya hesaplarına iletmiş olduğunuz; e-posta-KEP adresi, telefon numarası,
kullanıcı adı bilgisi ile kimlik bilgisi başta olmak üzere belirttiğiniz diğer bilgiler
toplanmaktadır
Alışveriş nedeniyle: Şirketimizden herhangi bir şekilde ürün ve/veya hizmet satın
aldığınızda; ad soyad, e-posta ve cep telefonu bilgileri, TC kimlik numarası, yoksa TC uyruklu
olmadığı bilgisi, veya vergi kimlik numarası; siparişinizi verdiğiniz ürünler ve adet/ağırlık
bilgileri, satın alım seçeneğinize göre alınan IBAN, hesap numarası gibi finansal bilgiler; adres
bilgisi(teslim adresi, fatura gönderim adresi), kargo işlemleri için gerekli takip kodu ve takip
bilgileri toplanmaktadır.
Satın aldığınız mal veya hizmetin iadesi halinde; iade formu ile veya haricen istenen; iade
edilen ürün ve adet/ağırlık bilgileri; iade sağlanacak hesap sahibine ait ad soyad, IBAN; iade
eden ad soyad, telefon, adres ve imza bilgileri, iade nedeni bilgileri; değişim halinde ise iade
ve satın almadaki bilgilere ek olarak iade edilen ürünün yerine talep edilen yeni ürün ve
adet/ağırlık bilgileri toplanmaktadır.
Kişisel verileriniz yukarıda belirtilen bilgiler doğrultusunda; şirket internet sitesi, kayıtlı
elektronik posta(KEP) hesabı; kurumsal veya şirket yetkili ve çalışanlarının (şirkete
ulaştırılmak üzere iletilenlerle sınırlı olmak kaydıyla) şahsi e-posta, telefon ve diğer iletişim
hesapları; işyeri güvenlik kamerası, şirket bilişim sistemleri, sözlü veya yazılı beyanlar, resmi
yazılar, diğer yazılı bildirimler ve dilekçeler ile sözlü ve yazılı olarak; elektronik ve fiziki
ortamda; otomatik, kısmen otomatik veya otomatik olmayan yöntemlerle elde edilmektedir.
5. KİŞİSEL VERİLERİN TOPLANMASININ HUKUKİ SEBEBİ
Şirketimiz kişisel verileri ilgili kişinin açık rızası ile işler, fakat aşağıdaki şartlardan birinin
varlığı hâlinde ilgili kişinin açık rızası aranmaksızın işlenebilir:
▪ Kanunlarda açıkça öngörülmesi;
▪ Kişisel verinin kişisel ilgili kişinin kendisi tarafından alenileştirilmiş olması,
▪ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
▪ Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması,
▪ İlgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimiz
tarafından meşru menfaatleri için veri işlenmesinin zorunlu olması.
6. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Yukarıda yer alan kişisel verileriniz ilgili mevzuata ve dürüstlük kuralının gereklerine uygun,
doğru ve güncel olmasına azami özen göstermektedir. Şirketimiz veri işleme amacını açık ve
kesin olarak belirler ve bu amacın meşru olmasını sağlar. Şirketimiz belirttiği bu amaçlar
dışında başka amaçlarla veri işleme yapmaz. Bu itibarla, kişisel veri işleme amaçlarının
açıklandığı hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine uyumda hassasiyet gösterir.
Şirketimiz işlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli
olmasına dikkat eder ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan
verilerin işlenmesinden kaçınır. Şirketimiz mevcutta olmayan ve sonradan gerçekleşmesi
düşünülen amaçlarla kişisel veri toplamaz veya işlemez. Sonradan ortaya çıkması muhtemel
ihtiyaçların karşılanmasına yönelik olarak veri işlemek için işlemeye ilk kez başlıyor gibi
Kanun’da düzenlenmiş olan işleme şartlarını gerçekleştirir. Ayrıca işlenen veriyi sadece
amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Ölçülülük ilkesi kapsamında, veri
işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurar.
Şirketimiz ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde
bu sürelere uyum gösterir; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli
olan süre kadar muhafaza eder. Şirketimiz tarafından bir kişisel verinin daha fazla saklanması
için geçerli bir sebep olmaması durumunda söz konusu veri silinir, yok edilir veya anonim hale
getirilir.
Bu çerçevede yukarıda açıklanan kişisel verileriniz;
● Mal/hizmet satış süreçlerinin yürütülmesi,
● Mal/hizmet satış sonrası destek hizmetlerinin yürütülmesi,
● Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
● Müşteri memnuniyetine ilişkin aktivitelerin yürütülmesi,
● Mal/hizmet/üretim ve operasyon süreçlerinin yürütülmesi,
● Sözleşme süreçlerinin yürütülmesi
● İş faaliyetlerinin yürütülmesi/denetimi,
● İletişim faaliyetlerinin yürütülmesi
● Lojistik faaliyetlerinin yürütülmesi,
● Finans ve muhasebe işlerinin yürütülmesi,
● Faaliyetlerin mevzuata uygun yürütülmesi
● Pazarlama analiz çalışmalarının yürütülmesi,
● Reklam/kampanya/promosyon süreçlerinin yürütülmesi,
● Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
● Ürün/ hizmet pazarlama süreçlerinin yürütülmesi
● Talep/şikayetlerin takibi,
● Denetim/etik faaliyetlerinin yürütülmesi,
● Yetkili kişi/kurum ve kuruluşlara bilgi verilmesi,
● Fiziksel mekan güvenliğinin temini,
● Saklama ve arşiv faaliyetlerinin yürütülmesi,
amaçları kapsamında işlenmekte ve saklanmaktadır.
7. KİŞİSEL VERİLERİN AKTARILMA AMAÇLARI VE AKTARILDIĞI KİŞİLER/KURUMLAR
Şirketimiz, kişisel verileri Kanun’un 8. ve 9. maddelerinde belirtilen şartlar çerçevesinde
aşağıdaki amaçlarla sınırlı olarak aktarmaktadır:
▪ Faaliyetlerin Mevzuata Uygun Yürütülmesi
▪ Finans ve Muhasebe İşlerinin Yürütülmesi
▪ İletişim faaliyetlerinin yürütülmesi
▪ Mal/hizmet satış süreçlerinin yürütülmesi,
▪ Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
▪ Müşteri memnuniyetine ilişkin aktivitelerin yürütülmesi,
▪ Mal/hizmet/üretim ve operasyon süreçlerinin yürütülmesi,
▪ Hukuk İşlerinin Takibi ve Yürütülmesi
▪ Mal/Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
▪ Pazarlama analiz çalışmalarının yürütülmesi,
▪ Reklam/kampanya/promosyon süreçlerinin yürütülmesi,
▪ Ürün/ hizmet pazarlama süreçlerinin yürütülmesi
▪ Sözleşme Süreçlerinin Yürütülmesi
▪ Talep ve Şikayetlerin Takibi
▪ Yetkili Kişi/Kurum ve Kuruluşlara Bilgi Verilmesi
▪ Yönetim Faaliyetlerinin Yürütülmesi
▪ Lojistik faaliyetlerinin yürütülmesi,
▪ Denetim/etik faaliyetlerinin yürütülmesi,
▪ Saklama ve arşiv faaliyetlerinin yürütülmesi
Şirketimiz, kişisel verileri aktarılma amacının gerektirdiği veri konusu kişi grupları ve
verilerle sınırlı olarak aşağıda belirtilen kişi ve kuruluşlara aktarabilmektedir:
▪ Hissedarlar,
▪ İş Ortakları,
▪ Yetkili kamu kurum ve kuruluşları,
▪ Yasal veya hukuki bir yükümlülük dahilinde gerçek kişiler veya özel hukuk tüzel
kişileri (İşbirliği yapılan kişi ve kuruluşlar: Kargo şirketleri, Bağımsız denetim
firmaları, sigorta şirketleri, hukuk bürosu ve bankalar vb.)
8. KİŞİSEL VERİLERİN İMHASI VE SAKLANMA SÜRELERİ
8.1. KİŞİSEL VERİLERİN İMHASI
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir.Verilerin yok edilmesi; kişisel
verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz
hale getirilmesi işlemini ifade etmektedir. Verilerin anonim hale getirilmesi, kişisel verilerin
maskeleme, değişken çıkartma, genelleştirme vb. tekniklerle başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesi işlemini ifade etmektedir.
Şirketimiz, bu Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olduğu kişisel
verileri, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya ilgili kişinin
talebi üzerine siler, yok eder veya anonim hale getirir.
8.2. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca
saklamaktadır. Kanunlarda ve sair mevzuatta öngörülen bir saklama süresi bulunmuyorsa,
kişisel veriler işleme amacının gerçekleşmesi için gereken süre kadar saklanmakta, daha
sonra periyodik imha süreleri çerçevesinde silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
9. İLGİLİ KİŞİNİN AYDINLATILMASI VE HAKLARI
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda, varsa Şirket temsilcisinin kimliği, kişisel
verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel ilgili kişinin sahip
olduğu hakları açıklığa kavuşturmaktadır.
9.1. POLİTİKA VE KANUN’UN UYGULANMAYACAĞI İSTİSNAİ HALLER
Bu Politika ve atıfta bulunduğu kanunun ilgili hükümleri, kanunun 28. maddesinde yer
alan ve aşağıda da belirtilen istisnai hâllerde uygulanmayacaktır:
▪ Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin
yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya
aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
▪ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi,
▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal
etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu
düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki
verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve
istihbari faaliyetler kapsamında işlenmesi,
▪ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine
ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Ayrıca bu Politika ve Kanun’un amacına ve temel ilkelerine uygun ve orantılı olmak
kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10’uncu, zararın
giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11’inci ve Veri
Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16’ncı maddeleri de KVKK m.28/2
hükmü gereği aşağıdaki hâllerde uygulanmayacaktır:
▪ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için
gerekli olması,
▪ İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
▪ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili
kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması,
▪ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin
ekonomik ve mali çıkarlarının korunması için gerekli olması.
9.2. İLGİLİ KİŞİNİN KVKK UYARINCA HAKLARI
Şirketimiz Kanun’un 10. maddesi uyarınca ilgili kişilere haklarını bildirmekte, söz konusu
hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari
ve teknik düzenlemeleri gerçekleştirmektedir. Kişisel verileri işlenen kişilerin Kanun’un 11.
maddesi uyarınca sahip oldukları haklar aşağıda sayılmaktadır:
▪ Kişisel verilerinin işlenip işlenmediğini öğrenme,
▪ Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
▪ Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
▪ Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
▪ Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların
düzeltilmesini isteme,
▪ Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin
silinmesini veya yok edilmesini isteme,
▪ Kanun’un 11. maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin
(düzeltme ve imha), kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
▪ İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
▪ Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
halinde zararın giderilmesini talep etme.
olarak belirtilen yasal haklar uyarınca ilgili kişi talepleri Kişisel Veri Sahibi(İlgili Kişi)
Başvuru Formu doldurularak veya ayrıca bir dilekçe ile yukarıda belirtilen adresimize bizzat
elden, noter kanalıyla veya kimlik teyidi yapılması halinde iadeli taahhütlü posta ile
ulaştırabilecektir. Bunun yanında elektronik ortamda; ………. kayıtlı elektronik posta (KEP)
adresimize kayıtlı elektronik posta(KEP) adresinden; …..@....... e-posta adresimize
şirketimize daha önce bildirilmiş, sistemimizde kayıtlı bulunan e-posta adresinden veya
güvenli elektronik imzalı ya da mobil imzalı surette diğer elektronik posta adreslerinden
iletebilecektir. Başvuruda ad, soyad ve başvuru yazılı ise imza; Türkiye Cumhuriyeti
vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa
kimlik numarası; tebligata esas yerleşim yeri veya iş yeri adresi; varsa bildirime esas
elektronik posta adresi, telefon ve faks numarası ile talep konusu bulunması zorunludur.
Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
Kişisel veri sahipleri, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”
hükümleri uyarınca haklarına ilişkin taleplerini belirtilen yöntemlerle şirketimize iletmeleri
durumunda şirketimiz, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak
sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde anılan tebliğin 7.
maddesinde belirtilen ücret alınacaktır.
Şirketimiz kendisine iletilen talebi kabul edebileceği gibi gerekçesini açıklayarak
reddedebilir ve yanıtını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda
yer alan talebin kabul edilmesi hâlinde Şirketimiz gereğini en kısa sürede yerine getirir ve
ilgili kişiyi bilgilendirir. Başvurunun Şirketimizin hatasından kaynaklanması hâlinde alınan
ücret ilgili kişiye iade edilir. Başvurunun reddedilmesi, verilen yanıtın yetersiz bulunması veya
süresinde başvuruya yanıt verilmemesi hâllerinde; ilgili kişi, yanıtı öğrendiği tarihten itibaren
otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunma
hakkına sahiptir.
DAF TEKNOLOJİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
DAF TEKNOLOJİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
Muhatap:
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi tarafından kişisel verileri işlenen tüm
gerçek kişiler
Hazırlayan:
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi
Onaylayan:
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi Müdürü/Müdürler Kurulu tarafından
onaylanmıştır.
Yürürlük Tarihi: …/…/2021
2
İÇİNDEKİLER
1. GİRİŞ 5
1.1 Giriş 5
1.2 Politikanın Amacı 5
1.3 Politikanın Kapsamı 5
1.4 Tanımlar 5
1.5 Veri Konusu Kişi Gruplarına İlişkin Tanımlar 7
1.6 Politikanın Yürürlüğü 9
2. SORUMLULUK VE GÖREV DAĞILIMI 9
3. KAYIT ORTAMLARI 10
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 10
4.1 Kişisel Verileri Saklama Süreleri ve İmha Süreci 10
4.2 Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler 11
4.3 Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları 11
4.4 Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler 12
5. İDARİ VE TEKNİK TEDBİRLER 12
5.1 İdari Tedbirler 13
5.1.1 Kişisel Verilerin Korunması Hususunda Kurumsal Yönetişimin Sağlanması 13
5.1.2 Departman Özelinde Kişisel Veri İşleme Faaliyetleri ile Risk ve Tehditlerin
Belirlenmesi 14
5.1.3 Kişisel Veri İşleme Envanteri Oluşturulması 13
5.1.4 Eğitim ve Farkındalık Çalışmalarının Yürütülmesi 13
5.1.5 Gizlilik 14
5.1.6 Kişisel Veri Güvenliği Politikaları ve Prosedürlerinin Belirlenmesi 14
5.1.7 Kişisel Verilerin Mümkün Olduğunca Azaltılması 14
5.1.8 Erişim ve Yetkilendirme Süreçlerinin Belirlenmesi 14
5.1.9 Kişisel Verilerin Yetkisiz İfşası Durumunda Bilgilendirme 14
5.1.10 Denetim 14
5.2 Teknik Tedbirler 14
5.2.1 Elektronik Ortamların Güvenliğinin Sağlanması 15
5.2.2 Fiziksel Ortamların Güvenliğinin Sağlanması 15
5.2.3 Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı 15
5.2.4 Kişisel Veri Güvenliğinin Takibi 15
5.2.5 Kişisel Verilerin Yedeklenmesi 15
5.2.6 Bilişim Sistemlerine Erişimin Sınırlandırılması ve Kullanıcıların
Yetkilendirmesi 16
5.2.7 Özel Nitelikli Kişisel Verilerin Güvenliği İçin İlave Önlemlerin Alınması 16
6. Kişisel Verileri İmha Yöntemleri 16
6.1 Kişisel Verilerin Silinmesi 16
3
6.2 Kişisel Verilerin Yok Edilmesi 17
6.3 Kişisel Verilerin Anonim Hale Getirilmesi 17
7. Saklama ve İmha Süreleri 18
7.1 Saklama ve İmha Süreleri Tablosu 18
7.2 İlgili Kişinin Talep Etmesi Halinde İmha 20
8. Periyodik İmha Süresi 20
9. Politikanın Güncellenme Periyodu 20
Kişisel veri saklama ve imha politikasının kapsamı
MADDE 6 – (1) Kişisel veri saklama ve imha politikası asgari olarak;
a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi
için alınmış
teknik ve idari tedbirlere,
e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
g) Saklama ve imha sürelerini gösteren tabloya,
ğ) Periyodik imha sürelerine,
h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
1. GİRİŞ
4
1.1 Giriş
Daf Teknoloji Sanayi ve Ticaret Limited Şirketi (“Şirket” veya “DAF Teknoloji”) Kişisel
Verilerin korunması ve işlenmesinde başta Anayasa’nın 20. Maddesinde düzenlenen özel
hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem
atfeder. Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya
“KVKK”)) ile 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe
giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmelik (“Yönetmelik”) uyarınca Kişisel Verilerin hukuka uygun olarak saklanması ve
imha edilmesine özen gösterir ve bu konuda gerekli her türlü idari ve teknik önlemi alır.
1.2 Politikanın Amacı
Kişisel Veri Saklama ve İmha Politikasının (“Politika”) amacı, Kanun’un ve Yönetmelik’in
amacına uygun olarak kişisel verileri saklama ve imha faaliyetlerine ilişkin iş ve işlemler
konusunda Şirketimizin uyacağı usul ve esasları belirlemektir. Politikanın amacı
doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin saklanması ve imhası
faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin özel hayatın
gizliliği ve veri güvenliği hakkının etkin bir şekilde korunması hedeflenmektedir. Kişisel
verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirketimiz tarafından bu doğrultuda
hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.3 Politikanın Kapsamı
Bu Politika kişisel verileri işlenen tüm gerçek kişileri; çalışanları, çalışan adaylarını,
hissedar/ortaklarını, potansiyel ürün veya hizmet alıcılarını, stajyerlerini, tedarikçi çalışan
ve yetkililerini, ürün veya hizmet alan kişileri, müşteri ve potansiyel müşteriler ile bunların
çalışan ve yetkililerini, ziyaretçileri, hizmet sağlayıcı çalışan ve yetkililerini, referans
kişilerini, iş ortağı çalışan ve yetkilileri, çalışan/yetkili/hissedar/stajyerin aile bireyleri ile
kişisel verileri işlenen diğer üçüncü kişileri ve bu kişilerin işlenen kişisel verilerini
kapsamaktadır.
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlendiği Şirketimize ait olan ya
da Şirketimiz tarafından yönetilen tüm kayıt ortamları ve kişisel veri işlenmesine yönelik
faaliyetlerde bu Politika uygulanır. Verinin aşağıda belirtilen kapsamda “Kişisel Veri”
kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen kişisel veri işleme
faaliyetinin yukarıda belirtilen yollarla olmaması halinde bu Politika uygulanmaz.
1.4 Tanımlar
Bu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade
eder:
Alıcı Grubu
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel
kişi kategorisidir.
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rızadır.
5
Anonim Hale Getirme
Kişisel Verinin, Kişisel Veri niteliğini kaybedecek ve bu durumun geri
alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma,
veri bozma vb. tekniklerle Kişisel Verinin bir gerçek kişi ile
ilişkilendirilemeyecek hale getirilmesidir.
Elektronik Ortam
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,
değiştirilebildiği ve yazılabildiği ortamlardır.
Elektronik Olmayan
Ortam
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer
ortamlardır.
İlgili Kişi / Kişisel Veri
Sahibi
Kişisel verisi işlenen gerçek kişiyi ifade eder.
İlgili Kullanıcı
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu
organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini
ifade eder.
Kayıt Ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin bulunduğu her türlü ortamı ifade eder.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Verilerin
İşlenmesi
Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her
türlü işlemdir.
Kişisel Veri İşleme
Envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları,
veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar
için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen
kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdıkları envanterdir.
KVK Kurulu Kişisel Verilerin Korunması Kurulu’dur.
6
Özel Nitelikli Kişisel
Veri
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel
hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik veriler özel nitelikli verilerdir.
Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması durumunda bu politikada belirtilen ve tekrar eden
aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemidir.
Veri İhlali Müdahale
Planı
Şirket tarafından işlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi hâlinde (veri ihlali) Şirket nezdinde
raporlama yapılacak kişi ve organlar ile Kanun kapsamında gerekli
bildirimlerin yapılması ve veri ihlalinin olası sonuçlarının
değerlendirilmesi hususundaki sorumluların belirlendiği plandır.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri
işleyen gerçek ve tüzel kişidir.
Veri Kayıt Sistemi
Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt
sistemini ifade eder.
Veri Sorumlusu
Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek
veya tüzel kişidir.
Şirket/Şirketimiz Daf Teknoloji Sanayi ve Ticaret Limited Şirketi’dir.
1.5 Veri Konusu Kişi Gruplarına İlişkin Tanımlar
Bu Politika’da yer alan veri konusu kişi grupları aşağıda verilen anlamları ifade
eder:
Çalışan Şirketimizde iş akdiyle çalışan tüm gerçek kişilerdir.
Çalışan Adayı
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da
özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek
kişilerdir.
Hizmet Sağlayıcı
Yetkilisi
Daf Teknoloji Sanayi ve Ticaret Limited Şirketi’ne herhangi bir
şekilde hizmet sağlayan yetkilisidir.
7
Hizmet Sağlayıcı
Çalışanı
Daf Teknoloji Sanayi ve Ticaret Limited Şirketi’ne herhangi bir şekilde
hizmet sağlayan çalışanıdır.
İş Ortağı Yetkilisi
Müşteri, Taşeron ve Tedarikçi gruplarına dahil olmayan ancak
Şirketimizin iş ilişkisi içerisinde bulunduğu Şirketimizden bağımsız
olan gerçek kişiler veya tüzel kişilerin gerçek kişi yetkilileridir.
İş Ortağı Çalışanı
Müşteri, Taşeron ve Tedarikçi gruplarına dahil olmayan ancak
Şirketimizin iş ilişkisi içerisinde bulunduğu Şirketimizden bağımsız
olan gerçek veya tüzel kişilerin kimliği belirli/belirlenebilir
çalışanlarıdır.
Potansiyel Ürün/
Hizmet Alıcısı
Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş
veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına
uygun olarak değerlendirilmiş gerçek kişilerdir.
Referans Kişisi
Çalışan Adayı/Çalışan veya diğer konularda kendisinden bilgi almak
için iletişime geçilen kişilerdir.
Stajyer
Mesleki bilgisini geliştirmek ve deneyim kazanmak amacıyla
Şirketimizde uygulamalı öğrenme dönemi geçiren gerçek kişilerdir.
Ürün veya Hizmet
Alan Kişi
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına
bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan
veya kullanmış olan gerçek kişilerdir.
Şirket
Hissedarı/Ortağı
Daf Teknoloji Sanayi ve Ticaret Limited Şirketi hissedarı/ortağı
olan kişilerdir.
Tedarikçi Yetkilisi
Bir ürün ya da hizmet sunmak amacıyla Şirketimize girdi, ham madde
veya ürün sağlayan gerçek kişiler veya tüzel kişilerin yetkilileridir.
Tedarikçi Çalışanı
Bir ürün ya da hizmet sunmak amacıyla Şirketimize girdi, ham madde
veya ürün sağlayan gerçek veya tüzel kişilerin kimliği
belirli/belirlenebilir çalışanlarıdır.
Çalışan/Yetkili/
Hissedar/Stajyerin
Aile Bireyleri
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi Çalışan, Yetkili,
Hissedar ve Stajyerlerinin aile bireyleridir.
1.6 Politikanın Yürürlüğü
8
DAF Teknoloji tarafından düzenlenerek xx.xx.2021 tarihinde yürürlüğe giren Politika,
Şirket’in Muhasebe Birimi’nde saklanır ve talebi üzerine ilgili kişilerin erişimine sunulur.
2. SORUMLULUK VE GÖREV DAĞILIMI
Şirketimizin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta
olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve
farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı
olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi
ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen
tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması
konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklanma ve imha süreçlerinde görev alanların unvanları, birimleri ve
görev tanımlarına ait dağılım aşağıdaki tabloda sunulmuştur:
Unvan Birim Görev
Müdür/Müdürle
r
Kurulu Başkanı
Daf Teknoloji
Sanayi ve Ticaret
Limited Şirketi
Çalışanların politikaya uygun hareket etmesinin
sağlanması için gerekli çalışmaların
yürütülmesinden sorumludur
Outsource Hukuk
Politika’nın hazırlanması, geliştirilmesi,
yürütülmesi ve güncellenmesinden sorumludur.
Müdür İnsan Kaynakları
Politika’nın İK çalışmaları bakımından
yürütülmesinden sorumludur.
Outsource Bilgi Teknolojileri
Politika’nın uygulanmasında ihtiyaç duyulan
teknik çözümlerin sunulmasından ve ilgili
ortamlarda yayınlanmasından sorumludur
Müdür Muhasebe
Politika’nın uygulanmasının denetlenmesinden
sorumludur
Yönetici/Müdür
Diğer birimler
(Mali İşler, Muhasebe,
Pazarlama, Satış, Satın
Alma, Kalite Güvence
vs.)
Görevlerine uygun olarak Politikanın
yürütülmesinden sorumludur
9
3. KAYIT ORTAMLARI
Şirketimiz kişisel verileri aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir
şekilde saklar:
Elektronik Ortamlar Elektronik Olmayan Ortamlar
Sunucular (Yedekleme, e-posta,
veritabanı, intranet, dosya paylaşım vb.)
Yazılımlar (ofis yazılımları, İK
Yazılım, Bordro Yazılım, SAP,
Muhasebe Sistemi, vb.)
Bilgi güvenliği cihazları (güvenlik
duvarı, saldırı tespit ve engelleme,
günlük kayıt dosyası, antivirüs vb. )
Bilgisayarlar
Optik diskler (CD, DVD vb.)
Çıkartılabilir bellekler (USB, hafıza
kartı vb.)
Mobil cihazlar (telefon, tablet vb.)
Yazıcı, tarayıcı, fotokopi makinası,
parmak izi okuyucu vb. çevre birimler
Kâğıt
Manuel veri kayıt sistemleri
(personel bilgi formları, iş başvuru
formları, anket formları, AGİ dosyaları,
avans talep formları vb.)
Yazılı, basılı, görsel ortamlar
4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
4.1 Kişisel Verileri Saklama Süreleri ve İmha Süreci
Şirketimiz kişisel verileri Kanun’un 4. maddesi uyarınca ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar saklar.
Şirketimiz Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin tamamının ortadan kalkması hâlinde, kişisel
verileri Kanunun 7. maddesi uyarınca resen veya ilgili kişinin talebi üzerine siler, yok eder
veya anonim hâle getirir.
4.2 Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler
Şirketimiz, faaliyetleri çerçevesinde işlediği kişisel verileri ilgili mevzuatta öngörülen bir
saklama süresi bulunuyorsa öngörülen bu süre kadar muhafaza eder. Bu kapsamda
Şirketimiz kişisel verileri aşağıdaki kanunlar ve bu kanunlar uyarınca yürürlükte olan diğer
ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklamaktadır:
▪ 6698 sayılı Kişisel Verilerin Korunması Kanunu,
▪ 213 sayılı Vergi Usul Kanunu,
▪ 6098 sayılı Türk Borçlar Kanunu,
▪ 6102 sayılı Türk Ticaret Kanunu,
▪ 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
▪ 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu
Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
▪ 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
▪ 4857 sayılı İş Kanunu
10
Şirketimiz tarafından işlenen kişisel veriler için mevzuatta öngörülen bir saklama süresi
bulunmuyorsa, bu durumda kişisel veriler işlendikleri amaç için gerekli süre kadar
saklanmaktadır.
4.3 Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları
Şirketimiz, faaliyetleri çerçevesinde işlediği kişisel verileri aşağıdaki amaçlar
doğrultusunda saklar:
▪ Acil Durum Yönetimi Süreçlerinin Yürütülmesi
▪ Bilgi Güvenliği Süreçlerinin Yürütülmesi
▪ Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
▪ Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
▪ Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
▪ Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
▪ Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
▪ Denetim / Etik Faaliyetlerinin Yürütülmesi
▪ Eğitim Faaliyetlerinin Yürütülmesi
▪ Erişim Yetkilerinin Yürütülmesi
▪ Faaliyetlerin Mevzuata Uygun Yürütülmesi
▪ Finans Ve Muhasebe İşlerinin Yürütülmesi
▪ Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
▪ Fiziksel Mekan Güvenliğinin Temini
▪ Görevlendirme Süreçlerinin Yürütülmesi
▪ Hukuk İşlerinin Takibi Ve Yürütülmesi
▪ İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
▪ İletişim Faaliyetlerinin Yürütülmesi
▪ İnsan Kaynakları Süreçlerinin Planlanması
▪ İş Faaliyetlerinin Yürütülmesi / Denetimi
▪ İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
▪ İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
▪ İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
▪ Lojistik Faaliyetlerinin Yürütülmesi
▪ Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
▪ Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
▪ Mal / Hizmet Satış Süreçlerinin Yürütülmesi
▪ Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
▪ Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
▪ Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
▪ Organizasyon Ve Etkinlik Yönetimi
▪ Pazarlama Analiz Çalışmalarının Yürütülmesi
▪ Performans Değerlendirme Süreçlerinin Yürütülmesi
▪ Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
▪ Risk Yönetimi Süreçlerinin Yürütülmesi
▪ Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
▪ Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
▪ Sözleşme Süreçlerinin Yürütülmesi
▪ Stratejik Planlama Faaliyetlerinin Yürütülmesi
▪ Talep / Şikayetlerin Takibi
▪ Taşınır Mal Ve Kaynakların Güvenliğinin Temini
▪ Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
▪ Ücret Politikasının Yürütülmesi
▪ Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
▪ Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
11
▪ Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
▪ Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
▪ Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
▪ Yönetim Faaliyetlerinin Yürütülmesi
▪ Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
4.4 Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler
Şirketimiz kişisel verileri aşağıdaki durumlarda ilgili kişinin talebi üzerine ya da re’sen
siler, yok eder veya anonim hale getirir:
▪ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
▪ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
▪ Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili
kişinin açık rızasını geri alması,
▪ Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin
silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul
edilmesi,
▪ Şirketimizin; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
talebi ile kendisine yapılan başvuruyu reddetmesi, başvuruya verdiği cevabın yetersiz
bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde ilgili kişi
tarafından Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
▪ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5. İDARİ VE TEKNİK TEDBİRLER
Kişisel verilerin; güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve
erişilmesinin önlenmesi ile hukuka uygun olarak imha edilmesinde Şirketimiz tarafından
teknik ve idari tedbirler alınmakta olup söz konusu idari ve teknik tedbirler aşağıda
açıklanmıştır:
5.1 İdari Tedbirler
5.1.1 Departman Özelinde Kişisel Veri İşleme Faaliyetleri ile Risk ve
Tehditlerin Belirlenmesi
Şirketimiz tarafından yürütülen tüm kişisel veri işleme faaliyetleri departmanlar
özelinde analiz edilir. Bu kapsamda öncelikle kişisel verilerin güvenliğine ilişkin ortaya
çıkabilecek risk ve tehditler belirlenir. Risk ve tehditler belirlenirken kişisel verilerin özel
nitelikli olup olmadığını, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiğini
ve güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ile
niceliğini dikkate alınır.
5.1.2Kişisel Veri İşleme Envanteri Oluşturulması
Şirketimizdeki iş süreçlerine bağlı olarak gerçekleştirilen kişisel veri işleme
faaliyetlerinin ayrıntılandırdığı bir kişisel veri işleme envanteri oluşturulmuştur. Kişisel
veri işleme faaliyetlerinin Kanuna uygun şekilde gerçekleştirilmesini teminen
aydınlatma yükümlülüğü başta olmak üzere gerekli yükümlülükler bu envanter esas
alınarak her departman ve yürütmüş olduğu faaliyet özelinde belirlenir ve yerine
getirilir.
5.1.3Eğitim ve Farkındalık Çalışmalarının Yürütülmesi
12
Şirketimiz bünyesinde çalışan herkesin kişisel veri güvenliğine ilişkin rol ve
sorumlulukları görev tanımlarında belirlenir ve bu konudaki rol ve sorumluluklarının
farkında olmaları sağlanır.
Çalışanlar kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak
işlenmesinin ve erişilmesinin önlenmesi konularında bilgilendirilir.
Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin
meydana gelmesi hâlinde; düzenlenen yeni eğitimlerle bu değişiklikler çalışanların
bilgisine sunulur ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerin güncel
tutulmasını sağlanır.
5.1.4Gizlilik
Çalışanların, işledikleri kişisel verileri hukuka aykırı olarak başkalarına açıklamamaları
ve işleme amacı dışında kullanmamaları için gerekli idari tedbirler alınır. Bu kapsamda,
çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik sözleşmeleri imzalatılır.
Çalışanlar tarafından imzalanan sözleşme ve belgelere; edindikleri kişisel verileri
Kanun hükümlerine aykırı olarak işlememe, ifşa etmeme ve kullanmama yükümlülüğü
getiren kayıtlar koyulur. Bu yükümlülerin görevden ayrılmalarından sonra da devam
edeceği konusunda çalışanlar bilgilendirilir ve bu doğrultuda gerekli taahhütler alınır.
Kişisel verilerin hukuka uygun olarak aktarıldığı gerçek ve tüzel kişiler ile akdedilen
sözleşmelere, kişisel verilerin korunması için gerekli güvenlik tedbirlerin alınmasına
ilişkin hükümler eklenir.
5.1.5Kişisel Veri Güvenliği Politikaları ve Prosedürlerinin Belirlenmesi
Kişisel veri güvenliğine ilişkin risklerin önceden belirlenmesini ve istikrarlı şekilde
önlem alınmasını teminen Kişisel Veri Güvenliği Politikaları ve Prosedürleri belirlenir.
Politika ve prosedürlerin yürürlüğünün sağlanmasından Kişisel Verileri Koruma
Komitesi sorumludur. Bu kapsamda Komite tarafından düzenli kontroller yapılır,
geliştirilmesi gereken hususlar belirlenerek güncellemeler gerçekleştirilir.
Kişisel veri güvenliğine ilişkin politika ve prosedürlere uymayan çalışanlara yönelik
uygulanacak disiplin süreci bulunmaktadır.
5.1.6Kişisel Verilerin Mümkün Olduğunca Azaltılması
Şirketimiz tarafından saklanan kişisel verilerin doğru ve güncel olmasına ve ilgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilmesine özen gösterilir. Bu kapsamda, kayıt ortamlarında tutulan kişisel verilerin
işleme amaçları bakımından saklanma durumu periyodik olarak değerlendirilir ve
saklanma süresi sona eren kişisel veriler Yönetmelik’e uygun şekilde imha edilir.
5.1.7Erişim ve Yetkilendirme Süreçlerinin Belirlenmesi
Kanuna uyumluluk amacına uygun olarak kişisel verilere erişim ve yetkilendirme
süreçleri departmanlar özelinde tasarlanır ve uygulanır.
5.1.8Kişisel Verilerin Yetkisiz İfşası Durumunda Bilgilendirme
13
Şirketimiz tarafından işlenen kişisel verilerin Kanuna uygun olmayan yollarla
başkaları tarafından elde edilmesi halinde, Veri İhlali Müdahale Planı çerçevesinde
gerekli önlemler alınır ve Komite aracılığıyla bu durum en geç 72 saat içinde KVK
Kuruluna bildirilir. İhlalden etkilenen İlgili Kişiler belirlenerek makul olan en kısa süre
içerisinde bu kişiler bilgilendirilir.
5.1.9Denetim
Kişisel verilerin güvenliğine ilişkin idari ve teknik tedbirlerin yeterliliğini ve
devamlılığını sağlamak amacıyla Kişisel Verileri Koruma Komitesi’nin gözetiminde
periyodik ve rastgele denetimler yapılır ve yaptırılır, gerektiğinde bu tedbirler
güncellenir.
5.2 Teknik Tedbirler
5.2.1Elektronik Ortamların Güvenliğinin Sağlanması
Kişisel verilerin güvenliğinin sağlanması teminen kişisel veri içeren bilişim
sistemlerinde erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemleri kullanılır.
Güçlü şifre ve parola kullanımı ile söz konusu şifre ve parolaların düzenli aralıklarla
değiştirilmesi temin edilir.
Yazılım ve donanımların düzgün şekilde çalışması ve güvenlik açıklarının kapatılması
için yama yönetimi ve yazılım güncellemeleri düzenli olarak gerçekleştirilir. Zararlı
yazılımları engelleyen sistemler kullanılır.
İnternet üzerinden gelen izinsiz erişim tehditlerine karşı güvenlik duvarı ve ağ geçidi
tedbirleri uygulanır. Farklı internet siteleri ve/veya mobil uygulama kanallarından
kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile
gerçekleştirilmesi temin edilir. Şirket internet sayfasın erişimde güvenli protokol
(HTTPS) kullanılır.
5.2.2Fiziksel Ortamların Güvenliğinin Sağlanması
Şirketimiz bina ve yerleşkelerinde bulunan cihazlarda ve kâğıt ortamında saklanan
kişisel verilerin gerek çalınma, kaybolma vb. risklere karşı gerek yangın, sel vb. çevresel
tehditlere karşı uygun yöntemlerle korunması için gerekli önlemler alınır.
Bu kapsamda kişisel verilerin saklandığı ortamlara giriş/çıkışlar kayıt altında tutulur
ve sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi
kullanılır. Ayrıca 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar
anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme
sistemi vb. diğer önlemler alınır.
5.2.3Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakımı
Kişisel verilerin güvenli ortamlarda saklanmasını teminen teknolojik gelişmelere
uygun sistemler kullanılır. Yeni sistemlerin tedariki, geliştirilmesi veya mevcut
sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri
dikkate alınır.
Cihazların bakım ve onarımı için üretici, satıcı, servis gibi üçüncü kurumlardan hizmet
alındığında bu cihazlarda bulunan kişisel verilerin korunması için gerekli önlemler
alınır. Kişisel veri içeren cihazların bakım ve onarım işlemi için Şirket dışına çıkarılması
gerekiyorsa cihazlardaki veri saklama ortamı sökülerek saklanır ve sadece arızalı
parçalar gönderilir. Bakım ve onarım gibi amaçlarla dışarıdan gelen personelin kişisel
14
verilere erişimini ve/veya verileri kopyalamasını engellemek için de gerekli önlemler
alınır.
5.2.4Kişisel Veri Güvenliğinin Takibi
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenir, sızma
veya prosedürlere aykırı bir hareket olup olmadığı takip edilir.
Tüm kullanıcıların işlem hareketlerinin kaydı (Log kayıtları, kapı giriş çıkış kayıtları
vb.) düzenli olarak tutulur. Sızma (Penetrasyon) testleriyle risk, tehdit, zaafiyet ve varsa
açıklıklar ortaya çıkarılarak gerekli önlemler alınır.
5.2.5Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, çalınması, kaybolması veya
erişilemez hale gelmesi gibi durumlara karşı veri güvenliğinin sağlanmasını teminen
veri yedekleme stratejileri geliştirilir.
Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılır. Yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişilir ve veri
seti yedekleri gerekli güvenlik önlemleri alınmak suretiyle ağ dışında tutulur.
5.2.6Bilişim Sistemlerine Erişimin Sınırlandırılması ve Kullanıcıların
Yetkilendirmesi
Kanuna uyumluluk amacına uygun olarak kişisel verilere erişim ve yetkilendirme
süreçlerinde departman özelinde donanımsal ve yazılımsal önlemler alınarak kişisel veri
içeren sistemlere erişim sınırlandırılır. Bu çerçevede, kişisel verilere erişim “erişim yetki
ve kontrol matrisi” oluşturularak çalışanların iş tanımları ile yetki ve sorumluluklarına
göre belirlenir. İlgili sistemlere kullanıcı adı ve şifre kullanılarak erişilmesini sağlanır ve
anahtar yönetimi prosedürleri uygulanır. İş akdi sona eren çalışanların verilere erişim
izni gecikmeksizin kaldırılır.
5.2.7Özel Nitelikli Kişisel Verilerin Güvenliği İçin İlave Önlemlerin Alınması
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika ve prosedür
hazırlanmıştır. Bu kapsamda özel nitelikli kişisel veri işleme süreçlerinde yer alan
çalışanlara yönelik eğitimler düzenlenir, gizlilik sözleşmeleri yapılır ve verilere erişim
yetkisine sahip kullanıcıların yetkileri tanımlanır. Özel nitelikli kişisel verilerin işlendiği,
muhafaza edildiği ve/veya erişildiği elektronik ve fiziksel ortamlarda yeterli güvenlik
önlemleri alınır ve verilerin aktarımında ilave tedbirler uygulanır. Tüm bu hususlar
“Özel Nitelikli Kişisel Verilerin Güvenliği Politikası” ve “Özel Nitelikli Kişisel Verilerin
Güvenliği Prosedürü”nde ayrıntılı şekilde düzenlenmektedir.
6. Kişisel Verileri İmha Yöntemleri
Şirketimiz ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama
süresinin sonunda kişisel verileri, resen veya ilgili kişinin başvurusu üzerine yine ilgili
mevzuat hükümlerine uygun olarak aşağıda belirtilen yöntemlerle imha eder. Şirketimiz
ilgili kişinin talebi halinde kişisel verilerin imhası için uygun yöntemi gerekçesini açıklayarak
seçer.
15
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıdaki tabloda sunulan yöntemlerle silinir:
Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Kişisel
Veriler
Sunucularda yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler için sistem yöneticisi tarafından
ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi
yapılır.
Elektronik Ortamda Yer Alan
Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer
çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan
Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını
gerektiren süre sona erenler çalışanlar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri
okunamayacak şekilde çizilerek/boyanarak/silinerek karartma
işlemi de uygulanır.
Taşınabilir Medyada Bulunan
Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler, sistem yöneticisi
tarafından şifrelenerek ve erişim yetkisi sadece sistem
yöneticisine verilerek şifreleme anahtarlarıyla güvenli
ortamlarda saklanır.
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler aşağıdaki tabloda sunulan yöntemlerle yok edilir:
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan
Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını
gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri
döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada
Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması
veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi
işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan
geçirilerek yüksek değerde manyetik alana maruz bırakılması
suretiyle veya üzerine yazma (optik medya üzerine en az yedi
kez 0 ve 1’lerden oluşan rastgele veriler yazılması) yöntemi
kullanılarak üzerindeki veriler okunamaz hale getirilir.
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
16
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya
üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi
gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirketimiz kişisel verileri anonim hale getirirken maskeleme, değişken çıkartma,
genelleştirme yöntemleri kullanır.
Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve
yıldızlanması gibi işlemlerdir.
Değişken çıkartma: Değişkenlerden birinin veya birkaçının tablodan bütünüyle
silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.
Genelleştirme: Kişisel veriyi özel bir değerden daha genel bir değere çevirerek ilgili
veriyi gerçek bir kişiye erişmeyi imkânsız hale getirecek şekilde bir gruba ait toplam
değerleri veya istatistikleri gösterir hale getirme işlemidir.
7. Saklama ve İmha Süreleri
Şirketimizin, faaliyetleri çerçevesinde işlediği kişisel verilerle ilgili olarak;
▪ Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel
verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
▪ Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
▪ Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında
yer almaktadır.
Şirketimiz kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk
periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir. Söz konusu
imha işlemi Komite tarafından görevlendirilen birimler tarafından yerine getirilir.
Kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemler Şirketimiz tarafından kayıt
altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl
süreyle saklanır.
7.1 Saklama ve İmha Süreleri Tablosu
İş Süreci Veri Kategorisi
İmha Süresi
17
Personel Temin
Süreçleri
Başvurunun alınmasını
takiben 1 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
İnsan Kaynakları
Süreçleri
İş ilişkisinin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Özel Sağlık Sigortası
Süreci
İş ilişkisinin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
İş Sağlığı ve Güvenliği
Süreçleri(sağlık belgeleri
dahil)
İş ilişkisinin sona ermesini
takiben 15 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Yönetim Süreçleri
İş ilişkisinin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Mali Süreçler
İş ilişkisinin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Araç Denetim Süreçleri Anlık Görüntülenme
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Sözleşme Süreçleri
Sözleşmenin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Mal/Hizmet Satış ve
Satın Alım Süreçleri
10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Donanım ve Yazılıma
Erişim Süreçleri
10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Log Kayıt Takip
Süreçleri
10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
İnternet Sitesi Kayıt
Takip Süreçleri
1 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
18
Adli Süreçler 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Kurumsal İletişim
Süreçleri
10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
Güvenlik Kamerası
Kaydı
14-30 gün
Saklama süresinin bitimini takip
eden ilk periyodik imha
işleminde
7.2 İlgili Kişinin Talep Etmesi Halinde İmha
Veri sahipleri Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep
edebilir. Bu durumda Şirketimiz başvuranın kişisel verilerine ilişkin işleme şartlarının
mevcut durumunu kontrol eder ve kişisel veri işleme şartlarının tamamı ortadan kalkmışsa
talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirketimiz bu işlemi en
geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler
üçüncü kişilere aktarılmışsa bu durumu üçüncü kişiye bildirir. Şirketimiz kişisel verileri
işleme şartlarının tamamı ortadan kalkmamışsa ilgili veri sahibinin talebini, gerekçesini
açıklayarak reddedebilir. Bu durumda ret cevabını ilgili kişiye en geç otuz gün içinde yazılı
olarak ya da elektronik ortamda bildirir. Şirketimize iletilen talebin ayrıca bir maliyeti
gerektirmesi hâlinde, ilgili kişiden Kurulca belirlenen tarifedeki ücret alınabilir. Başvuru
Şirketimizin hatasından kaynaklanmışsa alınan ücret ilgiliye iade edilir.
8. Periyodik İmha Süresi
Şirketimiz, Yönetmeliğin 11. maddesi gereğince periyodik imha süresini 6 ay olarak
belirlemiştir. Buna göre, Şirketimizde her yıl Haziran ve Aralık aylarında periyodik imha
işlemi gerçekleştirilir.
9. Politikanın Güncellenme Periyodu
Şirketimiz, Politika’yı ihtiyaç duyuldukça gözden geçirir ve gerekli olan bölümleri
günceller.
19
KİŞİSEL VERİ SAHİBİ(İLGİLİ KİŞİ) BAŞVURU FORMU
A) GENEL AÇIKLAMALAR
Veri sorumlusu DAF Teknoloji Sanayi ve Ticaret Limited Şirketi(“DAF Teknoloji” veya “Şirket”) olarak,
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) 11. maddesiyle kişisel veri
sahiplerine tanınmış olan haklarınızla ilgili taleplerinizi, Kanunun 13. maddesinin birinci fıkrası ile Veri
Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ(“Tebliğ”) hükümleri uyarınca ileteceğiniz
başvurularınızın süratle sonuçlandırılması adına işbu formu doldurarak veya ayrıca bir dilekçe ile(ad,
soyad ve başvuru yazılı ise imza; Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar
için uyruğu, pasaport numarası veya varsa kimlik numarası; tebligata esas yerleşim yeri veya iş yeri
adresi; talep konusu ve varsa bildirime esas elektronik posta adresi, telefon ve faks numarası bilgilerini
içermesi yasal zorunluluktur) aşağıdaki yöntemlerden biriyle tarafımıza iletebilirsiniz.
1) Yazılı Gönderim(elden, noter veya taahhütlü posta ile)
Başvurunuzu yazılı ve imzalı olarak şahsen elden, noter veya kimlik teyidinizin yapılabilmesi halinde
taahhütlü posta aracılığıyla, Adalet Mahallesi Manas Bulvarı Folkart Towers A Blok Kat:21 Daire:2101
Bayraklı/İzmir adresine, zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi”
olduğu belirtilmek suretiyle gönderebilirsiniz.
2) Kayıtlı Elektronik Posta (Kep) İle Gönderim
Başvurunuzu Kayıtlı elektronik posta (KEP) adresiniz üzerinden ...........@hs01.kep.tr e-posta
adresimize, konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” olduğu
belirtilmek suretiyle gönderebilirsiniz.
3) Sistemimizde Kayıtlı E-Posta Adresiniz İle Gönderim
Başvurunuzu sistemimizde kayıtlı e-posta adresiniz üzerinden …….@..... e-posta adresimize, konu
kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” olduğu belirtilmek suretiyle
gönderebilirsiniz.
4) Güvenli Elektronik İmza Veya Mobil İmzalı Olarak E-Posta İle Gönderim
Başvurunuzu; Kep adresiniz ile sistemimizde kayıtlı e-posta adresleriniz haricindeki bir e-posta
adresiniz üzerinden güvenli elektronik imza veya mobil imza bulunmak şartıyla ve konu kısmına “Kişisel
Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” olduğu belirtilmek suretiyle gönderebilirsiniz.
Talebinizin değerlendirilmesi kapsamında ek bilgiye ihtiyaç duyulması halinde sizinle iletişim
kurabilecektir. Başvurunuz ücretsiz olarak sonuçlandırılacak olup, ayrıca bir maliyet gerektirmesi
durumunda ilgili mevzuat kapsamında belirlenen tutarlarda ücret talep edilebilecektir. Tarafımıza
iletilmiş olan başvurularınız KVK Kanunu’nun 13’üncü maddesinin 2’inci fıkrası gereğince, talebin
niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren otuz gün içinde yanıtlandırılacaktır.
Yanıtlarımız ilgili Kanunun m.13 hükmü gereğince yazılı veya elektronik ortamdan tarafınıza
ulaştırılacaktır.
1
B) BAŞVURU SAHİBİ HAKKINDA BİLGİLER
Adı Soyadı
T.C. Kimlik Numarası:
Telefon Numarası:
E-posta:
(Belirtmeniz halinde size
daha hızlı yanıtverebileceğiz)
Adres:
Şirketimizle İlişkiniz: ☐ Çalışan
☐ Eski Çalışan
☐ Ziyaretçi
☐ Hizmet Sağlayıcı/Tedarikçi
☐ Diğer:
(iş ortağı, çalışan adayı, üçüncü taraf şirket çalışanı, hissedar vs)
…………………………………………………………………...
…………………………………………………………………...
☐ Eski Çalışanım
Çalıştığım Yıllar :
………………………………………….
☐ Diğer:
…………………………………………
…………………………………………
☐ İş Başvurusu / Özgeçmiş Paylaşımı Yaptım
Tarih :
………………………………………………………
☐ Üçüncü Kişi Firma Çalışanıyım
Lütfen çalıştığınız firma ve pozisyon bilgisini belirtiniz
…………………………………………………………
…………………………………………………..
C) TALEP İÇERİĞİ
Lütfen Kanun kapsamındaki talebinizi detaylı olarak belirtiniz:
2
…………………..…………….……………………………….……………………………….…………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
………………………………………………………………………………………………………………
……………………………………………………………………………………………………………......
........................................................................................................................................................................
........................................................................................................................................................................
...........................................................................................................
D. LÜTFEN BAŞVURUNUZA VERECEĞİMİZ YANITIN TARAFINIZA BİLDİRİLME YÖNTEMİNİ SEÇİNİZ:
• Posta ile adresime gönderilmesini istiyorum.
• Kayıtlı elektronik posta(KEP) adresime gönderilmesini istiyorum
(Başvurunun KEP adresinizden yapılmış olması halinde geçerlidir)
• E-posta adresime gönderilmesini istiyorum.
(E-posta yöntemini seçmeniz hâlinde size daha hızlı yanıt verebileceğiz.)
• Elden teslim almak istiyorum.
(Vekâleten teslim alınması durumunda noter tasdikli vekâletname veya yetki belgesi olması
gerekmektedir.)
İşbu başvuru formu, şirketimiz ile olan ilişkinizi ve varsa işlenen kişisel verilerinizi eksiksiz olarak
belirleyerek, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir.
Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf
edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için
şirket ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar.
Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da
yetkisiz bir başvuru yapılması halinde şirketimiz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı
taleplerden dolayı mesuliyet kabul etmemektedir.
Şirketimiz kendisine iletilen talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir ve
yanıtını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul
edilmesi hâlinde Şirketimiz gereğini en kısa sürede yerine getirir ve ilgili kişiyi bilgilendirir. Başvurunun
Şirketimizin hatasından kaynaklanması hâlinde alınan ücret ilgili kişiye iade edilir.Başvurunun
reddedilmesi, verilen yanıtın yetersiz bulunması veya süresinde başvuruya yanıt verilmemesi hâllerinde;
ilgili kişi, yanıtı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün
içinde Kurula şikâyette bulunma hakkına sahiptir.
Başvuru Sahibi (Kişisel Veri Sahibi)
Adı Soyadı : İmza :
3
Başvuru Tarihi : E-İmzalıdır ☐ Mobil İmzalıdır ☐
4
ÇEREZ POLİTİKASI VE AYDINLATMA METNİ
DAF Teknoloji Sanayi ve Ticaret Limited Şirketi(“DAF Teknoloji” veya “Şirket”)başta
Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak
ve özgürlüklerini korumaya azami önem atfetmekte, Kişisel Verilerin Korunması
Kanunu(“KVKK” veya “Kanun”) çerçevesinde kişisel verilerin hukuka uygun olarak
işlenmesine özen göstermekte, tüm planlama ve faaliyetlerinde bu anlayışla hareket
etmektedir.
Çerez Politikası ve Kişisel Verilerin Korunması Hakkında Aydınlatma Metni ile tarafınızı
çerezler, sitemizde ve sosyal medya hesaplarımızda toplanan diğer kişisel veriler hakkında
bilgilendirmeyi amaçlamaktayız. Bu metin web sitemizde kullanılan farklı çerez türlerini,
bunları nasıl kontrol edebileceğinize ilişkin açıklamaları, üyelik ve alışveriş esnasında
toplanan kişisel verilere ilişkin açıklamaları içermektedir.
Çerez küçük bir text dosyasıdır ve web sitemizin tarayıcınıza gönderebileceği belirli
miktarda veri tutmaktadır. Daha sonra bilgisayarınızın sabit diskinde saklanabilmekte ve web
sunucumuz tarafından erişilebilmektedir. Bu çerezler daha sonra tarafımızca alınabilmekte ve
çerezler vasıtasıyla web sayfalarımız ve hizmetlerimiz düzenlenebilmektedir. Çerez
Aydınlatma Metni’nde; çerezleri, pikselleri, web işaretlerini ve gifleri içeren tüm teknolojileri
çerezler olarak adlandırmaktayız.
Web sitemizi kullanarak, bu çerez politikamızda belirtilen çerezlerin ve diğer teknolojilerin
kullanımını kabul etmiş olursunuz. Çerez ayarlarına ilişkin değişiklikleri tarayıcı ayarlarınızdan
yapabilirsiniz. Çerezlerin kullanılmasını istemezseniz, ziyaret deneyiminizi daha verimli hale
getiren birçok özelliğe erişiminiz olmayacak ve bazı hizmetlerimiz düzgün çalışmayacaktır.
Çerezlerin kullanılmasının istenmemesine ilişkin ayrıntılı bilgiyi aşağıda bulabilirsiniz.
DAF Teknoloji olarak web sitemizde kullanılan çerezlere yeni çerezler ekleyebilir,
kullanmaktan vazgeçebilir veya değiştirebiliriz. Çerez Aydınlatma Metnini dilediğimiz zaman
tek taraflı değiştirebilme hakkımızın olduğunu belirtmek isteriz.
1. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel veriler tamamen otomatik (çerezler, sunucu günlük dosyaları ve piksel etiketleri
vb.) veya kısmen otomatik (muhtelif formların doldurulması vb.) yollarla işleme amacı için
gerekli olan süre kadar saklanmak üzere toplanır.
Kişisel veriler kimliği belirli ya da belirlenebilir gerçek kişiye ait bilgi olarak
tanımlanmaktadır. Sistemimizde kimliğinizin belirli veya kimliğinizin belirlenebilmesine
olanak sağlayan kişisel verileriniz web adresimiz kullanıldığında, sitemizde yer alan herhangi
bir form doldurulduğunda, müşteri hizmetleri yetkilileri ile yapılan işlemlerde ve
iletişimlerde, sosyal medya üzerinden yapılan iletişim ve alışverişlerde, kısmen veya
tamamen otomatik yollarla toplanabilmektedir.
Sitemizde zorunlu çerezlerle performans/analiz çerezleri kullanılmaktadır. Bu çerezler
KVKK 5/2-f maddesinde “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,
veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebi ve
bu hukuki sebebin bulunmaması halinde veri sahibinin açık rızası çerçevesinde işlenmektedir.
2. Kişisel Verilerin İşlenme Amaçları
Kişisel veriler kanunlarda açıkça öngörülmesi durumunda veya Kanun’un 5. maddesinin 2.
fıkrasında belirtilen diğer şartlar çerçevesinde Çevrimiçi Ziyaretçi, müşteri ve potansiyel
müşterinin İnternet Sitesi’nde veya sosyal medya hesapları üzerinde yaptığı işlemlere bağlı
olarak;
▪ İşlem güvenliği bilgileri, bilgi güvenliği süreçlerinin yürütülmesi, yetkili kişi ve
kuruluşlara bilgi verilmesi amacıyla, (Ayrıca 5651 Sayılı Kanun ve sair mevzuat
uyarınca Yer Sağlayıcı’nın site trafik bilgilerini kayıt ve saklama yükümlülüğü
bulunmaktadır.)
▪ Sosyal medya üzerinden elde edilen veriler ürün satış süreçlerinin ve satış
sonrası destek hizmetlerinin yürütülmesi, sözleşme süreçlerinin yönetilmesi, müşteri
ilişkileri yönetim süreçlerinin sağlanması ve bu kapsamda iletişim faaliyetlerinin
yürütülmesi, lojistik faaliyetlerinin yerine getirilmesi, pazarlama analiz çalışmalarının
yapılması, reklam/kampanya/promosyon süreçlerinin oluşturulması, talep ve
şikayetlerin değerlendirilmesi amacıyla
Işlenir.
Kişisel verilerin ticari elektronik ileti gönderilmesi amacıyla işlenmesi Çevrimiçi
Ziyaretçi’nin, müşteri ve potansiyel müşteri adayının açık rızasına tabidir.
3. Kullanılan çerezler ve kontrolü
www……... internet sitesinde kullanılan çerezler aşağıdaki yer almaktadır.
Zorunlu Çerezler
Sitenin doğru biçimde çalışması için zorunlu olan birtakım çerezlerdir. Güvenlik amacıyla
tutulan aktivasyon çerezleri ve kimlik doğrulama amacıyla tutulan oturum çerezleri bu
çerezlerdendir. Örneğin sayfalar arası geçiş yaptığınızda oturumunuzun açık olarak kalmasını
sağlayan kimlik doğrulama çerezleri bu kapsamda kullanılmaktadır.
Performans ve Analiz Çerezleri
Site performansını arttırmak ve analiz etmek için sitemizi kullanımınızı analiz etmeye
yarayan çerezlerdir. Hizmet iyileştirmesi sağlanabilmesi için kullanılan bu çerezler size verilen
hizmetin kalitesini arttırmayı amaçlamaktadır. Örneğin bu çerezler ile site içerisindeki
kullanıcı ve ziyaretçilerin en çok gezindiği sayfalar ve ürünler tespit edilebilmekte ayrıca site
problemleri ile çalışmayan sayfalar anlaşılabilmektedir.
Instagram, Pinterest, Facebook, Twitter, Google ve benzeri web siteleri kullanmış
olduğumuz web adresimiz üzerinden ulaştığı verileri gizlilik politikalarına göre
işleyebilmektedir. Kullanım kontrolleri ve detaylı bilgi için söz konusu sitelerin gizlilik ve
güvenlik için politikalarının veya diğer bilgilerinin bulunduğu sayfalarını ziyaret edebilirsiniz.
Çevrimiçi Ziyaretçi, tarayıcı ayarlarını değiştirerek çerezleri kabul etmeyebilir veya
kendisine uyarı verilmesini sağlayabilir. Çerezlerin kullanımını durdurulduğunda İnternet
Sitesi’nin belirli fonksiyonları düzgün çalışmayabilir.
Aşağıdaki bağlantılarda yaygın kullanılan bazı tarayıcılarda çerezlerin nasıl yönetileceğini
(ve devre dışı bırakılacağı) hakkında bilgi bulunmaktadır:
Chrome Tarayıcı: https://support.google.com/accounts/answer/61416?hl=tr
Internet Explorer:
https://support.microsoft.com/tr-tr/help/17442/windows-internet-explorer-delete-managecookies
Mozilla Firefox:
https://support.mozilla.org/tr/products/firefox/protect-your-privacy/cookies
Safari:
https://support.apple.com/tr-tr/guide/safari/manage-cookies-and-website-data-sfri11471/m
ac
Telefon üzerinden kullanılan tarayıcılar ve diğer tarayıcılar için telefon ayarlarının ilgili
bölümünden gizlilik ve güvenliğe dair ayarları sağlayarak veya diğer tarayıcılar için destek
bölümlerindeki yönergeleri izleyerek çerez yönetimi yapılabilmektedir.
4. İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Kişisel veriler, Kanun’un 5. maddesinin 2. fıkrasında yer alan şartlardan birinin bulunması
halinde işbu metnin dördüncü maddesinde belirtilen amaçlarla sınırlı olarak ve veri
minimizasyonu yapılarak Şirket hissedarlarına, bilişim hizmeti alınan kişi veya şirketlere ve
yetkili kamu kurum ve kuruluşlarına Kanun’un 8. maddelerinde belirtilen şartlar
çerçevesinde gerekli güvenlik önlemleri alınmak kaydıyla aktarılabilir.
Kanun’un 5. maddesinin 2. fıkrasında yer alan şartlardan birinin bulunmaması halinde
Kişisel Verilerin aktarımı Çevrimiçi Ziyaretçi’nin açık rızasına tabidir.
5. Kanun’un 11. Maddesi Uyarınca İlgili Kişinin Hakları
Kanun’un 11. maddesi hükümleri uyarınca kişisel verisi işlenen ilgili kişi olarak;
● Kişisel veri işlenip işlenmediğini öğrenme,
● Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
● Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
● Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
● Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme,
● Kişisel verilerin silinmesini veya yok edilmesini isteme,
● Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
● İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
● Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
hâlinde zararın giderilmesini talep etme
yasal haklarınız uyarınca taleplerinizi İlgili Kişi (Kişisel Veri Sahibi) Başvuru Formu’nu
doldurarak veya ayrıca bir dilekçe ile yukarıda belirtilen adresimize bizzat elden, noter
kanalıyla veya kimlik teyidiniz yapılması halinde iadeli taahhütlü posta ile ulaştırabilirsiniz.
Bunun yanında elektronik ortamda; (XXXXX@hs01.kep.tr) kayıtlı elektronik posta (KEP)
adresimize kayıtlı elektronik posta(KEP) adresinizden; …...@....... e-posta adresimize
şirketimize daha önce bildirdiğiniz, sistemimizde kayıtlı bulunan e-posta adresinizden veya
güvenli elektronik imzalı ya da mobil imzalı surette diğer elektronik posta adresinizden
iletebilirsiniz. Başvuruda ad, soyad ve başvuru yazılı ise imza; Türkiye Cumhuriyeti
vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa
kimlik numarası; tebligata esas yerleşim yeri veya iş yeri adresi; varsa bildirime esas
elektronik posta adresi, telefon ve faks numarası ile talep konusu bulunması zorunludur.
Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
Kişisel veri sahipleri olarak, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkına Tebliğ”
hükümleri uyarınca haklarınıza ilişkin taleplerinizi belirtilen yöntemlerle şirketimize iletmeniz
durumunda şirketimiz, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak
sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde anılan tebliğin 7.
maddesinde belirtilen ücret alınacaktır.
6. Verilerin Güvenliği
DAF Teknoloji kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka
aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, uygun güvenlik
düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almak
durumundadır.
İnternet sitesi üzerinden başka sitelere veya uygulamalara yönlendirme yapılması
durumunda DAF Teknoloji, yönlendirilen sitelerin ve uygulamaların kişisel verilerin
korunmasına yönelik mevzuata uygunluğuna ilişkin bilgi sahibi değildir ve gizlilik politikaları
ile içeriklerine ilişkin bir sorumluluk altında bulunmamaktadır.
Çevrimiçi Ziyaretçi, İnternet Sitesi’ni ziyaret ettiğinde site içinde pop-up olarak açılan
katmanlı aydınlatma ile atıfta bulunduğu işbu aydınlatma metninde yazılı tüm şartları
okuduğunu ve kişisel verilerinin işlenmesi hakkında aydınlatılmış olduğunu beyan eder.