Kişisel Verilerin İşlenmesi ve Korunması Politikası
1. Giriş
Gpindeks.com ve gpindeks.com/soru-cevap (Kısaca “Gpindeks” ya da “Şirket” olarak anılacaktır) olarak bizim için kişisel verilerin korunması hususu büyük hassasiyet arz etmekte olup, Şirketimizin öncelikleri arasındadır. İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile kişisel verilerin işlenmesi ve korunması konusunda Şirketimiz tarafından benimsenen ve kişisel verilerin korunmasına ilişkin fiili uygulamada dikkat edilen ilkeler ortaya konulmakta ve Şirketimizin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen düzenlemelere uyumu hakkındaki temel ilkeler belirlenmektedir.
2. Amaç Ve Kapsam
Bu Politika belgesinin temel amacı, Şirketimiz tarafından kişisel verilerin toplanması, saklanması, işlenmesi, paylaşılması ve aktarılmasına ilişkin süreçlerimiz hakkında Şirket yetkililerimizi, çalışanlarımızı, ortaklarımızı, kullanıcılarımızı, müşterilerimizi, tedarikçilerimizi, işbirliği içinde olduğumuz kurumları/kişileri ve bu kurumların çalışanlarını ve yetkililerini ve ayrıca kişisel verileri Şirketimiz tarafından işlenen tüm kişileri bilgilendirmektir. Şirketimizin temel prensibi, kişisel verilerin işlenmesinde şeffaflığı sağlamak, farkındalığı yükseltmek, ilgili tüm tarafların haklarını ve sorumluluklarını açıkça ortaya koyup net bir şekilde belirtmektir.
3. Tanımlar
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi Kanun: 07.04.2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. Kurul: Kişisel Verileri Koruma Kurulu Kurum: Kişisel Verileri Koruma Kurumu Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Şirket: GirlsAskGuys LLC Veri İşleyen: Veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri işleyen kişidir. Veri Sahibi: Şirketimiz ve/veya Şirketimizin bağlı şirketleri/iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, kullanıcıları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, işbirliği içinde çalıştığı gerçek kişiler veya kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen / işlenebilecek olan gerçek kişi Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
4. Kişisel Verilerin Toplanması
Şirketimiz, Uygulama’nın indirilmesi, kurulması, kullanıcı kayıt başvurularında ve de internet sitesinin her türden kullanımında veri sahiplerince Şirketimize doğrudan yazılı, sözlü veya elektronik olarak aktarılan kaynaklardan kişisel veri toplayabilmektedir. İş başvurularında, iş ilişkisinin kurulması esnasında ve devamında çalışanların da kişisel verilerini toplamaktadır. Ayrıca Uygulama’yı ya da var olan/olabilecek internet ortamlarımızı/sitelerimizi (Hepsi birlikte kısaca KS ya da “Uygulama” olarak adlandırılmaktadır.) ziyaret eden/kullanan kişilerin de IP (internet protokol) adresleri ve sair logları tutulmakta, çerezler (cookies) ve de piksel etiketleri gibi sair teknolojiler aracılığı ile kullanımları kolaylaştırılmaktadır. Diğer yandan, Şirketimizin hukuki güvenliğini temin için, sözleşme ilişkisi kurduğumuz gerçek kişilerin veya tüzel kişilerin gerçek kişi temsilcilerinin de kişisel verileri, sözleşme eki olarak saklanmaktadır. KS alt yapısı, kullanıcıların IP adresleri, kullanılan cihazların türü ve dili, KS’ye erişim ve giriş tarihi ve zamanı gibi kullanıcı hareketlerinin Şirketimiz tarafından takip edilmesine ve eğilimlerin tespit edilmesine yardımcı olacak bilgileri otomatik olarak toplamaktadır. Ayrıca kullanıcıların cihazlarını, Uygulama’ya erişimlerini kolaylaştırmak, Uygulama’nın çalışması için gerekli temel fonksiyonları aktive etmek ve çevrimiçi deneyimlerini kişiselleştirmek için bir ya da daha fazla çerez (tanımlama bilgileri) gönderilebilmektedir. Uygulama, “çerezleri” uygulama indirildiğinde veya site kullanıldığında girilen kimi bilgileri dikkatle izleyebilmek için kullanır. “Çerezler” kayıt tutma amacıyla kullanıcıların cihazlarında bulunan, kayıtların tutulabilmesini ve bu sayede kullanıcının Uygulama tarafından belirlenebilmesini sağlayan çok küçük dosyalardır. Çerezler, Uygulama kullanıcılarının isim, cinsiyet veya adres gibi kişisel verilerini kaydetmemektedir. Uygulama’yı indiren/kullanan veri sahiplerinin, kullanmakta oldukları cihazların imkân tanıması halinde, cihaz ayarlarını değiştirerek çerezlerin kullanılmasını engelleme, çerezler kullanılmadan önce uyarı almayı tercih etme veya sadece bazı çerezleri devre dışı bırakma ya da silme imkanları bulunmaktadır. Şirketimiz işbu Politika ile Uygulama kullanıcılarına, çerez kullanımının kapsamı ve amaçları hakkında detaylı bilgilendirmeyi yapmayı hedeflemiştir. Kullanıcılarımızın cihaz ayarlarından çerezleri devre dışı bırakmamış olmaları ve Uygulama’yı kullanmaya devam etmeleri halinde, çerez kullanımına izin verildiği kabul edilmektedir.
5. Kişisel Verilerin İşlenmesinde Uygulanacak İlkeler
Şirketimiz, kişisel verilerin korunması ve işlenmesiyle ilgili olarak mevzuatta düzenlenen genel ilkeler ışığında yer verilen şartları karşılamakta ve kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesini sağlamak amacıyla aşağıda sıralanan ilkelere uygun hareket etmektedir: •Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma Şirketimiz kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket etmektedir. Şirketimiz gerektiği kadar kişisel veriyi, veri işleme amaçlarıyla sınırlı olarak ve bu amaçlara uygun düşecek seviyede işlemektedir. •Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama Şirketimiz, işlemekte olduğu kişisel verilerin doğru ve güncel olmasına azami hassasiyet göstermekte ve bu kapsamda veri sahipleri ile iletişime geçerek veya veri sahiplerinden gelen talepleri değerlendirmeye alarak, gerekli güncellemeleri yapmaktadır. •Belirli, Açık ve Meşru Amaçlarla İşleme Şirketimiz, kişisel veri işleme amacını açık ve kesin olarak belirlemekte, bu sırada da meşruiyet ve hukuka uygunluk esasını benimsemektedir. Özellikle yürütmekte olduğumuz ticari faaliyet ile bağlantılı ve bu çerçevede gerekli olan kadar veri Şirketimizce işlemektedir. Kişisel verilerin hangi amaçla işleneceği Aydınlatma Bildirimleri vasıtasıyla muhtelif veri sahibi gruplarına bildirilmektedir. •İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma Şirketimiz, topladığı kişisel verileri, ticari faaliyetlerinin devamını temin ve sözleşmesel ve yasal taahhüt ve yükümlülüklerini ifa etme, veri sahibi grupları ile olan ilişkilerinin yürütülmesini sağlama amaçlarının gerçekleştirilebilmesine elverişli bir biçimde işlemektedir. İşleme amacının gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel veriler işlenmemektedir. •İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme Şirketimiz tarafından toplanan kişisel veriler, işlendikleri amaç için gerekli olan süreler ve her hâlükârda ilgili mevzuatta belirtilen yasal süreler ve/veya dava/talep zamanaşımı süreleri boyunca muhafaza etmektedir. Bu amaçla, öncelikle toplanan kişisel verilerin toplanma ve işlenme amacına yönelik olarak gerekli çalışmalar tamamlanmakta ve işlenmesini gerektiren sebeplerin ortadan kalkıp kalkmadığı düzenli olarak denetlenmektedir. İşlendikleri amaç için gerekli olan sürenin bittiği veya işlenmesini gerektiren sebeplerin ortadan kalktığı hallerde ve her hâlükârda mevzuatta ön görülen sürenin dolmasıyla birlikte toplanan kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
6. Kişisel Verilerin İşlenme Amaçları
Şirketimizin topladığı kişisel veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birine veya birkaçına dayalı olarak işlenebilmektedir. Dolayısıyla öncelikle kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediği Şirketimizce incelenmekte, bu şartlardan herhangi birinin mevcut olmaması halinde ise veri sahibinin daha önceden alınmış veya yeni alınan açık rızasına dayanılarak kişisel veriler işlemektedir. Kanun’un 5. ve 6. maddelerinde sayılan şartlar ise şunlardır: •Kişisel verilerin işlenmesine ilişkin Şirketimizin ilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi, •Kişisel verilerin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması, •Kişisel verilerin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, •Kişisel verilerin alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından işlenmesi, •Kişisel verilerin Şirketimiz tarafından işlenmesinin Şirketimizin, verisi işlenen kişilerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması, •Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması, •Veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması, •Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi. Bu kapsamda Şirketimiz, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir: •Şirketimizin ticari faaliyetini yürütebilmek ve müşteriler ile kurduğumuz alım-satım sözleşmesine dair edimlerimizi ifa edebilmek; •Müşterilerimizin ürünlerimizle ilgili şikayet, iade, değişim ve sair talepleriyle ilgili olarak müşterilerle iletişim kurabilmek ve müşteri hizmetlerimizi etkin biçimde sağlayabilmek; •Sunduğumuz hizmetlerimizin kalitesini artırabilmek; •Çeşitli kampanyalar oluşturabilmek; •Müşteri tercihlerine özgülenmiş kampanyalarımız hakkında bilgi verebilmek; •Ticari faaliyetlerimizin geliştirilmesi için çeşitli istatistiki verileri çıkarabilmek; •Yasal ve/veya idari yükümlülüklerimizi yerine getirebilmek; •Müşterilerimizin talep ettiği hallerde özel kampanyaları ve indirimleri tesis ve buna bağlı üyelik işlemlerini takip edebilmek; •Çalışanlarımızla akdettiğimiz iş sözleşmeleri gereği işveren olarak üstlendiğimiz yükümlülükleri yerine getirmek; •İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu ve ilgili mevzuattan kaynaklanan yasal ve/veya idari yükümlülüklerimizi yerine getirmek; •İnsan kaynakları süreçlerinin planlanmak ve uygulamak; •Personel özlük dosyalarının oluşturmak; •İşçi sağlığı ve iş güvenliği süreçlerini yürütmek; •İş ortaklarımız veya tedarikçilerimiz ile olan ilişkileri yönetmek; •Şirketimizin hukuk, finansal raporlama ve risk yönetimi işlemlerini icra ve takip etmek; •Kurumsal iletişim ve yönetim faaliyetlerini planlanmak ve uygulamak; •Şirketimizin, çalışanlarımızın, kullanıcılarımızın ve ilişki içinde olduğumuz 3. Tarafların güvenliğini sağlayabilmek; •Mevzuattan doğan yükümlülüklerimizi yerine getirebilmek için, ilgili resmi ve idari kurumlardan ya da yargı mercilerinden gelen talepleri yanıtlamak, gerekliliklerini yerine getirmek.
7. Kişisel Verilerin Güvenliği
Şirketimiz, işlediği kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak işlenmesini ve kişisel verilere yetkisiz ve haksız erişilmesini önlemek ve kişisel verilerin yeterli güvenlik seviyesinde muhafaza edilmesini, işlenmesini ve aktarılmasını temin etmek amacıyla gerekli her türlü teknik ve idari tedbirleri almıştır. Bu bağlamda Kişisel Verilerin Korunması Kurumunun Veri Güvenliği Rehberi kılavuzumuzdur, Kurul kararları ve Kurum rehberleri düzenli olarak takip edilmekte ve uyguladığımız tedbir ve yöntemler gereken hallerde güncellenmektedir. Veri güvenliğinde öncelikle topladığımız kişisel verilere sadece yetkili birim ve kişilerce erişilmesine ve onlar tarafından işlenmesine izin veriyoruz. Kişisel verilerin gizliliğini, bütünlüğünü koruyor, erişilebilirliğini mümkün olduğunca kısıtlıyoruz. Kişisel verileri toplandıkları amaç ile sınırlı ve bağlantılı olarak, hukuken işlenebilir haller etrafında işliyoruz. Veriye erişim yetkisi olanların dışında hiç kimse ile şifre ve kullanıcı adlarını paylaşmıyoruz. Otomatik olmayan yöntemlerle işlediğimiz ve kayıt altında tuttuğumuz verileri kilitli dolap ve kapalı zarflar içinde muhafaza ediyoruz. Bu dolap ve saklama yerlerinin kilitleri yine sadece ilgili birim ve yetkilendirilmiş personellerimizde mevcuttur. Mağazalarımızdan toplanan kişisel verilerimiz mağaza müdürlerimizin denetiminde muhafaza edilerek, Şirketimize iletilmektedir. Müşteri, tüketici, bayi ve tedarikçilerimize ait veya onlar üzerinden ulaşarak işlediğimiz özel nitelikli kişisel veri yoktur. Çalışanlarımızın özel nitelikli kişisel veri kategorisinde kalan verilerini ise Kanun’un 6. maddesi uyarınca ve yeterli güvenlik önlemlerini alarak işliyoruz. Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı bu konudaki kılavuzumuzdur. Aldığımız hizmetler gereği aramızda kişisel veri aktarımı olan üçüncü kişilerle yaptığımız sözleşmelere, gizlilik yükümlülüğünün yanı sıra kişisel verilerin korunması amacıyla Kanun düzenlemelerine uygun hükümler ekledik / ekliyoruz. Gerekli taahhütleri vermeyen ve güvenlik önlemlerini sağlamayan, verilerin gizlilik, bütünlük ve erişimine ilişkin Kanun düzenlemeleri ile Kurul kararlarına uymayan üçüncü kişilere kişisel veri aktarımı yapmıyoruz.
8. Kişisel Verilerin Aktarılması
Şirketimiz, topladığı kişisel verileri, Kanun’da öngörülen zorunluluklara ve Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak üçüncü kişilere aktarmaktadır. Şirketimiz tarafından özel nitelikli kişisel verilerin açık rıza alınarak toplanması halinde, ancak yine veri sahibinin açık rızası olması şartıyla başka gerçek veya tüzel kişilere aktarılacaktır. Şu kadar ki bu veriler, Kanun veya diğer kanunların zorunlu kıldığı durumlarda veri sahibinin açık rızası olmadan da mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak, yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilecektir. Bununla birlikte, Kanun’un 5. ve 6. maddelerinde öngörülen durumlarda topladığımız kişisel veriler öngörülen hukuki sebebe bağlı olarak üçüncü kişilere aktarılabilmektedir. Şirketimiz, kişisel verileri Kanun’da ve ilgili mevzuatta öngörülen şartlara uygun olarak ve bu mevzuatta belirtilen tüm güvenlik önlemlerini alarak, Türkiye’de yerleşik kişilerle ve/veya kurumlarla, ifa yardımcıları, grup şirketleri ve ticari ilişki içinde bulunduğu üçüncü kişilerle paylaşmakta, sınıflandırmakta ve işlemektedir. Kişisel veriler bu surette üçüncü kişilere aktarılmadan önce de, gerekli gizlilik taahhütleri Şirketimizce ilgili kişilerden talep edilmekte, mümkün olan tüm idari ve teknik tedbirlerin alınması sağlanmaktadır. Yukarıda belirttiklerimiz çerçevesinde ve Kanun’un 8. maddesinde öngörülen düzenlemelere uyarak; yasal ve sözleşmesel yükümlülüklerimizi yerine getirebilmek, ticari amaçlarımız ve veri sahibinin temel hak ve özgürlüklerini ihlal etmeyecek şekilde meşru menfaatlerimiz doğrultusunda mali, hukuksal, işe alım, istatistik, arşivleme gibi hizmetleri alabilmek, kanun ve yargı kararları ile idari uygulamalardan doğan yükümlülüklerimizi yerine getirebilmek için ve kişisel verilerin işlenmesinin gerektirdiği sınırlar dahilinde kişisel verileri ilgili hizmet sunucuları, iş ortakları, ifa yardımcıları, adli, resmi ve idari makamlara aktarabiliyoruz. Kanun’un 8. maddesi ve işbu Politikamız etrafında yapacağımız veri aktarımı verinin Kanun’a aykırı şekilde işlendiği anlamında olmayıp, bu bağlamda veri aktarımı yaptığımız ve yapacağımız tüm gerçek ve tüzel kişilerden veri güvenliği ve gizliliğine dair gerekli taahhütleri alarak, veriyi güvenli yollarla aktarıyoruz.
9. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi
Şirketimiz, kişisel verileri, Kanun’un 7. maddesine uygun olarak işlemekte ve işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendiliğinden silmekte, yok etmekte veya anonim hale getirmektedir. Bunun yanı sıra veri sahipleri de Şirketimize yöneltecekleri talep ile, kendilerine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilecektir. Söz konusu talebin Şirketimize ulaşması üzerine, Şirketimiz: -Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir. Bu surette veri sahibinin talebi en geç otuz (30) gün içinde sonuçlandırılarak ve kendisine bilgi verilmektedir. -Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirketimize yöneltilen talep, söz konusu durum hakkında gerekçeli bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca reddedilmektedir. Böyle bir durumda red cevabımız veri sahibine en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda bildirilmektedir. -Kişisel verilerin işleme şartlarının tamamı ortadan kalkmış ve fakat veri sahibinin talebine konu olan kişisel veriler üçüncü kişilerle paylaşılmış ise, Şirketimize yöneltilen talep verilerin paylaşıldığı üçüncü kişiye bildirilmekte ve üçüncü kişi tarafından bu Politika ve mevzuat çerçevesinde gerekli işlemlerin yapılması talep edilmektedir. Bununla birlikte, Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Kanun’un 28. maddesine uyarınca; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, bu durumda kişisel veri sahibinin açık rızası aranmamaktadır.
10. Kişisel Veri Sahibinin Hakları Ve Bu Hakların Kullanılması
Kişisel veri sahipleri, Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahiptirler:
•Kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme,
•İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
•Yurt içinde veya yurtdışında aktarıldığı üçüncü kişileri bilme,
•Eksik/yanlış işlenmişse düzeltilmesini isteme,
•Gereken şartlar çerçevesinde silinmesini, yok edilmesini isteme,
•Yukarıda belirtilen düzeltme, silinme ve yok edilmeye ilişkin hakları uyarınca yapılan işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
•İşlenen kişisel verilerinizin münhasıran otomatik yöntemlerle analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
•Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kanun’un 28. Maddesinin ikinci fıkrası gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri Kanun’un 11. maddesinde sayılan diğer haklarını ileri süremezler:
•Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
•Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
•Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi
ile disiplin soruşturma veya kovuşturması için gerekli olması,
•Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Ancak sayılan hallerde veri sahiplerinin zararlarının giderilmesini talep etme hakları saklıdır. Kanun’un 28. maddesinin ilk fıkrası ise aşağıda belirtilen hallerin açıkça Kanun’un kapsamı dışında olduğu düzenlemektedir. Dolayısıyla kişisel veri sahipleri bu sayılan hallerde Kanun’un 11. maddesinde sayılan haklarını ileri süremezler:
•Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
•Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
•Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
•Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel veri sahipleri yukarıda sıralanan haklarına ilişkin taleplerini, hak sahibi olduklarını belgelendirmek suretiyle, KS üzerinde bulunan iletişim formları aracılığıyla elektronik ortamda veya yine KS internet sitesi ve uygulaması üzerinde bulunan iletişim bilgilerimiz üzerinden, noter kanalıyla veya güvenli elektronik imza kullanmak kaydıyla kayıtlı elektronik posta adresleri, elektronik veya fiziksel evrak ile başvuru yaparak Şirketimize ücretsiz olarak iletebilir. Veri sahibinin böyle bir talebinin Şirketimize iletilmesi halinde, talebin niteliğine göre en geç otuz (30) gün içinde ilgili talep sonuçlandırılmaktadır. Veri sahibinin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde veya yazılı olarak verilecek cevabımızın on (10) sayfayı aşması halinde, 10.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanmış Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7. maddesinde belirtilen ücret alınabilecektir. Başvurunun Şirketimizin hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir. Şirketimiz, başvuruda bulunan kişinin veri sahibi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, veri sahibine başvurusu ile ilgili soru yöneltme haklarına sahiptir. Aşağıda sayılan hallerde yapılan başvuru, gerekçesi açıklanarak Şirketimizce reddedilebilir:
•Yukarıda yer verildiği üzere, Kanun’un 28. maddesinin ilk fıkrası uyarınca, açıkça Kanun’un kapsamı dışında olduğu düzenlenen hallerden birinin söz konusu olması,
•Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
•Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
•Orantısız çaba gerektiren taleplerde bulunulmuş olması,
•Talep edilen bilginin kamuya açık bir bilgi olması,
•Kişisel verileri işleme şartlarının tamamının ortadan kalkmamış olması,
•Kanunlar (Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, İş Kanunu, Vergi Usul Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu gibi) gereği veriyi muhafaza etme süresinin dolmamış olması.
11. Şirketimiz Bünyesinde Organizasyonel Yapılanma Ve Sürdürülebilirlik
Şirketimiz, Kanun ve ilgili mevzuatın öngördüğü düzenlemelere uyumluluğun denetlenmesinden, işbu Politikamızın, ilişkili diğer politikalarımızın, sair belgelerimiz ile ilgili tüm Uygulama içi metinlerimizle, bildirimlerimizin içeriklerinin yönetilmesinden ve gerekli hallerde güncellenmesinden, kişisel verilerin korunması hakkında sürdürülebilirliğin sağlanmasından, Şirket yönetimi tarafından alınan kararların yerine getirilmesinden ve konu hakkındaki diğer regülasyon ve Şirket içi denetimlerin yapılmasından sorumlu olmak üzere sorumlular atamıştır. Kanun’un uygulaması ve denetimi ile sürdürülebilirliğin sağlanması için düzenli takip ve kontrol, veri sorumlusu olarak Şirketimizin bizzat yükümlülüğündedir ve tüm çalışanlarımızı ve iş ortaklarımızı bu yönde geliştirmek için çaba sarf edeceğiz. Şirketimizin bu husustaki sorumlularının özel görevleri ise aşağıda belirtilmiştir: •Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
•Belirlenen temel politika ve eylem adımlarını Şirket yönetiminin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak,
•Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin hangi sıklıkta, hangi şekilde yapılacağına karar vermek, Şirket yönetiminin onayını aldıktan sonra gerekli görev ve yetki dağılımlarını gerçekleştirmek,
•Şirketin birimlerini ve çalışanlarını bilgilendirmek, konu hakkında farkındalıklarını yükseltmek,
•Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini Şirket yönetiminin onayına sunmak,
•Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
•Kişisel veri sahiplerinin başvurularını değerlendirmek ve karara bağlamak,
•Şirketin Kanun kapsamındaki yükümlülüklerini yerine getirmesi için Şirket regülasyonların yapılmasını sağlamak,
•Kişisel verilerin korunması konusundaki gelişmeleri takip etmek, bu gelişmeler kapsamında yapılması gerekenler konusunda Şirket yönetimine önerilerde bulunmak,
•Kurum ve Kurul ile olan ilişkileri yönetmek.
E-posta: [email protected]