NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ

LİMİTED ŞİRKETİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

 

 




1.            AMAÇ

 

Kişisel Veri Saklama ve İmha Politikası (“Politika”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”) ve 30224 no.lu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğine (Yönetmelik) uyum amacıyla hukuka uygun bir biçimde yürütülen kişisel verilerin saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket; çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait özel nitelikli kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel veriler ile ilgili gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2.            KAPSAM

 

Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örn. Ziyaretçimiz de olan çalışan adaylarımız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca ziyaretçilerimiz gibi) olabilecektir.

3.            TANIMLAR

 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

4.            KİŞİSEL VERİLERİN SAKLAMA VE İMHA FAALİYETLERİNE İLİŞKİN İŞ VE İŞLEMLER KONUSUNDA USUL VE ESASLAR

 

4.1.        KAYIT ORTAMLARI

 

Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

Tablo 2: Kişisel veri saklama ortamları

 

Elektronik Ortamlar

 

Elektronik Olmayan Ortamlar

 

Sunucular (Etki alanı, yedekleme, e posta, veritabanı, web, dosya paylaşım, vb.)

·       Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)

·       Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

·       Kişisel bilgisayarlar (Masaüstü, dizüstü)

·       Mobil cihazlar (telefon, tablet vb.)

·       Optik diskler (CD, DVD vb.)

·       Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

·       Yazıcı, tarayıcı, fotokopi makinesi

·       Kağıt

·       Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)

·       Yazılı, basılı, görsel ortamlar

 

·        

 

4.2.        SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

 

Şirket tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

4.2.1.  Saklamaya İlişkin Açıklamalar

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

4.2.2.  Saklama Süreleri

Şirket, Kişisel Veri İşleme Envanteri (“Envanter”) içerisinde, iş süreçlerine bağlı olarak işlemekte olduğu kişisel verileri ve ilgili veri kategorilerini ve bu kategorilerin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. Şirket, bu Envanteri güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun verileri işleyeceğini taahhüt eder.

Şirket, Envanterde yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken VERBİS ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkındaki Yönetmeliklerin aşağıda belirtilen usul ve esaslarını dikkate alarak belirler;

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

e) Şirketin hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

Şirket, kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve uygularken, söz konusu sürelerin Envanterde yer alan bilgilerle uyumunu ve azami sürelerin aşılıp aşılmadığını takip eder. Aşağıdaki hallerin mevcut olması durumunda, azami sürelere bakılmaksızın kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvurusu üzerine veya Şirket tarafından ilk periyodik imha kontrolü sırasında söz konusu kişisel veriler silinir, yok edilir veya anonim hale getirilir:

a)   Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b)   Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

c)    Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

d)   Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,

e)   İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

f)     Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g)   Kanunun 5. ve 6. maddelerindeki kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

4.2.3.  Kişisel Verilerin Güvenli Saklanmasına Ve İmhasına İlişkin Alınan Teknik ve İdari Tedbirler

·         Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

·         Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

·         Anahtar yönetimi uygulanmaktadır.

·         Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

·         Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

·         Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

·         Çalışanlar için yetki matrisi oluşturulmuştur.

·         Erişim logları düzenli olarak tutulmaktadır.

·         Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

·         Gerektiğinde veri maskeleme önlemi uygulanmaktadır.      

·         Gizlilik taahhütnameleri yapılmaktadır.

·         Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

·         Güncel anti-virüs sistemleri kullanılmaktadır.

·         Güvenlik duvarları kullanılmaktadır.

·         İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

·         Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

·         Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

·         Kişisel veri güvenliğinin takibi yapılmaktadır.

·         Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

·         Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

·         Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

·         Kişisel veriler mümkün olduğunca azaltılmaktadır.

·         Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

·         Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

·         Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

·         Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

·         Mevcut risk ve tehditler belirlenmiştir.

·         Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

·         Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

·         Saldırı tespit ve önleme sistemleri kullanılmaktadır.

·         Sızma testi uygulanmaktadır.

·         Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

·         Şifreleme yapılmaktadır.

·         Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

·         Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

·         Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

·         Veri kaybı önleme yazılımları kullanılmaktadır.

4.2.4.  Periyodik İmha

Şirket, Verbis ve Envantere paralel olarak, dijital ve fiziksel ortamlarında tuttuğu kişisel verileri, periyodik olarak kontrol edeceğini ve işlendikleri amaç sona erdiğinde söz konusu verileri ilk periyodik imha sırasında resen sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder. Her altı ayda bir periyodik imha gerçekleştirilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır. Periyodik imha süreçlerini yürütme sorumluluğu KVKK Komitesine aittir.

4.3.        KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

4.3.1.  Kişisel Verilerin Silinmesi

 

Veri Kayıt Ortamı

Açıklama

 

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

 

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

4.3.2.  Kişisel Verilerin Yok Edilmesi

 

Veri Kayıt Ortamı

Açıklama

 

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

 

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

 

4.3.3.  Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

5.            POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.

6.            POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

7.            POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile şirket tarafından saklanır.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ

LİMİTED ŞİRKETİ

KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI POLİTİKASI 


 

 

 

 

 

 



İÇİNDEKİLER.. 3

1.    AMAÇ. 4

2.    KAPSAM.. 4

3.    TANIMLAR. 4

4.    KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR. 6

4.1.       KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ  7

·      Hukuka ve Dürüstlük Kuralına Uygun İşleme. 7

·      Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama. 7

·      Belirli, Açık ve Meşru Amaçlarla İşleme. 7

·      İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma. 7

·      İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme  7

4.2.       KİŞİSEL VERİLERİN, KVK KANUNU’NUN 5İNCİ MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ. 7

·      Kişisel Veri Sahibinin Açık Rızasının Bulunması 8

·      Kanunlarda Açıkça Öngörülmesi 8

·      Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması 8

·      Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması 8

·      Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi 8

·      Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi 9

·      Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması 9

·      Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması 9

5.    KİŞİSEL VERİLERİN AKTARILMASI 9

5.1.       Kişisel Verilerin Yurtdışına Aktarılması 9

6.    İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ  9

7.    KVKK KOMİTESİ. 10

8.    POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI 11

9.    POLİTİKA’NIN GÜNCELLENME PERİYODU.. 11

10. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI. 11

 


1.            AMAÇ

 

Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”),  Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi  (Şirket) tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme ve kişisel verilerin korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket; çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2.            KAPSAM

 

Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örn. Ziyaretçimiz de olan çalışan adaylarımız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca ziyaretçilerimiz gibi) olabilecektir.

3.            TANIMLAR

 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

4.            KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

 

Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.

Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.

Şirketimiz, KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.

Şirketimiz, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurumu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.

4.1.        KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

 

·  Hukuka ve Dürüstlük Kuralına Uygun İşleme

Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

·  Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır.

·  Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

·  İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

·  İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

4.2.        KİŞİSEL VERİLERİN, KVK KANUNU’NUN 5İNCİ MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ

 

Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimiz bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda yer alan şartlar uygulanır.

Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

·  Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, müşteri, potansiyel müşteri ve ziyaretçilerden ilgili yöntemler ile açık rızaları alınmaktadır.

·  Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.

·  Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

·  Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

·  Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

·  Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

·  Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

·  Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

5.            KİŞİSEL VERİLERİN AKTARILMASI

 

Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (Grup Şirketlerine, iş ortaklarına ve sair üçüncü kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

5.1.        Kişisel Verilerin Yurtdışına Aktarılması

 

Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurumu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurumu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

6.            İŞLENEN   KİŞİSEL         VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ

 

Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.

Kişisel Verilerin İşlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması hâlinde söz konusu kişisel veriler silinir, yok edilir veya anonim hale getirilir. Kanunlarda verilerin tutulmasına ilişkin sürelerin öngörülmesi hâlinde ise bu veriler, ilgili mevzuatta öngörülen sürelere uygun olacak şekilde muhafaza edilir; mevzuatta öngörülen sürenin dolmasından sonra ise bu veriler Şirketimiz tarafından Kişisel Veri Saklama ve İmha Politikasında belirtildiği üzere, belirli aralıklarla kontrol edilerek, verilerin saklandığı sistemlerden/cihazlardan veya fiziksel olarak bulunduğu ortamlardan silinir, yok edilir veya anonim hale getirilir.

7.            KVKK KOMİTESİ

 

KVKK komitesi sorumlularına ilişkin detaylar aşağıdaki tabloda belirtilmiştir:

Ünvan

Birim

Görev Tanımı

Uzman

Hukuk

Komiteye başkanlık etmek.

Uzman

Üst Yönetim

Yeni ve Eski Personel bilgilerinin işlenmesi ve muhafaza edilmesinden sorumludur.

Çalışan, eski çalışan ve çalışan adayına ait fiziksel bilgi ve belgeleri, Şirketin Süre Matrisi içerisindeki sürelere istinaden periyodik olarak imha etmekle sorumludur.

Uzman

Üst Yönetim

Denetim faaliyetlerini yürütmekle sorumludur.

Uzman

İnsan Kaynakları

Personellerin sistem tanımlarını yapmak ve takibinden sorumludur. Çalışan, çalışan adayı, eski çalışan ve müşteriye ait dijital bilgi ve belgeleri, Şirketin Süre Matrisi içerisindeki sürelere istinaden periyodik olarak imha etmekle sorumludur.

 

8.            POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.

9.            POLİTİKA’NIN GÜNCELLENME PERİYODU

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

10.        POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

Politika, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Şirket tarafından saklanır.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ

LİMİTED ŞİRKETİ

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI POLİTİKASI

 

 

 

 

 

 




 

 

1.            AMAÇ

 

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”) ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’na (Karar) uyum amacıyla hukuka uygun bir biçimde yürütülen özel nitelikli kişisel veri işleme ve özel nitelikli kişisel verilerin korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirket; çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait özel nitelikli kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Özel Nitelikli Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

2.            KAPSAM

 

Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm özel nitelikli kişisel verilerine ilişkindir.

Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örn. Ziyaretçimiz de olan çalışan adaylarımız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca ziyaretçilerimiz gibi) olabilecektir.

3.            TANIMLAR

 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

4.            ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

 

Kanun ve Karar gereği Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Ayrıca Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde de mümkündür:

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Kanunda getirilen özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemler Şirket tarafından alınacaktır. Şirket, Özel Nitelikli Kişisel Verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini tehlikeye atabilecek risklere karşı korumak amacıyla Özel Nitelikli Kişisel Verileri operasyonel, fonksiyonel ve stratejik düzeyde alınacak uygun kontroller ile koruyacaktır.

Elektronik veya fiziksel medya aracılığıyla Özel Nitelikli Kişisel Verileri işleme, saklama, aktarma ve kullanma işlemleri yapılırken yazılım, donanım ve fiziksel alanların güvenliği ile ilgili tedbirler Şirket tarafından sürdürülmeye devam edilecektir.

5.            POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.

6.            POLİTİKA’NIN GÜNCELLENME PERİYODU

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

7.            POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

Politika, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Muhasebe Departmanı tarafından saklanır.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ

LİMİTED ŞİRKETİ

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI PROSEDÜRÜ 


 

 

 

 

 

 




 

 

1.            AMAÇ

 

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Prosedürü (“Prosedür”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı (Karar) ve Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası’na (Politika) uyum amacıyla hukuka uygun bir biçimde yürütülen özel nitelikli kişisel veri işleme ve özel nitelikli kişisel verilerin korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Özel Nitelikli Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Prosedüre uygun olarak gerçekleştirilir.

2.            KAPSAM

 

Bu Prosedür; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm özel nitelikli kişisel verileri kapsamakla birlikte, Politika ve Kişisel Verilerin Korunması Politikası içerisinde bulunan bütün prensipler bu Prosedür için de geçerlidir.

3.            TANIMLAR

 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

4.            ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE ALINAN ÖNLEMLER

 

Şirket özel nitelikli kişisel verilerin işlenmesinde aşağıda yer alan önlemleri uygulamaktadır:

1-    Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a)    Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b)    Gizlilik sözleşmelerinin yapılması,

c)    Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

d)    ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

e)    Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

2-    Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

a)    Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,

b)    Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

c)    Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

d)    Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e)    Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

f)     Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

3-    Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

a)    Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b)    Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

4-    Özel nitelikli kişisel veriler aktarılacaksa

a)    Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b)    Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c)    Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

d)    Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

5-    Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler dikkate alınmaktadır.

5.            PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI

 

Prosedür, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.

6.            PROSEDÜR’ÜN GÜNCELLENME PERİYODU

 

Prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

7.            PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

Prosedür, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Prosedür’ün ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Muhasebe Departmanı tarafından saklanır.

 

 

 

 

 

 

 

 

 

 

 

 

 

                

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ

LİMİTED ŞİRKETİ

VERİ SAHİBİ BAŞVURU PROSEDÜRÜ 


 

 

 

 

 

 




 

 

1.            AMAÇ

 

Veri Sahibi Başvuru Prosedürü (“Prosedür”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”) ve 30356 sayılı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uyum kapsamında kişisel verisi işlenen kişiden gelen başvuruların kabulü, incelenmesi, reddedilmesi ve yanıtlama süreçlerinin tanımlanması amacıyla hazırlanmıştır.

2.            KAPSAM

 

Kanun ve Tebliğ uyarınca kişisel verisi işlenen kişilerden gelen tüm taleplerin değerlendirilmesi bu Prosedür kapsamındadır.

3.            TANIMLAR

 

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Şirket personeli.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

4.            BAŞVURU HAKKI

 

İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse bunları talep etme, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.

Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.

İlgili kişiler, Kanunun 11 inci maddesinde belirtilen hakları kapsamında Tebliğe uygun olarak taleplerini Türkçe olarak iletmek ve talebin içerisinde aşağıda belirtilen bilgileri eksiksiz olarak bildirmek zorundadır. Aksi takdirde Şirket talebi gerekçesini açıklayarak reddedebilir.

a) Ad, soyad ve başvuru yazılı ise imza

b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası

c) Tebligata esas yerleşim yeri veya iş yeri adresi

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası

d) Talep konusu

5.            BAŞVURU KANALLARI

 

İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.

5.1. Elden Şahsen Yapılan Başvuru

Elden şahsen başvurularda, kişinin başvurusu, kimlik doğrulaması yapılması halinde kabul edilir. Başvuruyu alan çalışan, kimlik doğrulamasını gerçekleştirdikten sonra, doğrulama yapıldığını form üzerinde belirtir. Bu kanalla yapılan başvurular sadece Şirket İnsan Kaynakları Departmanı tarafından teslim alınır ve Şirket KVKK Komitesi’ne cevap yazısı hazırlanmak üzere iletilir.

 

5.2. Kayıtlı Elektronik Posta Adresine Yapılan Başvuru

İlgili kişi tarafından Şirketin Kayıtlı Elektronik Posta adresine (“KEP”) - nesatilir@hs01.kep.tr - yapılan başvurular, Şirketin İnsan Kaynakları Departmanı tarafından teslim alınır ve cevap yazısı hazırlanmak üzere Şirket KVKK Komitesi’ne iletilir. Bu kanalla yapılan başvurular yalnızca ilgili kişinin KEP adresi üzerinden yapılması gerekmektedir ve ayrıca kimlik teyidi yapılmasına gerek yoktur.

 

5.3. E-İmza veya Mobil İmza ile Yapılan Başvuru

İlgili kişi tarafından Şirketin info@nesatilir.com e-posta adresine elektronik imzalı ve/veya mobil imza ile yapılan başvurular, Şirketin İnsan Kaynakları Departmanı tarafından teslim alınır ve cevap yazısı hazırlanmak üzere Şirket KVKK Komitesi’ne iletilir. Gönderilen başvuru formu üzerinde bulunan elektronik imza güvenli elektronik imza uygulaması ile dosyanın imzalı olup olmadığı kontrol edilir ve kimlik teyidi ardından sonra başvuru kabul edilir, başvuru Şirket KVKK Komitesine iletilir. Güvenli elektronik imza uygulaması ile imza doğrulanamıyor ise ilgili kişi yazılı kanallara yönlendirilir.

5.4. Şahsi E-posta Adresi Üzerinden Yapılan Başvuru

İlgili kişi tarafından Şirkete daha önceden bildirilmiş olan ve Şirket sistemleri içerisinde kayıtlı olan şahsi e-posta üzerinden info@nesatilir.com e-posta adresine yapılan başvurular, Şirketin İnsan Kaynakları Departmanı tarafından teslim alınır ve cevap yazısı hazırlanmak üzere Şirket KVKK Komitesi’ne iletilir. İlgili kişinin başvuru yaptığı e-posta adresi Şirket sistemlerinde kayıtlı değil ise, kimlik teyidi yapılabilmesi için ilgili kişi uygun başvuru kanallarına yönlendirilir.

5.5. Diğer Kanallar Üzerinden Gelen Başvurular

İlgili kişinin Kanunun 11. maddesi kapsamındaki taleplerini yukarıda belirtilen kanallardan farklı kanallar üzerinden iletmesi durumunda, Şirket tarafından ilgili kişi uygun başvuru kanallarına yönlendirilir.

6.            KİMLİK DOĞRULAMASI

 

Yukarıda belirtilen uygun başvuru kanallarından gelen talepler karşılanmadan önce mutlaka kimlik teyidi aşağıdaki tabloda belirtilen yöntemlerle yapılmalıdır.

 

Başvuru Kanalı

 

Kimlik Doğrulama Yöntemi

 

 

Görevli Kişi/Departman

Elden Şahsen

Kimlik teyidi yapılır ve başvuru formu kimlik teyidinin yapıldığına dair ilgili personel tarafından imzalanır.

İnsan Kaynakları Departmanı

KEP

İlgili kişinin KEP adresinden başvuru geldiği için ayrıca kimlik teyidi yapılmasına gerek yoktur.

İnsan Kaynakları Departmanı

Elektronik İmza veya Mobil İmza

Gönderilen başvuru formu üzerinde bulunan elektronik veya mobil imzanın doğruluğu kontrol edilir. Güvenli elektronik imza uygulaması ile imzalı olup olmadığı kontrol edilir.

İnsan Kaynakları Departmanı

Şahsi E-posta Üzerinden

Şahsi e-posta adresinin, Şirket sistemlerinde kayıtlı olan e-posta adreslerinden biri olup olmadığı kontrol edilir.

İnsan Kaynakları Departmanı

 

7.            BAŞVURUYA CEVAP

 

Şirket Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alır.

 

(2) Şirket, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.

 

(3) Şirket, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

 

(4) Cevap yazısı;

 

a) Şirket veya temsilcisine ait bilgileri,

 

b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,

 

c) Talep konusunu,

 

ç) Şirketin başvuruya ilişkin açıklamalarını,

 

içerir.

 

(5) Şirket başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Tebliğin 7 nci maddesinde belirtilen ücret alınabilir. Başvurunun, Şirketin hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

 

(6) İlgili kişinin talebinin kabul edilmesi hâlinde, Şirket talebin gereğini en kısa sürede yerine getirir ve ilgili kişiye bilgi verir.

 

8.            PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI

 

Prosedür, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.

9.            PROSEDÜR’ÜN GÜNCELLENME PERİYODU

 

Prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

10.        PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

 

Prosedür, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Prosedür’ün ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları Departmanı tarafından saklanır.