NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE
DANIŞMANLIK HİZMETLERİ
LİMİTED ŞİRKETİ
KİŞİSEL
VERİ SAKLAMA VE İMHA POLİTİKASI
4. KİŞİSEL VERİLERİN SAKLAMA VE İMHA
FAALİYETLERİNE İLİŞKİN İŞ VE İŞLEMLER KONUSUNDA USUL VE ESASLAR
4.2. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
4.2.1. Saklamaya İlişkin Açıklamalar
4.2.3. Kişisel Verilerin Güvenli Saklanmasına Ve
İmhasına İlişkin Alınan Teknik ve İdari Tedbirler
4.3. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
4.3.1. Kişisel
Verilerin Silinmesi
4.3.2. Kişisel
Verilerin Yok Edilmesi
4.3.3. Kişisel
Verilerin Anonim Hale Getirilmesi
5. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
6. POLİTİKA’NIN GÜNCELLENME PERİYODU
7. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN
KALDIRILMASI
1.
AMAÇ
Kişisel Veri
Saklama ve İmha Politikası (“Politika”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri
Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin
Korunması Kanunu (“Kanun”) ve 30224 no.lu Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğine (Yönetmelik) uyum
amacıyla hukuka uygun bir biçimde yürütülen kişisel verilerin saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda
usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket;
çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer
üçüncü kişilere ait özel nitelikli kişisel verilerin T.C. Anayasası,
uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin
haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak
belirlemiştir.
Kişisel veriler
ile ilgili gerçekleştirilmekte
olan saklama ve imha faaliyetlerine ilişkin
iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya
uygun olarak gerçekleştirilir.
2.
KAPSAM
Bu Politika;
müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket
hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği
içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve
üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine
ilişkindir.
Yukarıda
belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin
işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örn.
Ziyaretçimiz de olan çalışan adaylarımız gibi); yalnızca bir kısım hükümleri de
(örn. yalnızca ziyaretçilerimiz gibi) olabilecektir.
3.
TANIMLAR
Alıcı Grubu:
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisi.
Açık Rıza: Belirli
bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale
Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesi.
Çalışan: Şirket
personeli.
Elektronik
Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,
okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik
Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel
vb. diğer ortamlar.
Hizmet
Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde
hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi:
Kişisel verisi işlenen gerçek kişi.
İlgili
Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu
içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda
kişisel verileri işleyen kişiler.
İmha: Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698
Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortam.
Kişisel Veri:
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri
İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel
verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı
grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel
verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini,
yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine
ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel
Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel
Verileri Koruma Kurulu
Özel Nitelikli
Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha:
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar
eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemi.
Veri İşleyen:
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel
verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt
Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemi.
Veri Sorumlusu:
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları
Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin
ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen,
Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
4.
KİŞİSEL
VERİLERİN SAKLAMA VE İMHA FAALİYETLERİNE İLİŞKİN İŞ VE İŞLEMLER KONUSUNDA USUL
VE ESASLAR
4.1.
KAYIT ORTAMLARI
Kişisel veriler,
Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli
bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
Sunucular (Etki alanı, yedekleme, e posta, veritabanı, web, dosya
paylaşım, vb.) · Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.) · Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve
engelleme, günlük kayıt dosyası, antivirüs vb. ) · Kişisel bilgisayarlar (Masaüstü, dizüstü) · Mobil cihazlar (telefon, tablet vb.) · Optik diskler (CD, DVD vb.) · Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ·
Yazıcı,
tarayıcı, fotokopi makinesi |
· Kağıt · Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş
defteri) ·
Yazılı,
basılı, görsel ortamlar |
|
· |
4.2.
SAKLAMA VE
İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket
tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı
olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların
çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda
saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer
verilmiştir.
4.2.1. Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı
tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla
bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği
belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları
sayılmıştır.
Buna göre, Şirketimiz
faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme
amaçlarımıza uygun süre kadar saklanır.
4.2.2. Saklama Süreleri
Şirket, Kişisel
Veri İşleme Envanteri (“Envanter”) içerisinde, iş süreçlerine bağlı olarak
işlemekte olduğu kişisel verileri ve ilgili veri kategorilerini ve bu
kategorilerin yasal gereksinimler ve iş amaçları doğrultusunda ne kadar süre
saklanması gerektiğini ilişkilendirmiş ve detaylandırmıştır. Şirket, bu Envanteri
güncel tutacağını ve belirtilen ilgili kişisel veri saklama sürelerine uygun
verileri işleyeceğini taahhüt eder.
Şirket, Envanterde
yer alan kişisel verilerin işlendikleri amaç için gerekli olan azami süreleri
belirlerken VERBİS ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale
Getirilmesi Hakkındaki Yönetmeliklerin aşağıda belirtilen usul ve esaslarını
dikkate alarak belirler;
a) İlgili veri
kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği
sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri
kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili
kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri
kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru
menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı
olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam
edeceği süre,
d) Belirlenecek
azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel
tutulmasına elverişli olup olmadığı,
e) Şirketin
hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri
saklamak zorunda olduğu süre,
f) Veri
sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı
bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.
Şirket, kişisel
verilerin işlendikleri amaç için gerekli olan azami süreleri belirlerken ve
uygularken, söz konusu sürelerin Envanterde yer alan bilgilerle uyumunu ve
azami sürelerin aşılıp aşılmadığını takip eder. Aşağıdaki hallerin mevcut
olması durumunda, azami sürelere bakılmaksızın kişisel verilerin işlenme
şartlarının ortadan kalktığı kabul edilerek; ilgili kişinin başvurusu üzerine
veya Şirket tarafından ilk periyodik imha kontrolü sırasında söz konusu kişisel
veriler silinir, yok edilir veya anonim hale getirilir:
a) Kişisel verileri işlemeye esas teşkil eden
ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b) Taraflar arasındaki sözleşmenin hiç
kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona
ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c) Kişisel verilerin işlenmesini gerektiren
amacın ortadan kalkması,
d) Kişisel verileri işlemenin hukuka veya
dürüstlük kuralına aykırı olması,
e) İlgili kişinin, Kanunun 11 inci maddesinin
(e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme
faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul
edilmesi,
f) Şirketin, ilgili kişi tarafından kişisel
verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu
reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre
içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin
Kurul tarafından uygun bulunması,
g) Kanunun 5. ve 6. maddelerindeki kişisel
verilerin ve özel nitelikli kişisel verilerin işlenmesini gerektiren şartların
ortadan kalkması.
4.2.3. Kişisel Verilerin Güvenli Saklanmasına Ve İmhasına
İlişkin Alınan
Teknik ve İdari Tedbirler
·
Ağ
güvenliği ve uygulama güvenliği sağlanmaktadır.
·
Ağ
yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
·
Anahtar
yönetimi uygulanmaktadır.
·
Bilgi
teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik
önlemleri alınmaktadır.
·
Çalışanlar
için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
·
Çalışanlar
için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık
çalışmaları yapılmaktadır.
·
Çalışanlar
için yetki matrisi oluşturulmuştur.
·
Erişim
logları düzenli olarak tutulmaktadır.
·
Erişim,
bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
hazırlanmış ve uygulamaya başlanmıştır.
·
Gerektiğinde
veri maskeleme önlemi uygulanmaktadır.
·
Gizlilik
taahhütnameleri yapılmaktadır.
·
Görev
değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri
kaldırılmaktadır.
·
Güncel
anti-virüs sistemleri kullanılmaktadır.
·
Güvenlik
duvarları kullanılmaktadır.
·
İmzalanan
sözleşmeler veri güvenliği hükümleri içermektedir.
·
Kişisel
veri güvenliği politika ve prosedürleri belirlenmiştir.
·
Kişisel
veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
·
Kişisel
veri güvenliğinin takibi yapılmaktadır.
·
Kişisel
veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik
önlemleri alınmaktadır.
·
Kişisel
veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
·
Kişisel
veri içeren ortamların güvenliği sağlanmaktadır.
·
Kişisel
veriler mümkün olduğunca azaltılmaktadır.
·
Kişisel
veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de
sağlanmaktadır.
·
Kullanıcı
hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de
yapılmaktadır.
·
Kurum
içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
·
Log
kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
·
Mevcut
risk ve tehditler belirlenmiştir.
·
Özel
nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş
ve uygulanmaktadır.
·
Özel
nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka
şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
·
Saldırı
tespit ve önleme sistemleri kullanılmaktadır.
·
Sızma
testi uygulanmaktadır.
·
Siber
güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
·
Şifreleme
yapılmaktadır.
·
Taşınabilir
bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek
aktarılmaktadır.
·
Veri
işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla
denetimi sağlanmaktadır.
·
Veri
işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı
sağlanmaktadır.
·
Veri
kaybı önleme yazılımları kullanılmaktadır.
4.2.4. Periyodik İmha
Şirket, Verbis
ve Envantere paralel olarak, dijital ve fiziksel ortamlarında tuttuğu kişisel
verileri, periyodik olarak kontrol edeceğini ve işlendikleri amaç sona
erdiğinde söz konusu verileri ilk periyodik imha sırasında resen sileceğini,
yok edeceğini veya anonim hale getireceğini taahhüt eder. Her altı ayda bir
periyodik imha gerçekleştirilir. Kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve
söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl
süreyle saklanır. Periyodik imha süreçlerini yürütme sorumluluğu KVKK
Komitesine aittir.
4.3.
KİŞİSEL VERİLERİ
İMHA TEKNİKLERİ
İlgili mevzuatta
öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin
sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu
üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen
tekniklerle imha edilir.
4.3.1. Kişisel Verilerin
Silinmesi
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından
ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik
Ortamda Yer Alan Kişisel Veriler |
Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona
erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar)
için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden
saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim
yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde
çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir
Medyada Bulunan Kişisel Veriler |
Flash tabanlı
saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre
sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi
sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli
ortamlarda saklanır. |
4.3.2. Kişisel Verilerin
Yok Edilmesi
Veri Kayıt Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kâğıt ortamında yer alan kişisel verilerden
saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri
döndürülemeyecek şekilde yok edilir. |
Optik /
Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve
manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre
sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi
fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel
bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması
suretiyle üzerindeki veriler okunamaz hale getirilir. |
4.3.3. Kişisel Verilerin
Anonim Hale Getirilmesi
Kişisel
verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle
eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim
hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü
kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun
tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
5.
POLİTİKA’NIN
YAYINLANMASI VE SAKLANMASI
Politika, ıslak
imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı
ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.
6.
POLİTİKA’NIN
GÜNCELLENME PERİYODU
Politika,
ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
7.
POLİTİKA’NIN
YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika,
Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul
edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak
imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi
vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile şirket tarafından
saklanır.
NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ
LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI POLİTİKASI
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
4.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
· Hukuka ve Dürüstlük Kuralına Uygun İşleme
· Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
· Belirli, Açık ve Meşru Amaçlarla İşleme
· İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
· İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
· Kişisel Veri Sahibinin Açık Rızasının Bulunması
· Kanunlarda Açıkça Öngörülmesi
· Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
· Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
· Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
· Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
· Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
· Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
5. KİŞİSEL VERİLERİN AKTARILMASI
5.1. Kişisel Verilerin Yurtdışına Aktarılması
6. İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
8. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
9. POLİTİKA’NIN GÜNCELLENME PERİYODU
10. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1. AMAÇ
Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme ve kişisel verilerin korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket; çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
2. KAPSAM
Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örn. Ziyaretçimiz de olan çalışan adaylarımız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca ziyaretçilerimiz gibi) olabilecektir.
3. TANIMLAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
Şirketimiz, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
Şirketimiz, KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirketimiz, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurumu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
4.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
· Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
· Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır.
· Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
· İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
· İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.2. KİŞİSEL VERİLERİN, KVK KANUNU’NUN 5İNCİ MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimiz bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda yer alan şartlar uygulanır.
Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.
· Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, müşteri, potansiyel müşteri ve ziyaretçilerden ilgili yöntemler ile açık rızaları alınmaktadır.
· Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
· Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
· Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
· Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
· Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
· Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
· Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
5. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (Grup Şirketlerine, iş ortaklarına ve sair üçüncü kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
5.1. Kişisel Verilerin Yurtdışına Aktarılması
Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurumu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurumu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
6. İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.
Kişisel Verilerin İşlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması hâlinde söz konusu kişisel veriler silinir, yok edilir veya anonim hale getirilir. Kanunlarda verilerin tutulmasına ilişkin sürelerin öngörülmesi hâlinde ise bu veriler, ilgili mevzuatta öngörülen sürelere uygun olacak şekilde muhafaza edilir; mevzuatta öngörülen sürenin dolmasından sonra ise bu veriler Şirketimiz tarafından Kişisel Veri Saklama ve İmha Politikasında belirtildiği üzere, belirli aralıklarla kontrol edilerek, verilerin saklandığı sistemlerden/cihazlardan veya fiziksel olarak bulunduğu ortamlardan silinir, yok edilir veya anonim hale getirilir.
7. KVKK KOMİTESİ
KVKK komitesi sorumlularına ilişkin detaylar aşağıdaki tabloda belirtilmiştir:
Ünvan |
Birim |
Görev Tanımı |
Uzman |
Hukuk |
Komiteye başkanlık etmek. |
Uzman |
Üst Yönetim |
Yeni ve Eski Personel bilgilerinin işlenmesi ve muhafaza edilmesinden sorumludur. Çalışan, eski çalışan ve çalışan adayına ait fiziksel bilgi ve belgeleri, Şirketin Süre Matrisi içerisindeki sürelere istinaden periyodik olarak imha etmekle sorumludur. |
Uzman |
Üst Yönetim |
Denetim faaliyetlerini yürütmekle sorumludur. |
Uzman |
İnsan Kaynakları |
Personellerin sistem tanımlarını yapmak ve takibinden sorumludur. Çalışan, çalışan adayı, eski çalışan ve müşteriye ait dijital bilgi ve belgeleri, Şirketin Süre Matrisi içerisindeki sürelere istinaden periyodik olarak imha etmekle sorumludur. |
8. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.
9. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
10. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Şirket tarafından saklanır.
NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ
LİMİTED ŞİRKETİ
ÖZEL
NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI POLİTİKASI
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR.
5. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
6. POLİTİKA’NIN GÜNCELLENME PERİYODU
7. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1. AMAÇ
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”) ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’na (Karar) uyum amacıyla hukuka uygun bir biçimde yürütülen özel nitelikli kişisel veri işleme ve özel nitelikli kişisel verilerin korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket; çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait özel nitelikli kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Özel Nitelikli Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
2. KAPSAM
Bu Politika; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm özel nitelikli kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu politikanın uygulama kapsamı politikanın tamamı olabileceği gibi (örn. Ziyaretçimiz de olan çalışan adaylarımız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca ziyaretçilerimiz gibi) olabilecektir.
3. TANIMLAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Kanun ve Karar gereği Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Ayrıca Kanuna göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde de mümkündür:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Kanunda getirilen özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemler Şirket tarafından alınacaktır. Şirket, Özel Nitelikli Kişisel Verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini tehlikeye atabilecek risklere karşı korumak amacıyla Özel Nitelikli Kişisel Verileri operasyonel, fonksiyonel ve stratejik düzeyde alınacak uygun kontroller ile koruyacaktır.
Elektronik veya fiziksel medya aracılığıyla Özel Nitelikli Kişisel Verileri işleme, saklama, aktarma ve kullanma işlemleri yapılırken yazılım, donanım ve fiziksel alanların güvenliği ile ilgili tedbirler Şirket tarafından sürdürülmeye devam edilecektir.
5. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.
6. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
7. POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Muhasebe Departmanı tarafından saklanır.
NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ
LİMİTED ŞİRKETİ
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve KORUNMASI PROSEDÜRÜ
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE ALINAN ÖNLEMLER
5. PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI
6. PROSEDÜR’ÜN GÜNCELLENME PERİYODU
7. PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1. AMAÇ
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Prosedürü (“Prosedür”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı (Karar) ve Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası’na (Politika) uyum amacıyla hukuka uygun bir biçimde yürütülen özel nitelikli kişisel veri işleme ve özel nitelikli kişisel verilerin korunması faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Özel Nitelikli Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Prosedüre uygun olarak gerçekleştirilir.
2. KAPSAM
Bu Prosedür; müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm özel nitelikli kişisel verileri kapsamakla birlikte, Politika ve Kişisel Verilerin Korunması Politikası içerisinde bulunan bütün prensipler bu Prosedür için de geçerlidir.
3. TANIMLAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE ALINAN ÖNLEMLER
Şirket özel nitelikli kişisel verilerin işlenmesinde aşağıda yer alan önlemleri uygulamaktadır:
1- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
b) Gizlilik sözleşmelerinin yapılması,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
d) ç) Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,
2- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
d) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
e) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
f) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,
4- Özel nitelikli kişisel veriler aktarılacaksa
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.
5- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler dikkate alınmaktadır.
5. PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI
Prosedür, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.
6. PROSEDÜR’ÜN GÜNCELLENME PERİYODU
Prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
7. PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Prosedür, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Prosedür’ün ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Muhasebe Departmanı tarafından saklanır.
NE SATILIR BİLGİSAYAR YAZILIM ELEKTRİK TİCARET VE DANIŞMANLIK HİZMETLERİ
LİMİTED ŞİRKETİ
VERİ SAHİBİ BAŞVURU PROSEDÜRÜ
8. PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI
9. PROSEDÜR’ÜN GÜNCELLENME PERİYODU
10. PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1. AMAÇ
Veri Sahibi Başvuru Prosedürü (“Prosedür”), Ne Satılır Bilgisayar Yazılım Elektrik Ticaret Ve Danışmanlık Hizmetleri Limited Şirketi (Şirket) tarafından 6698 no.lu Kişisel Verilerin Korunması Kanunu (“Kanun”) ve 30356 sayılı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e (Tebliğ) uyum kapsamında kişisel verisi işlenen kişiden gelen başvuruların kabulü, incelenmesi, reddedilmesi ve yanıtlama süreçlerinin tanımlanması amacıyla hazırlanmıştır.
2. KAPSAM
Kanun ve Tebliğ uyarınca kişisel verisi işlenen kişilerden gelen tüm taleplerin değerlendirilmesi bu Prosedür kapsamındadır.
3. TANIMLAR
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan: Şirket personeli.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
Hizmet Sağlayıcı: Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul: Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
4. BAŞVURU HAKKI
İlgili kişilerin, veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenme, işlenmişse bunları talep etme, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır.
Bu kapsamda ilgili kişilerin, Kanunun uygulanmasıyla ilgili taleplerini, öncelikle veri sorumlusuna iletmeleri zorunludur. Kanun, kişisel verilerin korunması kapsamındaki başvurular için kademeli bir başvuru usulü öngörmüştür. İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
İlgili kişiler, Kanunun 11 inci maddesinde belirtilen hakları kapsamında Tebliğe uygun olarak taleplerini Türkçe olarak iletmek ve talebin içerisinde aşağıda belirtilen bilgileri eksiksiz olarak bildirmek zorundadır. Aksi takdirde Şirket talebi gerekçesini açıklayarak reddedebilir.
a) Ad, soyad ve başvuru yazılı ise imza
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası
c) Tebligata esas yerleşim yeri veya iş yeri adresi
ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası
d) Talep konusu
5. BAŞVURU KANALLARI
İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.
5.1. Elden Şahsen Yapılan Başvuru
Elden şahsen başvurularda, kişinin başvurusu, kimlik doğrulaması yapılması halinde kabul edilir. Başvuruyu alan çalışan, kimlik doğrulamasını gerçekleştirdikten sonra, doğrulama yapıldığını form üzerinde belirtir. Bu kanalla yapılan başvurular sadece Şirket İnsan Kaynakları Departmanı tarafından teslim alınır ve Şirket KVKK Komitesi’ne cevap yazısı hazırlanmak üzere iletilir.
5.2. Kayıtlı Elektronik Posta Adresine Yapılan Başvuru
İlgili kişi tarafından Şirketin Kayıtlı Elektronik Posta adresine (“KEP”) - nesatilir@hs01.kep.tr - yapılan başvurular, Şirketin İnsan Kaynakları Departmanı tarafından teslim alınır ve cevap yazısı hazırlanmak üzere Şirket KVKK Komitesi’ne iletilir. Bu kanalla yapılan başvurular yalnızca ilgili kişinin KEP adresi üzerinden yapılması gerekmektedir ve ayrıca kimlik teyidi yapılmasına gerek yoktur.
5.3. E-İmza veya Mobil İmza ile Yapılan Başvuru
İlgili kişi tarafından Şirketin info@nesatilir.com e-posta adresine elektronik imzalı ve/veya mobil imza ile yapılan başvurular, Şirketin İnsan Kaynakları Departmanı tarafından teslim alınır ve cevap yazısı hazırlanmak üzere Şirket KVKK Komitesi’ne iletilir. Gönderilen başvuru formu üzerinde bulunan elektronik imza güvenli elektronik imza uygulaması ile dosyanın imzalı olup olmadığı kontrol edilir ve kimlik teyidi ardından sonra başvuru kabul edilir, başvuru Şirket KVKK Komitesine iletilir. Güvenli elektronik imza uygulaması ile imza doğrulanamıyor ise ilgili kişi yazılı kanallara yönlendirilir.
5.4. Şahsi E-posta Adresi Üzerinden Yapılan Başvuru
İlgili kişi tarafından Şirkete daha önceden bildirilmiş olan ve Şirket sistemleri içerisinde kayıtlı olan şahsi e-posta üzerinden info@nesatilir.com e-posta adresine yapılan başvurular, Şirketin İnsan Kaynakları Departmanı tarafından teslim alınır ve cevap yazısı hazırlanmak üzere Şirket KVKK Komitesi’ne iletilir. İlgili kişinin başvuru yaptığı e-posta adresi Şirket sistemlerinde kayıtlı değil ise, kimlik teyidi yapılabilmesi için ilgili kişi uygun başvuru kanallarına yönlendirilir.
5.5. Diğer Kanallar Üzerinden Gelen Başvurular
İlgili kişinin Kanunun 11. maddesi kapsamındaki taleplerini yukarıda belirtilen kanallardan farklı kanallar üzerinden iletmesi durumunda, Şirket tarafından ilgili kişi uygun başvuru kanallarına yönlendirilir.
6. KİMLİK DOĞRULAMASI
Yukarıda belirtilen uygun başvuru kanallarından gelen talepler karşılanmadan önce mutlaka kimlik teyidi aşağıdaki tabloda belirtilen yöntemlerle yapılmalıdır.
Başvuru Kanalı |
Kimlik Doğrulama Yöntemi
|
Görevli Kişi/Departman |
Elden Şahsen |
Kimlik teyidi yapılır ve başvuru formu kimlik teyidinin yapıldığına dair ilgili personel tarafından imzalanır. |
İnsan Kaynakları Departmanı |
KEP |
İlgili kişinin KEP adresinden başvuru geldiği için ayrıca kimlik teyidi yapılmasına gerek yoktur. |
İnsan Kaynakları Departmanı |
Elektronik İmza veya Mobil İmza |
Gönderilen başvuru formu üzerinde bulunan elektronik veya mobil imzanın doğruluğu kontrol edilir. Güvenli elektronik imza uygulaması ile imzalı olup olmadığı kontrol edilir. |
İnsan Kaynakları Departmanı |
Şahsi E-posta Üzerinden |
Şahsi e-posta adresinin, Şirket sistemlerinde kayıtlı olan e-posta adreslerinden biri olup olmadığı kontrol edilir. |
İnsan Kaynakları Departmanı |
7. BAŞVURUYA CEVAP
Şirket Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alır.
(2) Şirket, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.
(3) Şirket, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
(4) Cevap yazısı;
a) Şirket veya temsilcisine ait bilgileri,
b) Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
c) Talep konusunu,
ç) Şirketin başvuruya ilişkin açıklamalarını,
içerir.
(5) Şirket başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Tebliğin 7 nci maddesinde belirtilen ücret alınabilir. Başvurunun, Şirketin hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
(6) İlgili kişinin talebinin kabul edilmesi hâlinde, Şirket talebin gereğini en kısa sürede yerine getirir ve ilgili kişiye bilgi verir.
8. PROSEDÜR’ÜN YAYINLANMASI VE SAKLANMASI
Prosedür, ıslak imzalı (basılı kâğıt) ve elektronik ortamda(intranet) olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da KVKK dosyasında saklanır.
9. PROSEDÜR’ÜN GÜNCELLENME PERİYODU
Prosedür, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
10. PROSEDÜR’ÜN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Prosedür, Şirketin intranet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Prosedür’ün ıslak imzalı eski nüshaları KVKK Komitesi kararı ile iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile İnsan Kaynakları Departmanı tarafından saklanır.