top of page
  • Instagram
  • LinkedIn

6698 Sayılı Kişisel Verilerin Korunması Politikası

Son güncellenme: 01/03/2024

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu” ya da kısaca “Kanun” olarak anılacaktır.) ile kişisel verilerin işlenmesinde kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları esaslar düzenlenmiştir.

Kurumumuz, Kişisel Verilerin Korunması ve İşlenmesi Politikası ile 6698 sayılı Kişisel Verilerin Korunması Kanunu temelinde çalışanlar, eski çalışanlar, müşteriler, ziyaretçiler, iş ortakları, üçüncü kişiler ve iş birliği yapılan diğer gerçek ve tüzel kişilere ait “kişisel verilerin” korunmasını amaçlamaktadır.

Tanımlar

Bu politikada yer alan terimler aşağıdaki tabloda açıklanmıştır:

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza’dır.

Anonimleştirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Veri:  Kimliği belirli ya da belirlenebilir nitelikteki gerçek kişiye ilişkin her türlü bilgidir.

KVK Kurulu: Kişisel Verileri Koruma Kurulu (KVKK), Başbakan’lığa bağlı olarak; kişisel verilerin işlenmesi, kişilerin temel hak ve özgürlüklerini korumak amacıyla gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla oluşturulan uzman ve idari kadrolardan oluşur

KVK Kurumu: 6698 Kişisel Verileri Koruma Kanunuyla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu kurulmuştur. (www.kvkk.gov.tr)

Özel Nitelikli Kişisel Veri: Kanunun 6. Maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir.

Veri İşleme Envanteri: Kurumun iş süreçlerine bağlı kişisel veri işleme faaliyetlerini; kişisel veri listesi, kategoriler, işleme amaçları, kişisel verilerin aktarıldığı alıcı grubu ve ilgili kişisel veri sahibi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanter.

Veri İşleyen: Veri sorumlusu tarafından atanan - onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini.

Veri Sorumlusu: Kişisel Verileri İşleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.

Veri Sorumlusu Temsilcisi:  Şirketin KVK Kurumu ile olan ilişkilerini yürüten (yönetim kurulu kararı ile atanan) personel.

NOT: Terimlerin çoğu 6698 KVK Kanunu maddelerinden ve www.kvkk.gov.tr sitesinde yer alan dokümanlardan yararlanılarak hazırlanmıştır.

Amaç

İşbu politikanın temel amacı, kurumumuz tarafından kişisel verilerin korunmasına yönelik olarak; kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik olarak yapılan işlemler konusundaki kuralları belirlemektir.

Kapsam

Bu politika çalışanlarımız, müşterilerimiz, ziyaretçilerimiz, iş ortaklarımız ve ilişki kurulan kişileri – ve bu kapsamda işlenen sözlü/yazılı ve/veya elektronik ortamda her türlü kişisel verileri kapsar.

Sorumluluklar

Kurumumuz “veri sorumlusu” sıfatıyla bu politikanın uygulanmasından genel olarak sorumludur. KVKK için oluşturulan bir komite ve atanan yetkililer bu politikasından sorumlu olacaktır.

Kişisel Verilerin İşlenmesine İlişkin Genel Kurallar

KVK Kanununun ikinci bölümünde yer alan “Kişisel Verilerin İşlenmesi” maddelerine uygun olarak genel kurallar şunlardır:

Kişisel Verilerin İşlenmesi Şartları

Veri sahiplerinin aydınlatma yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme ve veri sahiplerinin açık rıza vermesi durumunda işlenir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

  • Hukuka ve dürüstlük kurallarına uygun olma,

  • Doğru ve gerektiğinde güncel olma,

  • Belirli, açık ve meşru amaçlar için işlenme,

  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

  •  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Kişisel Verilerin Açık Rıza Olmaksızın İşlenmesi Şartları

Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  • Kanunlarda açıkça öngörülmesi.

  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

Özel nitelikli kişisel verilerin işlenme şartları şunlardır:

  • Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

  • Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

  • Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

  • Özel nitelikli kişisel verilerin işlenmesinde, ayrıca kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hâle Getirilmesi

  • Kurumumuzun kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi kuralları şunlardır:

  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

  • Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

  • Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kişisel Verilerin Aktarılması

Kişisel verilerin aktarılmasına ilişkin kurallarımız şunlardır: 

  • Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

  • Kişisel verilerin aktarılması; yukarıda belirtilen “açık rızası aranmaksızın kişisel verilerinin işlenmesi” durumunda mümkündür.

Kişisel Verilerin Yurt Dışına Aktarılması

Kişisel veriler ilgili kişinin açık rızası ve aşağıdaki şartlar sağlandığında yurt dışına aktarılabilir.

  • Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

  • Yeterli korumanın bulunması,

  • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

  • Yeterli korumanın bulunduğu ülkeler kurulca belirlenerek ilan edilir.

Veri Sahibinin Hakları

Veri sahipleri (İlgili kişiler) veri sorumlusuna başvurarak kendisiyle ilgili şu bilgileri isteyebilir:

  • Kişisel veri işlenip işlenmediğini öğrenme,

  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

  • Verinin işlenmesine ilişkin sebepler ortadan kalktığında kişisel verilerin silinmesini veya yok edilmesini isteme,

  • Aktarma yapıldıysa kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

 

Veri Sorumlusunun Yükümlülükleri

Veri sorumlusunun yükümlükleri şunlardır;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

  • Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

  • Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

  • Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri Sorumlusuna Başvuru ve Şikâyet

Veri sahibi bu kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

 

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kişisel Verilerin Güvenliğini Sağlanmasına İlişkin Önlemler

Kurumumuz kişisel verilerin güvenliği için aşağıdaki önlemleri almaktadır:

Teknik Önlemler

Kurumumuz sahip olduğu teknik olanaklar temelinde şu önlemleri almaktadır:

  • Kişisel verilerin bulunduğu bilgisayar ortamlarına, arşiv ve dolaplara yalnızca izni ya da yetkisi olan kişiler erişebilmektedir.

  • Verilerin yedekleri düzenli olarak alınmaktadır.

İdari Tedbirler

Kurumumuz kişisel verilerin güvenliği için aşağıdaki idari önlemleri almaktadır: 

  • Kişisel verilerin işlenmesi ve korunması konusunda üst yönetimin desteği sağlanmaktadır.

Kişisel Verilerin Saklanmasına İlişkin Sebepler

Kurumumuz ticari ve hukuki yükümlülüklerin ayrıca müşteri ve iş ortakları  ilişkilerinin yerine getirmek için kişisel verileri saklamaktadır. Kişisel verilerin saklanmasına ilişkin sebepler şunlardır:

  • Yasa gereği olarak.

  • Sözleşme ve mevzuatlar gereği gerekli bilgilerin saklanması şartlarının gereği.

  • Yönetmelikler uyarında belirtilen kişisel verilerin saklanması gereği.

Kişisel Verilerin Yok Edilmesi (İmha) Sebepleri

Kurumumuz aşağıdaki durumlarda kişisel verileri imha edecektir:

  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

  • Veri sahibinin kişisel verisini yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

  • Veri sahibinin Kurula verilerinin imha edilmesi konusunda başvurusunun uygun bulunması.

  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması.

 

İmha işlemi veri sorumlusu temsilcisi tarafından yerine getirilir.

 

Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

Kurumumuz kişisel verilerin silinmesi ve yok edilmesi aşağıdaki şekilde yapılmaktadır:

  • Bilgisayar sistemlerinden kalıcı olarak silmek.

  • Basılı ortamda /kâğıt olarak bulunan kişisel verilerin kâğıt imha makinası ile yok edilmesi.

  • Disk vb ortamlarda bulunan verilerin fiziksel imha yöntemi ile yok edilmesi.

 

Kişisel Verilerin Anonim Hale Getirilmesi

Anonimleştirme kişisel verinin güvenli saklanması ve gerektiğinde silme ve yok edilmesine alternatif olarak kullanılan bir tekniktir. Anonimleştirmede şu teknikler kullanılır:

  • Maskeleme ile verinin belli alanlarının belirsiz hale getirilmesi.

  • Onun dışında ERP ve Oracle ve diğer yazılımlar temelinde şifreleme ve diğer teknikler kullanılabilecektir.

bottom of page