TAŞKINLAR İNŞAAT TAAHHÜT VE TİCARET A.Ş. – KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
I. VERİ GİZLİLİĞİ TAAHHÜDÜ
1.1. İşbu Kişisel Verilerin Korunması Politikası (“Politika“), Taşkınlar İnşaat Taah. Tic. A.Ş’nin (“Şirket“) 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken ve Kişisel Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.
1.2. Şirket, kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
II.POLİTİKANIN AMACI
İşbu Politikanın temel amacı, Şirket tarafından Kişisel Verilerin işlenmesine ve korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
III. POLİTİKANIN KAPSAMI
3.1. İşbu Politika, Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
3.2. İşbu Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz.
3.3. KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.
IV. TANIMLAR
İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişinin, Veri Öznesine KVKK Madde 10 kapsamında bilgi vermesine ilişki yükümlülüğünü ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Verileri de kapsayacaktır).
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü işlemi ifade eder.
[“Komite” İşbu Politikanın ve Politikaya bağlı olarak uygulanacak KVKK Prosedürlerinin yerine getirilmesinden sorumlu komiteyi ifade eder.]
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.
“KVK Prosedürleri” Şirketin, çalışanların, [Komitenin ve/veya Veri Sorumlusu Temsilcisinin] işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri İşleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket adına işlenen tüm gerçek kişileri ifade eder.
“Veri Sorumlusu” Kişisel Verilerin İşleme amaçları ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu İrtibat Kişisi”, Kurum ile kurulacak iletişim için Veri Sorumlusu tarafından sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.
[“Veri Sorumlusu Temsilcisi” Komite içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan Şirket çalışanını ifade eder.]
“Yok Etme” Kişisel Verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
V. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi
Şirket, Kişisel Verileri, hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması
Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır ve Veri Öznesinin KVKK Düzenlemeleri kapsamında Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi
Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla işleneceği belirlenir. Bu kapsamda, Veri Öznesi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.
5.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket, Kişisel Verileri yalnızca KVK Düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Öznesinden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler. Veri Sorumlusu, Kişisel Verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verileri işlemekten kaçınır.
5.5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
5.5.1. Şirket, Kişisel Verileri amaca uygun olarak gerektiği kadar muhafaza eder. Şirketin, KVK Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen yükümlülüklere uygun davranır.
5.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir veya Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.
VI. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
6.1. Açık Rıza
6.1.1. Kişisel Veriler, Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.
6.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Öznelerine hakları bildirilir.
6.1.3. Veri Öznesinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.
6.1.4. [Veri Sorumlusu Temsilcisi ve/veya Komite], tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve alınan Açık Rıza’nın muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları [Veri Sorumlusu Temsilcisi ve/veya Komitenin] talimatlarına, işbu Politika’ya ve bu Politika’nın eki olan KVK Prosedürlerine uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
6.2.1. KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2), Şirket Veri Öznesinin Açık Rızasını almaksızın Kişisel Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin çizdiği sınırlar çerçevesinde Kişisel Verileri İşler. Bu kapsamda:
6.2.1.1. Kanunlarda açıkça öngörülmesi halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Öznesinin kendisinin ya da Veri Öznesi dışındaki bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
6.2.1.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması halinde Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.4. Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.5. Veri Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
6.2.1.6. Kişisel Verilerin İşlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu ise Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
6.2.1.7. Veri Öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.
VII. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1. Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
7.2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: Şirket hekimi) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza almaksızın işlenebilir.
7.3. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
7.4. Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
7.4.1. KVK Düzenlemeleri ile Özel Nitelikli Kişisel Verilerin güvenliği konularında düzenli olarak eğitimler verecektir.
7.4.2. Gizlilik sözleşmeleri yapacaktır.
7.4.3. Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve sürelerini net olarak tanımlayacaktır.
7.4.4. Periyodik olarak yetki kontrollerini gerçekleştirecektir.
7.4.5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırır ve ilgili çalışana tahsis edilen envanteri derhal geri alacaktır.
7.5. Özel Nitelikli elektronik ortamlara aktarılması durumunda, Özel Nitelikli Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar ile ilgili olarak Şirket:
7.5.1. Özel Nitelikli Kişisel Verileri kriptografik yöntemler kullanarak muhafaza edecektir.
7.5.2. Kriptografik anahtarları güvenli ve farklı ortamlarda tutacaktır.
7.5.3. Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli olarak loglayacaktır.
7.5.4. Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip edecek, gerekli güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
7.5.5. Özel Nitelikli Kişisel Verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini yapacak, bu yazılımların güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
7.5.6. Özel Nitelikli Kişisel Verilere uzaktan erişim olması halinde en az iki kademeli kimlik doğrulama sistemi sağlayacaktır.
7.6. Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Şirket:
7.6.1. Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olacaktır.
7.6.2. Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engelleyecektir.
7.7. Özel Kişisel Verilerin aktarılması halinde, Veri Sorumlusu:
7.7.1. Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (“KEP“) hesabı kullanacaktır.
7.7.2. Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarımın gerekli olması halinde kriptografik yöntemlerle şifreleme yapar ve kriptografik anahtarı farklı ortamda tutacaktır.
7.7.3. Özel Nitelikli Kişisel Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması gerekiyorsa, sunucular arasında VPN kurarak veya SFTP yöntemiyle aktarımı gerçekleştirecektir.
7.7.4. Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımının gerekli olması halinde, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri alır ve evrakı “gizlilik dereceli belgeler” formatında gönderecektir.
7.8. Yukarıdaki düzenlemelere ek olarak, Şirket, Özel Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareket edecektir.
7.9. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite] bilgilendirilir.
7.10. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite’den] görüş alınır.
VIII. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ
Kişisel Veriler, Şirket bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, KVKK’nın 7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
IX. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
9.1. Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir, Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi yahut Anonim Hale Getirilmesi gereken durumlar [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından takip edilir.
9.2. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden [Veri Sorumlusu Temsilcisi ve/veya Komite] sorumludur. Bu kapsamda gerekli prosedür [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından oluşturulur.
9.3. Şirket, Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
9.4. Şirket’in Kişisel Veriler üzerinde uygulayacağı tüm Silme, Yok Etme ve Anonim Hale Getirme faaliyetleri Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’nda belirtilen esaslara uygun olarak gerçekleştirilecektir.
X. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ
Şirket, Kişisel Veri İşleme amaçları doğrultusunda gerekli önlemleri alarak Kişisel Verileri yurtiçinde ve/veya yurtdışında bulunan üçüncü bir gerçek ya da tüzel kişiye KVK Düzenlemelerine uygun şekilde aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar.
Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise [Veri Sorumlusu Temsilcisi ve/veya Komite’den] temin edilir.
Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] bildirilir.
10.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
10.1.1. Kişisel Veriler, KVKK Madde 5.2’de ve yeterli önlemler alınmak kaydıyla Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.
10.1.2. Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve [Veri Sorumlusu Temsilcisi veya Şirket] müteselsilen sorumludur.
XI. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ
11.1. Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri Öznelerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında Aydınlatma Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan bildirim sırasıyla şu unsurları içerir:
11.1.1. Veri Sorumlusunun ve varsa temsilcisinin kimliği,
11.1.2. Kişisel Verilerin hangi amaçla işleneceği,
11.1.3. İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
11.1.4. Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
11.1.5. Veri Öznelerinin KVKK Madde 11’de sayılan hakları.
11.2. Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. Maddesine uygun olarak Veri Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
11.3. Veri Özneleri tarafından KVKK Düzenlemelerine uygun olarak talep edilmesi halinde Şirket, Veri Öznesinin işlediği Kişisel Verilerini Veri Öznesine bildirir.
11.4. Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve [Veri Sorumlusu Temsilcisi veya Şirket] müteselsilen sorumludur. Bu kapsamda her bir yeni veri işleme sürecinin [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] raporlanması amacı ile gerekli KVK Prosedürü [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından oluşturulur.
11.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde [Veri Sorumlusu Temsilcisi ve/veya Komite’den] temin edilir. Her bir çalışan, Şirkete üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından iletilen maddede Kişisel Verileri aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] bildirir.
XII. VERİ ÖZNELERİNİN HAKLARI
12.1. Şirket Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen kendileriyle ilgili taleplerine KVK Düzenlemelerine uygun şekilde cevap verir:
12.1.1. Şirket tarafından Kişisel Veri İşlenip İşlenmediği öğrenme,
12.1.2. Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,
12.1.3. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
12.1.4. Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
12.1.5. Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
12.1.6. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin İşlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel Verilerin Silmesini veya yok edilmesini isteme,
12.1.7. Şirket tarafından Kişisel Verilerin düzeltilmesi, Silinmesi ya da Yok Edilmesi halinde bu işlemlerin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
12.1.8. İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
12.1.9. Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri Özneleri haklarını kullanmak istediği ve/veya Kişisel Verileri işlerken Şirketin işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda talep ve başvurularını Taşkınlar İnşaat Taah. Tic. A.Ş Veri Öznesi Başvuru Formu’nu doldurarak veya kendi taleplerini Kişisel Verileri Koruma Kurumu tarafından belirlenen şartları taşıyacak şekilde oluşturarak aşağıdaki iletişim adresleri üzerinden ıslak imzalı bir dilekçe ile elden, noter veya iadeli taahhütlü mektup aracılığıyla veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da daha önce tarafımıza bildirilen ve sistemimizde kayıtlı olan e-posta adresinizi kullanmak suretiyle şirketimize iletebilirsiniz. Lütfen güncel başvuru yöntemlerini başvuru öncesinde mevzuattan teyit ediniz.
Posta adresi : Oruç Reis Mah. Tekstilkent Cad. No.10-AM/201 Esenler – İstanbul
E-posta adresi : kvkk@taskinlar.com.tr
Kep adresi : taskinlar@hs01.kep.tr
12.2. Veri Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.
XIII. VERİ YÖNETİMİ VE GÜVENLİĞİ
13.1. Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere [Veri Sorumlusu Temsilcisi atar ve/veya Komite oluşturur].
13.2. Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.
13.3. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.
13.4. Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.
13.5. Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.
13.6. Şirkette Kişisel Verilere erişmesi gereken çalışanların söz konusu Kişisel Verilere erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur.
13.7. Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
13.8. Şirket çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] bildirir.
13.9. Kişisel Verilerin güvenliğine yönelik detaylı KVK Prosedürü [Veri Sorumlusu Temsilcisi ve/veya Komite] tarafından oluşturulur.
13.10. Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.
13.11. Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.
13.12. KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
13.13. Şirkette Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
13.14. Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
13.15. Şirkette Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunması için gerekli önlemler alınacaktır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmayacaktır. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmayacak, Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamayacak, Şirket dışına çıkartılamayacaktır.
13.16. [Veri Sorumlusu Temsilcisi ve/veya Komite], Şirket içerisinde bulunan tüm Kişisel Verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürlerini hazırlayarak Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, [Komite ve/veya Veri Sorumlusu Temsilcisi] çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.
13.17. Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, [Komite ve/veya Veri Sorumlusu Temsilcisi] tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilecek ve ilgili departman [Komite ve/veya Veri Sorumlusu Temsilcisi] talimatlarına uygun hareket edecektir. Özel Nitelikli Kişisel Verilere erişim yetkisi yalnızca sınırlı çalışanlara verilecek ve bunların listesi ve takibi [Komite ve/veya Veri Sorumlusu Temsilcisi] tarafından yapılacaktır.
13.18. Şirket içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.
13.19. Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
XIV. EĞİTİM
14.1. Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
14.2. Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.
14.3. Şirket çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
XV. DENETİM
Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. [Komite ve/veya Veri Sorumlusu Temsilcisi] bu denetimlere dair KVK Prosedürü oluşturur, Yönetim Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.
XVI. İHLALLER
16.1. Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] raporlar. Bu kapsamda ilgili ihlale yönelik [Veri Sorumlusu Temsilcisi ve/veya Komite] işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.
16.2. Yapılan bilgilendirmeler sonucunda [Veri Sorumlusu Temsilcisi ve/veya Komite] KVK Düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Öznesi veya Kurum’a yapılacak bildirimi hazırlar. Bu durumda, Veri Sorumlusu İrtibat Kişisi Kurum ile yapılan yazışma ve iletişimi yürütür.
XVII. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
17.1. Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
17.2. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Öznelerinin erişimine sunar.
İlgili web adresi: https://taskinlar.com.tr/
XVIII. POLİTİKANIN YÜRÜRLÜK TARİHİ
Politika’nın işbu versiyonu 01/03/2021 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.
AYDINLATMA METNİ VE GİZLİLİK POLİTİKASI
İşbu Aydınlatma Metni ve Gizlilik Politikasında (“Gizlilik Politikası”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamındaki aydınlatma yükümlülüğümüz çerçevesinde Taşkınlar İnşaat Taah. ve Tic. A.Ş (“TAŞKINLAR İNŞAAT”) olarak, http:/taskinlar.com.tr/ adresli internet sitesinin (bundan sonra “Site” olarak da anılacaktır) işletilmesi sırasında siz site ziyaretçisi/kullanıcılarının Site aracılığıyla toplanan verilerini ve bu verileri nasıl kullandığımızı açıklamayı amaçlamaktadır.
İşbu Gizlilik Politikası, münhasıran kişisel verilere ilişkin olup, kişisel veri olarak addedilmeyen veriler işbu politika kapsamına girmemektedir.
- GİZLİLİK POLİTİKASI DEĞİŞİKLİKLERİ
Siteyi her kullanışınızda o an yürürlükte olan Gizlilik Politikasına tabi olacaksınız ve Siteyi her ziyaretinizde koşulları kabul ettiğinizden emin olmak için bu metni gözden geçirmelisiniz. TAŞKINLAR İNŞAAT, işbu Gizlilik Politikasında zaman zaman değişiklik yapabilir. Güncel Gizlilik Politikası, Site’de yayımlandığı an itibariyle geçerli olacaktır.
Bu Gizlilik Politikasına ilişkin sorularınız veya burada ele alınmayan sorunlarınız olması durumunda lütfen işbu Gizlilik Politikası’nda yer alan iletişim kanalları aracılığıyla TAŞKINLAR İNŞAAT ile iletişime geçiniz.
2. KİŞİSEL VERİLERİNİZ HAKKINDA BİLGİLENDİRME
2.1. Veri Sorumlusunun Kimliği
İşbu bölüm altında açıklanan kanallar vasıtasıyla paylaştığınız kişisel verileriniz bakımından KVKK uyarınca Veri Sorumlusu; İstanbul Ticaret Sicili nezdinde 237161-0 sicil numarası ile kayıtlı, 0828004282200017 Mersis numaralı, şirket merkezi Oruç Reis Mahalesi Tekstilkent Cad. No.10AM/201 Esenler/İstanbul adresinde bulunan Taşkınlar İnşaat Taah. ve Tic. A.Ş’ dir.
2.2. Kişisel Verilerin Toplanması, Hukuki Sebepler ve İşlenme Amaçları
TAŞKINLAR İNŞAAT, yürütmekte olduğu tüm kişisel veri işleme faaliyetlerinde KVKK başta olmak üzere ilgili mevzuatta aranan tüm yükümlüklere uygun olarak hareket etmekte ve kişisel verilerinizin güvenli bir şekilde barındırılması ve kişisel verilerinizin hukuka aykırı biçimde kullanılmasının önlenmesi için gerekli güvenlik tedbirlerini almaktadır.
Site’de yürütülen faaliyetler kapsamında Kişisel verileriniz TAŞKINLAR İNŞAAT tarafından aşağıda belirtilen kanallar aracılığıyla otomatik veya otomatik olmayan yollarla elektronik şekilde toplanmaktadır.
- Site’de yer alan TAŞKINLAR İNŞAAT ile iletişime geçmenize ve görüş ve önerilerinizi iletmenize yarayan “Bize Ulaşın” formu
- Site’de yer alan Çerezler ve benzer teknolojiler
Kişisel verileriniz, Site’nin ziyareti, Site’de sunulan hizmetlerden faydalanabilmeniz, Site aracılığıyla bize ulaştırdığınız görüş ve önerileriniz ile projelerimize/ hizmetlerimize yönelik soru ve cevaplarınızın takibi ve gerekli yönlendirmelerin yapılması, sistem yönetimi, sorunların belirlenmesi ve Site’nin geliştirilmesi, Site ve koşullarındaki değişiklikler ile ilgili önemli güncellemelerin tarafınıza gönderilmesi, resmi makamların taleplerine ya da iletişim konularına cevap verilmesi amacıyla işbu Gizlilik Politikası uyarınca işlenebilecektir.
Bu kapsamda kişisel verileriniz TAŞKINLAR İNŞAAT tarafından KVKK Madde 5/2 kapsamında ayrıca kanunlarda açıkça öngürülmesi, bir sözleşmenin kurulması ve ifası ile ilgili olması, hukuki yükümlülüklerimizi yerine getirmek için zorunlu olması, bir hakkın tesisi, kullanılması ve korunması için zorunlu olması, şirketin meşru menfaatleri için zorunlu olması, kullanıcının kendisi tarafından aleniştirilmiş olması halinde açık rızanız aranmaksızın işlenebilecektir.
2.3. Kişisel Verilerinizin Üçüncü Kişilerle Paylaşılması ve Yurtdışına Aktarımı
Kişisel verileriniz TAŞKINLAR İNŞAAT tarafından kullanıcıların Site’den ve Site üzerinde yürütülen faaliyetlerden faydalanması, Site’nin veri güvenliğinin sağlanması başta olmak üzere işbu Gizlilik Politikası’nda anılan amaçlar dahilinde ve bu amaç ile sınırlı olarak yurtiçinde ve yurtdışında bulunan depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, program, bulut bilişim, web sitesi içerik yöneticileri gibi) aldığımız üçüncü kişilere, iş ortakları, hizmet sağlayıcılar, danışmanlık firmaları, ve belirlenen amaçlarla aktarımın gerekli olduğu diğer ilişkili taraflar ile kolluk kuvvetleri dâhil olmak üzere mahkeme veya hakem heyeti gibi uyuşmazlık çözmekle yetkilendirilmiş resmi kurum ve kuruluşlara ve aktarılabilmektedir.
2.4. Verilerinizin Korunması
TAŞKINLAR İNŞAAT, iş yerlerine ve bilgi sistemlerine uygun fiziksel, teknik ve yönetimsel güvenliği sürdürmeye, böylece kişisel verilerin kaybolması, kötüye kullanılması, yetkisiz erişimi, ifşa edilmesi veya değiştirilmesini önlemeye çalışır. Internet sitemizi ve diğer sistemlerimizi kayıp, yok olma, yetkisiz giriş, yetkisiz kişilerin kişisel verilerinizin değiştirilmesi veya ifşasına karşı gerekli teknik ve kurumsal önlemleri alarak korumaktayız. Kişisel verilerinizi gönderdiğinizde bu verilerinizi korumak için en üst çabayı göstermemize rağmen, internet veya herhangi bir genel ağ üzerinden yapılan hiçbir veri aktarımının %100 güvenli olduğu garanti edilemez.
Site üzerinden başka uygulamalara bağlantı verilmesi halinde, TAŞKINLAR İNŞAAT uygulamaların gizlilik politikalarına ve içeriklerine ilişklin herhangi bir sorumluluk kabul etmemektedir.
2.5. Verilerin İşlenme Süresi
İşbu Gizlilik Politikası’nda anılan kanallar vasıtasıyla TAŞKINLAR İNŞAAT ile paylaşmış olduğunuz kişisel veriler, KVKK başta olmak üzere kişisel verilerin korunmasına ilişkin mevzuata ve diğer mevzuatta zorunlu kılınan sürelere uygun şekilde her halükârda işbu Gizlilik Politikası’nda belirlenen işleme amaçları ortadan kalkmadığı müddetçe işlenecektir.
2.6. Haklarınız
KVKK Madde 11 uyarınca Şirketimize başvurarak;
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinizin kullanımına ilişkin bize daha önce verdiğiniz herhangi bir izni geri alma,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Amaç, süre ve meşruiyet prensipleri dahilinde değerlendirilmek üzere silinmesini veya yok edilmesini isteme,
- Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğramanız hâlinde zararın giderilmesini talep etme,
haklarına sahipsiniz.
Bu kapsamda, yukarıda belirtilen haklarınıza ilişkin taleplerinizi kimliğinizi tespit edici bilgi ve belgelerle İnternet Sitemizde yer alan başvuru formunu doldurup veya kendi talebinizi Kişisel Verileri Koruma Kurumu tarafından belirlenen şartları taşıyacak şekilde oluşturup aşağıda belirlenen yöntemler ile Şirket’e iletebilirsiniz.
- Aşağıda yer alan posta adresimize elden ıslak imzalı olarak ya da noter aracılığıyla,
Adres: : Oruç Reis Mahalesi Tekstilkent Cad. No.10-AM/201 Esenler/İstanbul
Aşağıdaki KEP adresimize veya e-posta adresimize bize daha önce bildirdiğiniz ve sistemimizde kayıtlı olan e-posta adresinizden göndereceğiniz e-posta ile (lütfen sistemimizde kayıtlı e-posta adresinizi kontrol ediniz) veya güvenli elektronik imzalı veya mobil imzalı olarak,
E- posta adresi : kvkk@taskinlar.com.tr
KEP adresi : taskinlar@hes01.kep.tr
Lütfen güncel başvuru yöntemlerini ve başvuru içerik şartlarını öncesinde mevzuattan teyit ediniz. Kurum tarafından belirlenen içerik şartlarına uymayan yahut Kurum tarafından kabul edilmeyen yöntemlerle iletilen başvurular kabul edilmeyecektir.
TAŞKINLAR İNŞAAT, talebinizi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Taleplerinizin yerine getirilmesi sebebiyle bir maliyet doğması hâlinde yalnızca Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretleri sizden talep edebiliriz.
2.7. Çerezler Hakkında Bilgilendirme
İnternet sitemizi ziyaret ettiğinizde, sitemiz cihazınıza bir çerez gönderebilecektir. Bu çerez, sabit diskinizde saklanan ve bilgisayarınızın internet sitemize eriştiğini bize bildiren küçük bir bilgi parçasıdır. Bu çerez sizi doğrudan tanımlama yetisine sahip değildir.
Kişisel bilgilerinizi internet sitemizi nasıl kullandığınız bakımından işleyeceğiz ve çerezlerimizi meşru menfaatlerimiz doğrultusunda ve en popüler sayfaların hangileri olduğunu ve site kullanımının hangi zamanlarda zirve yaptığını belirlemek, aynı zamanda İnternet Protokolü (IP) adresleri, yönlendirme yapan internet sitesi adresleri, uygulama faaliyet kayıtları ve hata kayıtları gibi içeriği iyileştirmek ve internet sitemizin navigasyonunu daha kolay hale getirmek için kullandığımız diğer bilgileri elde etmek amacıyla kullanabiliriz.
Çerezleri kullanmak istemiyorsanız tarayıcı ayarlarınızı çerezleri reddedecek şekilde değiştirebilirsiniz. Bu ayarlar genellikle tarayıcınız için “seçenekler” veya “tercihler” menüsünde bulunur. Daha fazla bilgiyi burada veya tarayıcınızın ‘Yardım’ menüsünde bulabilirsiniz:
KİŞİSEL VERİ SAKLAMA, İMHA VE ANONİMLEŞTİRME POLİTİKASI
I. KAPSAM
- İşbu Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası (“Politika”); Taşkınlar İnşaat ve Tic. A.Ş (“Taşkınlar İnşaat) Kişisel Verileri işlediği herhangi bir sürece dâhil olan tüm departmanlarını, çalışanlarını ve 3. partileri kapsamaktadır.
- İşbu Politika; Taşkınlar İnşaat’ın Kişisel Veriler üzerinde uygulayacağı tüm İmha faaliyetlerini kapsayacak olup, her türlü İmha gereksinimi sonucunda uygulanacaktır.
- İşbu Politika Kişisel Veri olmayan veriler hakkında uygulanmayacaktır.
- Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Taşkınlar İnşaat Politikası’nı ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.
- İşbu Politika’nın Taşkınlar İnşaat tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Taşkınlar İnşaat uygulayacağı adımları gerek görülmesi durumunda yeniden belirleyebilecektir.
II. TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Alıcı Grubu | Veri Sorumlusu tarafından Kişisel Verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder. |
Anonim Hale Getirme veya Anonimleştirme | Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. |
İmha | Kişisel silinmesi, yok edilmesi ve anonim hale getirilmesini ifade eder. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusundan aldığı yetki ve talimat doğrultusunda Kişisel Verileri işleyen kişileri ifade eder. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin bulunduğu her türlü ortamı ifade eder. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan Özel Nitelikli Kişisel Veriler’i de kapsayacaktır). |
Kişisel Veri İşleme | Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
Komite | İşbu Politikanın ve Politikaya bağlı olarak uygulanacak KVK Prosedürlerinin yerine getirilmesinden sorumlu komiteyi ifade eder. |
Kurul | Kişisel Verileri Koruma Kurulu’nu ifade eder. |
Kurum | Kişisel Verileri Koruma Kurumu’nu ifade eder. |
KVK Düzenlemeleri | 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder. |
KVK Prosedürleri | Şirketin, çalışanların, [Komitenin ve/veya Veri Sorumlusu Temsilcisinin] işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder. |
Politika | Taşkınlar İnşaat’ın, Kişisel Verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile Silme, Yok Etme ve Anonim Hale Getirme işlemi için dayanak yaptığı Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’nı ifade eder. |
Sicil | Başkanlık tarafından tutulan Veri Sorumluları Sicili’ni ifade eder. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
Silme veya Silinme | Kişisel Verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. |
Veri Envanteri | Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri İşleme faaliyetlerini; Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı Alıcı Grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin İşlendiği amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder |
Veri Kayıt Sistemi | Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Öznesi | Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade etmektedir. |
Veri Sorumlusu | Kişisel Verileri işleme amaçları ve işleme yollarını belirterek işleyen, Veri Kayıt Sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade etmektedir. |
Veri Sorumlusu Temsilcisi | Komite içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade etmektedir. |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’i ifade etmektedir. |
Yok Etme | Kişisel Verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. |
Kişisel Verilerin Korunması ve Gizliliği Politikası içerisinde bulunan tanımlar işbu Politika için de geçerlidir.
III. AMAÇ VE KAPSAM
- İşbu Politika, Kanunun 7.maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan Kişisel Verilerin Silinmesinden, Yok Edilmesinden veya Anonim Hale Getirilmesinden sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Taşkınlar İnşaat ile Taşkınlar İnşaat’ın sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirleyecektir.
- Yönetmelik uyarınca Taşkınlar İnşaat, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, Kişisel Verileri, uhdesinde bulunan Veri Envanteri’ne uygun bir şekilde saklamak ve gerektiğinde Silmek, Yok Etmek ya da Anonim Hale Getirmek için bir Politika hazırlamak ve bu Politikaya uygun hareket etmek ile yükümlüdür. Bu kapsamda Taşkınlar İnşaat, sayılan yükümlülükleri yerine getirmek amacıyla işbu Politika’yı hazırlamıştır.
- Kişisel Verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:
- Kanunun 4. maddesindeki genel ilkelere ve Yönetmelik’in 7. maddesindeki ilkelere uyulacaktır.
- Taşkınlar İnşaat, Kişisel Verileri saklarken yahut Silerken, Yok Ederken veya Anonim Hale Getirirken, Kanunun 12. maddesinde yer alan güvenlik tedbirlerine, KVK Düzenlemelerine ve Politikaya uygun hareket edeceğini kabul, beyan ve taahhüt eder.
- Taşkınlar İnşaat, bünyesinde bulundurduğu Kişisel Verilerin amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi sırasında İşbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
- Taşkınlar İnşaat, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Verileri Politikanın kapsamına dahil etmeyi kabul eder:
- Taşkınlar İnşaat adına kullanılan bilgisayarlar/sunucular
- Ağ cihazları,
- Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri
- Bulut sistemleri,
- Mobil telefonlar ve içerisindeki tüm saklama alanları,
- Kağıt,
- Mikrofiş,
- Yazıcı, Parmak izi okuyucu gibi çevre birimler,
- Manyetik bantlar,
- Optik diskler,
- Flash hafızalar.
IV. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN DURUMLAR
Aşağıda belirtilen kapsamda bir ihlal olması durumunda potansiyel güvenlik ihlal durumu kabul edilerek Taşkınlar İnşaat tarafından önlem alınacaktır. Taşkınlar İnşaat, Kişisel Verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
- Kişisel Verilerin Saklanmasını Gerektiren Durumlar
Taşkınlar İnşaat; (i) kanunlarda açıkça öngörülmesi, (ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, (iv) hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması (v) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, (vi) Veri Öznesi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde Kişisel Verileri mevzuata uygun olarak saklamakla yükümlüdür. Taşkınlar İnşaat ayrıca; (i) Açık Rıza alınması, (ii) Kanun’un 5(2) ve 6(3) maddelerinde yer verilen istisnaların bulunması durumunda Kişisel Verileri saklama hakkını haizdir.
- Kişisel Verilerin İmhasını Gerektiren Durumlar
- Kanun’a Aykırılık
Taşkınlar İnşaat, Kişisel Verileri Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.
Taşkınlar İnşaat, Kanun’un 5 ve 6. maddelerindeki Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
- Kanun’da belirtilen istisnalar dışında Açık Rızasını almadığı kişilerin Kişisel Verilerini saklamaz.
- Taşkınlar İnşaat, Özel Nitelikli Kişisel Verileri sakladığı durumlarda, verileri KVK Düzenlemelerine bağlı kalarak [Veri Sorumlusu Temsilcisi ve/veya Komite’nin] bilgisi dâhilinde işler. Bu kapsamda Kanun’un 6(4) maddesi kapsamında Kurul tarafından belirlenmiş ya da belirlenecek tedbirleri alır.
- Veri İşleme Şartlarının Ortadan Kalkması
Taşkınlar İnşaat, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.
Çalışanlar, veri işlenme şartlarının tamamının ortadan kalktığı durumlarda veri işlemeye devam edemez. Taşkınlar İnşaat Bilgi İşlem Bölümü, şartların ortadan kalktığı Kişisel Verileri işbu Politika’ya uygun bir şekilde Silmek, Yok Etmek ya da Anonim Hale Getirmekle yükümlüdür.
Taşkınlar İnşaat aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
- Kişisel Verileri işlemeye esas teşkil eden KVK Düzenlemelerinin değiştirilmesi veya yürürlükten kaldırılması,
- Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
- Kişisel Verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel Verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel Verileri işlemenin sadece Açık Rıza şartına istinaden gerçekleştiği hallerde, Veri Öznesinin rızasını geri alması,
- Veri Öznesinin, Kanunun 11.maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde Kişisel Verileri işleme faaliyetine ilişkin usule uygun başvuru yapması,
- Veri Sorumlusunun, Veri Öznesi tarafından Kişisel Verilerinin Silinmesi veya Yok Edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel Verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, Kişisel Verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5. KİŞİSEL VERİLERİN SAKLANMASI, İŞLENMESİ VE İMHASI İÇİN ALINAN TEDBİRLER
Taşkınlar İnşaat, Kişisel Verilerin hukuka uygun şekilde saklanması, işlenmesi ve erişimini sağlamak için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetlerine göre teknik ve idari tedbirler almaktadır.
Taşkınlar İnşaat tarafından Kişisel Verilerin hukuka aykırı saklanması, işlenmesi ve erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
- İş birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak yetki matrisi oluşturulmuş, kişisel hesap yönetimi sistemi kurulmuş ve şifreleme sistemleri aktive edilmiştir.
- Bu kapsamda virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılım ve donanımlar kurulmakta, log kayıtları tutulmakta, düzenli yedeklemeler yapılmaktadır.
- Ağ güvenliğini sağlamak için gerekli yazılım ve donanım kurulmakta, yetki kontrolleri ve sızma testleri 6 aylık aralıklarla gerçekleştirilmektedir. Bu kapsamda güvenlik duvarları ve saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği [Veri Sorumlusu Temsilcisi ve/veya Komite’ye] raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Açık Rıza alınmayan ve kanuni istisnalar arasına girmeyen veriler maskelenerek kullanılmaktadır
- Teknik konularda bilgili personel istihdam edilmekte ve bu kişiler kurulmuş olan varsa Komite’nin daimi üyesi yapılmaktadır.
- İdari Tedbirler
Taşkınlar İnşaat tarafından Kişisel Verilerin hukuka aykırı saklanması, işlenmesi ve erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
- Taşkınlar İnşaat çalışanlarına Kişisel Verileri Koruma mevzuatı kapsamında bilgilendirmiş ve bu konuda gerekli eğitimlerden geçirmiştir. Eğitimler kapsamında, çalışanlara rolleri ve sorumlulukları anlatılmış, “yasaklanmadıkça her şey serbest” değil “izin verilmedikçe her şey yasak” prensibi hakkında bilgilendirme yapılmıştır. Çalışanlar ile, öğrendikleri Kişisel Verileri KVK Düzenlemelerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda gizlilik sözleşmesi imzalanarak Kişisel Verilerin korunması adına gerekli taahhütler alınmıştır. Bu kapsamda çalışan iş sözleşmeleri ve disiplin yönetmeliklere Kanun’a uygun hükümler eklenmiştir. Şirket içi organizasyonlarında, bu taahhütlere ve sair gizlilik yükümlülüklerine uyulmaması durumunda işletilecek disiplin süreçlerini hazırlamıştır.
- Taşkınlar İnşaat çalışanlarını 1 yıllık aralıklarla bilgilendirmeye devam edeceğini ve bilgilerini güncel tutacağını taahhüt etmektedir.
- Sicile bildirim yapılabilmesi için gerekli hazırlıklarını tamamlamıştır.
- İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Verilere erişim ve yetkilendirme süreçleri tasarlanmış ve uygulanmaktadır.
- Taşkınlar İnşaat tarafından Kişisel Verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında işbu Politika kapsamında gerekli düzenlemeleri yapmıştır
- Veri Envanteri hazırlanmış ve Kişisel Verilerin işlenmesi, muhafazası ve aktarılmasına ilişkin sözleşmelerde gerekli hükümlere yer vermiş,
- Kurum İçi Periyodik ve/veya Rastgele Denetimler için gerekli hazırlıklar yapılmıştır. Risk Analizleri gerçekleştirilerek gerekli önlemler alınmıştır.
- İhlal durumunda kurumsal iletişim prosedürleri ve bilgilendirme süreçleri işbu Politika’da belirleniştir.
Taşkınlar İnşaat, KVK Kanunu’nun 12. maddesine uygun olarak, [atadığı Veri Sorumlusu Temsilcisi ve/veya kendi bünyesinde oluşturduğu Komite] aracılığı ile gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
6. KİŞİSEL VERİLERİN YETKİSİZ BİR ŞEKİLDE İFŞASI
Taşkınlar İnşaat Kanun’da, KVK Düzenlemelerinde ve işbu Politikada yer verilen Kişisel Veri güvenliği yükümlülüklerinin ihlali durumlarında izlenecek prosedürü işbu Politika kapsamında düzenlemiştir.
- Taşkınlar İnşaat Bünyesinde Gerçekleşen İhlaller
Bir Taşkınlar İnşaat çalışanı herhangi bir ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda ilgili departman direktörünü durumdan derhal haberdar eder, ihlalin nasıl farkına varıldığı ve nereden kaynaklandığı konusunda departman sorumlusunu bilgilendirir. Departman direktörü ihlali devam ediyorsa durdurmak ve sona ermişse boyutunu tespit etmek adına ilk önlemleri alır ve [Veri Sorumlusu Temsilcisini ve/veya Komite’yi] durumdan haberdar eder. [Veri Sorumlusu Temsilcisi ve/veya Komite], ihlal karşısında önlem alması için IT departmanından destek alır ve hukuk departmanı ile iletişime geçer. [Veri Sorumlusu Temsilcisi ve/veya Komite] ihlalin boyutu, kapsamı ve sonuçlarını raporlayarak Yönetim Kurulu ve Kurum ile paylaşır.
- Üçüncü Kişiler Bünyesinde Gerçekleşen İhlaller
[Veri Sorumlusu Temsilcisi ve/veya Komite], Taşkınlar İnşaat’ın çalıştığı üçüncü bir kişinin herhangi bir ihlal tespit etmesi veya olası bir ihlalle karşılaşması durumunda, haber verilmesini takip eden 12 saat içerisinde hukuk departmanı ve gerekiyorsa IT departmanı ile iletişime geçer. [Veri Sorumlusu Temsilcisi ve/veya Komite] ihlalin boyutu, kapsamı ve sonuçları hakkında karşı taraftan elde ettiği bilgileri raporlayarak Yönetim Kurulu ve Kurum ile paylaşır.
7. KİŞİSEL VERİLERİN İMHASI
Kişisel Verilerin İmhası, verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Taşkınlar İnşaat, Kişisel Verilerin hukuka uygun olarak Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
- Kişisel Verilerin Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen Kişisel Verilerin silinmesi; söz konusu Kişisel Verilerin İlgili Kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri Sorumlusu, ilgili politika ve prosedürlerinde Kişisel Verilerin Silinmiş sayılması için Yönetmelik madde 7(3)’te belirtilen koşulların nasıl sağlandığını açıklar. Herhangi bir Veri Kayıt Sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen Kişisel Verilerin silinmesi; tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kağıt halindeki gerekli olmayan Kişisel Verilerin Anonim Hale Getirilmesi yoluyla gerçekleştirilme işlemi, Taşkınlar İnşaat’ın verileri tamamen veya otomatik yollarla işlediği durumlarda yapılır ve Taşkınlar İnşaat, Kişisel Verileri Sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Taşkınlar İnşaat, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder. Bu garanti, Taşkınlar İnşaat’ın sorumluluğu altındadır.
Belirtilen Silme yöntemleri, Yönetmelik’e bağlı olup ilgili durumlarda güncellenmesi İnşaat’un sorumluluğundadır.
- Kişisel Verilerin Yok Edilmesi
Yok Etme işlemi, İnşaat’ın verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Taşkınlar İnşaat bu verileri erişilemeyecek, tekrar kullanılamayacak ve tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür.
Yok Etme işlemleri sırasında Taşkınlar İnşaat çalışanları ve ilgili departmanlar [Veri Sorumlusu Temsilcisi ve/veya Komite]’ye yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Taşkınlar İnşaat gerekli her türlü teknik ve idari tedbiri alacaktır.
- Kişisel Verilerin Anonimleştirilmesi
Anonim Hale Getirme işlemi, Taşkınlar İnşaat’un Kişisel Verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Anonim Hale Getirilmesi Taşkınlar İnşaat içerisinde veri sahibi iş biriminin görevidir. Veri sahibi iş birimi, verilerin Yok Edilmesi için denetimi kendisi tarafından yapılmak kaydıyla Taşkınlar İnşaat’ın farklı departmanlarından destek alabilir.
Kişisel Verilerin Anonim Hale Getirilmesi sırasında Taşkınlar İnşaat, işbu Politika kapsamında belirtilen yöntemleri kullanılabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda [Veri Sorumlusu Temsilcisi ve/veya Komite]’ye danışılmalıdır.
8. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
- KİŞİSELVERİLERİN İMHASI
Kişisel verilerin imhası, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasıdır. Taşkınlar İnşaat, kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.
- KişiselVerilerin Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, ilgili politika ve prosedürlerinde kişisel verilerin silinmiş sayılması için üçüncü fıkrada belirtilen koşulların nasıl sağlandığını açıklar. Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;
Tarama yoluyla veya sayısallaştırılmadan elektronik ortama aktarılan kâğıt halindeki gerekli olmayan kişisel verilerin anonimleştirilmesi yoluyla gerçekleştirilme işlemi, Taşkınlar İnşaat’ın verileri tamamen veya otomatik yollarla işlediği durumlarda yapılacaktır ve Taşkınlar İnşaat, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirmelidir. Taşkınlar İnşaat, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti etmelidir. Bu garanti, veri sorumlusunun sorumluluğu altındadır.
Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa Taşkınlar İnşaat KVKK Çalışma Grubu’nun karar alarak uygulayabileceği aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir:
- a) Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek şekilde arşivlenmesi
- b) Kişisel verilerin her türlü erişime kapalı olması
- c) Kişisel verilere yalnızca gerekli durumlarda yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması
- d) Belirtilen silme sayma yöntemleri, Yönetmelik’e bağlı olup ilgili durumlarda güncellenmesi veri sorumlusunun sorumluluğundadır.
- KişiselVerilerin Yok Edilmesi
Yok etme işlemi, Taşkınlar İnşaat’ın verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Taşkınlar İnşaat bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Bu işlemler sırasında Taşkınlar İnşaat çalışanları ve ilgili departmanlar KVKK Çalışma Grubu’na yok edilecek ilgili verileri bildirmekle yükümlüdür, sonrasında ise Taşkınlar İnşaat gerekli her türlü teknik ve idari tedbiri alacaktır.
- KişiselVerilerin Anonimleştirilmesi
Anonim hale getirme işlemi, Taşkınlar İnşaat’ın kişisel verileri tamamen veya otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonimleştirilmesi Taşkınlar İnşaat içerisinde veri sahibi iş biriminin görevidir. Veri sahibi iş birimi, verilerin yok edilmesi için denetimi kendisi tarafından yapılmak kaydıyla Taşkınlar İnşaat’ın farklı departmanlarından destek alabilir.
Verilerin anonimleştirilmesi sırasında Taşkınlar İnşaat, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanılabilir. Uygulanacak yöntemin doğruluğundan emin olunamadığı durumlarda KVKK Çalışma Grubu’na danışılmalıdır.
- KİŞİSELVERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel verilerin imhası için Taşkınlar İnşaat, imha sırasında kullanılabilecek tüm yöntemleri İşbu Politika’da tanımlar. Veri sahibi iş birimi, İşbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür.
Kişisel verilerin imhası sırasında Taşkınlar İnşaat çalışanları aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:
- ÜzerineYazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 8 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
- ManyetizeEtme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
- FizikselYok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
- Bulutİmhası
Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.
- ÇevreselSistemlerde Yer Alan Kişisel Verilerin İmhası
Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.
8.3. SAKLAMA VE İMHA SÜRELERİ
8.3.1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve imha sürelerini dolduran fiziksel ve dijital veriler, periyodik olarak imha edilir. Taşkınlar İnşaat, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Silinen, yok edilen ve anonim hale getirilen verilere ilişkin işlemlerin diğer hukuki yükümlülüklerden ari en az 3 yıl süre ile saklanır.
8.3.2. Veri Sahiplerinin Talep Etmesi Durumunda Silme ve Yok Etme Süreci
Veri sahiplerinin Taşkınlar İnşaat’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiği durumlarda kişisel verileri işleme şartlarının mevcut durumunu kontrol eder ve buna bağlı ilgili aksiyonları alır. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Taşkınlar İnşaat, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Taşkınlar İnşaat ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
9.1. İlgili mevzuatta yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde Taşkınlar İnşaat tarafından İşbu Politika’da değişiklik yapılabilir.
9.2. Taşkınlar İnşaat, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı eposta yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır.
POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika 01.03.2021 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir.