MEHMET ALİ ÜNAL İNŞAAT ŞİRKETLER GRUBU KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI

 

A. GİRİŞ 

1. Giriş 

6698 Sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarih ve 29677  sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.  

Mehmet Ali Ünal İnşaat Şirketler Grubu (Şirketler), veri sorumlusu olarak, gerek  fiziksel gerekse dijital ortamdaki kayıtlı bulunan kişisel verilerin korunmasına son  derece önem vermekte, kişisel verilerin korunması konusunda gerekli tüm tedbirleri  alarak, Kanuna, Kanuna dayanılarak çıkarılan yönetmeliklere ve sair mevzuat  hükümlerine uygun hareket etme konusunda azami özeni göstermektedir.  

İşbu politika, Mehmet Ali Ünal İnşaat Şirketler Grubu iştirakleri olan, Mehmet Ali Ünal  İnşaat Taahhüt Madencilik Sanayi ve Ticaret Anonim Şirketi, Mau Yapı İnşaat Anonim  Şirketi, Mauenerji İnşaat Anonim Şirketi, Mauproje İnşaat Anonim Şirketi, Mausan  İnşaat Anonim Şirketi ve Mautek İnşaat Madencilik Sanayi ve Ticaret Anonim  Şirketi’ni kapsamaktadır.  

2. Politikanın Amacı 

Şirketlerimiz tarafından gerçekleştirilen kişisel veri işleme ve koruma faaliyetleri, bu  faaliyetlerin Kanuna uyumu, faaliyetlerin yürütülmesine ilişkin esaslar vs. işbu  “Mehmet Ali Ünal İnşaat Şirketler Grubu Kişisel Verilerin İşlenmesi ve Korunması  Politikası (Politika)” metninde belirtilmektedir. Politikanın belirlenmesi ve  yayımlanmasındaki temel amacımız, kişisel veri sahiplerini, kişisel veri işleme ve  koruma faaliyetlerimizin niteliği ve kapsamı hakkında bilgilendirmek; bu konuda  şeffaflık sağlamaktır. Kişisel verilerinizi, işbu politika metninde belirtmiş olduğumuz  hususlara azami dikkat ve özeni sarf ederek işlemekte ve her türlü teknik ve operasyonel  tedbirlerle korunmasını sağlamaktayız. 

3. Politikanın Kapsamı 

İşbu politika, kişilerin, tamamen veya kısmen otomatik olan ya da (herhangi bir veri  kayıt sisteminin parçası olmak kaydıyla) otomatik olmayan yollarla işlenen kişisel  verilere ilişkindir. Politikadaki belirtilen maddeler, kimliği belirli veya belirlenebilir bir  gerçek kişiyle ilişkilendirilebilecek nitelikteki her türlü bilgi ve belgeyi; bunlarla ilgili  alınan önlemleri ve yapılan düzenlemeleri de kapsar. 

İşbu politikanın kapsamında yer alan kişiler ve şirketlerimizde kişisel verileri işlenen  kişisel veri sahiplerinin kimlerden müteşekkil olduğu, işbu politika ekinde sunulan “Ek 1: Kişisel Veri Sahipleri” dokümanında belirtilmiş bulunmaktadır.  

Birinci maddede belirtmiş olduğumuz şirketlerimiz işbu politika kapsamındadır. İşbu  politika kapsamında Şirketlerimiz ile ilişkilendirilebilecek tüm hususlar, açıkça  belirtilmese dahi Şirketlerimizin tamamını kapsar ve yapılan tüm atıflar şirketlerimizin  tamamına yapılmış sayılır.

 

İşbu politikada yer alan hükümlerin mevzuat hükümleri ile çelişmesi halinde mevzuat  hükümlerine öncelik verilecektir. Bunun yanında politikada hüküm bulunmayan  hallerde de yine mevzuat hükümleri uygulanacaktır.  

4. Tanımlar 

İşbu politikanın uygulanmasında; 

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye  dayanan ve özgür iradeyle açıklanan rızayı,  

Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin  aktarıldığı gerçek veya tüzel kişi kategorisini, 

Anonim Hâle Getirme : Kişisel verilerin, başka verilerle eşleştirilerek  kimliği belirli veya belirlenebilir bir gerçek  kişiyle ilişkilendirilemeyecek hale getirilmesini, 

Çalışan Adayı : İşe alım amaçlı görüşülen adayı, Çalışan : Şirketimiz ve iştiraki olan şirketler ile grup  şirketlerimizde çalışanları, 

Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile  oluşturulabildiği, okunabildiği, değiştirilebildiği  ve yazılabildiği ortamları,  

Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı,  basılı, görsel vb. diğer ortamları, 

Envanter : Veri sorumlularının iş süreçlerine bağlı olarak  gerçekleştirmekte oldukları kişisel verileri  işleme faaliyetlerini, kişisel verileri işleme  amaçları, veri kategorisi, aktarılan alıcı grubu ve  veri konusu kişi grubuyla ilişkilendirerek  oluşturdukları ve kişisel verilerin işlendikleri  amaçlar için gerekli olan azami süreyi, yabancı  ülkelere aktarımı öngörülen kişisel verileri ve  veri güvenliğine ilişkin alınan tedbirleri  açıklayarak detaylandırdıkları dokümanı, 

Grup Şirketler (Şirketlerimiz) : Mehmet Ali Ünal İnşaat Taahhüt Madencilik  Sanayi ve Ticaret Anonim Şirketi, Mau Yapı  İnşaat Anonim Şirketi, Mauenerji İnşaat Anonim  Şirketi, Mauproje İnşaat Anonim Şirketi, Mausan İnşaat Anonim Şirketi ve Mautek İnşaat  Madencilik Sanayi ve Ticaret Anonim Şirketi’ni 

İlgili Kişi : Kişisel verisi işlenen gerçek kişiyi, İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması  ve yedeklenmesinden sorumlu olan kişi ya da  birim hariç olmak üzere Veri Sorumlusu  organizasyonu içerisinde veya Veri  Sorumlusundan aldığı yetki ve talimat  doğrultusunda kişisel verileri işleyen kişileri, 

İmha : Kişisel verilerin silinmesi, yok edilmesi veya  anonim hale getirilmesi işlemini, 

Kanun : 6698 Sayılı Kişisel Verilerin Korunması  Kanununu, 

Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da  herhangi bir veri kayıt sisteminin parçası olmak  kaydıyla otomatik olmayan yollarla işlenen  kişisel verilerin bulunduğu her türlü ortamı, 

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye  ilişkin her türlü bilgiyi, 

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen  otomatik olan ya da herhangi bir veri kayıt  sisteminin parçası olmak kaydıyla otomatik  olmayan yollarla elde edilmesi, kaydedilmesi,  depolanması, muhafaza edilmesi, değiştirilmesi,  yeniden düzenlenmesi, açıklanması, aktarılması,  devralınması, elde edilebilir hâle getirilmesi,  sınıflandırılması ya da kullanılmasının  engellenmesi gibi veriler üzerinde  gerçekleştirilen her türlü işlemi, 

Kişisel Verilerin Silinmesi : Kişisel verilerin ilgili kullanıcılar için hiçbir  şekilde erişilemez ve tekrar kullanılamaz hale  getirilmesi işlemini, 

Kişisel Verilerin Yok Edilmesi : Kişisel verilerin yok edilmesi, kişisel verilerin  hiç kimse tarafından hiçbir şekilde erişilemez,  geri getirilemez ve tekrar kullanılamaz hale  getirilmesi işlemini, 

Kurul : Kişisel Verileri Koruma Kurulunu,  Kurum : Kişisel Verileri Koruma Kurumunu, KVKK : 6698 Sayılı Kişisel Verilerin Korunması  Kanununu, 

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi,  felsefi inancı, dini, mezhebi veya diğer inançları,  kılık ve kıyafeti, dernek, vakıf ya da sendika  üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti  ve biyometrik ve genetik verileri, 

Periyodik İmha :KVKK’da yer alan kişisel verilerin işlenme  şartlarının tamamının ortadan kalkması  durumunda kişisel verileri saklama ve imha  politikasında belirtilen ve tekrar eden aralıklarla  

resen gerçekleştirilecek silme, yok etme veya  anonim hale getirme işlemini,

6 Politika :Mehmet Ali Ünal İnşaat Şirketler Grubu  “Kişisel Verilerin İşlenmesi, Saklanması ve  İmhası Politikası”nı, 

Şirketler : Mehmet Ali Ünal İnşaat Taahhüt Madencilik  Sanayi ve Ticaret Anonim Şirketi, Mau Yapı  İnşaat Anonim Şirketi, Mauenerji İnşaat Anonim  Şirketi, Mauproje İnşaat Anonim Şirketi, Mausan İnşaat Anonim Şirketi ve Mautek İnşaat  Madencilik Sanayi ve Ticaret Anonim Şirketi’ni 

VERBİS (Veri Sicil Bilgi Sistemi) : Veri sorumlularının Sicile başvuruda ve Sicile  ilişkin ilgili diğer işlemlerde kullanacakları,  internet üzerinden erişilebilen, Başkanlık  tarafından oluşturulan ve yönetilen bilişim  sistemini, 

Veri İşleyen : Veri Sorumlusunun verdiği yetkiye dayanarak  onun adına kişisel verileri işleyen gerçek veya  tüzel kişiyi, 

Veri Kayıt Sistemi : Kişisel Verilerin belirli kriterlere göre  yapılandırılarak işlendiği kayıt sistemini, 

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve  vasıtalarını belirleyen, veri kayıt sisteminin  kurulmasından ve yönetilmesinden sorumlu olan  gerçek veya tüzel kişiyi, İfade eder. 

B. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASINA İLİŞKİN HUSUSLAR 

Kişisel verilerin elde edilmesi sırasında veri sahipleri; kişisel verilerin kim tarafından  toplandığı, hangi amaçla işlendiği kimlere ve hangi amaçla aktarılabileceği, kişisel veri  toplamanın yöntemi ve hukuki sebebi, kişisel veri sahiplerinin sahip olduğu haklar  konusunda Şirketlerimizce bilgilendirilmekte, kişisel verilerinin alınması ve işlenmesi  konusunda açık rızası alınmaktadır. Aydınlatma ve bilgi edinme kolaylığı sağlaması  bakımından işbu politikanın özeti mahiyetinde olarak hazırlanan “Aydınlatma Metni”de, Şirketlerimizce kişisel veri sahiplerine sunulmaktadır.  

C. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR 1. Kişisel Verilerin İşlenmesi İşlemleri 

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt  sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,  kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,  açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması  ya da kullanılmasının engellenmesi gibi, veriler üzerinde gerçekleştirilen her türlü 

 

işlem, kişisel verilerin işlenmesi olarak kabul edilmektedir. Kişisel verilerin belirtilen  şekilde toplandıktan sonra silme, yok etme ya da anonim hale getirme işlemlerine kadar  olan süreçte gerçekleştirilen her türlü faaliyet, Kanun kapsamında kişisel verilerin  işlenmesi olarak değerlendirilmektedir. 

2. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi i. Hukuka ve Dürüstlük Kuralına Uygun İşleme 

Kişisel verilerin işlenmesinde, kişilerin temel hak ve özgürlüklerine zarar  verilmemesine büyük önem verilmektedir. Kişisel veriler, Şirketlerimizin işlem  ve faaliyetlerinin gerektirdiği hususlarla sınırlı olarak ve mevzuatta öngörüldüğü  surette işlenmektedir. 

ii. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama Şirketlerimiz, işlendikleri ve saklandıkları süre boyunca, kişisel verilerin doğru ve  güncel olması için gerekli tedbirleri almakta ve bunu sağlamaya yönelik  mekanizmaları kurmaktadır.  

iii. Belirli, Açık ve Meşru Amaçlarla İşleme 

Şirketlerimiz, işbu politika ile kişisel verilerin işlenme amaçlarını açıkça ortaya  koymaktadır. Prensibimiz, kişisel verilerin gizli; kişisel verilerin işlenme  amaçlarının ve işlenme usulünün ise şeffaf olmasıdır. Şirketlerimizce işlenen  veriler, yapmış olduğumuz iş veya sunmuş olduğumuz hizmetle bağlantılı ve  bunlar için gerekli olan verilerdir. Kişisel veriler, şirketlerimizin faaliyetleri  doğrultusunda ve bu faaliyetlerle ilişkili amaçlar kapsamında işlenmektedir.  

iv. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma 

Kimlerin kişisel verilerinin hangi amaçla işlendiği, işbu politikada  belirtilmektedir. Nitekim kişilerin Şirketlerimizce işlenen verileri, Şirketlerimizle  olan irtibatına veya ilişkisine göre değişiklik arz edebilmektedir. Şirketlerimiz,  kişisel verileri, bu ilişkilerin özelliklerini de dikkate alarak, işlendikleri amaçla  bağlantılı, sınırlı ve ölçülü biçimde işlemektedir.  

v. İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre  Kadar Muhafaza Edilme 

Şirketlerimiz, kişisel verileri, mevzuatta bir süre öngörülmüş ise bu süre; bir süre  öngörülmemiş ise işlenen kişisel verinin işlendiği amaca uygun olan süre  boyunca saklamaktadır. Kişisel veriler, mevzuatta belirtilen ve/veya işlendiği  amaç için gerekli olan süre sona erdikten sonra ise dönemsel veya veri sahibinin  başvurusuna uygun olarak, mevzuatla belirlenen imha yöntemleri (silme ve/veya  yok etme ve/veya anonimleştirme) ile imha edilmektedir. 

Kişisel verilerin saklanacağı süre belirlenirken asgari olarak aşağıdaki hususlar  dikkate alınmaktadır:  

∙ İlgili veri kategorisine göre belirlenmek üzere Şirketlerimizin faaliyet gösterdiği  sektörlerde genel teamül olarak kabul edilen süre, 

 

∙ İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan hukuki  ilişkinin devam edeceği süre, 

∙ İlgili veri kategorisine göre belirlenmek üzere, işlenme amacına bağlı olarak  Şirketlerimizin elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına  uygun olarak geçerli olacağı süre,  

∙ Kişisel verinin saklanmasının yaratacağı risk, maliyet ve sorumlulukların  hukuken devam edeceği süre,  

∙Şirketlerimizin hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan  kişisel verileri saklamak zorunda olduğu süre,  

∙İlgili kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı  (on yıl) süresi. 

3. Kişisel Verilerin İşlenme Şartları 

Kişisel veriler, Şirketlerimizce, kişisel veri sahibinin açık rızası olmaksızın  işlenebilmekte, aksi halde işlenmemektedir.  

Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri  sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır. Aşağıdaki  şartların birden fazlası veya tamamı, bir kişisel verinin açık rıza olmaksızın işlenmesi  konusunda aynı anda dayanak oluşturabilecektir.  

i. Kanunlarda Açıkça Öngörülmesi 

Kişisel verilerin işlenmesi ve saklanması kanunlarda açıkça öngörülmekte ise, bu  durumda kişisel veriler Şirketlerimizce, kişisel veri sahibinin rızası olmaksızın ve  kanunda öngörüldüğü çerçevede işlenebilecektir. 

ii. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya  rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının  hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, kişisel  veriler kişisel veri sahibinin rızası olmaksızın Şirketlerimizce işlenebilecektir. 

iii. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,  sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması  durumunda, kişisel veriler Şirketlerimizce kişisel veri sahibinin rızası olmaksızın  işlenebilecektir. 

iv. Şirketlerin Hukuki Yükümlülüğünü Yerine Getirmesi 

Veri sorumlusu olarak Şirketlerimizin hukuki yükümlülüklerini yerine getirmesi  için zorunlu olması halinde kişisel veriler Şirketlerimizce kişisel veri sahibinin  rızası olmaksızın işlenebilecektir.  

v. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi 

Kişisel veri sahibinin kişisel verilerini alenileştirmesi halinde, bu kişisel veriler  alenileştirme amacı ile sınırlı ve bu amaca uygun olarak Şirketlerimizce kişisel  veri sahibinin rızası olmaksızın işlenebilecektir. 

 

vi. Bir Hakkın Tesisi veya Korunması İçin Veri İşlemenin Zorunlu Olması Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması halinde kişisel  veriler Şirketlerimizce kişisel veri sahibinin rızası olmaksızın işlenebilecektir.  

vii. Şirketlerimizin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması Veri sorumlusu olarak Şirketlerimizin meşru menfaatleri için veri işlenmesinin  zorunlu olması halinde, veri sahibinin temel hak ve özgürlüklerine zarar  vermemek kaydıyla, kişisel veriler Şirketlerimizce kişisel veri sahibinin rızası  olmaksızın işlenebilecektir.  

Verilerin “Özel Nitelikli Kişisel Veri” olması durumunda, işbu politikanın “B-4. Özel  Nitelikli Kişisel Verilerin İşlenmesi” başlığı altında açıklanan şartlar dikkate alınacak  ve uygulanacaktır.  

4. Özel Nitelikli Kişisel Verilerin İşlenme Şartları 

Birtakım kişisel veriler hassasiyet arz etmektedir ve bu kişisel verilerin hukuka aykırı  olarak işlenmesi, veri sahiplerinin mağduriyetine ve ayrımcılığa sebep olabilmektedir.  Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve  kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve  güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler, kanunda özel  nitelikli kişisel veriler olarak ifade edilmiştir. 

Şirketlerimizce, aşağıda belirtmiş olduğumuz şartlarda ve işbu politika metninde  belirtmiş olduğumuz hususlara azami dikkat ve özen sarf edilerek işlenmekte olan özel  nitelikli kişisel verilerin, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen  yeterli önlemler alınmak suretiyle ve her türlü teknik ve operasyonel tedbirlerle  korunması sağlanmaktadır. 

Özel nitelikli kişisel veriler Şirketlerimizce, kişisel veri sahibinin açık rızası ile işlenebilmekte, aksi halde işlenmemektedir. Ancak aşağıda belirtilen şartlardan  herhangi birisinin varlığı halinde, kişisel veri sahibinin rızasının bulunması  zorunluluğu ortadan kalkmaktadır. 

a. Sağlık ve cinsel hayat dışındaki kişisel veriler (ırk, etnik köken, siyasi  düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek,  vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili  veriler ile biyometrik ve genetik veriler), kanunlarda öngörülen hallerde veri  sahibinin rızası olmaksızın Şirketimizce işlenebilecektir. İlgili kanunlarda bu  verilerin işlenebileceği veya işlenmesi gerektiği konusunda açık bir hüküm  bulunmaması halinde ise veri sahibinin açık rızası aranacak, aksi halde  işlenmeyecektir.  

b. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının  korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin  yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi  amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Aksi halde  açık rıza aranacaktır.  

 

5. Kişisel Verilerin Kategorileri ve İşlenme Amaçları 

Kişisel veriler, Şirketlerimizce başlıca aşağıdaki amaçlarla işlenmektedir: 

∙ Şirketlerimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya  icra edilmesi, 

∙ Şirketlerimizin ve Şirketlerimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve  teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası, ∙ Şirketlerimiz tarafından ve/veya Şirketlerimiz nam ve hesabına sunulan ürün  ve/veya hizmetlerden ilgili kişileri faydalandırmak ve Müşteri memnuniyetine  yönelik aktivitelerin yürütülmesi için gerekli çalışmaların gerçekleştirilmesi ve ilgili  iş süreçlerinin devamlılığının sağlanması, 

∙ Şirketlerimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin  gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması  ve buna bağlı iş süreçlerinin yürütülmesi, 

∙ Şirketlerimizin ticari hayatının ve iş geliştirme stratejilerinin planlanması,  düzenlenmesi ve uygulanması, 

∙ Diğer amaçlar. 

Yukarıda ana başlıkları ile belirtilmiş olan kişisel verileri işleme amaçlarına daha  kapsamlı olarak işbu politikanın ekinde yer alan “Ek-2 Kişisel Verileri İşleme  Amaçları” dokümanından ulaşılması mümkündür. Yine aynı şekilde, kişisel verilerin  kategorilerine de “Ek-3 Kişisel Veri Kategorileri” dokümanından ulaşılabilecektir. 

6. Şirketlerimizin Tesisleri İçerisinde ve İnternet Sitesinde Gerçekleştirilen Kişisel  Verilerin İşlenmesi Faaliyetleri 

Şirketlerimiz tarafından bina tesis girişlerinde, tesis içerisinde ve internet sitemizde  yapılan kişisel veri işleme faaliyetleri, Türkiye Cumhuriyeti Anayasası’na, Kanun’a ve  diğer ilgili mevzuata uygun biçimde yürütülmektedir. 

i. Tesis İçerisinde Yer Alan Kameralarla Kayıt Alınması 

Şirketlerimiz tarafından KVK Kanunu uyarınca güvenliğin sağlanması ve bu politikada  belirtilen amaçlarla, Şirketlerimiz binalarında, atölyelerinde, fabrikalarında,  imalathanelerinde, şantiyelerinde ve tüm tesislerinde güvenlik kamerasıyla izleme  faaliyeti ile personellerin, misafirlerin, taşeronların ve bunlara ait araçların giriş  çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. 

Şirketlerimiz tarafından yürütülen kamera ile izleme ve kayıt altına alma faaliyeti, 5188  sayılı Özel Güvenlik Hizmetlerine Dair Kanuna ve bu kanunun uygulanmasına ait  yönetmeliğe uygun ve Şirketlerimizin meşru menfaatine dayalı hukuki sebebe bağlı  olarak sürdürülmektedir. 

Kişisel veriler, Şirketlerimizin güvenliğinin sağlanması amacıyla elektronik ortamda  kapalı devre kamera sistemleri vasıtasıyla KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları çerçevesinde toplanmaktadır. Kişisel veri sahipleri  Şirketlerimiz tarafından KVK Kanunu’nun 10. maddesine uygun olarak  aydınlatılmaktadır. 

 

Şirketlerimiz kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde  bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar  verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının  sağlanması amaçlanmaktadır. Şirketlerimiz tarafından kamera ile izleme faaliyetine  yönelik olarak; izlemenin yapıldığı alanların girişlerine izleme yapıldığına/yapılacağına  ilişkin bildirim yazısı asılmakta, bu doğrultuda, güvenlik kameralarının izleme alanları,  sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu  amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik  amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlar (Örneğin, mescit,  tuvaletler vb.) izlemeye tabi tutulmamaktadır. KVK Kanunu’nun 12. maddesine uygun  olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin  sağlanması için Şirketlerimizce gerekli teknik ve idari tedbirler alınmaktadır. Kamera  ile kayıt edilen kişisel verilerin saklanma süreleri 3 aydır. Kamera kayıtlarına yalnızca  yetkili birimler erişebilmektedir. 

ii. Tesis Girişlerinde Ve İçerisinde Yürütülen Misafir ve Taşeronların Giriş  Çıkışlarının Takibi 

Şirketlerimiz tarafından; güvenliğin sağlanması ve bu Politikada belirtilen  amaçlarla, Şirketlerimiz binalarında, atölyelerinde, fabrikalarında, imalathanelerinde,  şantiyelerinde ve tüm tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri  işleme faaliyetinde bulunulmaktadır. 

Misafir olarak gelen kişilerin isim ve soyadları elde edilirken bilgilendirme  panolarına asılan veya diğer şekillerde erişime sunulan metinler aracılığıyla yazılı  olarak kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi  yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel  veriler KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları  çerçevesinde Şirketlerimizin meşru menfaatine ilişkin hukuki sebebe dayalı olarak  toplanmakta ve veri kayıt sistemine kaydedilmektedir. 

iii. İnternet Sitesinde Yapılan Ziyaretçi Takipleri 

Şirketlerimiz tarafından; bu Politikada belirtilen amaçlarla, Şirketlerimizin internet  sitelerini ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir  şekilde gerçekleştirmelerini temin etmek, kendilerine özelleştirilmiş içerikler  gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla site  içerisindeki internet hareketleri teknik vasıtalarla kaydedilmektedir 

iv. Ziyaretçilere Sunulan İnternet Erişimlerine İlişkin Takipler Şirketlerimiz tarafından; bu Politikada belirtilen amaçlarla; talep eden ziyaretçilere,  Şirketlerimiz binalarında, atölyelerinde, fabrikalarında, imalathanelerinde,  şantiyelerinde ve tüm tesislerinde kaldığı sürece internet erişimi sağlanabilmektedir. Bu  durumda internet erişimlerine ilişkin log kayıtları kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edildiğinde aktarılması veya  Şirketlerimiz içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğün  yerine getirilmesi amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına  yalnızca yetkili birimler erişebilmektedir.  

 

7. Kişisel Verilerin İşlendiği ve Saklandığı Ortamlar 

i. Elektronik Ortamlar 

Kişisel veriler, aşağıda belirtilmiş olan elektronik ortamlarda işlenmekte ve  saklanmaktadır: 

- Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)  - Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)  

- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt  dosyası, antivirüs vb. ) 

- Bilgisayarlar (Masaüstü, dizüstü)  

- Mobil cihazlar (telefon, tablet vb.)  

- Optik diskler (CD, DVD vb.)  

- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)  

- Yazıcı, tarayıcı, fotokopi makinesi. 

ii. Elektronik Olmayan Ortamlar 

Kişisel veriler, aşağıda belirtilmiş olan elektronik olmayan ortamlarda işlenmekte ve  saklanmaktadır: 

- Kâğıt, 

- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri), - Yazılı, basılı, görsel ortamlar 

D. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR 1. Kişisel Verilerin Aktarılması 

Kişisel veriler, Şirketlerimizce, kişisel veri sahibinin açık rızası olmaksızın üçüncü  kişilere aktarılabilmekte, aksi halde aktarılmamaktadır.  

Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri  sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır. Aşağıdaki  şartların birden fazlası veya tamamı, bir kişisel verinin açık rıza olmaksızın üçüncü  kişilere aktarılması konusunda aynı anda dayanak oluşturabilecektir.  

a. Kanunlarda açıkça öngörülmesi. 

b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya  rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının  hayatı veya beden bütünlüğünün korunması için zorunlu olması. 

c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması  kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli  olması 

d. Şirketlerimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. e. Kişisel veri sahibi tarafından alenileştirilmiş olması. 

f. Bir hakkın tesisi, kullanılması veya korunması için veri aktarmanın zorunlu  olması.

 

g. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,  Şirketlerimizin meşru menfaatleri için veri aktarılmasının zorunlu olması. 

2. Özel Nitelikli Kişisel Verilerin Aktarılması 

Özel nitelikli kişisel veriler Şirketlerimizce, kişisel veri sahibinin açık rızasının  bulunması halinde üçüncü kişilere aktarılabilmekte, aksi halde aktarılmamaktadır.  Ancak aşağıda belirtilen şartlardan herhangi birisinin varlığı halinde, kişisel veri  sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır. 

a. Sağlık ve cinsel hayat dışındaki kişisel veriler (ırk, etnik köken, siyasi  düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek,  vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili  veriler ile biyometrik ve genetik veriler), kanunlarda öngörülen hallerde  Şirketimizce veri sahibinin rızası olmaksızın üçüncü kişilere aktarılabilecektir.  İlgili kanunlarda bu verilerin aktarılabileceği veya aktarılması gerektiği  konusunda açık bir hüküm bulunmaması halinde ise veri sahibinin açık rızası  aranacak, aksi halde aktarılmayacaktır.  

b. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının  korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin  yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi  amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum  ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın üçüncü kişilere  aktarılabilir. Aksi halde açık rıza aranacak, açık rıza bulunmaması halinde  aktarılmayacaktır.  

3. Kişisel Verilerin Yurtdışına Aktarılması 

Kişisel veriler, Şirketlerimizce, kişisel veri sahibinin açık rızasının bulunması halinde  yurt dışına aktarılabilmekte, aksi halde aktarılmamaktadır.  

Ancak işbu Politikanın kişisel verilerin ve özel nitelikli kişisel verilerin aktarılmasına  ilişkin D.1. ve D.2. bölümlerinde belirtilen hususlara ilave olarak, aşağıda belirtilen  şartlardan herhangi birisinin de varlığı halinde, kişisel verilerin yurt dışına aktarılması  hususunda kişisel veri sahibinin rızasının bulunması zorunluluğu ortadan kalkmaktadır. 

a. Kişisel verinin aktarılacağı yabancı ülkede kişisel verilere yönelik yeterli  korumanın bulunması ve aktarım yapılacak yabancı ülkenin Kurulca ilan edilmiş  “aktarım yapılabilecek ülkeler” arasında yer alması, 

b. Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı  ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri  ve Kurulun izninin bulunması. 

4. Kişisel Verilerin Aktarılma Amaçları ve Aktarılabileceği Kişi Grupları Kişisel Veriler, Şirketlerimizce, Grup Şirketlerimiz tarafından sunulan ürün ve  hizmetlerden veri sahiplerini faydalandırmak için gerekli çalışmaların iş birimlerimiz  tarafından yapılması, Şirketlerimiz tarafından sunulan ürün ve hizmetlerin beğeni,  kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek veri sahiplerine önerilmesi, 

 

Şirketlerimizin ve Şirketlerimizle iş ilişkisi içerisinde olan 3. kişilerin hukuki ve ticari  güvenliğinin temini, Şirketlerimiz tarafından yürütülen iletişime yönelik idari  operasyonlar, Şirketlerimize ait lokasyonların fiziksel güvenliğini ve denetimini  sağlamak, iş ortağı/müşteri/tedarikçi/alt yüklenici (yetkili veya çalışanları)  değerlendirme süreçleri, itibar araştırma süreçleri, hukuki uyum süreci, denetim, mali  işler vb., Şirketlerimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile  Şirketlerimizin insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş  ortaklarımıza, tedarikçilerimize, alt yüklenicilerimize, Grup Şirketlerimize,  Şirketlerimiz yetkililerine, hissedarlarımıza, kanunen yetkili kamu kurumları ve özel  kişilere, hizmetin ifası için zorunlu kişilere, kişisel verilerin paylaşılması kanunen  zorunlu kişilere, danışmanlık ve yardımcı hizmet sağlayıcılarına, ajanslar ve reklam  verenlere KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları  ve amaçları çerçevesinde aktarılabilecektir. 

Hizmetin İfası İçin Zorunlu Kişiler 

Kişisel veriler, Şirketlerimize sunulan hizmetlerin tam ve kusursuz olmasını temin  edebilmek amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde ihale  makamları, üst işverenler, iş ve çözüm ortaklarımız, bankalar ile teknik, lojistik ve  benzeri diğer işlemleri Şirketlerimiz adına gerçekleştiren üçüncü kişilerle  paylaşılabilmektedir. Bu üçüncü kişiler ilgili hizmetlerin tam ve kusursuz temin  edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden ibarettir. 

Paylaşılması Kanunen Zorunlu Kişiler 

Şirketlerimizin hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,  kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir  adli/idari emir bulunması gibi hallerde de kişisel veriler -yalnızca ilgili kişi ya da  kurumla sınırlı olmak üzere- aktarılabilecektir. 

Danışmanlık ve Yardımcı Hizmet Sağlayıcıları  

Kişisel veriler, Şirketlerimizin ve/veya kişisel veri sahiplerinin haklarını korumak ve  hukuki mükellefiyetleri yerine getirmek amaçlarıyla ve yalnızca bu amaçların ifası için  veri aktarımının zorunlu olması halinde; depolama, arşivleme, bilişim teknolojileri  desteği, güvenlik, çağrı merkezi gibi alanlarda destek alınan üçüncü kişilere; işbirliği  yapılan ve/veya hizmet alınan iş ortaklarına, bankalara, finans kuruluşlarına; hukuk,  vergi ve benzeri alanlarda destek alınan avukatlık ofislerine, danışmanlık firmalarına ve  belirlenen amaçlarla aktarımın gerekli olduğu diğer ilişkili taraflar ile yetkili kurum ve  kuruluşlara aktarılabilecektir. 

Ajanslar ve Reklam Verenler 

Kişisel verilerin bir kısmı, reklamların hedef kitleye uyarlanabilmesini sağlamak  amacıyla, yalnızca diğer kullanıcılara ait bilgilerle birlikte toplu olarak  anonimleştirilmiş bir şekilde reklam verenlerle paylaşılabilir. Anonimleştirilmiş veriler  siz ziyaretçilerimiz/müşterilerimizle eşleştirilemeyecek bilgiler olup, kişisel veri 

 

sahiplerinin kimlik bilgilerini içermez ya da kimliklerini belirlenebilir kılmaz.  Anonimleştirilmiş verilerde veri sahiplerinin gizliliği güvence altındadır. 

Yukarıda ana hatları ile belirtilen kişisel verilerin aktarıldığı üçüncü kişiler ve aktarılma  amaçları işbu politika ekinde sunulan “Ek-4 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler  ve Aktarılma Amaçları” dokümanında belirtilmiş bulunmaktadır. 

E. KİŞİSEL VERİLERİN İMHASINA (SİLİNMESİNE, YOK EDİLMESİNE VEYA  ANONİMLEŞTİRİLMESİNE İLİŞKİN HUSUSLAR 

Mevzuata uygun biçimde işlenmiş olan kişisel veriler, işlenmesini gerektiren sebeplerin  ortadan kalkması halinde, resen veya kişisel veri sahibinin talebi üzerine; silinmek, yok  edilmek veya anonim hale getirilmek suretiyle imha edilmektedir. 

1. İmhayı Gerektiren Sebepler 

Kişisel veriler;  

- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, - İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,  - Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde,  ilgili kişinin açık rızasını geri alması,  

- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin  silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul  edilmesi,  

- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya  anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği  cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi  hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun  bulunması,  

- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel  verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

durumlarında, Şirketlerimiz tarafından ilgili kişinin talebi üzerine ilgili kullanıcılar için  hiçbir şekilde erişilemez hale getirilmek suretiyle silinmek; hiçbir kimse tarafından  hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmek  suretiyle yok edilmek; başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya  belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmek suretiyle  anonimleştirmek şeklinde imha edilmektedir.  

Kişisel verilerin imhasında, Kanun’un 3. maddesinde ve işbu Politikada açıklanan genel  ilkelere, veri sorumlusu olarak almış olduğumuz teknik ve idari tedbirlere, ilgili  mevzuat hükümlerine, Kurul kararlarına azami biçimde dikkat edilmektedir.  

Envanter, Veri Sorumlusu Temsilcisi tarafından 6 aylık periyodlar halinde kontrol  edilmekte ve ayrıca kişisel verilerin silinmesi, yok edilmesi ve anonim hale  getirilmesiyle ilgili yapılan bütün işlemler Şirketlerimizce kayıt altına alınmakta ve söz  konusu kayıtlogları (imha edilen doküman bilgisi), diğer hukuki yükümlülükler hariç  olmak üzere en az üç yıl süreyle saklanmaktadır.

 

2. İmha Teknikleri 

i. Kişisel Verilerin Silinmesi 

a) Kişisel Verilerin Silinmesi Süreci 

Kişisel verilerin silinmesi işleminde izlenecek süreç aşağıdaki gibidir:  

- Silme işlemine konu teşkil edecek kişisel verilerin “kişisel veri işleme envanteri  formundan” belirlenmesi.  

- Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri  için ilgili kullanıcıların tespit edilmesi.  

- İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve  yöntemlerinin tespit edilmesi.  

- İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma  yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması. 

b) Kişisel Verilerin Silinmesi Yöntemleri 

- Hizmet Olarak Uygulama Türü Bulut Çözümleri (Ofice 365, Salesforce,  Dropbox gibi):Şirketimizde kişisel veriler bulut sisteminde saklanmamaktadır.  Ancak saklanması halinde bulut sisteminde veriler silme komutu verilerek  silinecektir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi  üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilecektir.  

- Kağıt Ortamında Bulunan Kişisel Veriler: Kağıt ortamında bulunan kişisel  veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak  üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan  durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak  şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi  şeklinde yapılır.  

- Merkezi Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme  komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili  kullanıcının erişim haklarının kaldırılması şeklinde gerçekleştirilir. Anılan işlem  gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına  dikkat edilmektedir.  

- Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama  ortamlarındaki kişisel veriler, şifreli olarak saklanmakta ve bu ortamlara uygun  yazılımlar kullanılarak silinmektedir.  

- Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile  (DELETE vb.) silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı  zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir. 

c) Kişisel Verilerin Silinmesi İşlemleri 

Kişisel veriler aşağıdaki işlemlerle silinir:

 

 

ii. Kişisel Verilerin Yok Edilmesi 

a) Kişisel Verilerin Yok Edilmesi Süreci 

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde  erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.  Şirketlerimiz, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari  tedbirleri almaktadır. 

b) Kişisel Verilerin Yok Edilmesi Yöntemleri 

- Yerel Sistemler: Söz konusu sistemler üzerindeki verilerin yok edilmesi için  aşağıdaki yöntemlerden bir ya da birkaçı kullanılmaktadır.  

o De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek  gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki  verilerin okunamaz biçimde bozulması işlemidir. 

o Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi,  yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi  işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline  getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin  erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya  de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak  yok edilmesi gerçekleştirilmektedir. 

o Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya  üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski  verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar  kullanılarak yapılmaktadır.

 

- Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme  yöntemleri aşağıda yer almaktadır:  

o Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama  ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok  etme özelliği bulunmamaktadır. Yukarıda belirtilen uygun yöntemlerin bir  ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.  

o Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA  vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa  komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme  yöntemini kullanmak ya da yukarıda belirtilen uygun yöntemlerin bir ya da  birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir.  

o Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları  yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz  bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme  yöntemleriyle yok edilmesi gerçekleştirilmektedir.  

o Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar  üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok  güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma,  eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi  gerçekleştirilmektedir. 

o Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı  telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak  çoğunda yok etme komutu bulunmamaktadır. Bu verilerin, belirtilen uygun  yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi  gerçekleştirilmektedir.  

o Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük  parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi  gerçekleştirilmektedir.  

o Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi  gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak  özelliğine göre uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle  yok edilmesi gerçekleştirilmektedir.  

o Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi  çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta,  ancak yok etme komutu bulunmamaktadır. Bu veriler uygun yöntemlerin bir  ya da birkaçı kullanılmak suretiyle yok edilmesi gerçekleştirilmektedir. 

- Kağıt ve Mikrofiş Ortamları: Söz konusu ortamlardaki kişisel veriler, kalıcı ve  fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir.  Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile  anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek  şekilde küçük parçalara bölmek gerekir. Orijinal kağıt formattan, tarama yoluyla  elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre  uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi  gerçekleştirilmektedir.

 

- Bulut Ortamı: Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve  kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için  mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı  şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona  erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme  anahtarlarının tüm kopyalarının yok edilmesi gerekir.  

- Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer  alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:  o İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü  kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yukarıda  belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok  edilmesi,  

o Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama  ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis  gibi üçüncü kurumlara gönderilmesi,  

o Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri  kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli  önlemlerin alınması.  

c) Kişisel Verilerin Yok Edilmesi İşlemleri 

Kişisel veriler Şirketimizce aşağıdaki yöntemlerle yok edilirler: 

 

iii. Kişisel Verilerin Anonim Hale Getirilmesi 

a) Kişisel Verilerin Anonim Hale Getirilmesi Süreci 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle  eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle  ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş  olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri  döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili  faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.  Şirketlerimizce kişisel veriler belirtildiği şekilde anonim hale getirilmektedir.  

 

b) Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri 

- Maskeleme: Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti  içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örn:  “Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin  çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir  veri setine dönüştürülmesi”, “Kişinin kredi kartı numarasının bir kısmının  yıldızlanması” durumunda maskeleme söz konusudur. (09988 **** **** 87806)”  

- Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve  kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örn.:  “Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan  bulunduğunun ortaya konulması”, “Şirkette kadın çalışan sayısının Z adet olması ve  sayının %40’ının üniversite mezunu, %60’ının yüksek lisans mezunu olmasına  ilişkin veriler anonim hâle getirilebilmektedir.” 

- Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir  içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek  hale getirilmesi sağlanmaktadır. Örn: “Doğum tarihi bilgisinin Gün/Ay/Yıl  detaylarının yerine kişinin direkt yaşının yazılması durumunda veri türetmek  suretiyle anonimleştirme yapılabilmektedir.”  

- Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin  karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örn:  “Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin  ilişkilendirilemeyecek hale getirilmesi”, “Yaş ortalaması alınmak istenen bir sınıfta  kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi” suretiyle veri  karması yapılabilmektedir. 

3. İmza Sirküleri 

Şirketlerimiz tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili  olarak;  

- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle  ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;  - Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;  

- Süreç bazında saklama süreleri ise işbu Politikada yer almaktadır.

 

 

 

Periyodik imha süreleri Şirketlerimizce 6 (altı) ay olarak belirlenmiştir.  

F. AÇIK RIZANIN MAHİYETİ 

İşbu Politikanın, “kişisel verilerin işlenmesi, aktarılması ve imhası” bölümlerinde,  kişisel veri sahibinin açık rızasının önem taşıdığı belirgin biçimde vurgulanmaktadır.  Şirketlerimiz, açık rıza ve açık rızanın alınması hususunda, aşağıdaki açıklamaları esas  almaktadır.  

Açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle  açıklanan rıza”dır. 

Kanun çerçevesinde açık rıza, kişinin sahip olduğu verinin işlenmesine, kendi isteği ile  ya da karşı taraftan gelen istek üzerine onay vermesi anlamını taşımaktadır. Açık rıza,  ilgili kişinin, işlenmesine izin verdiği verinin sınırlarını, kapsamını, gerçekleştirilme  biçimini ve süresini de belirlemesini sağlayacaktır. Diğer mevzuattaki düzenlemeler  saklı kalmak üzere, açık rızanın yazılı şekilde alınmasına gerek yoktur. Açık rızanın  elektronik ortam ve çağrı merkezi vb. yollarla alınması da mümkün olup, açık rızanın  mevcudiyetine ilişkin ispat yükümlülüğü Şirketlerimize aittir.  

Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri  alınabilecektir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait  olduğundan, kişi dilediği zaman Şirketlerimize vermiş olduğu açık rızasını geri  alabilecektir. 

Ancak, geri alma işlemi ileriye yönelik sonuç doğuracağından, açık rızaya dayalı olarak  gerçekleştirilen tüm faaliyetler geri alma beyanının Şirketlerimize ulaştığı andan 

 

itibaren durdurulacaktır. Bir diğer deyişle, geri alma beyanı Şirketlerimize ulaştığı  andan itibaren hüküm doğuracaktır. 

G. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI, HAKLARIN KULLANILMASI  VE ŞİRKETLERİMİZİN CEVAP YÜKÜMLÜLÜĞÜNE İLİŞKİN HUSUSLAR 1. Kişisel Veri Sahiplerinin Hakları 

Kişisel veri sahipleri, aşağıda belirtilmiş olan haklara sahiptirler: 

a. Kişisel veri işlenip işlenmediğini öğrenme, 

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 

c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp  kullanılmadığını öğrenme, 

d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların  düzeltilmesini ve ayrıca kişisel verilerin aktarıldığı üçüncü kişilere  bildirilmesini isteme, 

f. Mevzuata uygun biçimde işlenmiş olan kişisel verilerin, işlenmesini gerektiren  sebeplerin ortadan kalkması halinde, silinmesini veya yok edilmesini, ayrıca bu  durumun, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 

g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi  suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması  hâlinde zararın giderilmesini talep etme. 

2. Kişisel Veri Sahiplerinin Haklarını Kullanması ve Başvuru Yöntemleri Kişisel veri sahipleri, yukarıda bildirilmiş olan haklara ilişkin taleplerini Kurul’un  belirlemiş olduğu yöntemlerle Şirketlerimize iletebileceklerdir. Kişisel veri sahiplerinin  haklarına ilişkin taleplerini www.mau.com.tr adresinde yer alan veya Şirketlerimizin  merkezlerinden temin edebilecekleri “Kişisel Veri Başvuru Formunu” doldurarak ve  Başvuru Formunda belirtilen yöntemleri kullanarak gönderebileceklerdir. 

3. Şirketlerimizin Başvurulara Cevap Vermesi 

Şirketimiz, veri sahiplerinin başvurusunda yer alan taleplerini, talebin niteliğine göre en  kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin  ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret  alınabilecektir.  

Şirketlerimizce talebin reddedilmesi halinde bu durum gerekçesi ile birlikte  belirtilecektir. Talebin kabulüne veya gerekçesi açıklanmak suretiyle reddine ilişkin  cevaplar, Şirketlerimizce veri sahibine yazılı olarak veya elektronik ortamda  bildirilecektir. Ayrıca talebin kabulü halinde ise kişisel verilerin imhasına karar  verilmesi halinde gereği 30 (otuz) gün içerisinde yerine getirilecektir. Başvurunun  Şirketlerimizin hatasından kaynaklanması hâlinde ise alınan ücret veri sahibine iade  edilecektir. 

 

H. VERİ GÜVENLİĞİNE İLİŞKİN HUSUSLAR 

Şirketlerimizce kişisel verilerin güvenliğine azami ölçüde dikkat edilmektedir. Bu  doğrultuda kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere  hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak  amaçlarına uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve  idari tedbirler Şirketlerimizce ve/veya verileri Şirketlerimiz adına işleyen gerçek veya  tüzel kişilerce alınmış durumdadır. Bu husustaki denetimler de Şirketlerimizce sürekli  olarak sağlanmaktadır.  

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi  hâlinde, bu durumun en kısa sürede ilgilisine ve Kurula bildirileceği Şirketlerimizce  taahhüt edilmektedir.  

Kişisel veriler gibi, özel nitelikli kişisel verilerin de tüm teknik ve idari tedbirlerle  korunması Şirketlerimizce sağlanmaktadır. 

1. Kişisel Veri Güvenliğine İlişkin Teknik Tedbirler 

Şirketlerimiz tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler  aşağıda sayılmıştır: 

- Sızma (Penetrasyon) testleri ile Şirketlerimiz bilişim sistemlerine yönelik risk,  tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.  - Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. - Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim  sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak  izlenmektedir.  

- Veri kaybı önleme yazılımları kullanılmaktadır. 

- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki  matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile  yapılmaktadır.  

- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri  kaldırılmaktadır.  

- Güncel anti-virüs sistemleri kullanılmaktadır. 

- Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için  gerekli önlemler alınmaktadır.  

- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal  (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi,  7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel  güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve  yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı  yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.  

- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. 

- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. - Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte,  bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere  yönelik teknik kontroller yapılmaktadır. 

 

- Şirketlerimiz içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile  ilgili raporlama ve analiz çalışmaları yapılmaktadır.  

- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak  uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.  - Şirketlerimiz, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar  kullanılamaz olması için gerekli tedbirleri almaktadır.  

- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu  durumu ilgili kişiye ve Kurula bildirmek için Şirketlerimiz tarafından buna uygun  bir sistem ve altyapı oluşturulmuştur.  

- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi  sistemleri güncel halde tutulmaktadır.  

- Saldırı tespit ve önleme sistemleri kullanılmaktadır. 

- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.  - Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama)  sistemleri kullanılmakta ve Log kayıtları kullanıcı müdahalesi olmayacak şekilde  tutulmaktadır. 

- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları  kullanılmaktadır.  

- Gerektiğinde veri maskeleme önlemi uygulanmaktadır. 

- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.  

- Şirket içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. - Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel  nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri  yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.  - Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği  elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte,  kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları  loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli  güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt  altına alınması sağlanmaktadır. 

- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel  ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak  yetkisiz giriş çıkışlar engellenmektedir.  

- Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak  kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.  Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa  kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda  tutulmaktadır. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması,  kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli  önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

 

2. Kişisel Veri Güvenliğine İlişkin İdari Tedbirler 

Şirketlerimiz tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler  aşağıda sayılmıştır:  

- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı  olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin  önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik  bilgi beceri ve ilgili mevzuat hakkında eğitimler verilmektedir.  

- İmzalanan sözleşmeler veri güvenliği hükümleri içermekte veya bu hususta ek  sözleşmeler düzenlenmektedir.  

- Şirketlerimiz tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik  sözleşmeleri imzalatılmaktadır.  

- Kişisel veri işlemeye başlamadan önce Şirketlerimiz tarafından, ilgili kişileri  aydınlatma yükümlülüğü yerine getirilmektedir.  

- Kişisel veri işleme envanteri hazırlanmıştır.  

- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı  sağlanmaktadır. 

- Şirket içi periyodik ve rastgele denetimler yapılmaktadır.  

- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir. 

İ. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI VE POLİTİKA’DA  YAPILACAK GÜNCELLEMELER 

İşbu Politika, gerek elektronik ortamda gerekse ıslak imzalı basılı kağıt olmak üzere iki  farklı ortamda yayımlanmakta, Şirketlerimizin internet sayfasında kamuya  açıklanmaktadır. Basılı kâğıt nüshası şirket nezdinde dosyasında saklanmaktadır.  Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı  eski nüshaları Şirketlerimizin imzaya yetkili kişisi/kişileri tarafından iptal edildiği  üzerine şerh düşülmek suretiyle iptal edilerek imzalanır ve en az 5 yıl süre ile  Şirketlerimiz tarafından saklanır. Politikada, ilgili mevzuatta değişiklikler yapılması ve  gerekli görülmesi halinde güncellemeler yapılabilecek ve güncelleme yapılması halinde  de yine gerek elektronik ortamda gerekse ıslak imzalı basılı kağıt olmak üzere  yayımlanacaktır. 

 

EK-1 Kişisel Veri Sahipleri

 

 

Ek-2 Kişisel Verilerin İşlenme Amaçları

 

Faaliyetlerin mevzuata uygun yönetilmesi

 

Yönelik Aktivitelerin Pazar araştırma çalışmalarının yürütülmesi

 

 

EK-3 Kişisel Veri Kategorileri

 

 

 

 

 

 

EK-4 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

 

35