FBA ENGLISH
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
01.01.2022 / Versiyon No:1
İÇİNDEKİLER
I. Giriş
1. Politikanin Sahibi
NI. Amaç
Iv. Kapsam
V. Glincelleme
VI. Tanimlar
VIL. Roller ve Sorumluluklar
1. Veri Yetkilisi
2. Veri Sorumlusu irtibat Kişisi
3. Veri Sorumlusu Üst Yönetimi
4. KVK Danışma Grubu
VIII. Onaylama
IX. Kişisel Verileri İşlenen Kişiler
X. Veri Kategorileri
XI. Kişisel Verilerin İşlenmesine ve Paylaşılmasına Yönelik Faaliyetler ve Amaçlar
XII. Üçüncü Parti Hizmet Saglayicilara Veri Aktarirken Alınan Önlemler
XI. Veri Koruma Politikası ve Prosedürleri
XIV. Risk Analizi
XV. Politika Dışı Durumlar
XVI. Kişisel Verilerin islenme İlkeleri
1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
3. Belirli, Açık ve Meşru Amaçlarla İşleme
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
6. Bina Girişleri ve İçerisindeki Kişisel Veri İşleme Faaliyetleri ve Network ve İnternet Sitesi Kullanıcıları
7. Müşteri ve İş Ortakları Verilerinin İşlenmesi
8. Çalışan ve Çalışan Adayları Verilerinin İşlenmesi
XVII. Kişisel Verilerin islenme Şartları
1. Kişisel Verilerin Tespiti ve İşlenmesi
2. İstisnai Haller
3. Özel Nitelikli Kişisel Verilerin İşlenmesi
4. Kişisel Verilerin Aktarılmasına İlişkin Şartlar
XVIIl. Veri Sorumlusunun Yükümlülükleri
1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü
3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
4. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması
5. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Teknik ve İdari Tedbirlerin Alınması
6. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
7. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
l. Giriş
Bu politika ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ve ilgili ulusal mevzuat
çerçevesinde; kişisel verilerin toplanması, işlenmesi, aktarılması, güncellenmesi ve yok edilmesi
konusunda FBA ENGLISH (Veri Sorumlusu) tarafından benimsenen ilkeler ile uyulacak kurallar
belirlenmiştir.
Il. Politikanın Sahibi
Kişisel Verilerin Korunması ve İşlenmesi Politikası'nın sahibi Veri Sorumlusu FBA ENGLISH'dir.
NI. Amaç
Bu politika ile, Veri Sorumlusu tarafından kişisel verileri işleme faaliyeti ve kişisel verilerin korunmasına
yönelik benimsenen kurallar konusunda açıklamalarda bulunmak; bu kapsamda, iş ortaklarımız,
mevcut ve aday çalışanlarımız, mevcut ve potansiyel müşterilerimiz, şirket hissedarlarımız,
ziyaretçilerimiz ve üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişilerin
bilgilendirilmesi ve şeffaflığın sağlanması amaçlanmaktadır.
IV. Kapsam
Veri Sorumlusu hissedar ve ortaklarını, çalışanlarını, aday çalışanlarını, stajyerlerini, alt isverenlerini,
tedarikçilerini, mevcut ve potansiyel müşterilerini, ziyaretçilerini ve kişisel verileri işlenen üçüncü
kişileri kapsar.
V. Güncelleme
Kişisel Verilerin Korunması ve İşlenmesi Politikası kurumsal ya da yasal kaynaklı içeriklerindeki değişiklik
gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilerek kayıt altına alınır. En güncel versiyonu
veri sorumlusu internet sitesinde yayınlanır.
VI. Tanimlar
Burada yer almayan tanımlar, Kanun ve ikincil düzenlemelerde tanimlandiklar şekilde kullanılacaktır.
Açık Riza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan
rızadır.
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Aydınlatma Yükümlülüğü: Veri Sorumlusu'nun, kişisel verilerini işlediği kişilere, bu verilerinin
kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere
hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür.
İlgili Kişi : Kişisel verisi işlenen gerçek kişidir.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişilerin adı, soyadı, doğum tarihi ve doğum yeri, kişinin fiziki, ailevi, ekonomik ve sair
özelliklerine ilişkin bilgiler, isim, telefon numarası, motorlu taşıt plakası, sosyal güvenlik
numarası, pasaport numarası gibi veriler kişisel veridir.
Kişisel Verinin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınırlandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkümiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileridir.
Veri İşleyen : Veri Sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen,
Veri Sorumlusu'nun organizasyonu dışındaki gerçek veya — tüzel — kişiler olarak
tanımlanmaktadır. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen,
Veri Sorumlusu'nun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir
gerçek veya tüzel kişidir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem Veri
Sorumlusu, hem de Veri İşleyen olabilir.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri Sorumluları Sicili (VERBIS) :6698 sayılı Kişisel Verilerin Korunması Kanunu'na göre Veri
Sorumlusu olanların kaydolmak zorunda oldukları Kişisel Verilerin Korunması Kurumu (Kurum)
Başkanlığı tarafından kamuya açık olarak tutulması öngörülen bir kayıt sistemidir.
VII. Roller ve Sorumluluklar
Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında birbirini tamamlayan, dört farklı rol
tanımlanmıştır.
1. Veri Yetkilisi
Veri Sorumlusu için atanmış biri asıl diğeri yedek, iki “Veri Yetkilisi” bulunmaktadır. Veri
Yetkilisi'nin aşağıda sıralanan sorumlulukları bulunmaktadır.
1.1. Veri Yetkilisi, bağlı bulunduğu Veri Sorumlusu'nun tüm çalışanlarıyla birlikte detaylı
kişisel veri işleme envanteri oluşturmak ve ilişkili faaliyetleri koordine etmek.
1.2. Veri işleme faaliyetlerinde meydana gelen değişiklik ve düzenlemeleri takip etmek,
envanteri güncel tutmak.
1.3. Olası değişiklikleri Veri Sorumlusu İrtibat Kişisi'ne aktarmak.
1.4. Şirket politika, prosedür ve talimatlarında belirtilen iş ve işlemleri yapmak.
2. Veri Sorumlusu İrtibat Kişisi
Her bir Veri Sorumlusu için atanmış bir “Veri Sorumlusu İrtibat Kişisi” bulunmaktadır. Veri
Sorumlusu İrtibat Kişisi'nin aşağıda sıralanan sorumlulukları bulunmaktadır.
2.1. Veri Sorumlusu İrtibat Kişisi görevli olduğu Veri Sorumlusu içinde kişisel verilerin
korunmasına dair tüm süreç ve faaliyetlerden haberdar olmak.
2.2.Resmi ve iç denetim süreçlerinde Veri Sorumlusunu temsil etmek, talep edilen, ihtiyaç
duyulan aksiyonları almak, sonuçlandırılmasını sağlamak.
2.3. İlgili kişilerden gelen başvuruları yanıtlamak.
2.4.Veri ihlali durumunda şirket yönetimini, KVK Departmanı'nı bilgilendirmek.
2.5.Sorumluluk alanlarındaki Veri Sorumlusu ve ilgili birimlerinin bildirmiş oldukları veri
işleme faaliyetlerinde meydana gelen değişiklik ve düzenlemeleri Veri Yetkilisi ile
birlikte takip etmek, envanteri güncel tutmak.
2.6. VERBİS'de kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri,
değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden
Kurum'a bildirmek.
2.7.Kurum ile iletişimi sağlamak.
2.8.Veri ihlali durumunda yasal olarak gerekli bildirimleri usulüne uygun bir şekilde
yapmak.
2.9. Şirket politika, prosedür ve talimatlarında belirtilen iş ve işlemleri yapmak.
3. Veri Sorumlusu Üst Yönetimi
3.1. Veri Sorumlusu Üst Yönetimi'nin görevi (Yönetim Kurulu Başkanı, Genel Müdür vb.)
Veri Sorumlusu İrtibat Kişisinin görevini, kanunda tarif edilen şekilde yerine getirdiğini
denetlemektir.
3.2. Veri Sorumlusu İrtibat Kişisi ve Veri Yetkilisi değişiklik ve atamaları iş akdinin sona
ermesiyle birlikte Veri Sorumlusu Üst Yönetimi tarafından yapılır ve KVK bildirilir.
4. KVK Danışma Grubu
4.1.KVK Danışma Grubu, Veri Sorumlusu için geçerli olacak KVKK politika ve
prosedürlerinin hazırlanması, güncellenmesinden ve denetlenmesinden sorumludur.
4.2.Kanun ile ilgili mevzuatta gerçekleşecek güncelleme ve değişiklikleri takip eder.
4.3.İdari ve teknik tedbirlerde güncelleme gerektiren durumlar için gerekli aksiyonları alır.
4.4. Arkas Grup şirketleri genelinde KVK danışmanlığı vermek.
4.5. Veri Sorumlusu İrtibat Kişileri tarafından kendisine bildirilecek Kurum teftişi, ilgili kişi
ihbarı, şikayeti vb. mevzuat kapsamına giren aksiyonlarla ilgili danışmanlık verir.
VE. Onaylama
KVK Danışma Grubu tarafından hazırlanan politikayı Veri Sorumlusu adına ilgili üst yönetim temsilcileri
onaylar.
IX. Kisisel Verileri islenen Kisiler
Çalışan adayı, çalışan, habere konu kisi, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer,
tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, veli/vasi/temsilci, ziyaretçiler vb. gerçek
kişilerin kişisel verisi işlenmektedir.
X. Veri Kategorileri
Kişisel veri işleme amacına uygun olarak belirtilen kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri
işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetim, finans, mesleki deneyim, pazarlama,
görsel ve işitsel kayıtlar, felsefi inanç, din, mezhep ve diğer inançlar, dernek üyeliği, sağlık bilgileri, ceza
mahkümiyeti ve güvenlik tedbirleri ve biyometrik veriler işlenmektedir.
XI. Kişisel Verilerin İşlenmesine ve Paylaşılmasına Yönelik Faaliyetler ve Amaçlar
Kişisel veriler; acil durum yönetimi süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi,
çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi, çalışanlar için iş akdi ve mevzuattan kaynaklı
yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
denetim/etik faaliyetlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, erişim yetkilerinin
yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi,
fiziksel mekan güvenliğinin temini, görevlendirme süreçlerinin yürütülmesi, hukuk işlerinin takibi ve
yürütülmesi, iç denetim/sorusturma/istihbarat faaliyetlerinin yürütülmesi, iletişim faaliyetlerinin
yürütülmesi, insan kaynakları süreçlerinin planlanması, iş faaliyetlerinin yürütülmesi/denetimi, iş
sağlığı/güvenliği faaliyetlerinin yürütülmesi, iş süreçlerinin iyileştirilmesine yönelik önerilerin alınması
ve değerlendirilmesi, iş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, lojistik faaliyetlerinin
yürütülmesi, mal/hizmet satın alım süreçlerinin yürütülmesi, mal/hizmet satış süreçlerinin
yürütülmesi, mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi, organizasyon ve etkinlik
yönetimi, performans değerlendirme süreçlerinin yürütülmesi, reklam/kampanya/promosyon
süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin
yürütülmesi, sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi, sözleşme süreçlerinin
yürütülmesi, stratejik planlama faaliyetlerinin yürütülmesi, talep/şikayetlerin takibi, taşınır mal ve
kaynakların güvenliğinin temini, ücret politikasının yürütülmesi, veri sorumlusu operasyonlarının
güvenliğinin temini, eğer yabancı bir personel söz konusu ise, yabancı personel çalışma ve oturma izni
işlemleri, yetkili kişi, kurum ve kuruluşlara bilgi verilmesi, yönetim faaliyetlerinin yürütülmesi
faaliyetleriyle sınırlı olarak ve bunlara bağlı yukarıda sıralanan amaçlarla işlenecektir.
Kişisel verileriniz; Kanun tarafından öngörülen temel ilkelere uygun olarak ve Kanun'un 8. ve 9.
maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde ve yukarıda yer alan amaçlarla,
yurt içine ve yurt dışına, hizmet ilişkisi içerisinde olduğumuz iş ortakları ve tedarikçilerimize, Arkas
Holding A.Ş. ve bağlı şirketleri/kuruluşlarına, kanunen yetkili kamu kurum, kuruluş ve kişilere
aktarılmaktadır.
XI. Üçüncü Parti Hizmet Sağlayıcılara Veri Aktarırken Alınan Önlemler
Üçüncü parti hizmet sağlayıcılar ile yapılan sözleşmelere ve eklerine kişisel verilerin korunmasına
yönelik maddeler eklenir, ayrı bir gizlilik sözleşmesi yapılır, ek taahhütname veya protokollerin
düzenlenmesi ve söz konusu hizmet sağlayıcılar denetlenerek kişisel verilerin uygun şekilde korunup
korunmadığı kontrol edilir. Ayrıca topluluk şirketleri ile iştirakler ve bağlı ortaklıklar arasında “Çerçeve
Veri Transferi Sözleşmesi” düzenlenerek topluluk içerisinde kişisel veri paylaşımı düzenlenir.
Xlll. Veri Koruma Politika ve Prosedürleri
İşbu politika, Veri Sorumlusu bünyesinde kişisel verilerin korunması ve işlenmesinin genel şartlarını
içerir.
1. “Kişisel Verileri Saklama ve İmha Politikası” , Veri Sorumlusu bünyesinde, kişisel verilerin
saklanması ve imha süreçlerine dair kural ve prosedürleri içerir.
2. “Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası” , Veri Sorumlusu
bünyesinde, özel nitelikli kişisel verilere özgü işlenme şart ve yöntemleri düzenleyen kural
ve prosedürleri içerir.
3. “Çalışan Kişisel Verilerinin Korunması ve İşlenmesi Politikası”, Veri Sorumlusu bünyesinde
çalışan kişilere ait kişisel verilerin korunması ve işlenmesin şart ve yöntemleri düzenleyen
kural ve prosedürleri içerir.
4. “Bilgi Sistemleri Genel Standartlar ve Güvenlik Politikasının” ticari ve operasyonel her türlü
elektronik, yazılı veya diğer ortamlardaki bilgi ve verilerin güvenliği ve gizliliğini sağlamayı
amaçlar; çalışanlara yönelik kişisel verilerin işlenmesine dair genel prensipleri belirler.
5. Aydınlatma ve Açık Rıza metinleri ile ilgili kişilerin bilgilendirilmesi ve kişisel verilerinin
işlenebilmesi süreçlerinin Kanun'a uygun şekilde yürütülmesi sağlanır.
6. İç eğitimler ile çalışanlar, Kanun konusunda bilgilendirilir ve farkındalık artırılması
hedeflenir.
7. “İlgili Kişi Taleplerinin Yönetimi Prosedürü” Veri Sorumlusu bünyesinde, ilgili kişilerden
gelen taleplerin araştırılması, bu taleplere yanıt verilmesi, bu taleplerle ilgili gerekli
aksiyonların alınması süreçlerinin kural ve şartları belirlenir.
8. Veri Sorumlusu bünyesinde, kişisel veri işleme faaliyetleri düzenli olarak denetlenir.
XIV. Risk Analizi
İç Denetim Departmanı tarafından düzenli olarak gerçekleştirilen denetimler neticesinde ortaya çıkan
risk bulguları KVK Danışma Grubu ile değerlendirilir. Alınması gereken aksiyonlarla veya değiştirilmesi
gereken süreçlerle ilgili Arkas Holding A.Ş. ve bağlı şirketleri üst yönetimine bilgi verilir ve ilgili Veri
Sorumlusu'nun gerekli tedbirleri alması sağlanır.
XV. Politika Dışı Durumlar
İşbu politikada tarif edilenler dışında farklı uygulamalar tespit edilmesi durumunda, tespiti yapan kişiler
Veri Sorumlusu İrtibat Kişisi ve Veri Yetkililerinden destek alarak KVK Danışma Grubu'na yazılı olarak
bilgi verirler.
XVI. — Kişisel Verilerin İşlenme İlkeleri
Kanun'a uyumluluğun sağlanması için kişisel veriler mevzuatta öngörülen genel ilke ve hükümlere
uygun olarak işlenir. Bu kapsamda, Veri Sorumlusu; Kanun ve Kanun ile ilgili mevzuata uygun olarak
kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket ederler.
1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma
Veri Sorumlusu; kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük
kurallarına uygun hareket eder.
2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Veri Sorumlusu; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate
alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamak ve bu doğrultuda gerekli
tedbirleri almak için gerekli sistemleri kurar.
3. Belirli, Açık ve Meşru Amaçlarla İşleme
Veri Sorumlusu; kişisel verilerin hangi amaçla işleneceğini belirler ve bu amaçları kişisel veriler
işlenmeden önce veri sahiplerinin bilgisine sunar. Kişisel veriler belirtilen meşru ve hukuka
uygun amaçlar dışında işlenmez.
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Veri Sorumlusu; kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde
işler ve amacın gerçekleştirilmesi ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin
işlenmesinden kaçınır. Bu kapsamda, orantılılık gerekliliklerini dikkate alır ve kişisel verileri
işleme amacı dışında kullanmaz.
5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza
Etme
Veri Sorumlusu; öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp
öngörülmediğini tespit eder. Bir süre belirlenmişse bu süreye uygun davranır. Bir süre
belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza eder.
6. Bina Girişleri ve İçerisindeki Kişisel Veri İşleme Faaliyetleri ile Ağ ve İnternet Sitesi
Kullanıcıları
Veri Sorumlusu tarafından güvenliğin sağlanması amacıyla, Veri Sorumlusu binalarında ve
tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik
kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir
giriş çıkışlarının kayıt altına alınması yoluyla Veri Sorumlusu tarafından kişisel veri işleme
faaliyeti yürütülmüş olmaktadır.
Veri Sorumlusu bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla
ziyaretçilerimizin ve tüm ilgili kişilerin görüntü kayıtları alınmakta; ad, soyad, TC kimlik
numarası, ehliyet numarası, pasaport numarası, personel sicil numarası, unvan, iş alanı,
cinsiyet, çalıştığı firma, giriş - çıkış tarih ve saati, motorlu taşıt plakası bilgilerini içeren ziyaretçi
listesi tutulmaktadır.
Veri Sorumlusu, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini
artırmak, güvenilirliğini sağlamak, Veri Sorumlusu'nun, müşterilerin ve üçüncü kişilerin
güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini koruma amacı
taşımaktadır.
Veri Sorumlusu tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde
Kanun'da yer alan düzenlemelere ve 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun” ve
ilgili mevzuata uygun olarak sürdürülmektedir.
Kanun'un 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel
verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Veri Sorumlusu tarafından güvenliğin sağlanması ve bu politikada belirtilen amaçlarla, bina ve
tesisler içerisinde kaldıkları süre boyunca talep eden ziyaretçilere internet erişimi
sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 sayılı “İnternet
Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele
Edilmesi Hakkında Kanun” ve buna göre düzenlenmiş olan mevzuatın amir hükümlerine göre
kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep
edilmesi veya Veri Sorumlusu bünyesinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki
yükümlülükleri yerine getirmek amacıyla işlenmektedir.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Bilgi Güvenliği
Birimi personelinin erişimi bulunmaktadır.
Elde edilen log kayıtları değişmezlik ilkesini sağlamak için zaman damgasıyla birlikte
kaydedilerek sınırlı sayıda Bilgi Güvenliği Birimi çalışanının erişimi ile saklanmaktadır.
7. Müşteri ve İş Ortakları Verilerinin İşlenmesi
Müşterilerle yukarıda belirtilen amaçlar doğrultusunda yazılı, sözlü her türden iletişime
geçmek için kişisel veriler işlenebilir.
Sözleşmeden kaynaklanan ilişki dolayısıyla, mevcut ve potansiyel müşteri ve iş ortaklarına (iş
ortağının tüzel kişi olması halinde iş ortağı yetkilisine) ait kişisel veri, ayrıca onay alınmadan bir
sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir. Sözleşme öncesinde
sözleşmeye başlama aşamasında kişisel veriler; teklif hazırlamak, satın alma formu hazırlamak
ya da ilgili kişinin sözleşmenin uygulanmasıyla ilgili taleplerini karşılamak amacıyla işlenebilir.
Reklam amaçlı olarak kişisel veriler, reklam ya da pazar ve kamuoyu araştırmaları için ancak bu
bilgilerin toplanma amacının söz konusu amaçlara uygun olması durumunda işlenmektedir.
İlgili kişi bilgilerinin reklam amaçlı kullanılacağı hususunda bilgilendirilmektedir.
Yasal yükümlülüklerimiz veya kanunda açıkça öngörülmesi sebebiyle yapılan veri işlemleri
dolayısıyla, kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla
belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan
işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için
gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
Özel nitelikli kişisel veriler, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması
kaydıyla ve Kanun hükümleri çerçevesinde işlenmektedir. Kişisel veri sahibinin sağlığı ve cinsel
hayatı dışındaki özel nitelikli kişisel verileri, açık rızası; açık rizanin bulunmaması halinde ise
Kanun'da öngörülen istisnalar kapsamında işlenmektedir.
8. Çalışan ve Çalışan Adaylarını Verilerinin İşlenmesi
Veri Sorumlusu bünyesinde çalışan kişilere ait kişisel verilerin korunması ve işlenmesin şart ve
yöntemleri düzenleyen kural ve prosedürler “Çalışan Kişisel Verilerinin Korunması ve İşlenmesi
Politikası” içinde yer almaktadır.
Bununla birlikte; iş sözleşmesinin kurulması, uygulanması ve sonlandırılmasına kadar geçen
süreçte çalışanlara ait kişisel verilerin toplanması ve işlenmesi zorunludur. Bunlar için
çalışanların ayrıca açık rızaları alınmayabilir. Potansiyel çalışan adaylarının da kişisel verileri iş
başvurularında işlenmektedir. Adayın iş başvurusunun reddi halinde, başvuru sırasında elde
edilen kişisel veri saklama süresi kadar muhafaza edilmekte, bu sürenin sonunda silinmekte,
yok edilmekte veya anonim hale getirilmektedir.
Çalışana ait kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla
belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan
işlenebilir.
Çalışanlara ait kişisel veriler, veri sorumlusunun meşru bir menfaatinin bulunduğu hallerde
ayrıca onay alınmadan işlenebilmektedir. Çalışanlara ait verilerin veri sorumlusunun meşru
menfaatine dayanılarak işlenmesi halinde bu işlemenin ölçülü olup olmadığı incelenir, meşru
menfaatinin ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilir.
Özel nitelikli kişisel veriler sadece belli koşullar altında işlenmektedir. Irk ve etnik köken, siyasi
düşünce, din, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da
sendika üyeliği, sağlık, cinsel hayat, ceza mahkümiyeti ve güvenlik tedbirleriyle ilgili veriler ile
biyometrik ve genetik veriler özel nitelikli veri olarak tanımlanmıştır. Özel nitelikli kişisel veriler
ancak çalışanın açık rızası olması halinde ve gerekli idari ve teknik tedbirler alınarak işlenebilir.
Aşağıda sıralanan haller bu hükmün istisnasını oluşturmakta olup, belirtilen hallerde çalışanın
açık rızası bulunmasa da özel nitelikli kişisel verileri işlenebilecektir. Çalışanın sağlığı ve cinsel
hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde; Çalışanın sağlığına
ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
XVII. Kişisel Verilerin İşlenme Şartları
1. Kişisel Verilerin Tespiti ve İşlenmesi
Kanun uyarınca, kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”
olarak tanımlanmıştır. Kişisel veri kavramı sadece ad, soyad, doğum yeri, doğum tarihi gibi
kişilerin tanınmasını ve teşhisini sağlayan bilgilerden ibaret olmayıp ayrıca kişilerin fiziksel,
sosyal, kültürel, ekonomik, psikolojik tüm bilgilerini de kapsamaktadır.
Kişinin kimlik bilgilerine ek olarak, vatandaşlık numarası, vergi numarası, pasaport numarası,
sosyal güvenlik numarası, sürücü belgesi numarası, motorlu taşıt plakası, ev adresi, İş adresi, e-
posta adresi, telefon numarası, faks numarası, özgeçmişi, fotoğrafı, videosu, genetik bilgileri,
kan grubu, kriminal geçmişi ve adli sicil bilgileri gibi kişinin belirli veya belirlenebilir olmasını
sağlayan tüm bilgiler kişisel veri niteliği taşımaktadır ve kişisel verilerin korunması kapsamına
girmektedir.
Bu tanım uyarınca, Veri Sorumlusu, Veri Sorumlusu'nun iş ortakları, çalışanları ve müşterileri
başta olmak üzere üçüncü kişiler de dahil, topladıkları tüm verilerin kişisel veri kapsamına girip
girmediğini tespit eder ve bu verileri Kanun'daki kurallara uygun olarak işler.
Kişisel verilerin işlenmesi; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi
gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.
2. İstisnai Haller
Veri Sorumlusu Kanun uyarınca kişisel verileri ilgili kişilerin açık rızası ile işler. Ancak, aşağıdaki
şartlardan herhangi birinin var olması halinde, açık rıza aranmaksın kişisel verilerin işlenmesi
mümkündür.
2.1.Kanunlarda açıkça öngörülmesi (vergi mevzuatı, is mevzuatı, ticaret mevzuatı vb.).
2.2.Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması (İş akdi, satış
sözleşmesi, taşıma sözleşmesi, eser sözleşmesi vb.).
2.3.Fiili imkansızlık nedeni ile rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişilerin kendileri veya bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu bir durum olması.
2.4.Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan
durumlarda (mali denetimler, güvenlik mevzuatı, sektör odaklı regülasyonlarla uyum
vb.).
2.5.Kişisel verinin ilgili kişisi tarafından alenileştirilmesi (ilgili kişilerin kendisine ait bilgileri
umumun bilgisine sunması).
2.6.Bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması
(dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu
veriler)
2.7.İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun
meşru menfaatleri için veri işlemesinin zorunlu olması.
3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Kanun kapsamında bir takım kişisel veriler “özel nitelikli kişisel veri” olarak adlandırılmaktadır.
Veri Sorumlusu bu tür verileri ilgilisinin açık rızası olmaksızın işlemez. Açık rıza “belirli bir
konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” dır.
Kanun; kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer
inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkümiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli
kişisel veri olarak saymıştır. Sayılan bu veriler Kanun'da tanımlandığı şekliyle sınırlı sayıda olup,
yorum yoluyla artırılamaz.
Veri Sorumlusu, özel nitelikli kişisel verilerin işlenmesinde, Kişisel Verileri Koruma Kurulu
(Kurul) tarafından belirlenen yeterli önlemleri de alacaktır.
Veri Sorumlusu; Kanun uyarınca özel nitelikli kişisel verileri ancak aşağıdaki şekilde işlemesi
mümkündür.
3.1.Sahibinin Açık Rızasıyla.
3.2.Kanun Hükmüyle (sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen
hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir).
3.3.Kamu Sağlığı Gerekçesiyle, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı
(kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından işlenmesi).
4. Kişisel Verilerin Aktarılmasına İlişkin Şartlar
Veri Sorumlusu, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak, Kanun'un 5/2. ve 6/3. maddesinde belirtilen şartları (hukuki sebepler)
karşılamak şartıyla veya veri sahibinin açık rızası ile kişisel verileri üçüncü kişilere aktarabilir.
Aynı zamanda, Veri Sorumlusu, kişisel verileri Kanun'da öngörülen veri işleme şartlarına uygun
olarak, açık riza aranmaksızın üçüncü kişilere aktarabilir.
Veri Sorumlusu, açık rıza olmaksızın aktardığı verileri Kanun'daki sınırlamalara uygun olarak
aktarmak amacıyla gerekli idari ve teknik önlemleri alır.
Veri Sorumlusu tarafından kişisel veriler Kurul tarafından yeterli korumaya sahip olduğu ilan
edilen yabancı ülkelere veya yeterli korumanın bulunmaması halinde Türkiye'deki ve ilgili
yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul'un
aktarım izni verdiği yabancı ülkelere aktarabilir.
XVIII. Veri Sorumlusunun Yükümlülükleri
1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü
Veri Sorumlusu, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aşağıda yer alan
hususlarda aydınlatır.
1.1. Veri sorumlusunun ve varsa temsilcisinin kimliği
1.2. Kişisel verilerin hangi amaçla işleneceği
1.3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
1.4. Kişisel veri toplamanın yöntemi ve hukuki sebepleri
1.5. Kişisel veri sahibinin Kanun'un 11. maddesi uyarınca sahip olduğu hakları
Bu yükümlülük uyarınca, Veri Sorumlusu hazırlamış olduğu aydınlatma metni ile ilgili kişileri
bilgilendirir. Aydınlatma; ilgili kişi ile ilk iletişime geçildiği anda yapılır.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde; Kişisel verilerin elde edilmesinden
itibaren makul bir süre içerisinde, kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak
olması durumunda, İlk iletişim kurulması esnasında veya kişisel verilerin aktarılacak olması
halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada aydınlatma yapılır.
2. Kişisel Veri Sahiplerinin Başvurularını Sonuçlandırma Yükümlülüğü
Kişisel veri sahipleri, Kanun uyarınca yazılı olarak veya Kurul'un belirleyeceği diğer yöntemlerle
Veri Sorumlusu'na başvuruda bulunarak, bilgi talep edebilir.
Veri Sorumlusu, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine
gereken bilgilendirmenin yapılması için Kanun'un 13. maddesi uyarınca başvuruları
cevaplandırır. Sair idari ve teknik düzenlemelere ilişkin prosedürleri oluşturur ve uygular.
Kişisel veri sahiplerinin hakları şunlardır;
1.1.Kişisel verilerinin işlenip işlenmediğini öğrenme
1.2.Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
1.3.Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme
1.4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
1.5. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
1.6.İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok
edilmesini isteme
1.7.İlgili mevzuat uyarınca yapılan kişisel verilerinin üzerinde yapılan işlemlerin, kişisel
verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme
1.8.İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
aleyhine bir sonucun ortaya çıkmasına itiraz etme
1.9. Kişisel verilerinin Kanun'a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme
Veri Sorumlusu, yazılı veya güvenli elektronik imzayla imzalanmış olarak kayıtlı elektronik posta
adreslerine veya web sitesinde yer alan “Başvuru Formu” kullanılarak iletilen talepleri işleme
alır. Kurul başkaca başvuru yöntemleri belirlediği takdirde bu yollar ile de başvuru kabul edilir.
Veri Sorumlusu, talebi niteliğine göre talebi en kısa sürede ve en geç 30 (otuz) gün içerisinde
yanıtlar. Veri Sorumlusu, başvuruları kabul ederek gereken işlemleri gerçekleştirebilir ya da
başvuruları gerekçeli olarak reddeder.
Kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya başvuruya
cevap verilmemesi hallerinde cevabı öğrendiği tarihten itibaren 30 (otuz) ve her halde başvuru
tarihinden 60 (altmış) gün içerisinde Kurul'a şikayette bulunabilir.
Veri Sorumlusu, kişisel veri sahiplerine Kanun'un öngördüğü şekilde zamanında ve gerekçeli
olarak cevap verir.
3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü
Veri Sorumlusu, işlemekte oldukları kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere
hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun
güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır.
Kurul, ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler
getirebilecektir. Dolayısıyla Veri Sorumlusu, bu kapsamdaki yükümlülüklere de uyum sağlamak
amacıyla gerekli özeni gösterir ve kişisel verilerin güvenliğini sağlar.
Veri Sorumlusu, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak
gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri oluşturur. Bu denetim sonuçları
Veri Sorumlusu bünyesinde görevli birimlerce incelenir ve gerekli önlemler alınır.
Veri Sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde
edilmesi halinde, bu durumu öğrendiği tarihten itibaren en geç 72 saat (Yetmiş İki) içinde
Kurul'a bildirir. Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip İlgili
kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa
doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi
uygun yöntemlerle bildirim yapılır.
4. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması
Veri Sorumlusu bünyesinde iş birimleri tarafından gerçekleştirilen kişisel veri işleme
faaliyetlerine ilişkin tüm süreçler kişisel veri işleme envanterinde toplanır ve analiz edilir. İş
birimleri tarafından verilerin toplanmasından silinmesine kadar gerçekleştirilen faaliyetlerin
tümünün hukuka uygunluk denetimi yapılır.
Kişisel veri işleme faaliyetleri kurulan teknik sistemler ile denetlenir. Hukuka aykırılık tespit
edildiğinde ilgilisine bildirilerek eksiklik ya da hukuka aykırılığın giderilmesi sağlanır.
Veri Sorumlusu, çalışanlarını kişisel verilerin korunması hukuku ve kişisel verilerin hukuka
uygun olarak işlenmesi konusunda bilgilendirilir ve eğitilir.
Veri Sorumlusu ile Veri Sorumlusu'nun iş ortakları, çalışanları ve müşterileri arasındaki hukuki
ilişkiyi yöneten sözleşme ve belgelere, Kanun'daki düzenlemelere aykırı biçimde kişisel
verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yükümlülüğünü getiren hükümler
eklenir.
Her bir iş biriminin faaliyetlerinin Kanun'da belirtilen kişisel veri işleme şartlarına
uygunluğunun sağlanmasına yönelik işlemler, her bir iş birimi ve yürütmekte olduğu faaliyet
özelinde tespit edilir. İş birimleri özelinde uygulama kuralları belirlenir, bu kuralların denetimini
ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler alınıp prosedür oluşturularak
eğitimler verilir.
5. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Teknik ve İdari Tedbirlerin Alınması
Veri Sorumlusu, kişisel verilerin hukuka aykırı şekilde elde edilmesini, üçüncü kişilere
açıklanmasını, görüntülenmesini ve aktarılmasını önlemek için korunacak verinin niteliğine
göre gerekli idari ve teknik tedbirleri alır.
Teknolojik gelişmelere uygun teknik önlemler alınır ve alınan önlemler periyodik olarak
güncellenir ve gerektiğinde yenilenir.
Veri Sorumlusu tarafından hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme
teknik süreçleri tasarlanır ve devreye alınır.
Güvenlik riski olan hususlara ilişkin teknolojik çözümler üretilir.
Veri Sorumlusu çalışanları alınan teknik tedbirler konusunda eğitilir ve teknik konularda bilgili
personel istihdam edilir.
Veri Sorumlusu çalışanlarının öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak
başkasına açıklamayacakları ve işleme amacı dışında kullanmayacakları konusunda çalışanlara
“Bilgi Sistemleri Genel Standartlar ve Güvenlik Politikası ” imzalatılır.
Veri Sorumlusu tarafından kişisel verilerin aktarıldığı kişiler ile yapılan sözleşmelere kişisel
verileri koruma altına alacak maddeler eklenir.
Veri Sorumlusu tarafından alınacak tedbirler bu madde ile sınırlı olmayıp, Veri Sorumlusu
tarafından oluşturulan “Bilgi Sistemleri Genel Standartlar ve Güvenlik Politikası ” ile “Kişisel
Verileri Saklama ve İmha Politikasında” belirtilen tedbirler de uygulanır.
6. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
Veri Sorumlusu, veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan süre
içerisinde başvuru bilgi ve belgelerini sunarak veri sorumluları siciline kayıt olur. VERBİS'e
beyan edilecek bilgiler şunlardır;
6.1. Veri Sorumlusu temsilcisinin kimlik ve adres bilgileri
6.2. Kişisel verilerin hangi amaçla işleneceği
6.3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki
açıklamalar
6.4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
6.5. Yabancı ülkelere aktarımı öngörülen kişisel veriler
6.6. Kişisel veri güvenliğine ilişkin alınan tedbirler
6.7.Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
Z. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Türk Ceza Kanunu'nun 138. maddesinde ve Kanun'un 7. maddesinde düzenlendiği üzere ilgili
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde Veri Sorumlusu kendi kararına istinaden veya kişisel veri sahibinin
talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir.
Veri Sorumlusu “Kişisel Verileri Saklama ve İmha Politikası” içerisinde ayrıntılı olarak belirtilen
teknik ve idari tedbirleri alır. Bu konuda gerekli işleyiş mekanizmaları geliştirir. Burada yer alan
yükümlülüklerine uygun davranmak üzere ilgili iş birimlerini eğitir, görevlendirme ve
farkındalıklarını sağlar.
