KVKK Politikamız

KVK Politikası

ORYA ENERJİ ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1.  GİRİŞ

1.1.  Genel Olarak

Kişisel verilerin gizliliğinin, güvenliğinin sağlanması ve ilgili hukuki düzenlemelere uyum, Orya Enerji Anonim Şirketi (“Şirket”) en önemli öncelikleri arasında yer almakta olup, bu konuda azami özen gösterilmektedir. Bu kapsamda kişisel verilerin işlenmesine ve korunmasına dair işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (‘‘Politika’’) ve Şirket bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen amaç; çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, misafirlerimizin vediğerüçüncükişilerin(‘‘İlgiliKişiler’’)kişiselverilerininhukukauygunbiçimdeişlenmesi, saklanması,korunmasıkonusundabilgilendirilmesivekurumsalkültürümüzünyansıtılmasıdır.

İşbu Politika’nın hazırlanmasında; Türkiye Cumhuriyeti Anayasası ve 6698 sayılı Kişisel VerilerinKorunmasıKanunu’nda(‘‘KVKK’’)yeralandüzenlemelerbaştaolmaküzerekişisel verilerinkorunmasınaveişlenmesineilişkinilgilihukukinormlardaveKişiselVerileriKoruma Kurulu kararlarında yer alan hükümleri Şirketimize rehber olarakgörmekteyiz.

Bu Politika’da kişisel verilerin işlenmesi süreçleri için Şirketimizin benimsediği ve aşağıda yer alan temel prensiplere ilişkin açıklamalarda bulunulacaktır:

·  Kişisel verilerin hukuka ve dürüstlük kurallarına uygunişlenmesi,

·  Kişisel verilerin doğru ve gerektiğinde günceltutulması,

·  Kişisel verilerin belirli, açık ve meşru amaçlar içinişlenmesi,

·  Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülüolması,

·  Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafazaedilmesi,

·  İlgili kişilerinaydınlatılması,

·  İlgili kişilerin haklarını kullanması için gerekli süreçlerinoluşturulması,

·  Kişisel verilerin işlenmesinde ve muhafazasında gerekli tedbirlerinalınması,

·  Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilereaktarılması,

·  Özel nitelikli kişisel verilerin işlenmesinde ve korunmasında gerekli hassasiyetin gösterilmesi,

·  İşleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

1.2.  PolitikanınAmacı

Bu Politikanın temel amacı, Şirketimiz tarafından hukuka uygun bir şekilde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen prosedürler konusunda açıklamalarda bulunmak ve bu kapsamda İlgili Kişileri bilgilendirerek şeffaflığı sağlamaktır. Buna ilaveten, hazırlanan işbu KVK Politikası ve diğer yazılı politikalar, KVKK ve kişisel veri güvenliğine ilişkin diğer ilgili yasal düzenlemelere uyum ilkemizisürdürülebilir kılmayı amaçedinmektedir.

1.3.  PolitikanınKapsamı

Bu politikanın kapsamı, Şirketimiz tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen gerçek kişilere yönelik olup, işbu Politika kapsamında Kişisel Verilerin Korunmasına İlişkin İç Yönerge oluşturulmuştur.

1.4.  Politikanın ve İlgili MevzuatınUygulanması

İşbu Politika, ilgili mevzuat tarafından ortaya konulan esaslar dahilinde somutlaştırılarak düzenlenmiştir.Şirketimiz,yürürlüktebulunanmevzuatileişbuPolitikaarasındauyumsuzluk bulunması durumunda, yürürlükteki mevzuatın uygulama alanı bulacağını taahhüt ve kabul etmektedir.

1.5.  PolitikanınYürürlüğü

İşbu politika, Şirketimiz yönetim kurulu tarafından onaylanarak yürürlüğe girer, internet sitesinde(..................... ) yayımlanır ve bu yolla İlgili Kişilerin erişiminesunulur.

2.  TANIMLAR VEKISALTMALAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale

Getirme/Anonimleştirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Çalışan

Şirket çalışanları

Çalışan Adayı

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine sunmuş olan gerçek kişiler

İlgili Kişi

Kişisel verisi işlenen gerçek kişi

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Komite

Kişisel Verileri Koruma Komitesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

KVK Politikası

Kişisel Verilerin Korunması ve İşlenmesi Politikası

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya dasendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetikveriler

Periyodik İmha İşlemi

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politika

KVK Politikası

Potansiyel Müşteri

Hizmetlerimizi kullanma talebinde bulunmuş veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş kişiler

Şirket

Orya Enerji Anonim Şirketi

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi, dizin

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumlusuna Başvuru Formu

İlgiliKişilerin,KVKK’nın11.maddesindeyeralanhaklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu

Veriyi Silme

Kişisel  verilerin  ilgili  kullanıcılar  için  hiçbir  şekilde erişilemez ve tekrar kullanılamaz halegetirilmesi

Veriyi Yok Etme

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Ziyaretçi

Kurumun sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler

3.  KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİNESASLAR

3.1.  Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarakİşlenmesi

3.1.1.  Hukuka ve Dürüstlük Kurallarına Uygunİşleme

Şirketimiz, kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde hukuka ve dürüstlük kurallarına uygun olmayı temel ilke edinmiştir. Bu kapsamda şeffaflık ilkesini benimseyerek toplanankişiselverilerinkullanımamacıhakkındaİlgiliKişilereişbuPolitikavediğermetinler aracılığıyla bilgilendirmedebulunmaktadır.

3.1.2.  Kişisel Verilerin Doğru ve Gerektiğinde Güncel OlmasınıSağlama

Şirketimiz, kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve sürece sahiptir. Bu kapsamda İlgili Kişiler, Şirketimize başvuruda bulunarak kişisel verilerinin doğru ve güncel olarak tutulmasını mümkün kılabilir.

3.1.3.  Belirli, Açık ve Meşru Amaçlarlaİşleme

Şirketimiz, kişisel veri işleme amacını meşru ve hukuka uygun sınırlar içerisinde açık bir şekilde belirlemekte ve işbu Politika ve diğer metinler aracılığıyla kişisel veri işleme faaliyeti henüz başlamadan İlgili Kişilerin bilgisine sunmaktadır.

3.1.4.  İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve ÖlçülüOlma

Şirketimiz, kişisel verileri, faaliyet konusu ile bağlantılı ve orantılı bir biçimde faaliyetin yürütülmesi için gerekli amaçlar dahilinde işlemektedir. Bu kapsamda veri işleme faaliyetini yürütürken amacın gerçekleştirilmesiyle ilgili olmayan ve şu an/ileride ihtiyaç duyulmayan kişisel verileri işlemekten özenle kaçınmaktadır.

3.1.5.  İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar MuhafazaEtme

Şirketimiz,kişiselverileriancakilgilimevzuattabelirtildiğiveyaişlendikleriamaçiçingerekli olan süre ile sınırlı olarak muhafaza etmektedir. Bu kapsamda öncelikle kişisel verinin saklanması için ilgili mevzuatta bir sürenin belirlenip belirlenmediği tespit edilmekte, bir süre belirlendiyse bu süreye uygun işlem yapılmakta, özel olarak bir süre belirlenmemiş ise her kişisel verinin işlendiği amaç için gerekli olan süre belirlenerek bu süre kadar muhafaza edilmektedir.

Bu kapsamda Şirketimiz, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine yönelik politikası ve yönergesi hazırlamakta ve uygulamaktadır.

3.2.  Kişisel Verilerin KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartlarına Uygun ve Bu Şartlarla Sınırlı Olarakİşlenmesi

Şirketimiz, kişisel verileri ancak İlgili Kişinin açık rızasına dayanarak veya KVKK’da açık rızanın aranmayacağı belirtilen hallerde açık rıza olmadan bu hal ve şartlarla sınırlı olacak bir şekilde işlemektedir.

3.2.1.  Açık Rıza

Açık rıza, İlgili Kişinin belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak özgür irade ile yaptığı açıklamadır. KVKK m. 5/1 uyarınca Şirketimiz, kişisel veri işleme faaliyetinde gerekli olması halinde İlgili Kişinin açık rızasına saygı göstermekte ve riayet etmektedir.

3.2.2.  Açık Rızanın AranmadığıHaller

KVKK m. 5/2’de kişisel verilerin bazı durumlarda İlgili Kişinin açık rızasına tabi olmadan işlenmesini düzenlemiştir. Belirtilen şartların birinin varlığı halinde ilgili kişiden açık rıza alınması, İlgili Kişiyi yanıltmak olarak nitelendirileceğinden, veri işleme şartlarının mevcut olduğu durumlarda Şirketimiz açık rızaya başvurmamaktadır.

3.3.  Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirketimiz,işlendiğindekişilerindahabüyükmağduriyetineveyaayrımcılığasebepolmariski nedeniyleKVKKtarafından“özelnitelikli”olarakbelirlenenkişiselverilerinişlenmesüreçleri ve korunması süreçlerinde azami hassasiyet göstermekte olup, özel nitelikli kişisel verilere ilişkin kabul edilen ilkeler, işbu Politikada ayrıca elealınmıştır.

Şirketimiz tarafından; özel nitelikli kişisel veriler ilgili kişinin açık rızası yok ise ancak Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilmektedir.

a)  İlgili kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler kanunlarda öngörülenhallerde,

b)  İlgilikişininsağlığınavecinselhayatınailişkinözelniteliklikişiselverileriseancakkamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızınişlenebilir.

Özel nitelikli kişisel verilerin işlenmesi, bu verilere ulaşılması ile ilgili olarak Şirketimiz ek önlemler ve süreçler belirlemiştir. Bu çerçevede, özel nitelikli kişisel verilerin saklandıkları ortamlar ikincil kilit ve ikincil şifrelerle korunmakta, yetki matrisi çerçevesinde ancak yetkili kişiler tarafından işlenmektedir.

3.4.  Kişisel Verilerin Aktarılması

Kişisel veriler, işbu Politika’da belirtilen amaçların yerine getirilmesine yönelik olarak, denetim faaliyetleri çerçevesinde denetleyici kuruluşlara, ilgili yasal düzenlemeler gereğince denetleme ve ortaklık haklarından kaynaklı nedenlerden dolayı hissedarlarımıza, kanunen yetkili kamu kurumları ve kuruluşlarına, yurt içi ve/veya yurt dışında bulunan tedarikçi ve iş ortaklarımıza, hizmettedariki yapılan gerçek kişilere veya hizmetverilen üçüncü kişilere

KVKK madde 8 ve madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilmektedir.

4.  KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİNESASLAR

4.1.  Kişisel Verilerin Güvenliğine İlişkin Şirketimizin Almış Olduğu Teknik ve İdari Tedbirler

4.1.1.  TeknikTedbirler

Şirketimiz tarafından kişisel verilerin hukuka uygun olarak işlenmesinin sağlanması vekişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi için alınan başlıca teknik tedbirler şu şekildedir:

·  Şirketimiz bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri, kurulan teknik sistemlerledenetlenmektedir.

·  Teknik konularda bilgili ve tecrübeli personel istihdamedilmektedir.

·  Teknik konularda ilgili departmanlarkurulmuştur.

·  Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği yetkili birim/kişiyeraporlanmaktadır.

·  Kişisel verilerin güvenli bir şekilde saklanmasını sağlamak için hukuka uygunbir biçimde yedekleme programıkullanılmaktadır.

·  Yeniteknolojikgelişmelertakipedilmekteveözelliklesibergüvenlikalanındasistemler üzerindeteknikönlemleralınmakta,alınanönlemlerperiyodikolarakgüncellenmekteve yenilenmektedir.

·  Şirketimiz bünyesindeki her bir bölüm özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme teknik tedbirlerikullanılmaktadır.

·  Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmekte, eski çalışanların hesaplarıkapatılmaktadır.

·  Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kullanılmaktadır.

·  Sahte yazılım ve donanım kullanımından şiddetle kaçınılmaktadır. Kullandığımız tüm ürünlerimiz orijinal velisanslıdır.

Bu çerçevede, Kurul tarafından belirlenen ve aşağıda yer alan teknik tedbirler konusunda Şirketimiz sürekli ve sürdürülebilir nitelikte çalışmalar yapmaktadır:

·  Yetki Matrisi

·  YetkiKontrol

·  Erişim Logları

·  Kullanıcı HesapYönetimi

·  AğGüvenliği

·  UygulamaGüvenliği

·  Şifreleme

·  Saldırı Tespit ve ÖnlemeSistemleri

·  LogKayıtları

·  Yedekleme

·  GüvenlikDuvarları

·  Güncel Anti-VirüsSistemleri

·  Silme, Yok Etme veya Anonim HaleGetirme

·  AnahtarYönetimi

4.1.2.  İdariTedbirler

Şirketimiz tarafından kişisel verilerin hukuka uygun olarak işlenmesini sağlanması ve kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi için alınan başlıca idari tedbirler şu şekildedir:

·  Personelimiz, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte veeğitilmektedir.

·  Şirketimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’da belirtilen veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütülen faaliyet özelinde incelenmektedir.

·  Şirketimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelerle, Şirketin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığıartırılmaktadır.

·  İş birimlerimiz esas alınarak belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulamaya geçilmektedir. Bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Şirket içi politikalar ve eğitimler ile hayatageçirilmektedir.

·  Faaliyet bazlı hukuksal uyum gerekliliklerine uygun olarak Şirketimiz içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta veuygulanmaktadır.

·  KVKK ve ilgili diğer düzenlemelere ilişkin iş ve işlemlerin takibinde kolaylık ve uyum için oluşturulmuş olan Kişisel Verileri Koruma Komitesi tarafından takipedilmektedir.

·  Şirketimiztarafındankişiselverilerinhukukauygunolarakaktarıldığıüçüncükişilerile kurulan sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerin alınacağına ve kendi kuruluşlarında da bu tedbirlere uyulmasının sağlanacağına ilişkin hükümlereklenmektedir.

Bu çerçevede, Kurul tarafından belirlenen ve aşağıda yer alan idari tedbirler konusunda

Şirketimiz sürekli ve sürdürülebilir nitelikte çalışmalar yapmaktadır:

·  Kişisel Veri İşleme EnvanteriHazırlanması

·  Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmhavb.)

·  Sözleşmeler(VeriSorumlusu-VeriSorumlusu,VeriSorumlusu-VeriİşleyenArasında)

·  GizlilikTaahhütnameleri

·  Kurum İçi Periyodik ve/veya RastgeleDenetimler

·  RiskAnalizleri

·  İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlaveEdilmesi)

·  Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimivb.)

·  Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği veKanun)

·  Veri Sorumluları Sicil Bilgi Sistemine (VERBİS)Bildirim

4.2.  Çalışanlarımızın, Kişisel Verileri Koruma Alanında Farkındalıklarının Artırılması veDenetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı erişilmesini önlemeye ve verilerin muhafazasını güvenli bir şekilde sağlamaya yönelik farkındalığın artırılması için gerekli eğitimler ve toplantılar düzenlenmesini sağlamaktadır.

Şirketimiz bünyesinde bulunan mevcut çalışanların, kişisel verilerin korunması konusunda farkındalığın artırılmasında konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile çalışılmaktadır.

4.3.  Özel Nitelikli Kişisel Verilerin Korunması

Şirketimiz tarafından, KVKK ile özel nitelikli olarak belirlenen ve hukuka uygun olarak işlenen kişisel veriler hassasiyetle korunmaktadır. Bu kapsamda Şirketimiz tarafından kişisel verilerin korunması için alınan teknik ve idari tedbirler, ilgili yasal düzenleme ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı baz alınarak belirlenmiş olup, özel nitelikli kişisel verilerin korunması bakımından özenle uygulanmaktadır.

4.4.  Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecekSüreç

Şirketimiz, işlediği kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde, bu durumu 72 saat içerisinde ilgili kişiye ve Kurula bildirecektir.

Kurul tarafından gerekli görülmesi halinde bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

4.5.  Kişisel VeriEnvanteri

Şirketimizin her birimi, güncel bir kişisel veri işleme envanteri oluşturmaktadır. Birim yöneticisi bu envanterin doğruluğundan, güncelliğinden ve gerektiğinde irtibat kişisine ibrazından sorumludur. Envanterlerin doğru tutulması, kişisel verilerin korunmasına ilişkin güncel Şirket politikasının uygulanması ve kişisel verilerin korunması konusundaki güncel gelişmeler daima takip edilir.

5.  İLGİLİ  KİŞİLERİN  VERİ  SORUMLUSUNA  BAŞVURUSU,  İLETİŞİM KANALLARIMIZ VE BAŞVURUNUN DEĞERLENDİRİLMESİSÜREÇLERİ

5.1.  BaşvuruKonusu

Şirketimiz, İlgili Kişilerin haklarına büyük önem ve değer vermekte ve bu haklarını kullanmalarınaimkânveolanaksağlamaktadır.Şirketimiztarafından,ilgilikişilerintaleplerini kolayca iletebileceği bir “Veri Sorumlusuna Başvuru Formu” hazırlanıp internet sitemizde yayımlanmıştır.  Ancak  İlgili  Kişilerin  bu  formun  kullanması  zorunlu  değildir. Veri

Sorumlusuna  Başvuru  Usul  ve  Esasları  Hakkında  Tebliğ’e  uygun  yapılan her başvuru

değerlendirmeye alınacaktır.

Herkes, Şirketimize başvuruda bulunarak kendisiyle ilgili;

a)  Kişisel verisinin işlenip işlenmediğiniöğrenme,

b)  Kişisel verileri işlenmişse buna ilişkin bilgi talepetme,

c)  Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

d)  Kişiselverilerinineksikveyayanlışişlenmişolmasıhâlindebunlarındüzeltilmesiniisteme,

e)  KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesiniveya yok edilmesiniisteme,

f)  (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesiniisteme,

g)  İşlenenverilerinmünhasıranotomatiksistemlervasıtasıylaanalizedilmesisuretiylekişinin kendisi aleyhine bir sonucun ortaya çıkmasına itirazetme,

ğ) Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

5.2.  Başvuru Yöntemi veAdresi

Başvuru Yöntemi

Başvurunun Yapılacağı Adres

Başvuru Konu Başlığı

Elden başvuru (Başvuru sahibinin bizzat başvurması halinde

kimliğini tevsik edici belgenin, vekaleten başvuru yapılması durumunda noter tasdikli vekaletnamenin hazırda bulundurulması gerekmektedir.)

……………………

Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında

Bilgi Talebi” yazılacaktır.

Noter vasıtasıyla tebligat

…………………………

Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında

Bilgi Talebi” yazılacaktır.

E-İmza/Mobil İmza Aracılığıyla e-posta

…………………………

Elektronik postanın konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

Kayıtlı Elektronik Posta (KEP) adresi aracılığıyla başvuru

………………………

Elektronik postanın konu kısmına “KişiselVerilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

Sistemlerimizde kayıtlı e- posta adresi (E-posta adresinizin daha öncesinde sistemlerimizde kimliğiniz ile eşleşmiş olması gerekmektedir.)

………………………

Elektronik postanın konu kısmına “KişiselVerilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

5.3.  Başvuru SonrasıSüreç

Tarafımıza iletilen başvurular, talebin niteliğine göre talebin Şirketimize ulaştığı tarihten itibaren en geç 30 (otuz) gün içerisinde yanıtlandırılmaktadır. Yanıtlarımız, Veri Sorumlusuna Başvuru Formunda başvurucu tarafından belirtilen bildirim şekli esas alınarak gönderilmektedir.

İlgili Kişiler; KVKK’nın 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; Şirketimizin cevabınıöğrendiğitarihtenitibarenotuzgüniçerisindeveherhaldebaşvurutarihindenitibaren altmış gün içerisinde Kurul’a şikâyettebulunabilir.

5.4.  BaşvuruÜcreti

Başvurular kural olarak ücretsiz yapılmaktadır. Ancak ilgili kişilerin talep ettiği işlemin ayrıca bir maliyeti gerektirmesi halinde, Şirketimiz tarafından Kurulca belirlenen tarifedeki ücret alınacaktır.

6.  İLGİLİ KİŞİLERİN AYDINLATILMASI VEBİLGİLENDİRİLMESİ

Şirketimiz, KVKK 10. maddesindeki düzenlemesine uygun olarak, ilgili kişileri kişisel verilerin elde edilmesi süreci ile ilgili olarak bu Politika ve internet sitemizde kolayca erişilebilir bir şekilde yer alan Aydınlatma Metni ve diğer metinler aracılığıyla aydınlatmaktır. BukapsamdaŞirketimiz,verisorumlusununkimliği,kişiselverilerinhangiamaçlaişleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer hakları konusunda ilgili kişileri bilgilendirmektedir.

İlgili Kişinin KVKK’da belirtilen haklarını daha rahatça kullanabilmesi amacıyla bir Veri Sorumlusuna Başvuru Formu oluşturulmuş ve Şirketimizin internet sitesinde yayımlanmıştır. İlgili bölüm, 5 numaralı başlıkta detaylı olarak anlatılmıştır.

7.  KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE SAKLANMASÜRELERİ

7.1.  Kişisel Verilerin İşlenmeAmaçları

Şirketimiz, kişisel verileri KVKK’nın 5. ve 6. maddesinde belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak işlemektedir. Bu amaçlar ve koşullar;

·  Kişisel verilerin işlenmesinin Şirketimizin ilgili faaliyette bulunmasının kanunlarda açıkçaöngörülmesi,

·  Kişisel verilerin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekliolması,

·  Kişisel verilerin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunluolması,

·  Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Şirket tarafındanişlenmesi,

·  Kişisel verilerin Şirket tarafından işlenmesinin Şirket’in bir hakkın tesisi, kullanılması veya korunması için zorunluolması,

·  İlgili kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunluolması,

·  Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının ilgili kişilerin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da ilgili kişilerin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumdabulunması,

·  İlgili kişilerin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülenhallerde,

·  İlgili kişilerin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklamayükümlülüğüaltındabulunankişilerveyayetkilikurumvekuruluşlartarafından işlenmektedir.

7.2.  Kişisel Verilerin Saklanma Süreleri

Şirket olarak, ilgili mevzuatta öngörülmesi durumunda kişisel verileri bu mevzuatta belirtilen süre kadar saklamaktayız. Buna ilaveten saklama sürelerinin belirlenmesinde, ilgili sözleşmelerden kaynaklı yükümlülüklerimiz, idari ve hukuki anlamdaki sorumluluklarımız/yükümlülüklerimiz de gözetilmektedir.

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve şirketin belirlediği saklama süresinin de sonuna gelindiğinde, bu kişisel veriler silinmekte ve yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi amacıyla yedeklenmektedir. Bu durumda kişisel verilere herhangi bir başka amaçla erişim sağlanmamaktadır. Kişisel veriler, Şirketimizin Kişisel Veri Saklama ve İmha Politikası’nda belirlenen süreler sona erdikten sonra yok edilmekte veya anonim hale getirilmektedir.

İşlenenkişiselverilervekişiselverienvanterleri6aylıkperiyotlarhalindegözdengeçirilmekte vesilinmesi/yokedilmesigerekenkişiselverilerişbu6aylıkperiyodikimhasüreleriiçerisinde silinerek/imha edilerek işlem tutanak altınaalınmaktadır.

8.  ÇALIŞMA ALANLARI İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

8.1.  Çalışma Alanları Girişlerinde ve İçerisinde Yürütülen Kamera ile İzlemeFaaliyeti

Şirketimiz tarafından; İlgili Kişilerin ve Şirketimizin güvenliğinin sağlanması amacıyla hizmetgösterdiğimizvebuhizmetleriyürüttüğümüzyer,çalışmaalanlarıgirişindeveiçerisinde güvenlik kamerası izleme faaliyeti ile giriş/çıkışların takibi ve mesai takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Bu kapsamda Şirket olarak KVKK ve ilgili diğer mevzuata uygun hareketetmekteyiz.

8.1.1.  Kamera ile İzleme Faaliyeti Hakkında BilgilendirmeYapılması

Şirketimiz tarafından KVKK’nın 10. maddesine uygun olarak ilgili kişileri aydınlatılmakta; böylelikle ilgili kişilerin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi ve şeffaflığınsağlanmasıamaçlanmaktadır.KameraileizlemefaaliyetineyönelikolarakŞirket’in internetsitesindehemişbuPolitikaile(çevrimiçiPolitika),hemdeizlemeninyapıldığıalanların girişlerinde izleme yapılacağına ilişkin bildirim yazısı ile (yerinde aydınlatma/katmanlı aydınlatma) aydınlatmayapmaktadır.

8.1.2.  Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve AmaçlaSınırlılık

Şirket olarak kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak KVKK’ya uygun bir şekilde işlemekteyiz. Şirket tarafından video kamera kaydı ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda güvenlik kameralarınınizlemealanları,sayısıvenezamanizlemeyapılacağı,güvenlikamacınaulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamayaalınmaktadır.

8.1.3.  Kamera ile İzleme Faaliyeti ile Elde Edilen Verilerin GüvenliğininSağlanması

Şirket tarafından kamera kaydı ile elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli her türlü teknik ve idari tedbirler alınmaktadır. Ayrıntılı bilgi veri güvenliğine ilişkin tedbirler bölümünde yer almaktadır.

8.1.4.  İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin KimlereAktarıldığı

İzlemesonucundaeldeedilenbilgilerevemuhafazaortamınayalnızcabuhusustayetkilikişiler erişebilmektedir. Canlı kamera görüntülerini ise, Şirket çalışanı olan ya da dışarıdan hizmet alınan güvenlik görevlileri izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyanetmektedir.

8.2.  Çalışma Alanları Girişlerinde ve İçerisinde Yürütülen Ziyaretçi Giriş/ÇıkışTakibi

Şirket ve dışarıdan hizmet alınan firma tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket çalışma alanlarında ziyaretçi giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Ziyaretçi olarak çalışma alanlarımıza gelen kişilerin isim ve soyadları elde edilirken, ilgili alanlara asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla ilgili kişiler aydınlatılmaktadırlar. Ziyaretçi giriş-çıkış takibi yapılması amacıyla elde edilen veriler

yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ve/veya elektronik ortamda veri kayıt sistemine kaydedilmektedir.

8.3.  Çalışma Alanları Girişlerinde Elektronik Cihazlara Ait Bilgilerin Kayıt Altına Alınması

Şirketolarakbilgigüvenliğivekişiselverilerinkorunmasınagösterdiğimizözenvehassasiyet ile bağlantılı olarak; misafirlerimizin kendi şahsi bilgisayar veya benzer elektronik cihazlarını kullanmadurumundabilgisayarveyabenzerelektronikcihazlarınMACadreslerinikayıtaltına almaktayız. Bunun sebebi şirketimizin ve kişisel verileri şirketimiz bünyesinde bulunan kişilerin güvenliğinisağlamaktır.

9.  GÖZDENGEÇİRME

İşbu politika, Şirket yönetim kurulu tarafından onaylanarak yürürlüğe girer. Politikada yapılacakdeğişikliklereilişkinolarak,yönetimkurulutarafındanyetkilendirilecekkişi/kişilerin onayı alınır. İşbu politikanın Şirket içinde uygulanmasına ilişkin hususlar, şirket içi politika, prosedür ve iç yönergeler ile sistematik hale getirilmiştir. Politika, 6 ayda bir gözden geçirilir ve gerekli olması halinde yetkilendirilen kişinin onayı ile ilgili revizeleryapılır.

10.  KİŞİSEL VERİLERİ KORUMAKOMİTESİ

Şirket,kişiselverilerinkorunmasıhukukuçerçevesindeirtibatkişisiatamıştır.Şirketbirimleri çalışanları arasından ………. kişilik bir Komite oluşturulmuştur. Kişisel Verileri Koruma Komitesi’ne (“Komite”) Şirket irtibat kişisi başkanlıketmektedir.

İrtibat kişisi, idari ve teknik tedbirler konusunda Komite görüş ve tavsiyeleriyle hareket etmektedir. İdari ve teknik tedbirler konusunda Komite tarafından belirlenen ilkeler dikkate alınmaktadır. Komite, Şirket kişisel verilerin korunması mevzuatına uyumluluğu için gereken çabayı sarf etmektedir. İrtibat kişisi, kişisel verilerin korunması hukuku kapsamında sorumlu olduğu Şirket birimlerini denetlemektedir. Bu denetimler sonucunda gerekli durumlarda ilgili birimleri uyarmakta ve üst yönetimi durumdan haberdar etmektedir.

İrtibat kişisi Şirket’e yapılan ilgili kişi başvurularının yasal süreler içerisinde ve usule uygun şekilde cevaplandırılması konusunda koordinasyonu sağlamaktadır. İrtibat kişisi, Şirket’in, Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yönetir.

11.  YÜRÜRLÜK

İşbu Politika, şirket yönetim kurulu/yetkili organlar tarafından kabul edilip duyurulma tarihinden itibaren yürürlüğe girer.