İşbu madde 3/1’de yer alan işlenme şartlarının bulunmaması halinde; kişisel veri işleme faaliyetini gerçekleştirmek amacıyla Şirket, İlgili Kişiler’in açık rızalarına başvurmaktadır.

5.     BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

5.1.     Kişisel Verilerin Aktarılması:

Şirketimiz, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak İlgili Kişinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere) aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. Ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

5.1.1.  Kişisel verilerin yurt içi aktarımı:

Şirketimiz, kişisel verilerin aktarılması hususunda Kanun’da öngörülen hükümlere ve KVKK tarafından alınan kararlara uyma yükümlülüğünün bulunduğunun farkındadır ve bu yükümlülüğünü yerine getirebilmek için büyük bir çaba sarf etmektedir.

Kural olarak kişisel veriler, İlgili Kişinin açık rızası bulunmaksızın başka gerçek veya tüzel kişilere aktarılamaz. Bununla birlikte, Kanun ve diğer mevzuatın zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve genel ilkelere bağlı olarak yetkili kılınan idari ve/veya adli mercilere aktarılabilir. Yalnızca bu durumda değil aynı zamanda, Kanunun 5. ve 6. maddelerinde öngörülen hallerde, İlgili Kişinin açık rızası olmaksızın da aktarım mümkündür.

5.1.2.  Kişisel verilerin yurt dışına aktarılması:

İlgili Kişinin aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir. 

·         İlgili Kişinin açık rızası

·         Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi, 

·         Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

·         Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, 

·         Kişisel verilerin İlgili Kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması, 

·         Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya İlgili Kişinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması, 

·         İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması, 

·         Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.  

Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Güvenli Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.

Güvenli ülkeler listesinin açıklanmadığı durumlarda ise ya İlgili Kişinin açık rızası alınarak ya da yabancı ülkede bulunan şirketin taahhütnamesi imzalatılıp Kurul’un iznine sunularak kişisel veri aktarımı yapılabilecektir.

Kişisel verilerin e-posta aracılığıyla gönderilmesi durumunda, Şirketimizce sağlanan hizmetlerin etkinliğini ve verimliliğini artırmak için harici bilgi teknolojileri hizmet sağlayıcılarına ait sunucularda saklanabilmektedir.

“Özel Nitelikli Kişisel Verilerin Aktarılması” hususunda Şirketimiz İlgili Kişi’nin rızası bulunmaksızın yurt dışına aktarmamaktadır. Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika ’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

(i)                   Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde İlgili Kişinin açık rıza aranmaksızın işlenebilecektir. Aksi halde İlgili Kişinin açık rızası alınacaktır. 

(ii)                 Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde İlgili Kişinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Güvenli Ülkeye yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.

Şirketimiz Türkiye’de işlenerek veya Türkiye dışında işlenip saklanmak üzere, dış kaynak kullanımı dâhil Kanunda ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen veri güvenliği ile ilgili idari ve teknik tedbirleri alarak; İlgili kişi ile imzalı mevcut bir sözleşme var ise, söz konusu sözleşmede ve Kanun veya ilgili diğer mevzuatta aksi düzenlenmediği sürece yurt dışına da aktarabilir.

Kanun’da belirtilen kişisel verilerin aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızasız işlenme ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması şartı aranmaktadır. Yeterli korumanın sağlanıp sağlanmadığını Kişisel Verileri Koruma Kurulu belirleyecek olup; yeterli korumanın bulunmaması durumunda ise hem Türkiye’deki hem de ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulunun izninin bulunması gerekmektedir. Bu doğrultuda, merkezi yurtdışında bulunan ve destek aldığımız servis sağlayıcıları için lütfen https://www.thierrydiniz.com/ linkine başvurunuz.

5.2.     İlgili Kişinin Aydınlatılması:

THIERRY DİNİZ, Kanun’un 10. maddesine ve Aydınlatma Tebliği’ne uygun olarak, İlgili Kişileri aktarılan kişisel verilerine ilişkin olarak aydınlatmaktadır. Bu kapsamda şirketimiz, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

6.     BÖLÜM: KİŞİSEL VERİ GÜVENLİĞİ

KVK Kanunu madde 12 gereğince Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak ile yükümlüdür. Bu doğrultuda Şirketimiz imkanları dahilinde, korunacak verinin niteliğine göre gerekli her türlü idari ve teknik tedbirleri almaktadır.

Şirket bünyesinde işlenen her türlü kişisel veri titizlikle ve gizli olarak muhafaza edilmekte ve bu verilere erişim sınırlandırılmıştır. KVK Kanunu madde 5 ve 8 uyarınca hukuka uygun işleme şartları kapsamında yer almayan hiçbir kişisel veri, üçüncü kişiler ile paylaşılmamaktadır.

Şirket, işlenen kişisel verilerin hukuka veya dürüstlük kuralına aykırı yollar ile üçüncü kişiler tarafından elde edilmesi durumunun tespiti halinde bahsi geçen bu durumu mümkün olan en kısa sürede ilgili İlgili Kişine ve gerektiğinde KVKK’ya bildirmekle yükümlüdür.

Şirketimiz tarafından işlenen kişisel veri güvenliği ihlali riskini verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve durumunun tespiti halinde yol açacağı kayıplar doğru bir şekilde belirlenerek buna uygun teknik ve idari tedbirler derhal alınmaktadır. Bu riskler belirlenirken öncelikle kişisel verilerin

(i)         Özel nitelikli kişisel veri olup olmadığı,

(ii)       Mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği ve

(iii)      Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınacaktır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra, söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte olup gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.

6.1.     Teknik Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

ü  Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

ü  Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.

ü  Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) önlemler alınmaktadır.

ü  Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

ü  Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.

ü  Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

ü  Şirket internet sayfasına erişimde güvenli protokol (HTTPS) uygulamasına geçilmek üzere çalışmalar devam etmektedir.

ü  Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmektedir.

ü  Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografik anahtarlar güvenli ortamlarda tutulması, tüm işlem kayıtları loglanması, ortamların güvenlik güncellemeleri sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınmasına yönelik çalışmalar sürdürülmektedir.

ü  Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınması, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmesine yönelik çalışmalar sürdürülmektedir.

ü  Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmasına yönelik çalışmalar devam etmektedir. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmesine yönelik çalışmalar devam etmektedir.

ü  Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

ü  Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

ü  Erişim logları düzenli olarak tutulmaktadır.

ü  Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

ü  Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

ü  Anahtar yönetimi uygulanmaktadır.

ü  Güncel anti-virüs sistemleri kullanılmaktadır.

ü  Gerektiğinde veri maskeleme önlemi uygulanmaktadır.      

ü  Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

ü  Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

ü  Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

ü  Güvenlik duvarları kullanılmaktadır.

ü  Çalışanlar için yetki matrisi oluşturulmuştur.

ü  Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

ü  Kişisel veri güvenliğinin takibi yapılmaktadır.

ü  Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

ü  Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

ü  Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

ü  Kişisel veriler mümkün olduğunca azaltılmaktadır.

ü  Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

ü  Mevcut risk ve tehditler belirlenmiştir.

ü  Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

ü  Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

ü  Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

ü  Şifreleme yapılmaktadır.

ü  Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

ü  Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

ü  Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

ü  Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

6.2.     İdari Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

ü  Firma çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmektedir. Bununla beraber, gerektiğinde güncel değişiklikler ve konu ile ilintili şirket içi politikalar hakkında da eğitimler düzenlenmektedir.

ü  Firma bünyesinde yürütülmüş ve yürütülmekte olan tüm faaliyetler detaylı olarak tüm departmanlar özelinde analiz edilecek ve bu analiz neticesinde “kişisel veri envanteri” oluşturulmuştur. Departmanların gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmuştur.

ü  Organizasyon şeması kapsamında, departman bazlı belirlenen KVK Kanunu kapsamında hukuksal uyum gerekliliklerinin sağlanması için ilgili departmanlar özelinde farkındalık yaratılmıştır.

ü   “İzin verilmedikçe her şey yasak.” ilkesi benimsenmiştir. Firma çalışanları, mümkün olduğunca minimum düzeyde kişisel veri talep etme konusunda gerekli çabayı göstermektedir.

ü  Uygulama kuralları belirlenmeye başlanmış; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler, şirket-içi politikalar ve bilgilendirmeler yoluyla hayata geçirilmeye başlanmıştır.

ü  Kişisel verilere erişim, kişisel verilerin işlenmesi gerekçesine uygun belirlenen çalışanlar ile sınırlandırılmıştır. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişim yetkisi kaldırılacaktır.

ü  Söz konusu teknik önlemler belirli aralıklar ile Firmamız tarafından belirlenen iç denetim sistemi kurulmasına yönelik çalışmalar devam etmektedir.

ü  Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, ilgili diğer mevzuat hakkında eğitimler verilmektedir.

ü  Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.

ü  Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.

ü  Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

ü  Çalışanlara yönelik bilgi güvenliği farkındalık eğitimleri verilmektedir.

ü  Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

ü  Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

ü  İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

ü  Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

ü  Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

ü  Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

ü  Gizlilik taahhütnameleri yapılmaktadır.

7.     BÖLÜM: KİŞİSEL VERİ SAHİPLERİNİN BAŞVURU HAKKI VE BU HAKKIN KULLANILMASI 

Şirketimiz bünyesinde işlenen kişisel verileri ile ilgili İlgili Kişileri veri sorumlusu olan Şirketimize başvurarak KVK Kanunu madde 11 ve Veri Sorumlusu’na Başvuru Tebliğ çerçevesinde öngörülen bazı haklardan yararlanabilecektirler. Bu çerçevede, İlgili Kişiler aşağıdaki haklara sahiptir:

·         Kişisel veri işlenip işlenmediğini öğrenme,

·         Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

·         Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

·         Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

·         Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

·         Kişisel verilerin silinmesini veya yok edilmesini isteme,

·         Yapılan işlemlerin ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

·         İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

·         Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri Sorumlusu’na Başvuru Tebliği’nde yer alan esas ve usuller uyarınca, İlgili Kişileri bahsi geçen bu hakları Şirketimizin internet sitesinde ( http://www.thierrydiniz.com/ ) yer alan “Başvuru Formu” nu doldurularak ve doldurulan bu formun Başvuru Formu’nda belirtilen kanallar üzerinden Şirketimize ulaşmasını sağlayarak bu haklardan yararlanabilecektirler. KVK Kanunu madde 13 ile uyumlu olarak Başvuru Formu’nda öngörülen başvuru usulüne uyulmaması sonucunda, İlgili Kişileri tarafından gönderilen başvurular dikkate alınmayacaktır.

Şirketimiz, aşağıdaki durumlarda başvuruda bulunan kişinin başvurusunu gerekçesi ile reddedebilir:

·         Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

·         Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

·         Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

·         Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

·         Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

·         İlgili Kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

·         Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

·         Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

·         İlgili Kişinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.

·         Orantısız çaba gerektiren taleplerde bulunulmuş olması.

·         Talep edilen bilginin kamuya açık bir bilgi olması.           

8.     BÖLÜM: KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR

8.1.       Güvenlik Kamerası ile İzleme Faaliyetleri:

Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binasındaki koridorlar ve üretim sahası ile sınırlı olmak üzere ve misafir giriş çıkışlarının takibine yönelik bina ve otopark girişinde tesislerinde güvenlik kamerasıyla izleme faaliyeti gerçekleştirilmektedir. Bu konu ile ilgili bilgilendirme kameraların altında bulunan tabelalarda ve internet sitemizde yer almaktadır.

Şirketimiz güvenlik kamerasıyla izleme faaliyetlerini KVK Kanunu’na ve işbu Politika’da yer alan hükümlere ve temel ilkelere uygun olarak işlemektedir. Şöyle ki:

8.1.1 İşleme Faaliyetinin Amacı:

Şirketimiz, güvenlik kamerası ile izleme faaliyeti esnasında kişisel verileri işlerken KVK Kanunu madde 4 kapsamında öngörülen hukuka ve dürüstlük kurallarına uygunluk, belirli ve meşru amaçlar ile işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme ilkelerine uygun olarak hareket etmektedir.

Fiziksel mekan güvenliğini temin etmek, şirketin üretim ve ticari sırlarının korunmak, şirket verilerinin güvenliğini sağlanmak, İlgili Kişinin ve diğer kişilerin can ve mal güvenliğini sağlamak ve hem veri sahiplerinin hem de şirketin meşru menfaatlerini korumak gibi amaçlar doğrultusunda veri kayıt sistemine otomatik olarak kaydedilmesi suretiyle THIERRY DİNİZ tarafından kişisel veri işleme faaliyeti yürütülmektedir.

Güvenlik kamerası kayıt bölgeleri, son derece sınırlı düzeyde olup güvenlik kamerasıyla izleme amacına uygun olarak Şirketimiz tarafından belirlenmiştir. Güvenlik kamerası kayıt bölgeleri; bina ve tesis girişleri, koridorlar, yemekhane, üretim sahası vb. güvenlik riskinin yüksek olduğu bölgeleri ile sınırlıdır. Toplantı odaları, ofisler, tuvaletler ve soyunma odaları güvenlik kamerası kayıt bölgelerinin dışında tutulmaktadır[SS1] .

Güvenlik kamerası ile izleme faaliyeti; hem Şirket çalışanlarımızın, müşterilerimizin, tedarikçilerimizin ve diğer kişilerin güvenliğinin sağlanması hem de Şirketimizin ticari sırlarının ve müşteri menfaatlerinin korunması açısından son derece gerekli olup bu amaçlar ile sınırlandırılmıştır.

Tüm bu amaçlar doğrultusunda Şirketimizdeki güvenlik kamerası kayıt sistemi, 7 gün 24 saat kayıt halindedir.

8.1.2 Erişime Yetkili Kişiler:

Dijital ortamda muhafaza edilen güvenlik kamerası kayıtlarına erişim ancak Şirketimizin yetkilendirdiği kişiler ile sınırlı olup, bu kişilerin bilgisayarlarından veya monitörlerinden görüntülenmektedir.

Güvenlik kamerası kayıtlarına, Genel Müdür, İnsan Kaynakları Müdürü, Bilgi İşlem Sorumlusu’nun kendisi ve yetkilendirdiği kişilerin erişim yetkisi vardır. Otopark girişindeki güvenlik görevlileri, misafir giriş ve çıkış kontrollerinin sağlanması amacıyla monitörlerden canlı ve anlık olarak takip etmektedir.

Güvenlik kayıtları erişimine yetkili olan sınırlı sayıdaki kişiler iş sözleşmeleri, şirket içi politikalar, güvenlik talimatı ve gizlilik taahhütnameleri ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

8.1.3 Aktarılan Üçüncü Kişiler :

Güvenlik kamerası kayıtları, gerekli hallerde resen veya talep üzerine yalnızca kolluk kuvvetlerine ve ilgili yargı mercileri ile CD ya da harici bellek vasıtasıyla paylaşılmaktadır.

8.1.4 Saklanma Süresi :

THIERRY DİNİZ, kamera kayıtlarını 15 gün süre ile saklı tutmaktadır. Bu kayıtlar, 15 günde 1 üzerine yazdırılması yolu ile otomatik olarak silinmektedir.[SS2] 

8.2.      İnternet Ağı Ziyaretçileri:

Şirketimiz tarafından, şirket internet ağını kullanmak için, ziyaretçiler tarafından paylaşılan kişisel veriler, ilgilinin açık rızasına dayanarak  şirkete ait misafir internet ağı sistemine kayıt olmak suretiyle otomatik yollarla işlenmektedir.

8.2.1.    İşleme Faaliyetinin Amacı:

Şirketimiz, internet ağını kullanan ziyaretçilerin kişisel verilerini işlerken KVK Kanunu madde 4 kapsamında öngörülen hukuka ve dürüstlük kurallarına uygunluk, belirli ve meşru amaçlar ile işlenme ile işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme ilkelerine uygun olarak hareket etmektedir. Şirketin internet ağını kullanmak için, ziyaretçilerin kişisel verilerini,

·           Bilgi Güvenliği Süreçlerinin Yürütülmesi

·           Faaliyetlerin mevzuata uygun yürütülmesi

·           Denetim / Etik Faaliyetlerinin Yürütülmesi,

·           Erişim Yetkilerinin Yürütülmesi,       

·           Faaliyetlerin Mevzuata Uygun Yürütülmesi,

·           Risk Yönetimi Süreçlerinin Yürütülmesi,

amaçlarıyla sınırlı olarak işlenmektedir.

8.2.2.    Erişime Yetkili Kişiler:

Dijital ortamda muhafaza edilen internet ağı ziyaretçilerine ilişkin kayıtlara erişim ancak Şirketimizin yetkilendirdiği kişiler ile sınırlı olup, bu kişilerin bilgisayarlarından veya monitörlerinden görüntülenmektedir.

İnternet ağı ziyaretçilerine ilişkin kayıtlara, Bilgi İşlem Sorumlusu’nun kendisi ve yetkilendirdiği kişilerin erişim yetkisi vardır. İnternet ağı ziyaretçilerine ilişkin kayıtların erişimine yetkili olan sınırlı sayıdaki kişiler iş sözleşmeleri, şirket içi politikalar, güvenlik talimatı ve gizlilik taahhütnameleri ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

8.2.3.    Aktarılan Üçüncü Kişiler:

Bahsi geçen bu kişisel veriler gizli tutulmaktadır. Mevcut durumda sunuculara dışarıdan bir bağlantı yoktur ancak; herhangi teknik bir bilgi teknolojilerine yönelik gerek donanımsal gerekse yazılımsal destek gerektiği durumda dışarıdan destek alındığı hallerde ilgili şirketin erişimi mümkün olabilecektir. Bu erişim, yalnızca sizin misafir internet ağımıza bağlanmanızı sağlamak için söz konusu teknik ya da yazılımsal problemlemin çözümü ile sınırlı olacaktır. Bunların yanında, hukuki uyuşmazlıkların giderilmesi veya ilgili mevzuat gereği ve gerekçe gösterilerek talep edildiğinde adli merciiler ve idari otoriteler ile paylaşılması söz konusu olabilecektir.

8.2.4.    Saklanma Süresi:

THIERRY DİNİZ, internet ağı ziyaretçilerine ilişkin kayıtları 15 gün süre ile saklı tutmaktadır. [SS3] 

9.     BÖLÜM : VERİ SORUMLULARI SİCİLİNE KAYIT OLMA YÜKÜMLÜLÜĞÜ

THIERRY DİNİZ, 26 Kasım 2019 tarihinde Veri Sorumluları Sicili’ne kayıt olacaktır. KVKK tarafından talep edilebilecek ek bilgi ve belgeler haricinde Veri Sorumluları Sicili’ne ibraz edilen bilgiler aşağıdaki gibidir:

ü  Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri,

ü  Kişisel verilerin hangi amaçla işleneceği,

ü  Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

ü  Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

ü  Yabancı ülkelere aktarımı öngörülen kişisel veriler,

ü  Kişisel veri güvenliğine ilişkin alınan tedbirler,

ü  Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

10.            BÖLÜM: KİŞİSEL VERİLERİN İMHA EDİLMESİ

Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, 5237 sayılı Türk Ceza Kanunu madde 138; KVK Kanunu madde 7 ve İmha Yönetmeliği uyarınca, hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz tarafından, kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu doğrultuda Şirketimizce kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi esas ve usullerini içerir bir “Kişisel Verileri Saklama ve İmha Politikası” hazırlanmıştır.

Bu İmha Politikası doğrultusunda, THIERRY DİNİZ’in ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda İlgili Kişi’nin talebini yerine getirmeme hakkı saklıdır.

11.            BÖLÜM: İRTİBAT KİŞİSİ

KVK Kanunu kapsamındaki yükümlülükleri ve Şirket bünyesindeki politika ve prosedürlerin takibini sağlamak ile Şirketimizin İlgili Kişiler ve Kurul ile daha iyi bir iletişim kurmasını sağlamak amacıyla bir İrtibat Kişisi atanmıştır.

12.            BÖLÜM: POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

İşbu Politika, KVK Kanunu ve diğer ilgili mevzuat tarafından öngörülen kuralları somutlaştırma amacını taşımakta olup söz konusu amaca hizmet edecek yöntemleri belirleyen ve yol gösterici bir nitelik taşıyan bir düzenlemedir. Bu kapsamda, Şirketimiz bu Politika’yı rehber edinerek gerçekleştirilen veri işleme faaliyetlerini analiz edecek, gerekli tüm aksiyonları belirleyecek ve gerekli her türlü idari ve teknik önlemleri alacaktır. Aksiyonların uygulanmaya başlanması ile iç denetim sistemi işletilerek işbu Politika’ya uyumluluk sağlanacak ve sağlanan bu uyumluluk korunacaktır. İç denetim uygulamasının yanı sıra, çalışanların farkındalığının sağlanması için çalışmalar yapılacak, Şirketimiz bünyesine yeni dahil olmuş çalışanlar için gerekli uyum süreçleri işletilecek ve Şirketimizin bağlı ortaklıkları ve iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan kanuni düzenlemeler, Şirket bünyesinde öncelikli olarak uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların THIERRY DİNİZ uygulamaları çerçevesinde somutlaştırılmış olup Şirketimiz KVK Kanunu kapsamında öngörülen sürelere uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.