KVKK Politikalarımız

BÖLÜM 1: KİŞİSEL VERİ İŞLEME POLİTİKASI GİRİŞ

1. AMAÇ

Bu politika, PERANDE tarafından gerçekleştirilen kişisel verilerin işlenmesi, saklanması ve imha edilmesi faaliyetlerinden doğan veri sorumluluğuna ilişkin süreçleri, çalışanların eline geçen veya bilgisi dahilindeki tüm kişisel verilerin saklanması, işlenmesi veya imha edilmesine dair yöntemleri net bir şekilde ortaya koymak amacıyla hazırlanmıştır. Bu politika, 6698 sayılı Kişisel Verileri Koruma Kanunu (KVKK) başta olmak üzere ilgili ikincil mevzuat ve Kişisel Verileri Koruma Kurumu kararlarına uygun olarak oluşturulmuştur. Politikanın amacı,PERANDE  'nin kişisel verileri KVKK'ya uyumlu bir şekilde işlemesini ve korumasını sağlamak için izlenecek yöntem ve ilkeleri düzenleyerek kamuya açıklamaktır.

2. KAPSAM

Bu politika, görevleri gereği kişisel verileri tamamen veya kısmen otomatik yollarla işleyen ya da bir kayıt sisteminin parçası olan (veya olması amaçlanan) kişisel verileri (otomatik olmayan yollarla) işleyen tüm çalışanları kapsar. Aynı zamanda PERANDE çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin işlenmesi faaliyetlerine de uygulanır.

3. TANIMLAR

Kişisel Veri: İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgiyi ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kişisel Sağlık Verisi: Kimliği belirli veya belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri ifade eder.

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

VERBİS: Veri sorumluları (PERANDE) veri sicil bilgi sistemidir.

Veri İrtibat Kişisi: Kişisel verileri koruma kurumu ile iletişim için PERANDE Yönetim Kurulu tarafından VERBİS'e kayıt esnasında bildirilen gerçek kişidir.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.

Veri Süjesi ya da İlgili Kişi: Verinin ait olduğu, kimliği belirlenmiş veya belirlenebilir gerçek kişidir.

Çalışan: Bir iş sözleşmesine dayanarak PERANDE 'de istihdam edilen kişilerdir.

Çalışan Adayı: PERANDE 'e iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini PERANDE 'e erişilebilir kılan gerçek kişilerdir.

Üçüncü Kişiler: Prosedürde tanımlanmamış olmasına rağmen bu prosedür çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dahil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

BÖLÜM 2: KİŞİSEL VERİLERİN İŞLENMESİ VE SAKLANMASI HUSUSLARI

PERANDE , kişisel verileri işlerken kanunlar ve işin gereklerinden kaynaklı olarak aşağıdaki hususlara uygun hareket eder:

Genel ilkelere,

Kişisel Veri İşleme Şartlarına,

Özel Nitelikli Kişisel Verilere uygunluk.

Bu sebeplere uygun olmayan kişisel veri alınamaz. Bu şekilde bir veri işlendiği fark edildiğinde veri imha edilir. Aşağıda işleme hususlarını ayrıntılı olarak inceleyeceğiz.

2.1. GENEL İLKELERE UYGUNLUK

a. Hukuka ve Dürüstlük Kuralına Uygun İşleme

PERANDE , kişisel verilerin işlenmesinde yasal düzenlemelerle getirilen ilkelere ve işlenen verinin tabi olduğu genel güven ve dürüstlük kuralına uygun hareket eder. Dürüstlük kuralı gereğince kişisel verileri işlerken ilgili kişinin çıkarlarını göz önünde bulundurur. Kişisel verinin elde edildiği ilk andan imhası sürecine kadar veri süjesi aleyhine hareket etmez. İlgili kişinin öngöremeyeceği şekilde bir veri işleme veya aktarım faaliyetinde bulunamaz. Hukuka ve dürüstlük kurallarına uygun veri işleme faaliyeti açık, belirli ve şeffaftır.

b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

PERANDE , kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri alır ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurar. Kişisel verilerin yanlış veya eksik tutulmasından kaynaklı zararların farkında olan PERANDE , oluşturduğu sistemle ilgili kişilerin verilerini 1 yıl aralıklarla günceller. 1 yıl aralıklarla güncellenmeyen veriler güncel kabul edilmez. Veri güncellemesi talep eden ilgili kişinin talebi en kısa sürede yerine getirilir. İlgili kişi tekrar başvurarak verilerinin güncellenmiş haline erişebilir.

c. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi

PERANDE , kişisel verileri işlerken açık, net ve kesin bir amaç belirler. Veri işleme amacı kadar, elde etme ve toplama amacı da meşru, belirli, açık ve nettir. Bu, verilerin faaliyet konusuyla uyumlu amaçlarla işleneceği anlamına gelir. Belirlenen bu amaçlar, İnternet Sitemizde bulunan Aydınlatma Metninde detaylı olarak açıklanmıştır. Bir verinin toplanma amacından farklı bir amaçla işlenmesi söz konusu olduğunda, ilgili kişinin açık rızasının alınması gereken durumlarda yeniden açık rıza alınır.

d. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

PERANDE , kişisel verileri alırken belirlenen amaca hizmet edecek nitelikte olan ve bu amaç için alınabilecek en az veriyi işler. İşlenen kişisel veriler yeterli, ilgili ve işlenme amaçlarıyla sınırlıdır. Alınan kişisel veriler ile veri alma aracı arasında bağlantı bulunmaktadır. PERANDE , aldığı kişisel verileri açıkça belirtmediği amaçlar haricinde işleyemez veya kullanamaz. Yeni bir veri işleme amacının ortaya çıkması durumunda, verilerin ilk toplanması sırasında sağlanması gereken şartlar yeni amaçlar için de tekrar sağlanır. Ayrıca,PERANDE  elde ettiği kişisel verileri, Kanun düzenlemeleri saklı kalmak kaydıyla sözleşmenin şekline göre belirler. Öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder ve belirlenmişse bu süreye uygun davranır. Yasal bir süre yoksa, kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanır. Belirlenen saklama sürelerinin sonunda kişisel veriler, periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilir.

2.2. KİŞİSEL VERİ İŞLEME ŞARTLARINA UYGUNLUK

Kişisel verilerin işlenebilmesi için Kanun’un 5. ve 6. maddelerinde sayılan bazı koşulların varlığı aranmaktadır. Bu koşullar, veri işlemeyi hukuka uygun hale getiren istisnalardır.PERANDE , bu amaçlar dışında veri işlemez.

a. Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel veri işlenmesinin şartlarından biri, ilgili kişi tarafından verilmiş açık rıza beyanıdır. PERANDE  bu beyanı meşru amaçlarla alır. Açık rıza alınabilmesi için kişiye öncelikle aydınlatma yapılarak vereceği veri için bilgilendirilir. Aydınlatma beyanında yer alan amaçlarla sınırlı olarak ilgili kişiden veriler alınabilir.

b. Kanunlarda Açıkça Öngörülmesi

İşlenmesi kamu yararı için zorunlu olan veya veri sorumlusunun resmi yetkisini kullanması bağlamında gerekli olan durumlarda, PERANDE  ilgili kişinin açık rızası olmaksızın veri işleyebilir. PERANDE , bu şekilde kanun maddelerinin zorunlu kıldığı ölçülerde veri işler. Örneğin; Mimarlık ve Mühendislik Kanunu, Türk Ticaret Kanunu, Sosyal Güvenlik Kanunu, Borçlar Kanunu kapsamında tutulması zorunlu verileri işlemek için açık rıza almaz. Bu sebeplerle işlenen veriler için KVKK gereğince ilgili kişinin verinin silinmesini veya imhasını talep etme hakkı yoktur.

c. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Bu durum, rızasına hukuki olarak geçerlilik tanınmayan veya fiili imkansızlık nedeniyle açık rızası alınamayan kişiler için geçerlidir. İlgili kişinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması zorunlu hallerde, sağlık verileri hariç olmak üzere bu işleme faaliyeti gerçekleştirilebilir.

d. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması

PERANDE  ile ilgili kişi arasında yapılmış olan mevcut ve geçerli bir sözleşmenin ifası ya da yeni bir sözleşmenin kurulmasına yönelik zorunlu işlemler çerçevesinde kişisel veri işleyebilir. Bu durumlarda kişisel verilerin işlenmesi zorunlu olduğundan, PERANDE  açık rıza aranmaksızın sözleşme yaptığı kişilerin verilerini işler. Yalnızca sözleşmenin esaslı unsurları değil, tali unsurları bakımından olan kişisel veriler de bu kapsamda değerlendirilir. Örneğin, PERANDE  ile yapılan bir satış sözleşmesinde, sözleşmenin gereklerine göre kişisel veriler işlenir.

e. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Kanunen öngörülmüş olma ve sözleşmenin ifası için gerekli olma halleri saklı kalmak üzere, PERANDE  hukuki yükümlülüklerini yerine getirmek amacıyla kişilerin verisini açık rıza almaksızın işleyebilir. Kanunlar dışındaki hukuki düzenlemelerden, mahkeme kararlarından ve usulünce verilmiş resmi makam talimatlarından doğan hukuki yükümlülüklerden kaynaklı veri işleme faaliyeti de bu kapsamdadır. Örneğin, adli ve idari merciler tarafından çıkartılan düzenleyici işlemler, mahkemeye güvenlik kamerası veya parmak izi bilgilerinin ibrazı gibi. PERANDE  veri işlemeye yönelik bir hukuki zorunluluk olmadıkça bu amaçla veri işlemez.

f. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

İlgili kişinin kendisi tarafından alenileştirilen, yani kamuoyuna açıklanmış olan kişisel veriler,PERANDE  tarafından açık rıza olmaksızın işlenebilir. Ancak, verisini alenileştirmiş olan ilgili kişinin verileri, alenileştirme sebebinden başka bir şekilde PERANDE  tarafından işlenmez. Örneğin, PERANDE  tarafından düzenlenen bir eğitim veya sosyal faaliyette, katılımcıların fotoğraflarının çekilmesi durumunda, kişi fotoğraf çekilen yere gitmişse fotoğrafları alenileştirdiği kabul edilir ve açık rıza aranmaksızın bu veriler işlenebilir.

g. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

PERANDE , hukuken korunan bir hakkın kurulması, korunması veya kullanılması için zorunluluk arz eden verileri işlerken de ilgili kişiden açık rıza almaz. Bu bağlamda, yalnızca ilgili kişilerin hakları değil, üçüncü kişilerin de haklarının korunması için veriler saklanabilir. Örneğin, PERANDE  iş ilişkisi bittikten sonra dava zamanaşımı boyunca işten ayrılan personelin verilerini, ileride dava açılması durumunda kullanmak üzere saklayabilir.

h. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

PERANDE , meşru menfaatleri için ilgili kişinin kişisel verilerini işlemek zorunda olduğu hallerde, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek şartıyla işleme faaliyetinde bulunabilir. Bu, PERANDE  için sınırsız bir yetki olmayıp, meşru menfaat ve çıkarların ağır bastığı durumlarda uygulanır. Belirli, açık ve meşru olan çıkar ve menfaatler için bu hüküm uygulama alanı bulacaktır.

2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

PERANDE E, kişilerin özel nitelikli kişisel verilerini, kanunda sayılan haller dışında açık rıza alarak işleyebilir. Özel nitelikli kişisel veriler yalnızca ilgili kişinin Açık Rızasının bulunması ya da cinsel hayat ve kişisel sağlık verileri dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: şirket hekimi) veya yetkili kurum ve kuruluşlar tarafından açık rıza alınmaksızın işlenebilir. Özel nitelikli kişisel verilerin işlenmesi ve saklanması için Kurum tarafından öngörülen idari ve teknik tedbirlerin tümü alınır. Şirket, bu verilerin işlenmesi süreçlerinde yer alan çalışanlara gerekli eğitimleri verir, gizlilik sözleşmeleri yapar ve bilgi güvenliği taahhütnameleriyle personeli bilgilendirir. Özel nitelikli kişisel verilere erişim yetki matrisleri oldukça kısıtlıdır. Yalnızca özel nitelikli kişisel veri ile yaptığı iş doğrudan ilgili olan personelin bu verilere erişimi bulunur. Periyodik imha yöntemiyle saklama süresi sona eren özel nitelikli kişisel veriler imha edilir. Bu önlemler, politikanın devamında yer alan idari ve teknik tedbirler bölümünde daha detaylı açıklanmıştır.

2.4. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verilerin üçüncü kişilere aktarılması da bir kişisel veri işleme faaliyetidir. PERANDE , kişilerin kişisel verilerini açık rıza olmaksızın aktarmaz. Aktarım, kanunda gösterilen genel ve özel nitelikli kişisel verileri işleme kurallarına uygun olarak gerçekleştirilir. PERANDE , gerekli hallerde kişisel verileri üçüncü kişilere aktarabilir.

Kişisel veri sahibinin açık rızası olmasa dahi, aşağıda belirtilen şartlardan bir veya birkaçının mevcut olması halinde,PERANDE  tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil olmak üzere gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir:

Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi.

Kişisel verilerin aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması.

Kişisel verilerin aktarılmasının şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde aktarılması.

Kişisel verilerin aktarılmasının şirketin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması.

Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması.

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olmasıdır.

2.5. İLGİLİ KİŞİLERİN AYDINLATILMASI

PERANDE , Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatır. Bu kapsamda PERANDE  aydınlatma metninde, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı, hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları hakkında ilgili kişileri bilgilendirir.

BÖLÜM 3: KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

PERANDE , kişisel verilerin işlenmesi hususuna büyük önem vermektedir. Kişisel veri işleme faaliyetinin en önemli unsuru, işlenen verinin saklanması ve korunmasıdır. PERANDE , özel ve genel nitelikli kişisel veriler için kanundan kaynaklanan koruma gerekliliklerine uygun tedbirler almaktadır. Bu tedbirler, belirli bir veriye özgü olmayıp, tüm verilerin korunması ve saklanması için alınmaktadır.

İlk olarak, kişisel veriler için en önemli tedbir, gerekli olmayan veriyi elde tutmamaktır.PERANDE , teknolojik ve bilimsel gelişmelere uygun olarak işleme faaliyetinin doğası, önemi, kapsamı, bağlamı ve amacını belirleyerek elinde bulunan kişisel verileri taşıyan gerçek kişilerin hak ve özgürlükleri açısından risk olup olmadığını tespit eder ve buna göre koruma tedbiri alır.

PERANDE , kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri alır. Bu tedbirler, kişisel verilerin imhası ve korunması bakımından veri envanterine işlenmiş verilerin açıklanmış halidir. Aşağıda belirtileceği üzere, PERANDE 'nin özel nitelikli kişisel veriler için daha kapsamlı ve daha geniş güvenlik önlemleri bulunmaktadır.

3.1. ORTAMLAR VE GÜVENLİK TEDBİRLERİ

PERANDE  tarafından alınan kişisel veriler uygun ortamlarda işlenir ve saklanır. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel olarak matbu ortamlar ve yerel dijital ortamlardır.

Matbu Ortamlar: Verilerin kağıt veya mikrofilmler üzerine basılarak tutulduğu ortamlardır.

Yerel Dijital Ortamlar: Şirket bünyesinde yer alan otomasyon sistemleri, kayıt sistemleri, sunucular, sabit veya taşınabilir diskler, optik diskler, bulut gibi sair dijital ortamlardır.

PERANDE , kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi için, ilgili kişisel veri ve tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

3.1.1. Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek, Verilere Hukuka Aykırı Olarak Erişilmesini Önlemek ve Verilerin Muhafazasını Sağlamak için Alınan Teknik Tedbirler

PERANDE  tarafından kişisel verilerin korunmasına ilişkin olarak teknolojinin imkan verdiği ölçüde teknik önlemler alınmakta ve bu önlemler dönemsel olarak teknolojik gelişmelere göre güncellenmektedir.

Veri güvenliğini sağlayacak yazılım ve sistemler kurulmakta ve kullanılmaktadır; kişisel verilere hem şirket içerisinden hem de dışarıdan hukuka aykırı bir şekilde erişilmesi ve/veya müdahale yapılmasının önlenmesi için verileri barındıran sunucular güncel virüs koruma yazılımları ile korunmakta, oturum kaydı alan oturum yönetimi yazılımları, parola yönetim yazılımları ve güvenlik duvarları başta olmak üzere çeşitli katmanlarda koruma sağlanmaktadır.

Kişisel verilere erişim yetkisi, belirlenen veri işleme amacı doğrultusunda sınırlandırılmakta ve yetkiler düzenli olarak gözden geçirilmektedir. Bilmesi gereken prensibi temel alınarak yetkilendirme yapılır.

Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, bu test ve araştırmalar sonucunda tespit edilen mevcut veya muhtemel risk olarak değerlendirilebilecek konular giderilmektedir.

Kişisel verilerin hukuka uygun ve güvenli bir biçimde saklanmasını sağlamak için teknolojik gelişmelere uygun sistemler ve yedekleme yazılımları kullanılmaktadır.

Şirkette alınan tedbirleri uygulamakla görevli olan bir personel bulunmaktadır.

Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.

3.1.2. Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek, Verilere Hukuka Aykırı Olarak Erişilmesini Önlemek ve Verilerin Muhafazasını Sağlamak için Alınan İdari Tedbirler

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:

PERANDE  bünyesinde Kişisel Verileri Koruma Kanunu'na göre düzenlemeler yapılmıştır.

PERANDE  çalışanları, kişisel verilerin korunması ve hukuka uygun olarak işlenmesi, bilgi güvenliğine uygun davranış, özel hayatın gizliliği konularında düzenli olarak bilgilendirilmekte ve eğitilmektedir.

PERANDE , bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti almaktadır.

PERANDE 'nin yürütmüş olduğu tüm faaliyetler detaylı olarak iş birimleri özelinde analiz edilmiş, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu iş süreçleri özelinde kişisel veri işleme faaliyetleri belirlenmiş ve kişisel veri envanterine işlenmiştir.

EnvanterPERANDE  tarafından düzenli olarak güncellenmektedir.

PERANDE  iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri özelinde, kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler, her bir iş birimi ve detay faaliyet özelinde belirlenmiştir.

Uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların ve uygulamanın sürekliliğini sağlamak için şirket içi politikalar hayata geçirilmekte ve denetimler yapılmaktadır.

Çalışanlar ve üçüncü şahıslar ile imzalanan sözleşme ve belgelere, kişisel verilerin hukuka uygun olarak işlenmesi, korunması ve veri gizliliğini sağlamak amacıyla hükümler eklenmiş, tarafların sorumlulukları açıkça düzenlenerek hukuka ve sözleşmeye aykırı veri işleme faaliyetleri için yaptırım getiren hükümler uygulanmıştır.

3.1.3. Kişisel Verilerin Korunmasında Şirket İçi Denetim

PERANDE , KVKK uyarınca, kendi bünyesinde gerekli denetimleri personeliyle yapmakta veya dışarıdan bu konuyla ilgili hizmet almaktadır. Bu denetimlerden kaynaklanan sonuçlar, şirketin iç işleyişi kapsamında üst yönetime ve ilgili bölüme raporlanmakta, yapılacaklar planlanmakta ve alınan tedbirlerin iyileştirilmesi için planlananların takibi ilgili süreç sahipleri ve bu işle ilgilenen personel tarafından yürütülmektedir.

BÖLÜM 4: KİŞİSEL VERİLERİN SAKLANMA VE İMHASI

4.1. SAKLAMA VE İMHA, ANONİM HALE GETİRME NEDENLERİ

4.1.1. Saklama Nedenleri

PERANDE  bünyesinde bulunan kişisel veriler, Aydınlatma metninde, Envanterde ve Ek-1’de yer alan amaçlar kapsamında işlenmekte ve saklanmaktadır. PERANDE  aldığı tüm tedbirleri, saklama faaliyetinin Kanun'daki şartlara uygun olabilmesi için gerçekleştirmektedir.

4.1.2. İmha Nedenleri

PERANDE , KVKK md.5-6’da yer alan şartlar veya ilgili kişinin başvurusu üzerine elinde bulunan verileri imha edebilir. Kanun’un 5’inci ve 6’ncı maddelerinde sayılan nedenler şunlardır:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

e) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.1.3. İmha Yöntemleri

PERANDE , kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza eder. Bu kapsamda, şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder ve bir süre belirlenmişse bu süreye uygun davranır. Yasal bir süre yoksa, kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme, yok etme veya anonimleştirme) ile imha edilir.

4.1.3.1. Silme Yöntemleri

Kişisel verileri imha ederken, fiziki ortamda tutulan veriler için kağıt kesme makinesi ile öğütme, yakma, karalama ve geri dönüşüm yöntemleri kullanılır.

Otomatik ortamda tutulan kişisel veriler ise sabit disk veya USB bellek gibi veri barındıran ortamlara geri dönülemeyecek şekilde, yakma, delme gibi fiziksel yöntemlerle zarar verilmesi, şifreleme yöntemleri ile verinin şifrelenerek erişimin engellenmesi, veri barındıran manyetik ortamların manyetik etkisinin yok edilmesi işlemi, verilerin bulunduğu veri tabanlarında rol ve izin ataması yapılarak ilgili kullanıcının veri tabanına erişiminin engellenmesi ve yazılımlar vasıtasıyla veya fabrika ayarlarına geri döndürme suretiyle var olan verilerin üzerine yenilerinin yazılması, ilgili kullanıcının erişim politikaları ile ilgili veriye erişiminin engellenmesi yöntemleri ile silme işlemi gerçekleştirilmektedir.

4.1.4. Anonim Hale Getirme Yöntemi

Anonim hale getirme işlemi, kişisel verilerin ilgili kişilerle bağlantısını kopararak veri olmaktan çıkarır. Bu, silme işleminden daha güvenli bir yöntemdir.

4.1.4.1. Maskeleme

Bu yöntem, kişisel veri niteliğindeki bir bilginin, belirli alanlarının kaldırılarak veya değiştirilerek ilgili kişiyle bağının kesilmesini ifade eder. PERANDE  olarak, otomatik ortamında tuttuğumuz verilere saklama süresinin dolması durumunda isim, soy isim ve benzeri kişisel verilerin bazı kısımları yıldızlanarak saklanacaktır. Değişkenleri veya kayıtları çıkarma, rasgeleleştirme vb. yöntemiyle kişisel veriler sistematik olmaktan çıkarılır.

4.1.4.2. Gürültü Eklenmesi

Bu yöntem ile veri kümesinde yer alan değer, ekleme veya çıkarma işlemi ile belirlenen ölçüde değiştirilir. Örneğin, veri kümesinde yer alan her bir yaş değerine 5 eklenmesi sonucunda bu yaş değeri değiştirilmiş ve yeni değerler oluşturulmuştur.

BÖLÜM 5: VERİ SAHİPLERİNİN KANUN KAPSAMINDAKİ HAKLARI

Dilediğiniz zaman PERANDE'ye başvurarak kişisel verilerinizin;

İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenebilir, işlenmişse bu konuda bilgi isteyebilir,

Kanun’a uygun olarak yurt içinde ve yurt dışında bilgilerinizin paylaşıldığı üçüncü kişileri öğrenebilir,

Bilgilerinizin eksik ya da hatalı işlendiğini düşünüyorsanız düzeltilmesini isteyebilir,

Kanun'un 7. maddesinde öngörülen şartlar çerçevesinde bilgilerinizin silinmesini ya da yok edilmesini talep edebilir,

Bilgilerinizin aktarıldığı üçüncü kişilere (c) ve (d) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteyebilir,

Bilgilerinizin, otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir veya kanuna aykırı olarak kaydedildiğini veya kullanıldığını düşünüyorsanız ve bu sebeple zarara uğramışsanız zararın giderilmesini isteyebilirsiniz.

Kanun kapsamındaki haklarınızdan yararlanmak için başvurularınızı yazılı olarakPERANDE'ye iletebilir, detaylı bilgi almak için Kişisel Verileri Koruma Kurumu'nun internet sayfasını ziyaret edebilirsiniz.

Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyorsanız bu konuda noter tarafından tasdiklenmiş özel vekâletnamenizi ibraz etmeniz gerekecektir.

Başvurularınızda, ad-soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon ve faks numarası, talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Söz konusu unsurları barındırmayan başvurular PERANDE tarafından reddedilecektir.

PERANDE'nin Kanun’dan, ikincil düzenlemelerden ve Kurul kararlarından doğan sebeplerle değişiklik yapma hakkı her zaman saklıdır. Aydınlatma metninde yapılacak değişiklikler ve güncel metin tarafınıza tebliğ edildiği tarih itibarıyla derhal geçerlilik kazanacaktır.

Ek-1: AYDINLATMA METNİ

PERANDE

KİŞİSEL VERİLERİ KANUNU KAPSAMINDA AYDINLATMA METNİ

Tüketiciye kaliteli ürün ve hizmeti en uygun şartlarda sunmak için kurulan PERANDE, alanında uzman kişilerle hizmet sunmakta olup kişisel verilere de büyük özen göstermektedir. Bu bağlamda PERANDE, Anayasa md. 20, 6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili yönetmelik, genelge gibi düzenlemelere uyarak kişisel verileri toplar, muhafaza eder ve gerektiğinde siler. 6698 sayılı kanun gereğince PERANDE, “Veri Sorumlusu” olarak kanun ve mevzuattaki yönergelere uygun şekilde hareket eder.

1. VERİ SORUMLUSU OLARAK PERANDE

Kanun uyarınca PERANDE, merkezi Esenler/İSTANBUL'da Fevzi Çakmak Mah. 1107 Sokak No: 7/A 34220 adresinde faaliyet göstermektedir. Kanunda belirtildiği üzere PERANDE "Veri Sorumlusu"dur.

2. PERANDE VERİLERİ NEDEN İŞLER?

Çeşitli faaliyetlerde bulunan PERANDE; hukuki yükümlülüklerini yerine getirirken ve verdiği hizmet gereği kişisel verileri depolamak ve işlemek durumundadır. Kişisel verileriniz PERANDE tarafından;

4857 sayılı İş Kanunu

6502 sayılı Tüketicinin Korunması Hakkında Kanun

488 Sayılı Damga Vergisi Kanunu

492 Sayılı Harçlar Kanunu

5232 Sayılı Türk Ceza Kanunu

5271 Sayılı Ceza Muhakemesi Kanunu

5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve ilgili ikincil düzenlemelerde belirtilen yükümlülüklerimizi yerine getirmek,

5520 Sayılı Kurumlar Vergisi Kanunu

5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun

5809 Elektronik Haberleşme Kanunu

6098 Sayılı Türk Borçlar Kanunu

6102 Sayılı Ticaret Kanunu

6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve ilgili ikincil düzenlemelerde belirtilen yükümlülüklerimizi yerine getirmek,

6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil düzenlemelerde belirtilen yükümlülüklerimizi yerine getirmek,

Gerektiğinde ilgili kamu kurum ve kuruluşlarının, adli veya idari yargı mercilerinin ve kolluk güçlerinin ihtiyacı olan bilgileri sağlamak,

Sözleşmenin ifasının sağlanması, firmamızın ürün ve hizmetleri ile ilgili olarak tarafınızla iletişime geçilmesi, ürün satışı, pazarlama ve bilgilendirme faaliyetlerinde bulunulması,

amaçlarıyla kanunda belirtilen sınırlar çerçevesinde hukuka, dürüstlük kurallarına uygun ve bu amaçlarla her daim bağlantılı, sınırlı ve ölçülü şekilde işlenmektedir.

3. PERANDE'NİN KİŞİSEL VERİLERİ AKTARMA NEDENLERİ

Kişisel verileriniz, yukarıda sayılan amaçlar dahilinde, Kanun’un 8. ve 9. maddesinde belirtilen şartlara uygun olarak mevzuatta izin verilen gerçek ve tüzel kişilere, gerektiğinde yetkili diğer kamu kurum ve kuruluşlarına, sözleşmesel ilişki kurulan ilgili tarafa, hukuki yollara başvurulması gereken hallerde adli ve idari yargı mercilerine, kolluk kuvvetlerine, iş ilişkisi içerisinde olduğumuz kurum ve kuruluşlara, dışarıdan hizmet alınan danışmanlık, teknoloji ve eğitim şirketlerine aktarılabilmektedir. PERANDE, risk analizi amacıyla veri sahibi tarafından verilen bilgileri teyit amaçlı çalışmalar gerçekleştirebilir.

4. KİŞİSEL VERİLER NASIL TOPLANIYOR VE HUKUKİ SEBEPLERİ NELERDİR?

Kişisel verileriniz; PERANDE tarafından kendisi veya yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, e-posta, telefon, internet sitesi, muhtelif sözleşmeler, kağıt ortamında tutulan formlar ve tutanaklar gibi vasıtalarla otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda toplanmaktadır.

Bu kapsamda;

tipindeki özel ve genel nitelikli kişisel veriler Kanun’un 5. maddesinin 2/a-c-ç-e-f bentleri ve 6. maddesinin 3. fıkrası uyarınca, temel hak ve özgürlüklerinize zarar vermemek kaydıyla ve PERANDE'nin meşru menfaatleri, kurulan veya kurulacak olan sözleşme hukuki sebeplerine dayalı olarak işlenmektedir.

5. VERİ SAHİPLERİNİN KANUN KAPSAMINDAKİ HAKLARI

Dilediğiniz zaman PERANDE'ye başvurarak kişisel verilerinizin;

İşlenip işlenmediğini, işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenebilir ve işlenmiş ise bu konuda bilgi isteyebilir,

Kanun’a uygun olarak yurt içinde ve yurt dışında bilgilerinizin paylaşıldığı üçüncü kişileri öğrenebilir,

Bilgilerinizin eksik ya da hatalı işlendiğini düşünüyorsanız düzeltilmesini isteyebilir,

Kanun'un 7. maddesinde öngörülen şartlar çerçevesinde bilgilerinizin silinmesini ya da yok edilmesini talep edebilir,

Bilgilerinizin aktarıldığı üçüncü kişilere (c) ve (d) bentlerinde belirtilen taleplerinizin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteyebilir,

Bilgilerinizin, otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz edebilir veya kanuna aykırı olarak kaydedildiğini veya kullanıldığını düşünüyorsanız ve bu sebeple zarara uğramışsanız zararın giderilmesini isteyebilirsiniz.

Kanun kapsamındaki haklarınızdan yararlanmak için başvurularınızı, yazılı olarak PERANDE'ye iletebilir, detaylı bilgi almak için Kişisel Verileri Koruma Kurumu’nun internet sayfasını ziyaret edebilirsiniz.

Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyorsanız bu konuda noter tarafından tasdiklenmiş özel vekâletnamenizi ibraz etmeniz gerekecektir.

Başvurularınızda ad-soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon ve faks numarası, talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Söz konusu unsurları barındırmayan başvurular PERANDE tarafından reddedilecektir.

PERANDE'nin işbu aydınlatma metninde Kanun’dan, ikincil düzenlemelerden ve Kurul kararlarından doğan sebeplerle değişiklik yapma hakkı her zaman saklıdır. Aydınlatma metninde yapılacak değişiklikler ve güncel metin tarafınıza tebliğ edildiği tarih itibarıyla derhal geçerlilik kazanacaktır.

PERANDE

EK-2 SAKLAMA SÜRELERİ

Yerel kolejlere kayıt, 2005

EK-3 SAKLAMA AMAÇLARI

                              PERANDE