Kişisel Verileri Koruma Kanunu

İşbu Kişisel Verilerin İşlenmesi – Korunması ve İmhası Politikası; Türkiye Cumhuriyeti Anayasası, 7 Nisan 2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kısaca ” Kanun ” olarak anılacaktır) ve ilgili diğer mevzuata uygun olarak hazırlanmış olup müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, ziyaretçiler, çalışan adaylarımız, işbirliği içinde olduğumuz ve/veya hizmet aldığımız kişi ya da kurumların çalışanları, hissedarları ve yetkilileri ile bizimle kişisel veri paylaşan ve/veya kişisel veri paylaşımı sonucu doğuracak şekilde herhangi bir yolla temas eden diğer tüm üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri ile ilgili olarak Şirketimizin ilke, prensip ve yükümlülüklerini belirlemek ve ilan etmek amacıyla hazırlanmıştır.

İşbu Politika ; Şirketimizin resmi internet sitesinde yayımlanır.

KİŞİSEL VERİLERİN İŞLENMESİYLE İLGİLİ TEMEL İLKELERİMİZ

Kanun’ un 4. maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifine paralel şekilde düzenlenmiştir.

Kanun’ a göre kişisel verilerin işlenmesinde uyulması gereken genel ilkeler şunlardır:

Hukuka ve dürüstlük kurallarına uygun olma,
Doğru ve gerektiğinde güncel olma,
Belirli, açık ve meşru amaçlar için işlenme,
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

Bu kapsamda Şirketimizce kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde göz önünde bulundurulmakta olup veri işleme faaliyetlerinin bu ilkelere uygun olarak gerçekleştirilmesi Şirket politikası olarak benimsenmektedir.

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel Veriler

Kişisel veri, kimliği belirli ya da belirlenebilir herhangi bir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel verilerin işlenmesi, Kanun’ un 5. maddesinde sayılan hallerden en az birinin bulunması durumunda mümkündür.

Buna göre;

İlgili kişinin açık rızasının varlığı,
Kanunlarda açıkça öngörülmesi,
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

hallerinden birinin varlığı durumunda ilgili kişinin kişisel verilerinin işlenmesi mümkün bulunmaktadır.

Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanun’ da sınırlı sayıda sayılmış olup bu şartlar genişletilemez.

Kişisel veri işleme, yukarıda gösterilen şartlardan birine dayanıyorsa, bu durumda ilgili kişiden açık rıza alınmasına gerek bulunmamaktadır.

Özel Nitelikli Kişisel Veriler

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir.

Bu nedenle, diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.

Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanun’ da sayılan sınırlı hallerde işlenebilir.

Kanun’ da özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar ; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir.

Kanun, özel nitelikli kişisel veriler arasında da bir ayrım yapmıştır. Buna göre sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesi ile bunlar dışındaki özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.

Kanun’ a göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür.

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hallerde,
Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili Kurum ve kuruluşlar tarafından işlenebilir.

Bu kapsamda Şirketimizce kişisel verilerin işlenmesine ilişkin şartlar, tüm kişisel veri işleme faaliyetlerinin özünde göz önünde bulundurulmakta olup veri işleme faaliyetlerinin bu şartlara uygun olarak gerçekleştirilmesi Şirket politikası olarak benimsenmektedir.

VERİ AKTARIMI

1. Yurtiçi Aktarım

Kanun’ da belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel verilerin, 8. madde hükmü uyarınca ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabileceği hükme bağlanmıştır.

Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt içinde aktarılması bakımından aynı şartları aramaktadır.

Bu maddede ayrıca ilgili kişinin açık rızası aranmaksızın, kişisel verilerin üçüncü kişilere aktarılabileceği şartlar belirtilmiştir.

Diğer taraftan, kişisel verilerin yurtiçinde hukuka uygun şekilde işlenmesi bunların doğrudan aktarılabileceği anlamına gelmemektedir. Yani, aktarma için de Kanun’ un 5. ve 6. maddesindeki şartların ayrıca aranması gerekmektedir.

Bu kapsamda, kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir. Bu şartlar ;

İlgili kişinin açık rızasının alınması,
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi ; ilgili kişinin açık rızasının alınması ve/veya sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde mümkün olup sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili Kurum ve kuruluşlar için mümkündür.

Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, ” veri sorumlusu ” ve ” veri işleyen ” hem gerçek hem de tüzel kişi olabilmektedir.

Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir.

Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanun’ un 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.

2. Yurtdışına Aktarım

Kanun’ un 9. maddesine göre yurtdışına veri aktarımı ;

İlgili kişinin açık rızasının bulunması,
Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanun’ da belirtilen hallerin varlığı (Kanun’ un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar)
Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanun’ da belirtilen hallerin varlığında (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması durumlarında gerçekleştirilebilir.

Kanun, kişisel verilerin işlenmesi ile bu verilerin yurt dışına aktarılması bakımından aynı şartları aramaktadır. Ayrıca kişisel verilerin yurt dışına aktarılmasında ek tedbirlerin alınmasını öngörülmüştür.

İlgili kişinin açık rızasının bulunması durumunda kişisel verilerin yurtdışına aktarılması mümkündür.

Açık rıza dışındaki hallerde, Kanun kişisel verilerin yurtdışına aktarılmasında, aktarımın yapılacağı ülkede yeterli korumanın bulunup bulunmamasına göre farklı hükümler getirmiştir.

Yeterli Korumanın Bulunması Halinde

Kişisel veriler ;

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Hallerinde yurtdışına aktarılabilmektedir.

Özel nitelikli kişisel veriler ise, Kişisel verilerin aktarılacağı ülkede yeterli korumanın bulunması halinde, sağlık ve cinsel hayat dışındaki kişisel veriler kanunda açıkça öngörülmesi halinde yurtdışına aktarılabilecek olup yeterli korumaya sahip ülkelerde kişilerin, sağlık ve cinsel hayata ilişkin kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili Kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın aktarılabilecektir.

Yeterli Korumaya Sahip Olmayan Ülkelere Veri Aktarımı İçin İse ;

Kanun’ un 5 veya 6. Maddesinde sayılan şartlardan en az birinin gerçekleşmesi,
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri,
Kurulun izninin bulunması gerekmektedir.

Bu kapsamda Şirketimiz, yukarıda açıklanan hükümlere uygun davranmayı Şirket politikası olarak belirlemiş olup kişisel veriler anılan şartlara uygun olmak kaydıyla ; Value Solution Partners ve Yeni Yol Yazılım Şenay Çetin Özer ile mevzuat hükümlerinin izin verdiği ve/veya zorunlu kıldığı kurum ve kuruluşlar, program ortaklarımız, hizmet aldığımız ve/veya hizmet alımınız için yönlendirildiğiniz banka, kişi ve firmalar, faaliyetlerimizi yürütmek üzere hizmet aldığımız, işbirliği yaptığımız kişi ve kuruluşlar, özellikle sağlık sorunlarıyla ilgili alınması gereken tedbirler kapsamında önlem alabilecek ve müdahalede bulunabilecek kişi, firma ve birimlerimiz, personellerimiz ile kişisel verilerinizin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerini önlemek gibi veri güvenliği tedbirlerinin alınmasından sorumlu olan ve destek alınan diğer üçüncü kişilerdir.

VERİ KANALLARI

Kişisel veriler Şirketimizce ; etkinlik ve kampanyalar esnasında toplanan formlar, başvuru ve kayıt formları, internet sitelerimiz ve e – postalarınız, mobil uygulamalarımız, toplanan diğer formlar, dijital pazarlama işlemleri, müşteri şikayeti işlem ve belgeleri, sağlık raporları, alışveriş merkezi ve müşteri güvenliği gibi güvenlik nedenleriyle uygulanan giriş çıkış kartı ve diğer güvenlik uygulamaları, bilgisayar sistemleri, program ve yazılımlar, sözleşmeler, başvurular, teklifler, ses ve görüntü kayıtları, internet sitesi ziyaretlerinde bilgisayarımızın sizi tanımak için kullandığı çerezler (cookies) vb. kanallarla, çalışanlarımız, idari birimlerimiz, departmanlarımız, sekretarya, resepsiyon, güvenlik birimleri, program ve iş ortaklarımız ile hizmet aldığımız firmalar aracılığıyla sözlü, yazılı veya elektronik ortamda toplanabilmektedir.

VERİ İŞLEME AMAÇLARI

Kişisel verilerinizin işlenme ve aktarılma amaçları ile hukuki sebepleri ise ; yasal ve sözleşmesel yükümlülüklerin yerine getirilmesinin yanında müşteri ilişkilerinin yürütülmesi, iletişim bilgilerinin güncellenmesi, müşteri kayıtlarının sistemde açılması ve takibi, hizmetlerimizin yerine getirilebilmesi, satış sonrası hizmetlerin yürütülebilmesi, faturalandırma işlemleri de dahil mali yükümlülüklerin yerine getirilmesi, personel hizmetlerinin ve bu kapsamda yasal yükümlülüklerin yerine getirilebilmesi, ilgili birimlerin tarafınızla iletişime geçebilmelerinin ve genel olarak memnuniyetinizin sağlanabilmesi, ihtiyaçların belirlenebilmesi, şirketimizin, çalışanlarımızın, müşterilerimizin ve ilgililerin hukuki ve fiili güvenliğinin sağlanabilmesi, stratejilerimizin belirlenebilmesi, hizmetlerimizin mevzuatın, sözleşmenin ve teknolojinin gereklerine uygun şekilde yapılabilmesi, hizmetlerimizin geliştirilebilmesi, tanıtım faaliyetlerinde bulunulabilmesi, analizler yapılabilmesi, işleme amacı doğrultusunda kayıt ve belgelerin düzenlenebilmesi, mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerinin yerine getirilmesi, program ve kampanyalardan faydalanabilmeniz ve mevzuata uygun diğer gerekliliklerin yerine getirilebilmesidir.

YÜKÜMLÜLÜKLERİMİZ

1. Aydınlatma Yükümlülüğü

Kanun, kişisel verileri işlenen ilgili kişilere bu verilerinin kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi edinme hakkı tanımakta ve bu hususları, veri sorumlusunun aydınlatma yükümlülüğü kapsamında ele almaktadır.

Buna göre veri sorumlusu olarak Şirketimiz ;

Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
Maddede sayılan diğer haklar

İle ilgili olarak aydınlatma yükümlülüğünü benimsemiş olup ilgili yükümlülüğe uygun davranmayı Şirket polikası olarak benimsemiş durumdadır.

Bu kapsamda Aydınlatma yükümlülüğmüze ” www.taurusavm.com.tr ” adresinden ulaşabilirsiniz.

2. Veri Güvenliğine İlişkin Yükümlülükler

Kanun’ un veri güvenliğine ilişkin 12. maddesine göre veri sorumlusu olarak Şirketimiz ;

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak

ile yükümlüdür.

Veri sorumlusu ; bu yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, gerekli tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Kanun’ da, veri güvenliğine ilişkin olarak ayrıca veri sorumlusuna denetim yükümlülüğü getirilmiştir.

Veri sorumlusu, kendi Kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Dolayısıyla, veri sorumlusu bu denetimi kendisi gerçekleştirebileceği gibi, bir üçüncü kişi vasıtasıyla da gerçekleştirebilir.

Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Bu kapsamda Şirketimizce veri güvenliğine ilişkin ilkeler tüm faaliyetlerimizde göz önünde bulundurulmakta, veri güvenliğinin sağlanması için maksimum özen gösterilmekte ve durum Şirket politikamız olarak belirlenmektedir.

3. İlgililer Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanun’ un uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırmalıdır.

Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.

Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.

Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir.

Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 (otuz) ve her hâlde başvuru tarihinden itibaren 60 (altmış) gün içinde Kurula şikâyette bulunabilir.

Bu kapsamda ilgililer tarafından yapılan başvuruların cevaplanmasına ilişkin yükümlülüklere uygun davranılması da Şirket politikamız olarak belirlenmiştir.

4. İşlenmesini Gerektiren Sebeplerin Ortadan Kalkması Hâlinde Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Yükümlülüğü

Kişisel Verilerin Silinmesi ; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Verilerin Yok Edilmesi ; kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel Verilerin Anonim Hale Getirilmesi ; kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Veri sorumlusu, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu verilerin, resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi Şirket politikamız olarak belirlenmiş olup imha süreçleri aşağıda ayrıca dikkatlere sunulmuştur.

5. Kurul Kararlarının Yerine Getirilmesi Yükümlülüğü

Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç 30 (otuz) gün içinde yerine getirmek zorundadır.

İLGİLİ KİŞİNİN HAKLARI

Kanun’ un 11. maddesi çerçevesinde ilgili kişi her zaman veri sorumlusuna başvurarak kendisi ile ilgili;

Kişisel verilerinin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kişisel verilerin silinmesini veya yok edilmesini isteme,
Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin Kanun’ a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

haklarına sahiptir.

Şirketimiz, ilgili kişilerin haklarına uygun davranmayı Şirket politikası olarak kabul etmiş olup Kişisel veri sahipleri ; yukarıda belirtilen haklarına ilişkin taleplerini www.taurusavm.com.tr adresinde bulunan formu eksiksiz doldurarak ve ıslak imza ile imzalayarak ” Mevlana Bulvarı No : 190/B – Z24 Çankaya/ANKARA ” adresine göndererek tarafımıza iletebileceklerdir.

KİŞİSEL VERİLERİN İMHASI
İmhayı Gerektiren Sebepler

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanun’ un 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumumuzun ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanun’ da öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında Şirketimiz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

Kişisel Verileri İmha Teknikleri

Kişisel Verilerin Silinmesi

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Kişisel Verilerin Yok Edilmesi

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medya kullanılması halinde bunlarda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemez hale getirilmesi gerekir.

SAKLAMA VE İMHA SÜRELERİ

Kurumumuz tarafından, faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak ; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde ; Veri kategorileri bazında saklama süreleri VERBİS’ e kayıtta; Süreç bazında saklama süreleri ise işbu politikada yer alır ve aşağıdaki tabloda gösterilmiştir.

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Mevzuat’ In Emrettiği Muhafaza Ve İşlemler İle Aşağıda Gösterilenler Dışında Kalan Tüm İşlemler	10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmeler	Sözleşmenin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Faaliyetleri	Faaliyetin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi	Faaliyetin sona ermesini takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet Alınan Firma Çalışanları Verileri	Hizmet İlişkisinin sona erdiği tarihten itibaren 15 yıl
Kiracı Çalışanı Verileri	Kira İlişkisinin Sona Ermesini Takiben 10 yıl
Kiracı Verileri	Sözleşmenin hitamından itibaren 15 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi	2 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kampanyalara Katılan Ziyaretçi Verileri	Kampanyanın Sona Ermesini Takiben 10 Yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları	Adli vakalarda 15 yıl, rutin kayıtlarda 30 gün	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

PERİYODİK İMHA SÜRESİ

İlgili Yönetmeliğin 11 inci maddesi gereğince Şirketimiz, periyodik imha süresini 6 (altı) ay olarak belirlemiştir. Buna göre, Kurumumuzda her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

İşbu politika, Şirketimiz ilke, prensip ve yükümlülüklerini belirlemek ve ilan etmek amacıyla hazırlanmıştır.

KİŞİSEL VERİLERİN İŞLENMESİ KORUNMASI VE İMHASI POLİTİKASI Geçerlilik Başlangıç Tarihi: 07 Ekim 2016