OPERA GAYRİMENKUL GELİŞTİRME ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
OPERA GAYRİMENKUL GELİŞTİRME ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
BÖLÜM 1 – KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
1. GİRİŞ
Opera Gayrimenkul Geliştirme Anonim Şirketi (“Opera”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesi ve KVKK ile ilgili mevzuat hükümlerine harfiyen riayet edilmesine özen gösterilmektedir.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (‘Politika’), kişisel verilerin Opera tarafından toplanması, kullanılması, paylaşılması, aktarılması ve saklanması süreçleri ve prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır.
2. KAPSAM
İşbu Politika, Opera’nın KVKK kapsamında bulunan veri işleme süreçlerinde uygulanmaktadır.
3. TANIMLAR
TERİM | AÇIKLAMA |
Xxxx Xxxx | Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
İmha Politikası | Opera tarafından hazırlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesine İlişkin İmha Politikası”dır. |
Kanun/KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin Korunması ve İşlenmesi Politikası | Kişisel verilerin işlenmesi ve korunmasına ilişkin kural ve kaidelerin belirtildiği işbu politika. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının |
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. | |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
4. POLİTİKANIN KAPSAMI VE DEĞİŞTİRİLMESİ
Politika, çalışanlar, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait otomatik veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilen her türlü veriyi kapsamaktadır.
Opera tarafından yayınlanan işbu Politikada yer alan hükümler, mevzuat hükümleri çerçevesinde hukuka uygun olarak, gerekli görülen durumlar dahilinde, tamamen ve/veya kısmen güncellenebilecektir.
5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN GENEL İLKELER
a. Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi: Şirketimiz, veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVK Kanunu başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.
b. Doğru ve Gerektiğinde Güncel Olma İlkesi: Şirket, kişisel verilerin işlenmesi faaliyetlerinde, kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatı ile Şirketimize bildireceği talepler ve Şirketimiz’in bizzat gerekli göreceği haller doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Şirketimizin idari ve teknik mekanizmaları işletilecektir.
c. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi: Şirketimiz tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amaçların gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Şirketimiz;
• Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
• Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
• Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya
konulmasını sağlamaktadır.
d. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme:
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Opera tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.
e. Kişisel Verilerin işlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi:
Şirketimiz, belirtilen amaçlarla sınırlı olarak ihtiyaç duyulan kişisel verileri işlemekte olup; amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerinizi, açık rızanıza dayalı olarak veya (i) veri işlemenin kanunlarda açıkça öngörüldüğü, (ii) bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla veri işlemenin gerekli olduğu veya (vi) temel hak ve özgürlüklerinize zarar vermemek kaydıyla meşru menfaatlerimiz için veri işlemenin zorunlu olduğu hallerde, açık rızanız olmaksızın işlemekteyiz.
a. Xxxx Xxxx:
Şirketimiz, veri işleme faaliyetinin gerçekleştirilmesinde öncelikle Kanunda belirtilen başkaca bir veri işleme şartının bulunup bulunmadığı değerlendirerek; veri işleme şartlarından hiçbirisi yoksa ilgili kişinin açık rızası ile veri işlemektedir.
b. Kanunlarda Açıkça Öngörülmesi:
Şirketimiz, Anayasa, KVKK ve sair her türlü mevzuat gereği, kişinin açık rızası bulunmaksızın kişisel verisini işleyebilmektedir. Örneğin; Çalışana ait özlük bilgilerinin kanun gereği tutulması.
c. Fiili İmkânsızlık:
Şirketimiz, fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişinin kişisel verilerini, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde, açık rızası bulunmaksızın işleyebilmektedir. Örneğin; Bilinci kapalı kişinin kişisel sağlık bilgisi. Kaçırılan ya da kayıp kişinin konum bilgisi.
d. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması:
Şirketimiz, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması koşulu ile, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere, kişinin açık rızası bulunmaksızın kişisel verilerini işleyebilmektedir.
e. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması:
Şirketimiz, kişisel veri sahibinin hukuki yükümlülüğünün yerine getirilebilmesi için veri işlenmesinin zorunlu olduğu hallerde, ilgili kişinin açık rızası bulunmaksızın kişisel verilerini işleyebilmektedir.
f. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması:
Şirketimiz, kişisel veri sahibinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verilerini, ilgili kişinin açık rızası bulunmaksızın işleyebilmektedir.
g. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması:
Şirketimiz, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde kişisel veri sahibine ait verileri, ilgili kişinin açık onayı olmaksızın işleyebilmektedir.
h. Veri İşlemenin İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin Zorunlu Olması:
Şirketimiz, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişinin açık onayı olmaksızın kişisel verilerini işleyebilmektedir.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI:
Şirketimiz, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvelik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ancak kişilerin xxxx xxxx vermesi halinde işlemektedir.
Ne var ki, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir.
Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde ilgili kişinin açık rızası alınmaksızın işlenebilmektedir:
• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
8. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket, işbu Politika ve Şirket Aydınlatma Metni kapsamında, elde ettiği verileri aşağıda belirtilen amaç ve/veya amaçlar (bunlarla sınırlı olmamak üzere) çerçevesinde işlemektedir;
▪ Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
▪ Çalışanlar için iş akdi ve mevzuatlardan kaynaklı yükümlülüklerin yerine getirilmesi,
▪ Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini,
▪ Finans ve muhasebe işlerinin yürütülmesi,
▪ Güvenliğin temini,
▪ Hukuk işlerinin takibi ve yürütülmesi,
▪ İletişim faaliyetlerinin yürütülmesi,
▪ Mal, hizmet, üretim ve operasyon süreçlerinin yürütülmesi,
▪ Kiracı ilişkileri yönetim süreçlerinin yönetilmesi,
▪ Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
▪ Organizasyon ve etkinlik yönetimi,
▪ Pazarlama ve analiz çalışmalarının yürütülmesi,
▪ Performans değerlendirme süreçlerinin yürütülmesi,
▪ Reklam kampanya promosyon süreçlerinin yürütülmesi,
▪ Risk yönetimi süreçlerinin yürütülmesi,
▪ Saklama ve arşiv faaliyetlerinin yürütülmesi,
▪ Sözleşme süreçlerinin yürütülmesi,
▪ Sponsorluk faaliyetlerinin yürütülmesi,
▪ Stratejik planlama faaliyetlerinin yürütülmesi,
▪ Talep ve şikayetlerin takibi,
▪ Taşınır mal ve kaynakların güvenliğinin temini,
▪ Ücret politikasının yürütülmesi,
▪ Yatırım süreçlerinin yürütülmesi,
▪ Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi,
▪ Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
▪ Kişisel Verilerin doğru ve güncel olmasının sağlanması,
▪ Ziyaretçi kayıtlarının oluşturulması ve takibi.
9. KİŞİSEL VERİ SAHİPLERİ VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında ilgili kişisel veri sahipleri ile işlenen kişisel veri kategorileri ve açıklamaları aşağıdaki şekildedir:
a. Kişisel Veri Sahipleri:
KİŞİSEL VERİ SAHİPLERİ | AÇIKLAMASI |
Opera Kiracıları/Opera Kiracılarının Altkiracıları | Opera’ya ait Mavibahçe Alışveriş ve Yaşam Merkezi’nin (“AVM”) bağımsız bölümlerinde kira sözleşmesi çerçevesinde faaliyetini sürdüren gerçek/tüzel kişiler ve yetkili gerçek kişileri; ve kiracıların varsa alt kiracısı gerçek/tüzel kişileri ve yetkili gerçek kişileri |
Opera Kiracı Adayları | Opera’ya ait Mavibahçe Alışveriş ve Yaşam Merkezi’nin (“AVM”) bağımsız bölümlerinde kira sözleşmesi çerçevesinde faaliyet göstermek üzere başvuruda bulunan kişiler |
Çalışan/Stajyerler | Şirketimiz bünyesinde çalışan veya staj yapan gerçek kişiler |
Alt İşveren ve Çalışanları | Şirketimizin alt işverenleri, alt işveren yetkilileri ve AVM’de görev yapmak üzere görevlendirdiği çalışanları |
Çalışan Adayı | Şirketimize herhangi bir yolla iş başvurusunda bulunmuş kişiler |
Ziyaretçi | AVM’de sunulan hizmetlerden faydalanmak için AVM’yi ziyaret eden gerçek kişiler ile xxxxx://xxx.xxxxxxxxx.xxx.xx/ adresindeki internet sitemizi ziyaret eden gerçek kişilerdir. |
İş Ortakları | Şirketimizin sözleşme ilişkisi içinde yahut herhangi bir sözleşme ilişkisi olmaksızın operasyonel hizmetin sağlanabilmesi, yatırımların geliştirilmesi ve ticari faaliyetlerin yürütülebilmesi amacıyla iş ilişkisi kurduğu gerçek/tüzel işiler (mal ve hizmet tedarikçisi, reklam ajansı ancak bunlarla sınırlı olmaksızın) de dahil olmak üzere her türlü iş ilişkisi içerisinde bulunduğu; gerçek/tüzel kişilerin hissedarları, çalışanları ve yetkilileri. |
b. Kişisel Veri Kategorileri:
VERİ KATEGORİSİ | AÇIKLAMASI |
Aile Bireyleri ve Yakınları Bilgileri | Kişisel veri sahibinin menfaatlerini korumak amacıyla aile bireyleri, yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgileri içeren verilerdir. |
Araç Bilgileri | Otopark kullanımı talebinde bulunan ilgili kişilere |
Ciro Bilgileri | Xxxx sözleşmesi ile kararlaştırıldığı şkilde kiracıların aylık ve yıllık ciro bildirimlerinde belirttikleri ciro bilgileri |
Çalışan Adayı Bilgileri | İlgili kişilerin iş başvuru formu, iş mülakat ve değerlendirmeler ile özgeçmiş ve diğer bilgilerini içeren verilerdir. |
Eğitim, Mesleki Deneyim, Kariyer ve Özlük Bilgileri | İlgili kişilerin eğitim bilgilerini içeren transkript, diploma kayıtları ve sertifikalar, mesleki deneyimleri içeren kayıtlar ile referans mektupları, özlük bilgilerini içeren maaş, sosyal güvenlik, bordro ve performans değerlendirme kayıtlarını içeren verilerdir. |
Finansal Bilgiler | Şirketimiz ile ilgili kişi arasındaki hukuki ilişki kapsamında oluşan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi gibi kişisel veriler ile çalışanlara ilişkin finansal ve maaş detayları, bordrolar, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı v.b bilgiler. |
Fiziksel Mekan Güvenliği | Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b. verilerdir. |
Görüntü ve Ses Bilgileri | Fiziksel mekanlardaki güvenlik kamerası görüntüleri ve ses kayıtlarını içeren verilerdir. |
İletişim Bilgileri | Telefon numarası, adres, e-posta adresi, KEP adresi, faks numarası gibi bilgileri içeren verilerdir. |
İşlem Güvenliği | IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b. bilgilerdir. |
Kayıp ve Bulunan Eşya Bilgileri | AVM içerisinde bulunan ve kayıp edilen eşyalara dair yapılan başvuru formları üzerinde bulunan bilgileri içeren verilerdir. |
Kimlik Bilgileri | Ad-soyad, X.X. xxxxxx numarası, uyruk bilgisi, xxxx- xxxx adı, doğum yeri, doğum tarihi, cinsiyet, imza, askerlik durumu ve ikametgah gibi bilgileri içeren, nüfus cüzdanı, kimlik kartı, ehliyet, pasaport ve diğer belgelerde bulunan verilerdir. |
Kiracı Bilgileri | Kiracıların mağaza adı, marka adı, şirket unvanı, şirket genel merkezi iletişim bilgileri ile mağaza/şirket yetkili kişilerinin kimlik ve iletişim bilgileri, vergi levhası, faaliyet belgesi bilgilerini içeren verilerdir. |
Mesleki Deneyim | Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, transkript bilgileri v.b. verilerdir. |
Özel Nitelikli Kişisel Veriler | KVKK’nın 6. Maddesinde belirtilen Kan grubu da dahil olmak üzere sağlık verileri, biyometrik veriler (parmak izi v.b) sabıka kaydı, biyometrik fotoğraf ve disiplin durumunu gösteren belgeler gibi bilgileri içeren verilerdir. |
Özlük Bilgileri | Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b. verilerdir. |
Pazarlama | Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b. verilerdir. |
Referans bilgisi | Çalışan adayları tarafından gösterilen referans bilgileridir. |
Risk Yönetimi | Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b. verilerdir. |
Sağlık Bilgileri | Ateş ölçümü, covid-19 testi sonuçları, muayene bilgisi v.s. bilgilerdir. |
Talep, Şikâyet, Görüş ve Değerlendirme Bilgileri | İlgili kişilerim talep, şikayet, görüş ve anket değerlendirmelerini içeren form, çağrı merkezi veya elektronik platformlardaki kayıtlarında paylaştıkları verilerdir. |
10. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kişisel Verileriniz aşağıda belirtilen amaçlar kapsamında ölçülü ve sınırlı olarak işlenmektedir:
▪ İş sözleşmesinin ifa edilmesi ve iş sözleşmesinden kaynaklanan yükümlülüklerin yerine getirilmesi,
▪ İş sağlığı ve güvenliği de dahil kanuni ve/veya hukuki yükümlülüklerin yerine getirilmesi,
▪ Şirket içi iletişim ve iş birliğinin güçlendirilmesi,
▪ Mesleki yeterlilik ve eğitim,
▪ İş güvenliği ve işyeri sağlık hizmetlerinin yerine getirilmesi,
▪ Yetkili otorite, kurum ve kuruluşların taleplerinin karşılanması,
▪ Kurumsal İnsan Kaynakları süreçlerinin yürütülmesi,
▪ Özlük bilgilerinin oluşturulması ve güncellenmesi,
▪ Bireysel emeklilik işlemlerinin sağlanması,
▪ Teşviklerden faydalanma,
▪ Güvenlik kontrolleri ve Resmî kurumlara bildirim,
▪ Hukuk işlerinin takibi ve yürütülmesi,
▪ Bilgi güvenliğinin sağlanması,
▪ Tesis güvenliğinin sağlanması,
▪ Hukuki süreçlerde Şirket haklarının korunması,
▪ Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda yürütülen süreçleri ve operasyonları, iletişim aktiviteleri,
▪ Mevzuattan kaynaklanan yasal yükümlülüklerin yerine getirilmesi,
▪ Ticari faaliyetlerin ve hizmetlerin, satış ve pazarlama ve/veya tanıtımı faaliyetlerinin planlanması ve icrası,
▪ Verilerin doğru ve güncel olmasının sağlanması,
▪ Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
▪ Sözleşmelerin ifası.
Yukarıda belirtilen kategoriler sizleri bilgilendirme amaçlı olup, Şirketimizin gelecekteki ticari ve diğer faaliyetlerini yürütebilmesi için ya da mevzuatta meydana gelebilecek değişiklikler sonucunda tarafımızca başka kategoriler de eklenebilecektir. Bu gibi durumlarda Şirketimiz en hızlı şekilde sizleri bilgilendirmeye devam edebilmek için, belirtilen kategorileri sizler için ilgili metinlerde güncellemeye devam edecektir.
11. KİŞİSEL VERİLERİN SAKLANMASI
Şirketimiz tarafından elde edilen kişisel veriler, Şirketimizin ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, Şirketimiz tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.
Mevzuat hükümleri uyarınca, kişisel verilerin daha uzun süre saklanmasına izin verilen veya zorunlu tutulan haller hariç olmak üzere, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, re’sen yahut kişisel veri sahiplerinin talebi üzerine verileri silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Ancak veri sorumlusu olarak Şirketimizin meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, İmha Politikası’ndaki prosedüre göre silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin yok edilmesi, silinmesi ve anonim hale getirilmesine ilişkin kurallar İmha Politikası’nda detaylı bir biçimde açıklanmaktadır.
12. KİŞİSEL VERİLERİN YURTİÇİNDEKİ KİŞİLERE AKTARILMASI
Şirketimiz, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer mevzuat hükümleri saklı kalmak kaydıyla, KVKK’da düzenlenen kurallara özenle uymaktadır. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır.
Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:
▪ Kanunlarda açıkça öngörülmesi,
▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
▪ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
▪ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
▪ Veri sahibinin kendisi tarafından alenileştirilmiş olması,
▪ Bir hakkın kendisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
▪ Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri
için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
▪ İlgili kişinin açık rızasının alınması,
▪ Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması
halinde,
▪ Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla kişisel verileriniz aktarılabilecektir.
Şirket, veri paylaşım faaliyetlerinde hukuka uygun davranmayı ilke edinir. Kişisel verilerin aktarıldığı üçüncü kişiler ile ancak hizmetin gerektirdiği ölçüde veri paylaşılmaktadır. Bu taraflar mutlaka veri güvenliğine ilişkin tedbirleri almaya zorlanmaktadır.
Kişisel veriler ayrıca; üyenin ticari elektronik ileti onayı doğrultusunda alışveriş tercih, beğeni ve alışkanlıkları doğrultusunda kendisine tanıtım, reklam yapılabilmesi, fayda ve fırsat sunulabilmesi amacıyla ilgili çözüm ortakları ile paylaşılabilecektir.
Şirket, müşteri memnuniyetinin ve bağlılığının artırılması amacıyla, üye/müşteriye ait anonim verileri pazar araştırması yapacak şirketlerle paylaşılabilecektir.
Yukarıda belirtilen yurt içi ve yurt dışı aktarıma konu kişisel veriler, veri güvenliğini sağlayacak teknik tedbirlerin yanı sıra; veri aktarım sözleşmelerde yer verilen hükümler sayesinde hukuki açıdan da korunmaktadır.
Şirket, işlediği kişisel verileri; yasalar karşısındaki yükümlülüğünü ifa etmek amacıyla (suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere Şirket’in yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşabilecektir.
13. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kişisel Verileri Koruma Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Bu kapsamda Şirketimiz KVKK’nın 9. maddesine uygun hareket etmektedir.
14. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI VE HAKLARI:
Şirketimiz, internet sitesinde yayınlamış olduğu ve kendi şirket bünyesinde saklamakta bulunduğu Aydınlatma Metni ile kişisel veri sahiplerinin aydınlatılmasına ve haklarına ilişkin bilgi vermektedir.
Kişisel veri sahibi,
• Kişisel Verilerinin işlenip işlenmediğini öğrenme,
• Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurtiçinde veya yurtdışında Kişisel Verilerininin aktarıldığı üçüncü kişileri bilme,
• Kişisel Verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• KVKK mevzuatında öngörülen şartlar çerçevesinde Kişisel Verilerinin silinmesini veya yok edilmesini isteme,
• Yapılan işlemlerin Kişisel Verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun
ortaya çıkmasına itiraz etme,
• Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde bu zararın giderilmesini talep etme haklarına sahiptir.
Bu doğrultuda, kişisel veri sahipleri, KVKK’nın 11.maddesinde düzenlenen ve yukarıda belirtilen hakları çerçevesinde taleplerini, Şirketimizin xxx.xxxxxxxxx.xxx.xx adresindeki “başvuru formunu” doldurarak, formun imzalı bir nüshasını Xxxxxxxxx Xxx. Xxxxx Xxxxxxx Xxxxxxx Xx:00/000 Xxxxxxxxx-XXXXX adresine kimliğini tespit edici belgeler ile bizzat elden iletebilir, noter kanalıyla veya KVKK’da belirtilen diğer yöntemler ile gönderebilir, ilgili formu kayıtlı elektronik posta adresinden; güvenli elektronik imza ya da mobil imza ile info@......xxx.xx adresine ya da var ise daha öncesinde şirketimize bildirilen ve şirket sistemlerinde kayıtlı olan mail adresi kanalı ile info@. xxx.xx adresine mail yolu ile iletebilir.
15. VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
Şirketimiz kişisel verilerin korunması için gerekli olan uygun güvenlik seviyesini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. Bu kapsamda Şirketimiz,
(a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
(b) Kişisel verilere hukuka aykırı erişilmesini önlemek ve
(c) Kişisel verilerin muhafazasını sağlamak amaçlarını gerçekleştirmek için aşağıdaki önlemleri almaktadır:
▪ Şirketimiz, mevzuat hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.
▪ İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
▪ Kişisel verilerin paylaşılması ile ilgili olarak, Şirketimiz, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar veya sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.
▪ Şirketimiz kişisel verilerin işlenmesi ve veri güvenliğini sağlamak için bilgili ve deneyimli personel istihdam
eder ve personeline gerekli Kişisel Verilerin Korunması eğitimlerini verir.
▪ Şirketimiz kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
▪ Kişisel verilerin Şirketimizin dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapıyı
temin eder.
▪ Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulmasını sağlar.
BÖLÜM 2- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
1. AMAÇ
İşbu Özel Nitelikli Kişisel Verilerin Korunması Politikası’nın amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır.
2. TANIMLAR
KISALTMA | TANIM |
Xxxx Xxxx | Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kişisel veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel verilerin anonim hale getirilmesi | Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Kişisel verilerin işlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel verilerin silinmesi | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel verilerin yok edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu |
Politika: | Özel Nitelikli Kişisel Verilerin Korunması Politikası |
Şirket: | Opera Gayrimenkul Geliştirme A.Ş. |
Veri sahibi | Kişisel verisi işlenen gerçek kişi |
Veri sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Şirket, özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:
a. Hukuka ve dürüstlük kurallarına uygun olma
b. Doğru ve gerektiğinde güncel olma
c. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
d. Belirli, açık ve meşru amaçlar için işlenme
e. Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Xxxxxx tarafından veri sahibinin açık rızasının alındığı
durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.
Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.
Sağlık verilerinin işlenmesinde 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine de riayet edilmektedir.
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER Şirket, özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:
4.1. İDARİ TEDBİRLER
▪ Şirket, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel verilerin korunması ve işlenmesi konusunda düzenli eğitimler vermektedir.
▪ Şirket, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.
▪ Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.
▪ Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. Şirket, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.
4.2. TEKNİK TEDBİRLER
4.2.1. Elektronik Ortamda Muhafaza Edilen Ve/Veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler
▪ Özel nitelikli kişisel veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
▪ Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
▪ Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
▪ Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
▪ Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
▪ Özel nitelikli kişisel verilere uzaktan erişim sağlanması teknik olarak engellenmiştir.
4.2.2. Fiziksel Ortamda Muhafaza Edilen Ve/Veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler
▪ Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.
▪ Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Şirket, özel nitelikli kişisel verileri Kanun’un 8. ve 9. KVK maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla Şirket tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.
▪ E-posta Yoluyla Aktarım
Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarım yapılmaktadır.
▪ Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım
Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve kriptografık anahtar farklı bir ortamda tutulmaktadır.
▪ Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım
Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
▪ Kâğıt Ortamı Yoluyla Aktarım
Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak "gizlilik dereceli belgeler” formatında gönderilmektedir.
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Özel nitelikli kişisel veriler, Xxxxxx tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:
a. Veri sahibinin açık rızasının elde edilmiş olması
b. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
c. Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması
Şirket tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
a. Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri
alınmış olması
b. Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
c. Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
d. Kanun’un 6. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
e. Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
f. Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar Şirket Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.
BÖLÜM 3 – KİŞİSEL VERİLERİN İMHASI
1. KİŞİSEL VERİLERİN İMHASI
Şirket elde ettiği kişisel verileri;
▪ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
▪ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
▪ Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
▪ KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
▪ Şirketimizin ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
▪ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, ilgili kişinin talebi üzerine siler, yok eder ya da re’sen silinir, yok edilir veya anonim hale getirilir.
2. KİŞİSEL VERİLERİN SİLİNMESİ YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ:
Şirketimiz ve/veya Şirketimizin işbirliği içinde olduğu veya yetkilendirdiği temsilciler dahil gerçek ve tüzel kişiler, KVKK’nın 1. ve 2. maddeleri uyarınca toplanan kişisel verileri, ilgili mevzuatlar uyarınca işbu verilerin daha uzun süre muhafaza edilmesine cevaz verilen veya zorunlu tutulan haller saklı kalmak kaydıyla; Türk Ceza Kanunu’nun 138. maddesine ve KVKK’nın 7. maddesine uygun olarak, mevzuatta öngörülen ve işbu Protokolde belirtilen işlenme amaçlarının gerektirdiği süre boyunca muhafaza etmektedir. Kişisel verilerin işlenme amacının ortadan kalkması hâlinde re’sen veya veri sahibinin talebi üzerine işbu veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3. KAYIT ORTAMLARI
Kişisel veriler, Xxxxxx tarafından Kanun ve diğer mevzuata uygun bir şekilde ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak aşağıdaki fiziki ve elektronik ortamlarda saklanmaktadır:
1.1. Fiziki Kayıt Ortamları
Birim Dolapları Arşiv
1.2. Elektronik Kayıt Ortamları
Personel bilgisayarları
Sunucular
Yazılımlar
Çıkartılabilir bellekler (USB vb.) Yazıcı, tarayıcı, faks makinesi Mobil cihazlar (Telefon, tablet vb.) Optik diskler (CD, DVD vb.)
4. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER
Kişisel veriler, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi, müşteri, tedarikçi, çalışan ve diğer iş ortakları ile ilişkilerinin sürdürülebilmesi, ticari faaliyetlerinin yürütülebilmesi amaçlarıyla ile aşağıdaki hukuki sebepler dahilinde saklanmaktadır:
a. Veri sahibinin açık rızasının elde edilmiş olması
b. Kişisel verilerin saklanmasının Şirket’in tabi olduğu mevzuatta açıkça öngörülmüş olması
c. Sözleşmelerin kurulması ya da ifası ile doğrudan doğruya ilgili olmak kaydıyla sözleşme taraflarından birine ait kişisel verilerin saklanmasının gerekli olması
d. Kişisel verilerin saklanmasının Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması
e. Bir hakkın tesisi, kullanılması ya da korunması için kişisel verilerin saklanmasının gerekli olması
f. Veri sahiplerinin kendileri tarafından alenileştirilen kişisel verilerin alenileştirme amacıyla örtüşecek biçimde saklanmasının gerekli olması
g. Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatlerinin elde edilebilmesi için kişisel verilerin saklanmasının gerekli olması
Şirket tarafından hukuka uygun olarak ve veri güvenliğini sağlamaya yönelik her türlü teknik ve idari tedbir alınarak saklanan kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
a. Kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
b. Kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan
kalkmış olması
c. Kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
d. Kanun’un 5. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
e. Veri sahibinin Şirket’e usulüne uygun olarak ilettiği kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
f. Şirket’in, veri sahibi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Özel nitelikli kişisel verilerin korunması ve hukuka uygun olarak işlenmesine yönelik Şirket tarafından alınan tedbirler Şirket Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmektedir.
Özel nitelikli kişisel veriler, Xxxxxx tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki sebeplerle dahilinde saklanmaktadır:
a. Veri sahibinin açık rızasının elde edilmiş olması
b. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
c. Sağlık ve cinsel hayata ilişkin verilerin saklanmasının kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi için gerekli olması.
Şirket tarafından 6698 sayılı Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
a. Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
b. Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
c. Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
d. Kanun’un 6. KVK maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
e. Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
f. Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.
6. VERİ GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Şirket tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
a. İdari Tedbirler
Şirket’in aldığı idari tedbirler şunlardır:
• Şirket, Kanun ve diğer mevzuata uygun olarak kişisel veri güvenliği politika ve prosedürlerini belirler; Kanun’un ve belirlenen politikaların uygulanmasının temini için tüzel kişiliği bünyesinde düzenli denetim çalışmaları yürütür.
• Şirket, kişisel verilerin korunması konusunda bilgili personel istihdam eder. Personellerine yönelik kişisel verilerin korunması hukuku eğitim programları düzenler ve farkındalık çalışmaları yürütür.
• Şirket, kişisel veri aktarım faaliyetlerinde kişisel verilerin aktarıldığı kişiler ile veri paylaşım sözleşmesi imzalar ve veri güvenliğini sağlar.
• Şirket, saklanan kişisel verilere erişim yetkisini yalnızca tüzel kişilik bünyesindeki görevi gereği yetkili personel ile sınırlandırır.
• Şirket, kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından ele geçirilmesi halinde ihlali veri sahibine ve Kurul’a gecikmeksizin bildirir.
b. Teknik Tedbirler
Şirket, teknik tedbirler kapsamında;
• Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
• Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
• Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
• Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
• Kanun’un 12. KVK maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
7. PERİYODİK İMHA SÜRESİ
Şirket, işbu Politika’da belirlenen saklama süresinin dolması ile imha yükümlülüğünün ortaya çıkmasını takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder ya da anonim hale getirir.
Periyodik imha, yılda iki kez 6 aylık aralıklarla olmak üzere gerçekleştirilir.
8. KAYITLARIN SAKLANMASI
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
9. SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler, Kanun’un 4. KVK maddesinde yer xxxx xxxxx ilkelere uygun olarak mevzuatta öngörülen ya da işlenme amacı için gerekli olan süre ile sınırlı olarak saklanmaktadır. Bu kapsamda belirlenen saklama süreleri aşağıdaki tabloda yer almaktadır:
KİŞİSEL VERİ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
KİMLİK | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
İLETİŞİM | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
ÖZLÜK | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
HUKUKİ İŞLEM | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
CEZA MAHKUMİYETİ VE GÜVENLİK TEDBİRLERİ | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
SAĞLIK BİLGİLERİ | Hukuki İlişki veya İş Sözleşmesinin Sona Ermesi + 15 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
DİĞER ÖZEL NİTELİKTEKİ KİŞİSEL VERİLER (Sendika, Uyruk, Din Bilgisi) | Hukuki İlişki veya İş Sözleşmesinin Sona Ermesi + 15 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
MESLEKİ DENEYİM BİLGİLERİ | Hukuki İlişki veya İş Sözleşmesinin Sona Ermesi + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
LOKASYON | Aracın Teslimi + ….. Gün | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
FİZİKSEL MEKAN GÜVENLİĞİ | 30 Gün | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
GÖRSEL VE İŞİTSEL KAYITLAR | 30 Gün | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
İŞLEM GÜVENLİĞİ | 1 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
MÜŞTERİ İŞLEM | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
RİSK YÖNETİMİ | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
FİNANS | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
PAZARLAMA | 1 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
AİLE VE YAKIN BİLGİSİ | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
ÇALIŞAN ADAYI BİLGİSİ | 2 yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
REFERANS BİLGİSİ | Hukuki İlişki + 10 Yıl | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
AYAKKABI VE BEDEN BİLGİSİ | İş Sözleşmesinin Ermesi + 6 Ay | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
TALEP VE ŞİKAYET BİLGİSİ | 6 Ay | Saklama Süresinin Sona Ermesini Takip Eden İlk Periyodik İmha Süresinde |
BÖLÜM 4 – POLİTİKANIN YÜRÜRLÜĞÜ
KVK Politikası’nda kısmen ya da tamamen her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni KVK Politikası’nın yayınlandığı gün geçerlilik kazanır.
Veri Sorumlusu :
OPERA GAYRİMENKUL GELİŞTİRME ANONİM ŞİRKETİ
Xxxxxxxxx Xxx. Xxxxx Xxxxxxx Xxxxxxx Xx:00/000 Xxxxxxxxx-XXXXX