BMA TEKNOLOJİ A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

BMA TEKNOLOJİ A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

İÇİNDEKİLER

1. AMAÇ VE KAPSAM 2

2. HEDEF 2

3. TANIMLAR 2

4. ROLLER VE SORUMLULUKLAR 4

5. BMA TEKNOLOJİ KVK POLİTİKASININ ESASLARI 4

5.1. BMA TEKNOLOJİ KVK POLİTİKASI İLE YÖNETİLEN KİŞİ GRUPLARI 4

5.2. BMA TEKNOLOJİ TARAFINDAN YÜRÜTÜLEN İŞ FAALİYETLERİ KAPSAMINDA KİŞİSEL VERİLERİ İŞLEME AMAÇLARI… 5

6. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN OLARAK BMA TEKNOLOJİ TARAFINDAN BENİMSENEN İLKELER 6

6.1. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ 6

6.1.1. Xxxxx Xxxxxxxx Uygunluk 6

6.1.2. Kişisel Veri İşleme Şartlarına Uygunluk 6

6.1.3. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk 7

6.1.4. Kişisel Veri Aktarım Şartlarına Uygunluk 8

6.2. BMA TEKNOLOJİ TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

……………………………………………………........................................................................................................................ 9

6.3. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ 9

6.3.1. BMA Teknoloji Bı̇na Tesı̇s Gı̇rişlerinde ve İçerı̇sinde Yürütülen Kamera ile İzleme Faalı̇yetı̇ 9

6.3.2. BMA Teknoloji Bı̇na, Tesı̇s Girişlerinde ve İçerisinde Yürütülen Mı̇safir Gı̇riş Çıkışlarının Takibi 10

6.3.3. BMA Teknoloji Bı̇na ve Tesı̇slerı̇nde Zı̇yaretçı̇lerı̇mize Sağlanan İnternet Erı̇şimlerı̇ne

İlişkin Kayıtların Saklanması 11

6.3.4. İnternet Sitesi Ziyaretçileri 11

6.4. BMA TEKNOLOJİ TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI 11

6.4.1. Kişisel Veri Sahiplerinin Hakları 12

6.4.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller 12

6.4.3. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı 13

6.5. BMA TEKNOLOJİ TARAFINDAN YÜRÜTÜLEN KİŞİSEL VERİ İŞLEME FAALİYETLERİ KAPSAMINDA İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE PAYLAŞILAN TARAF KATEGORİLERİ. 13

6.5.1. Kişisel Veri Kategorileri 13

6.5.2. Paylaşılan Taraf Kategorileri 14

6.6. BMA TEKNOLOJİ TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI 15

6.7. VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ 17

6.8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ

............................................................................................................................................................................................... 17

7. SON NOT 18

1. AMAÇ VE KAPSAM

Hukuk düzenine uyum konusunda azami özeni göstermeyi geçmişinden bugüne benimsemiş olan BMA Teknoloji Anonim Şirketi (“BMA Teknoloji” veya “Şirket”), kişisel verilerin işlenmesi ve korunmasına ilişkin mevzuata uyum açısından da gerekli her türlü faaliyetin yürütülmesine ilişkin sistemleri kurmaktadır. BMA Teknoloji A.Ş. Kişisel Verilerin İşlenmesi ve Korunması Politikası (“BMA Teknoloji KVK Politikası”) ile BMA Teknoloji tarafından kişisel verilerin korunmasında ve işlenmesinde benimsenen ilkeler düzenlenmektedir. BMA Teknoloji’nin, kişisel verilerin korunmasına verdiği önem doğrultusunda, BMA Teknoloji KVK Politikası ile BMA Teknoloji tarafından yürütülen faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumuna ilişkin temel prensipler belirlenmektedir. BMA Teknoloji KVK Politikası düzenlemelerinin uygulanması ile BMA Teknoloji’nin benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır. BMA Teknoloji KVK Politikası, BMA Teknoloji tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen gerçek kişiler ve BMA Teknolojide çalışanların kişisel verilerine yöneliktir.

2. HEDEF

BMA Teknoloji KVK Politikası ile, BMA Teknoloji bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda BMA Teknoloji KVK Politikası, KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme ve kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlama amacı taşımaktadır.

3. TANIMLAR

BMA Teknoloji KVK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

Xxxx Xxxx : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.

Çalışan(lar) : BMA Teknoloji çalışan(lar)ı.

Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik : 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.

Kişisel Sağlık Verisi : Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal

sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

KVK Kurulu : Kişisel Verileri Koruma Kurulu.

KVK Kurumu : Kişisel Verileri Koruma Kurumu.

Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

BMA Teknoloji / Şirket : BMA Teknoloji Anonim Şirketi.

BMA Teknoloji İş Ortakları : BMA Teknoloji’nin ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar, asıl işverenler.

BMA Teknoloji Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, BMA Teknoloji tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “BMA Teknoloji A.Ş Kişisel Veri Saklama ve İmha Politikası”.

BMA Teknoloji KVK Politikası : BMA Teknoloji A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası.

BMA Teknoloji Tedarikçileri: Sözleşme temelli olarak BMA Teknoloji’ye hizmet sunan taraflar.

BMA Teknoloji Veri Sahibi Başvuru Formu: Veri sahiplerinin, KVK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.

Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.

Veri Sorumluları Sicili : KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.

4. ROLLER VE SORUMLULUKLAR

BMA Teknoloji KVK Politikası’nın tüm BMA Teknoloji işleyiş, faaliyet ve süreçlerinde uygulanmasından, Finans Direktörü sorumlu olmakla birlikte; BMA Teknoloji KVK Politikası’na uygun hazırlanan yönetmelik, prosedür, kılavuz standart ve eğitim faaliyetlerinin BMA Teknoloji bünyesinde uygulanmasında Kalite Koordinatörü tavsiye kaynağı ve rehber olacaktır. BMA Teknoloji genelinde tüm çalışanlarımız, iş ortaklarımız, misafirler, ziyaretçiler ve ilgili üçüncü kişiler BMA Teknoloji KVK Politikası’na uyum ile birlikte, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde, Kalite Koordinatörüyle iş birliği yapmakla yükümlüdürler. BMA Teknoloji’nin tüm organ ve departmanları BMA Teknoloji KVK Politikası’na uyulmasını gözetmekle sorumludur.

5. BMA TEKNOLOJİ KVK POLİTİKASININ ESASLARI

5.1. BMA TEKNOLOJİ KVK POLİTİKASI İLE YÖNETİLEN KİŞİ GRUPLARI

BMA Teknoloji KVK Politikası kapsamı dahilinde olan ve BMA Teknoloji tarafından kişisel verileri işlenen veri sahipleri aşağıda gruplandırılmaktadır:

• BMA Teknoloji Çalışan Adayları

BMA Teknoloji ile hizmet akdi kurulmamış ancak kurulmak üzere BMA Teknoloji

değerlendirmesine alınan kişiler.

• BMA Teknoloji Stajyer Adayları/Stajyerleri

BMA Teknoloji’de staj yapmak üzere BMA Teknoloji değerlendirmesine alınan kişiler ile

staj yapan kişiler.

• BMA Teknoloji Çalışanları

BMA Teknoloji ile hizmet akdi kurulmuş ve kurulacak olan ve BMA Teknoloji değerlendirmesi yapılmış kişiler.

• BMA Teknoloji İş Ortakları Yetkilileri, Çalışanları

BMA Teknoloji’in ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri, hissedarları, çalışanları.

• BMA Teknoloji Ziyaretçileri

BMA Teknoloji binalarını veya BMA Teknoloji tarafından işletilen internet sitesini ziyaret eden gerçek kişiler.

• Diğer Gerçek Kişiler

Tüm gerçek kişiler.

5.2. BMA TEKNOLOJİ TARAFINDAN YÜRÜTÜLEN İŞ FAALİYETLERİ KAPSAMINDA KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

1. BMA Teknoloji’nin kısa/orta/uzun vadede ticari politikalarının tespiti, planlanması ve uygulanması

a. Şirket dışı eğitim faaliyetlerinin planlanması ve icrası

b. İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi

2. BMA Teknoloji'nin İnsan Kaynakları Faaliyetlerinin Tasarlanması ve Yürütülmesi

a. Çalışan temin süreçlerinin yürütülmesi

b. Stajyer temin, yerleştirmesi ve operasyon süreçlerinin planlanması ve icrası

c. İnsan kaynakları süreçlerinin planlanması

d. Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi

e. Çalışanların iş faaliyetlerinin takibi ve denetimi

f. Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası

g. Çalışan çıkış işlemlerinin planlanması ve icrası

h. Çalışanların performans değerlendirme süreçlerinin planlanması ve takibi

i. Şirket içi eğitim faaliyetlerinin planlanması ve icrası

j. İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi

k. Ücret yönetimi

l. Şirket içi oryantasyon aktivitelerinin planlanması ve icrası

3. BMA Teknoloji’nin Yürüttüğü Ticari Faaliyetlerin Mevzuata ve Şirket Politikalarına Uygun Olarak Yerine Getirilmesi İçin Şirket Bünyesindeki İş Birimleri Tarafından Gerekli Çalışmaların Yapılması ve Bu Doğrultuda Faaliyetlerin Yürütülmesi

a. Finans ve muhasebe işlerinin takibi

b. Yatırımcı ilişkilerinin yürütülmesi

c. Kurumsal iletişim faaliyetlerinin planlanması ve icrası

d. İş faaliyetlerinin etkinlik/verimlilik ve yerindelik analizlerinin gerçekleştirilmesi planlanması ve icrası

e. Etkinlik yönetimi

f. Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi

g. Bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası

h. İş sürekliğinin sağlanması faaliyetlerinin planlanması ve icrası

i. İş ortakları ve tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası

4. BMA Teknoloji’nin Ticari İtibarının ve Oluşturduğu Güvenin Korunması

a. Talep ve şikayet yönetimi

b. Şirket ve şirket değerlerinin itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi

6. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN OLARAK BMA

TEKNOLOJİ TARAFINDAN BENİMSENEN İLKELER

6.1. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ

BMA Teknoloji kişisel verilerin işlenmesi faaliyetlerini yürütürken, (i) temel ilkelere, (ii) kişisel veri işleme şartlarına ve (iii) özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.

6.1.1. Xxxxx Xxxxxxxx Uygunluk

BMA Teknoloji tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmektedir:

a. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme

BMA Teknoloji, Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kuralına uygun olarak yürütür.

b. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme

BMA Teknoloji tarafından kişisel verilerin işlenmesi faaliyeti yürütülürken, teknik imkanlar dahilinde kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik gerekli her türlü idari ve teknik tedbirler alınmaktadır. Şirketimiz bu kapsamda, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurmuştur.

c. Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi

BMA Teknoloji tarafından kişisel verilerin işlenmesi faaliyetleri, kişisel veri işleme faaliyeti başlamadan önce belirlenmiş olan, açık ve hukuka uygun amaçlar dahilinde yürütülmektedir.

d. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme

BMA Teknoloji tarafından, kişisel veriler, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işlenmektedir. Bu kapsamda, kişisel veri işleme amacı, kişisel veri işleme faaliyetine başlanmadan önce belirlenerek, ileride kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir.

e. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

BMA Teknoloji, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza etmektedir. Bu doğrultuda mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler BMA Teknoloji tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

6.1.2. Kişisel Veri İşleme Şartlarına Uygunluk

BMA Teknoloji kişisel veri işleme faaliyetlerini, KVK Kanunu’nun 5. maddesinde ortaya konulan veri işleme şartlarına uygun olarak yürütmektedir. Bu kapsamda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:

a. Kişisel Xxxx Xxxxxxxxx Açık Rızasının Varlığı

Veri sahibinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, BMA Teknoloji tarafından kişisel veri işleme faaliyeti yürütülür.

b. Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, BMA Teknoloji tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

c. Fiili İmkansızlık Nedeniyle Xxxx Xxxxxxxxx Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin

işlenmesi zorunlu ise, BMA Teknoloji tarafından bu kapsamda veri işleme faaliyeti yürütülür.

d. Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise BMA Teknoloji tarafından veri işleme faaliyeti yürütülür.

e. BMA Teknoloji’nin Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması

Hukuka uygunluk konusunda gerekli hassasiyeti göstermeyi Şirket politikası olarak benimsemiş olan BMA Teknoloji’nin hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.

f. Veri Sahibinin Kişisel Verisini Alenileştirmesi

BMA Teknoloji tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

g. Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, BMA Teknoloji tarafından bu zorunluluk ile paralel olarak kişisel veri işleme faaliyet yürütülür.

h. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin BMA Teknoloji’nin Meşru Menfaatleri için Zorunlu Olması

BMA Teknoloji’nin meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faliyeti yürütülebilecektir.

6.1.3. Özel Nitelikli Kişisel Veri İşleme Şartlarına Uygunluk

BMA Teknoloji tarafından, hukuka aykırı olarak işlendiklerinde ayrımcılık yaratma riski taşıyan özel nitelikli kişisel verilerin işlenmesine ayrıca önem gösterilmektedir. Bu kapsamda, BMA Teknoloji tarafından özel nitelikli kişisel veri işlemesinde öncelikle hassasiyetle veri işleme şartlarının var olup olmadığı tespit edilmekte, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti yürütülmektedir.

Özel nitelikli kişisel veriler, BMA Teknoloji tarafından, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması şartıyla aşağıdaki durumlarda işlenebilmektedir:

a. Kişisel Sağlık Verilerinin İşlenmesi

BMA Teknoloji tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir:

– Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve

yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; veya

– Kişisel veri sahibinin açık rızasının varlığı,

b. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

BMA Teknoloji tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri); veri sahibinin xxxx xxxx vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.

6.1.4. Kişisel Veri Aktarım Şartlarına Uygunluk

BMA Teknoloji tarafından gerçekleştirilecek kişisel veri aktarımlarında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.

a. Kişisel Verilerin Yurtiçinde Aktarılması

BMA Teknoloji tarafından, KVK Kanunu’nun 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. BMA Teknoloji KVK Politikası Bölüm 6.1.) uygun olarak hareket edilmektedir.

b. Kişisel Verilerin Yurtdışına Aktarılması

BMA Teknoloji tarafından, KVK Kanunu’nun 9. maddesi gereğince kişisel veriler;

(i) kişisel veri işleme şartlarına (Bkz. BMA Teknoloji KVK Politikası Bölüm 6.1.) uygun

olarak ve

(ii) aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulunun izninin bulunması

ile yurtdışına aktarılabilmektedir.

c. BMA Teknoloji Tarafından Kişisel Verilerin Aktarıldığı Kişi Grupları

BMA Teknoloji, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak BMA Teknoloji KVK Politikası kapsamı dahilinde olan veri sahiplerinin (Bkz. BMA Teknoloji KVK Politikası Bölüm 5.1.) kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarabilir:

(i) BMA Teknoloji İş Ortakları’na, iş ortaklığının kurulması ve sürdürülmesinin temini

amacıyla sınırlı olarak,

(ii) BMA Teknoloji Tedarikçileri’ne, tedarikçiden temin edilen ve BMA Teknoloji’nin

ticari faaliyetlerini yerine getirmek amacıyla sınırlı olarak,

(iii) Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak,

(iv) Üçüncü kişilere kişisel veri aktarım şartlarına uygun olarak.

6.2. BMA TEKNOLOJİ TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

BMA Teknoloji, KVK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin

elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda BMA Teknoloji tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:

(1) Şirketimizin unvanı,

(2) BMA Teknoloji tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,

(3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

(4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

(5) Veri sahibinin hakları.

6.3. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ

BMA Teknoloji tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla BMA Teknoloji tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.

6.3.1. BMA Teknoloji Bı̇na Tesı̇s Gı̇rişlerinde ve İçerı̇sinde Yürütülen Kamera ile

İzleme Faalı̇yetı̇

BMA Teknoloji, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

BMA Teknoloji tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.

a. Kamera ile İzleme Faaliyetinin Yasal Dayanağı

BMA Teknoloji tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

b. KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi

BMA Teknoloji tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. BMA Teknoloji, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

c. Kamera ile İzleme Faaliyetinin Duyurulması

BMA Teknoloji tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. BMA Teknoloji, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.

BMA Teknoloji tarafından kamera ile izleme faaliyetine yönelik olarak; BMA Teknoloji internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve

izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).

d. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık

BMA Teknoloji, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

BMA Teknoloji tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

e. Elde Edilen Verilerin Güvenliğinin Sağlanması

BMA Teknoloji tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

f. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi

BMA Teknoloji’nin, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye BMA Teknoloji Kişisel Veri Saklama ve İmha Politikası’nda yer verilmiştir.

g. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin

Kimlere Aktarıldığı

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda BMA Teknoloji çalışanının erişimi bulunmaktadır.

6.3.2. BMA Teknoloji Bı̇na, Tesı̇s Girişlerinde ve İçerisinde Yürütülen Mı̇safir Gı̇riş Çıkışlarının Takibi

BMA Teknoloji tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Misafir olarak BMA Teknoloji binalarına gelen kişilerin isim ve soyadları elde edilirken ya da BMA Teknoloji nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

6.3.3. BMA Teknoloji Bı̇na ve Tesı̇slerı̇nde Zı̇yaretçı̇lerı̇mize Sağlanan İnternet Erı̇şimlerı̇ne İlişkin Kayıtların Saklanması

BMA Teknoloji tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; BMA Teknoloji tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya BMA Teknoloji içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine

getirmek amacıyla işlenmektedir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda BMA Teknoloji çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan BMA Teknoloji çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır.

6.3.4. İnternet Sitesi Ziyaretçileri

BMA Teknoloji sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerezler- cookie gibi) site içerisindeki internet hareketleri kaydedilmektedir.

BMA Teknoloji yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin “BMA Teknoloji İnternet Sitesi Gizlilik Politikası” metinleri içerisinde yer almaktadır.

6.4. BMA TEKNOLOJİ TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI

Veri sahiplerinin kişisel verilerine ilişkin taleplerini Şirketimize yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, BMA Teknoloji veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. BMA Teknoloji, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirketimiz ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

Veri sahibinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, BMA Teknoloji tarafından gerekçesi açıklanarak talep reddedilebilecektir.

6.4.1. Kişisel Veri Sahiplerinin Hakları

KVK Kanunu’nun 11. maddesi uyarınca, Şirketimize başvurarak aşağıda yer alan

konularda talepte bulunabilirsiniz:

⎯ Kişisel verilerinizin işlenip işlenmediğini öğrenmek,

⎯ Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,

⎯ Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

⎯ Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,

⎯ Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,

⎯ KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel

verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,

⎯ İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,

⎯ Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etmek.

6.4.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller

KVK Kanunu’nun 28. maddesi gereğince aşağıdaki hallerin KVK Kanunu’nun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:

⎯ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

⎯ Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

⎯ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

⎯ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

⎯ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

⎯ Kişisel veri sahibi (kendisi) tarafından alenileştirilmiş kişisel verilerin işlenmesi.

⎯ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

⎯ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

6.4.3. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; BMA Teknoloji’nin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikayette bulunabilir.

6.5. BMA TEKNOLOJİ TARAFINDAN YÜRÜTÜLEN KİŞİSEL VERİ İŞLEME FAALİYETLERİ KAPSAMINDA İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE PAYLAŞILAN TARAF KATEGORİLERİ

6.5.1. Kişisel Veri Kategorileri

BMA Teknoloji tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmektedir:

Kimlik Bilgisi : Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad-soyad,

T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler.

İletişim Bilgisi : İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası gibi kişisel veriler.

Lokasyon Verisi : BMA Teknoloji araçlarını ve cihazlarını kullanırken bulunduğu yerin konumunu tespit eden kişisel veriler; GPS lokasyonu, seyahat verileri vb.

Aile Bireyleri ve Yakın Bilgisi : BMA Teknoloji iş birimleri tarafından yürütülen operasyonlar çerçevesinde, BMA Teknoloji’nin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örneğin; eş, anne, baba, çocuk) ve yakınları hakkındaki kişisel veriler.

Fiziksel Mekan Güvenlik Bilgisi : Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar v.b.

İşlem Güvenliği Bilgisi : BMA Teknoloji’nin ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse Şirketin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler.

Risk Yönetimi Bilgisi : Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kurallarına uygun olarak kullanılan yöntemler vasıtasıyla işlenilen kişisel veriler.

Finansal Bilgi : BMA Teknoloji ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi kişisel veriler.

Çalışan/Stajyer Adayı Bilgisi : BMA Teknoloji çalışanı/stajyeri olmak için başvuruda bulunmuş veya ticari teamül ve dürütlük kuralları gereği Şirketimizin insan kaynakları ihtiyaçları doğrultusunda Çalışan/Stajyer Adayı olarak değerlendirilmiş veya Şirketimizle çalışma/staj ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler.

Hukuki İşlem ve Uyum Bilgisi : BMA Teknoloji’nin hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülükler ve BMA Teknoloji politikalarına uyum kapsamında işlenen kişisel veriler.

Denetim ve Teftiş Bilgisi : BMA Teknoloji’nin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler.

Özel Nitelikli Kişisel Veri : KVK Kanunu’nun 6. maddesinde belirtilen veriler (örneğin; kan grubu dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi).

Talep/Şikayet Yönetimi Bilgisi : BMA Teknoloji’ye yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.

İtibar Yönetimi Bilgisi : Kişiyle ilişkilendirilen ve BMA Teknoloji’nin ticari itibarını korumak maksatlı toplanan kişisel veriler (örneğin; BMA Teknoloji ile ilgili yapılan paylaşımlar).

Olay Yönetimi Bilgisi : Kişisel veri sahibiyle ilişkilendirilen ve BMA Teknoloji çalışanlarını, iş ortaklarını etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler (örneğin; kamuoyunun doğru yönetilmesine ilişkin toplanan bilgiler, değerlendirmeler gibi)

6.5.2. Paylaşılan Taraf Kategorileri

BMA Teknoloji, KVK Kanunu’nda yer alan ilkelere ve özellikle, KVK Kanunu’nun 8. ve

9. maddelerine uygun olarak BMA Teknoloji KVK Politikası kapsamı dahilinde olan veri sahiplerinin (Bkz. Bölüm 5.1.) kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarılabilir:

(i) BMA Teknoloji Tedarikçileri’ne,

(ii) BMA Teknoloji İş Ortakları/Asıl İşverenleri’ne,

(iii) Yetkili kamu kurum ve kuruluşlar ile yetkili özel hukuk kişilerine,

(iv) Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere.

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve olası veri aktarım amaçları aşağıda belirtilmektedir.

VERİ AKTARIMI YAPILABİLECEK KİŞİLER	TANIMI	VERİ AKTARIM AMACI
İş Ortağı/Asıl İşveren	BMA Teknoloji’nin, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar	İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Tedarikçi	BMA Teknoloji’nin ticari faaliyetlerinin yürütülmesi kapsamında, BMA Teknoloji’nin emir ve talimatlarına uygun ve sözleşme temelli olarak BMA Teknoloji’ye hizmet sunan taraflar	Şirket’in tedarikçiden dış kaynaklı olarak temin ettiği ve Şirket’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirket’e sunulmasını sağlamak amacıyla sınırlı olarak
Hukuken Yetkili Kamu Kurum ve Kuruluşları	İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları	İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

Hukuken Yetkili Özel Hukuk Kişileri İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

6.6. BMA TEKNOLOJİ TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI

BMA Teknoloji tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

Bu kapsamda BMA Teknoloji tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) şirket bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.

a. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için BMA Teknoloji Tarafından Alınan İdari Tedbirler

⎯ BMA Teknoloji, kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.

⎯ BMA Teknoloji tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulur. Bu kapsamda, KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.

⎯ BMA Teknoloji, KVK Kanunu’na uyumun sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.

⎯ BMA Teknoloji ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, BMA Teknoloji’nin talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.

⎯ Kişisel verilerin aktarıma konu olduğu durumlarda, BMA Teknoloji tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.

⎯ İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak

şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanır ve uygulanır.

⎯ Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün

görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilir ve bu doğrultuda kendilerinden gerekli taahhütler alınır.

b. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için BMA Teknoloji Tarafından Alınan Teknik Tedbirler

⎯ BMA Teknoloji tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.

⎯ Teknik konularda, uzman personel istihdam edilir.

⎯ Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.

⎯ Güvenliği temin edecek yazılım ve sistemler kurulur.

⎯ BMA Teknoloji bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır, yetkiler düzenli olarak gözden geçirilir.

⎯ İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve

yetkilendirme teknik çözümleri devreye alınır.

⎯ Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar

kurulur.

⎯ Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilir. Bulunan açıkların kapatılması sağlanır.

⎯ Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanır, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilir.

c. BMA Teknoloji Tarafından Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütülmesi

BMA Teknoloji tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği Genel Müdür (alternative birim) tarafından denetlenir. BMA Teknoloji Genel Müdürü söz konusu denetim faaliyetini, kendi organizasyonu marifetiyle gerçekleştirebileceği gibi gerekli gördüğü hallerde dış kaynaklı denetim firmalarına da yaptırabilir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, BMA Teknoloji Genel Müdürü’ne, BMA Teknoloji Finans Direktörlüğü’ne ve ilgili fonksiyon yöneticilerine raporlanır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin sorumluluğundadır. Genel Müdür de bu rapor kapsamındaki aksiyonların takibini, doğrulama testlerini ve denetimlerini yapar. Denetim sonuçları ile sınırlı olmaksızın, verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler ilgili icra birimlerince yürütülür.

d. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

BMA Teknoloji tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.

6.7. VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ

BMA TEKNOLOJİ veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olmakla yükümlüdür. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):

a. Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri,

b. Kişisel verilerin hangi amaçla işleneceği,

c. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

d. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

e. Yabancı ülkelere aktarımı öngörülen kişisel veriler,

f. Kişisel veri güvenliğine ilişkin alınan tedbirler,

g. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

6.8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ

BMA Teknoloji tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu Veri Temsilcisi olarak Kalite Koordinatörü sağlayacaktır. Kalite Koordinatörü BMA Teknoloji birimleri ve departmanları arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur. Bu kapsamda Veri Temsilcisi olarak atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:

a. Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,

b. Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,

c. Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,

d. Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,

e. Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,

f. Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,

g. Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,

h. Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,

i. Kurum ve Kurul ile olan ilişkileri yönetmek.

7. SON NOT

Bu Politika dokümanı, BMA Teknoloji Yönetim Kurulu tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da BMA Teknoloji Yönetim Kurulu tarafından BMA Teknoloji Finans Direktörü’ne yetki verilmiştir. Finans Direktörü onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.

İşbu Politika her halükarda yılda bir kez gözden geçirilir, gerekli değişiklikler varsa, Finans

Direktörü onayına sunularak güncellenir.

Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile BMA Teknoloji KVK Politikası arasında çelişki bulunması halinde, BMA Teknoloji yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.

BMA Teknoloji KVK Politikası, BMA Teknoloji internet sitesinde xxxx://xxx.xxx- xxxxxxxxxx.xxx/xxxx yayımlanır ve kişisel veri sahiplerinin erişimine açıktır. İlgili mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, BMA Teknoloji KVK Politikası’nda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır.