EKSENAL ALÜMİNYUM EKSTRÜZYON TEKNOLOJİLERİ SANAYİ ve TİCARET A.Ş. KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI


EKSENAL

ALÜMİNYUM EKSTRÜZYON TEKNOLOJİLERİ SANAYİ ve TİCARET A.Ş.

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI



GİRİŞ:

Şirketimiz EKSENAL ALÜMİNYUM EKSTRÜZYON TEKNOLOJİLERİ SANAYİ TİCARET A.Ş. (bundan böyle “EKSENAL” olarak ifade edilecektir) alüminyum kalıp üretim faaliyeti yürüten, Xxxxxxxx XXXXX Xxx. 00.Xxx. Xx:00 Xxxxx / XXXXXXXX konumundaki, tüzel kişiliktir.

EKSENAL aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘’KVK Kanunu’’ olarak ifade edilecektir) kapsamında veri sorumlusudur. Kişisel veri sahipleri ise, kişisel verileri aşağıda belirtilen amaçlar dâhilinde, 6698 sayılı KVK Kanunu ve EKSENAL’ın tabi olduğu sair mevzuat hükümleri gereğince kişisel verileri toplanan, işlenen ve aktarılan gerçek kişilerdir.

EKSENAL, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir. Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu, Kanun’un ikincil düzenlemelerini teşkil eden 28 Ekim 2017 tarihli Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 1 Xxxx 2018 tarihinde yürürlüğe giren Veri Sorumluları Sicili Hakkında Yönetmelik ve diğer ilgili yönetmeliklere uygun olmak suretiyle işlenmekte ve muhafaza edilmektedir.

  1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI



1.1. Politika ile EKSENAL tarafından KVK Kanunu’na uyum için aşağıda açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin EKSENAL bünyesinde, EKSENAL hissedarları, yetkilileri, çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.

1.2. Politika ile öngörülen temel düzenlemeler doğrultusunda EKSENAL işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacak, EKSENAL hissedarları, yetkilileri, çalışanları ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.

1.3. Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVK Kanunu ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için EKSENAL’ın yükümlü olduğu hususları düzenlenmektedir. KVK Kanunu ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile EKSENAL’ın kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. XXXXXXX’xx tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVK Kanunu ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.

1.4. Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, EKSENAL içerisinde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.

  1. TANIMLAR VE KISALTMALAR



Xxxx Xxxx; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

İlgili Kullanıcı; Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha; Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İmha Politikası; EKSENAL tarafından hazırlanan “EKSENAL Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonim Hale Getirilmesine İlişkin İmha Politikası”dır.

Kanun/KVKK; 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı; Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi; Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde

erişilemez ve tekrar kullanılamaz hale getirilmesi.


Kişisel Verilerin Yok Edilmesi; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul; Kişisel Verileri Koruma Kurulu.

Özel Nitelikli Kişisel Veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha; Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Veri Sahibi/İlgili Kişi; Kişisel verisi işlenen gerçek kişi.

Veri Sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Yönetmelik; Veri Sorumluları Sicili Hakkında Yönetmelik

KVK Kanunu kapsamında EKSENAL veri sorumlusu sıfatına haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.

  1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER



EKSENAL, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

3.1. Hukuka ve dürüstlük kuralına uygunluk

EKSENAL, veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVK Kanunu başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

3.2. Doğruluk ve güncellik

EKSENAL, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatı ile EKSENAL’a bildireceği talepler ve EKSENAL’ın bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için EKSENAL tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

3.3. Belirli, açık ve meşru amaçlarla işleme

EKSENAL tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

EKSENAL tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler EKSENAL tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.

  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI



KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, EKSENAL tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

4.1.Kişisel Verilerin İşlenmesi Şartları

Kanun'da sayılan istisnalar dışında, EKSENAL ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

• Kanunlarda açıkça öngörülmesi,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

• Veri sahibinin kendisi tarafından alenileştirilmiş olması,

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.


4.2.Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise EKSENAL tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

• Kamu sağlığının korunması,

• Koruyucu hekimlik,

• Tıbbî teşhis,

• Tedavi ve bakım hizmetlerinin yürütülmesi,

• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

  1. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ



EKSENAL, KVK Kanunu 4, 5 ve 6. maddeye uygun olarak ve Yönetmelik’in 5inci,7inci,9uncu ve 10uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri işbu Politika’nın ekinde yer almaktadır.

EKSENAL Veri Envanterinde aşağıdaki konularla ilgili detaylara ulaşmak mümkündür:


1. Kişisel veri işleme amaçları,

2. Veri kategorisi

3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları

4. Veri konusu kişi grupları

5. Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi

6. Yabancı ülkelere aktarımı öngörülen kişisel veriler

6. Veri güvenliğine ilişkin alınan tedbirler

8. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre



EKSENAL veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 8. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir. Bu kişi ve Kurumlar;


VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI TANIMI İŞLENEN VERİLERİN AKTARIM AMACI

a- İş ortakları

EKSENAL’ın ticari faaliyetlerini yürütürken birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. İş ortaklığının kurulma amaçlarının ve gerekli denetimlerin yerine getirilmesini temin etmek amacıyla sınırlı olarak.

b- Tedarikçiler

EKSENAL’ın ticari faaliyetlerini yürütürken EKSENAL’ın emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak EKSENAL’a hizmet sunan tarafları tanımlamaktadır. EKSENAL’ın tedarikçiden dış kaynaklı olarak temin ettiği ve EKSENAL’ın ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin EKSENAL’a sunulmasını sağlamak amacıyla sınırlı olarak.

c- Taşeronlar

Firmanın koymuş olduğu kurallar ve yasal yükümlülükler çerçevesinde bir hizmet alımı yapılan taraflardır; Firmanın koymuş olduğu kurallara uymasını ve üzerine düşen yükümlülüklerin yerine getirilmesini sağlamak amaçlarıyla sınırlı olarak.

d- Hissedarlar

EKSENAL hissedarı tüzel ve gerçek kişiler; ilgili mevzuat hükümlerine göre EKSENAL’ın şirketler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak

e- Şirket yetkilileri, idarecileri ve personeli

EKSENAL yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler; ilgili mevzuat hükümlerine göre EKSENAL’ın ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak

f- Hukuken yetkili kamu kurum ve kuruluşları

İlgili mevzuat hükümlerine göre EKSENAL’dan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları; ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak.

g- Hukuken yetkili özel hukuk kişileri

İlgili mevzuat hükümlerine göre EKSENAL’dan bilgi ve belge almaya yetkili özel hukuk kişileri; ilgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak.



  1. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI



EKSENAL tarafından; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. EKSENAL bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

6.1.Kişisel Verilerin Yurtdışına Aktarılması

EKSENAL meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,

EKSENAL’ın hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,

• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, EKSENAL’ın meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

6.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

EKSENAL gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.

• Kişisel veri sahibinin açık rızası var ise veya

• Kişisel veri sahibinin açık rızası yok ise;

– Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

– Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.

EKSENAL’ın elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. Bunun tek istisnasını, yapılan alışverişler sonrası vergi iadelerinin sağlanması için TAX FREE sistemine müşteriler tarafından başvuru yapılması hali oluşturmaktadır. TAX FREE sisteminde vergileri iade edilecek kişilerin pasaportlarından edinilen bilgiler Global Blue ile paylaşılarak vergi iadeleri gerçekleştirilmektedir. EKSENAL bünyesinde saklanan, işlenen veya imha edilen kişisel verilerin yurtdışına aktarılması halinde(TAX FREE hariç) işbu Politika ve İmha Politikası güncellenecek ve bu bilgilere Revizyon başlığı altında yer verilecek, Veri Sorumluları Sicili’ne gerekli bildirimler yapılacak ve bu güncellemeler gerekli yerlerde yayınlanacaktır.



  1. KİŞİSEL VERİLERİN SAKLANMASI



Elde ettiğimiz kişisel veriler, EKSENAL’ın ticari faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında, EKSENAL tarafından kişisel verilerin korunmasına ilişkin olarak KVK Kanunu başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, EKSENAL tarafından re’sen yahut sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.

Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler, silinecek, yok edilecek yahut anonim hale getirilecektir. Kişisel verilerin yok edilmesi, silinmesi ve anonim hale getirilmesine ilişkin işlemler tutanaklarla kayıt altına alınacaktır.

  1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER



EKSENAL, KVK Kanunu’nun 12inci maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, EKSENAL bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.

8.1.Teknik Tedbirler:

  • Firma genelinde tüm kullanıcıların pclerindeki gereksiz, işe yaramayan, tüm dosya klasör ve programların silinmesi ve kaldırılması talimatını veriyoruz.

  • Bu silme işlemi için bir süre tayin ederek verilen süre sonunda bilgi işlem birimince tüm kişisel bilgisayarlarda gereksiz dosya ve program kontrolü gerçekleştiriyoruz.

  • Bu denetim işlemini periyodik olarak yapıyor ve raporluyoruz.

  • Bir yetki matrisi oluşturarak, hangi kullanıcıların hangi kişisel veri içeren modüllere erişmesinin gerekliliğini tespit ederek buna göre giriş ve kullanım yetkilerini belirliyor/sınırlıyoruz.

  • Kişisel verileri içeren sistemlere erişimin sınırlandırıyoruz.

  • Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanıyoruz; kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlıyoruz.

  • Yetki matrisinde periyodik yetki kontrolleri yapıyoruz.

  • Hangi kullanıcının hangi zamanda hangi kişisel verileri işlediği konusunda erişim kayıtları tutuyoruz. Bu kayıtları fiziki veya dijital ortamda düzenli olarak yedekliyoruz.

  • Mümkün olan durumlarda VPN yazılımı kullanıyoruz.

  • Kişisel veri içeren program veya dokümanların şifrelerinin yenilenmesi işlemlerini periyodik olarak gerçekleştiriyoruz. Mümkünse belirli süre kullanılabilecek şifre üretimi yapıyoruz.

  • Kullanıcının PC başından fiziki olarak ayrılmasına durumuna tedbir olarak kısa sürede devreye giren şifre korumalı ekran koruyucular kullandırıyoruz.

  • Server ve PC leri gerek internetten gerekse iç ağdan gelen sızma girişimlerine karşı güvenlik duvarları ile koruma altına alıyoruz.

  • Gelen misafirler için wi-fi ulaşımı sağlanacaksa mutlaka farklı bir networkten sağlıyoruz.

  • Tüm wi-fi şifrelerini kuvvetli oluşturuyor; düzenli olarak değiştiriyoruz.

  • Kullanıcıların kendi inisiyatifi ile uygulama yükleme yetkilerini sınırlıyoruz.

  • Kişisel bilgisayarlara sadece sistem yöneticisinin kontrolünde uygulama yüklenebilmesi konusunda idari ve teknik tedbirleri alıyoruz.

  • Kullanılan uygulamaların kendi yazılımlarından kaynaklanan güvenlik açıkları olup olmadığını kontrol ediyoruz.

  • Şirket dışına atılan dosyaları, kişisel veri içeren e-mailleri, gönderilen USB bellekleri mutlaka şifreleyerek gönderiyoruz.

  • Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçları düzenli olarak kontrol ediliyor.

  • Tüm personeli, teknik olarak olağandışı bir durumun fark edilmesi veya bir güvenlik uyarısı mesajı aldıklarında durumu derhal sistem yöneticisine bildirmesi konusunda talimatlandırıyoruz.

  • Tüm server ve PC lere istenmeyen iç ve dış saldırılar için tespit programları kuruyoruz.

  • Saldırıları loglayıp, ciddi olanlarının sistem yetkililerine raporlanması talimatını veriyoruz.

  • Kullanılan programlarda ve web sitesi girişlerinde aynı anda tüm verinin görülmesini engelleyen, yazıldıkça kelimelerin ekranda kalmasını engelleyen maskeleme kullanıyoruz.

  • Kurumdaki işlerin devamı için zararlı saldırıların ve programların iş kesintisine mahal vermemeleri için ani veri kayıtlarına karşı yazılımlar kuruyoruz. Bu sayede beklenmedik veri kaybı, sistem çökme durumlarında önceki verilere dönüm kurum işleyişi kesintisiz devam ettiriyoruz.

  • Kötü amaçlı yazımların verilere erişimde engel olması ihtimaline karşı veri yedekleme stratejileri geliştiriyoruz.

  • Veri yedeklerinin fiziksel güvenliğinin sağlandığını sürekli kontrol ediyoruz.

  • Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda veri sorumlularının yedeklenen verileri kullanarak sistemin en kısa sürede yeniden faaliyete geçmesini sağlaması talimatını veriyoruz.

  • Veri seti yedeklerini mutlaka ağ dışında tutuyoruz. Yedeklenen veriler sadece sistem yöneticisi tarafından erişilebilir hale getiriyoruz.

  • Periyodik olarak yedekten geri dönüşüm kontrolleri yapıyoruz.

  • Bilişim sistemlerinin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller topluyor; güvenli bir şekilde saklıyoruz.

  • Farklı internet siteleri ve/veya mobil uygulamalara bilgi temin edilecekse mutlaka şifreli yapıyoruz.

  • Dünya standartı olan SSL ve VPN bağlantıları kullanıyoruz.

  • Tüm noktaları kapsayacak şekilde güvenlik duvarları kullanıyoruz.

  • Mümkün durumlarda ağ geçidi uygulaması yapıyoruz.

  • Güvenlik duvarına ilişkin yetki, kural ve diğer ayarları periyodik olarak kontrol ediyoruz

  • Güncel anti virüs ve zararlı yazılım önleyici programlar kullanıyoruz. Bu programların veri tabanlarını güncel tutuyoruz.

  • Belirli periyodlarda tüm noktalarda tarama işlemi gerçekleştiriyoruz.

  • Uzaktan bağlantı yolu ile teknik yardım alımını minimuma indiriyoruz. Bağlantı için kullanılan yazılımların yetki ve erişim kontrollerini yapmaya özen gösteriyoruz. Uzaktan bağlantı ile yardım/güncelleme alınan durumlarda üçüncü kişilerden kişisel veri koruma kanununa yazılı uyma taahhüdü alıyoruz.

  • Servise gönderilen veya yerinde alınan servis hizmetleri için, veri güvenliği konusunda gerekli tedbirleri alıyoruz. Mümkünse kişisel veri içeren depolama aygıtlarını sökerek gönderiyoruz. Göndermeyi kargo kurye aracılığı ile yapıyorsak veri kaybını veya sızıntısını engelleyecek tedbirleri alıyoruz.

  • Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli güvenlik önlemlerini alıyoruz.

  • Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlarda kişisel veri barındırıyor ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce kişisel verilerin güvenliğini sağlıyoruz.

  • Kullanılan paket programların veri tabanlarına, yazılımcı firmanın direkt ulaşımını engelleyecek tedbirler alıyoruz.

  • Firmada kullanılan programların versiyonlarını güncel tutuyoruz, işe yaramayan eski sürümleri kaldırıyoruz.

  • Firma ile ilişiği kesilen personele verilmiş e-posta hesabı, program şifreleri, user bilgileri, yetkilendirmeleri vb. derhal iptal ediyoruz.

  • Firma dahilinde ağa ulaşımı sağlayacak kablolu ulaşım noktalarını kontrol ediyoruz. Bu noktalara yetkisiz kişilerini erişim imkanını ortadan kaldırıyoruz. Kablosuz ağ erişimini sağlayan modem vb. cihazların yönetim konsoluna ulaşımını sağlayan arayüz şifrelerini periyodik olarak değiştiriyoruz. Default (varsayılan) cihaz şifrelerini kullanmıyoruz.

  • Firmada kullanılan işletim sistemi ve diğer programların yazılımcısı tarafından üretilen güvenlik yamalarını zamanında ve tam olarak yüklüyoruz. Söz konusu yazılımların güncel yamaların tamamını içerdiği konusunda periyodik kontroller yapıyoruz.

  • Güvenlik kamera cihazının fiziksel kontrolünü sağlayacak tedbirleri alıyoruz. Kaydedilen görüntüleri yetkisiz üçüncü kişilerin erişiminden koruyoruz.

  • Personele veya üçüncü kişilere ait kişisel verileri (fotoğraf, video, telefon numarası vb.) firmaya ait sosyal medya hesaplarında yayınlamıyoruz. Yayınlamak istediğimiz kişisel veriler için ilgili kişiden xxxx xxxx alıyoruz.

  • Kişisel veri içeren tüm donanımların fiziksel güvenliğini sağlayacak tedbirleri alıyoruz. Bu donanımların bulunduğu ortamlara giriş çıkışları kontrol altına alıyor sadece yetkili kişilerin girişini sağlayacak düzenlemeleri gerçekleştiriyoruz. Bozulma, tahrip olma, düşme, yanma vb. durumlara karşı gerekli tedbirleri alıyoruz.

  • Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınmasını istiyoruz. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemlerin alınmasını istiyoruz. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınmasını istiyoruz.

  • Kişisel veriler, veri sorumlularının yerleşkesinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınarak korunmasını sağlıyoruz.

  • Mümkünse ve iş akışında önemli aksaklıklara sebep olmayacaksa bulut kullanımı yapmıyor ya da sınırlıyoruz.

  • Kişisel bilgisayarlarda bulut kullanımı engelliyor ya da sınırlıyoruz. Bulut ortamında mümkünse kişisel veri saklamıyor, mecburiyet halinde kişisel veri içeren dokümanları şifre veya şifreleme ile koruyoruz. Kişisel verilerin bulut ortamında depolanması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli olup olmadığının veri sorumlusunca değerlendirilmesini sağlıyoruz. Bulut ortamında depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere ihtiyaç olması durumunda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasını sağlıyoruz. Bulut ortamında bulunan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılmasını sağlıyoruz.

  • Şifre ile korunan bölümlerde şifre deneme sayısını sınırlandırıyoruz.

  • Firma ağına bağlanması ve zararlı yazılım içermesi muhtemel personele veya ziyaretçilere ait cep telefonu ve diğer mobil cihazların ağ ile veri alışverişini kontrol altında tutuyor sınırlandırıyor veya engelliyoruz.

  • Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişimini engelliyoruz. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirlerini alıyoruz.

  • Firma içinde kullanılan gerek işletim sistemi gerekse diğer yazılımların orijinal ve lisanslı olmasını sağlıyoruz.

  • KVK teknik tedbirleri uyguladıktan sonra, tüm veri toplayan personele bu konuda bilgi işlemcinizin bir teknik tedbirler eğitimi vermesini sağlıyoruz.

  • Yukarıda sayılan ve PC kullanıcısı personeli ilgilendiren hususlarda, neler yapmaları ve yapmamaları konusunda bilgilendiriyoruz. Bu konuları içeren bir talimatname hazırlayarak personele imza karşılığı tebliğ ediyoruz. Belli dönemlerde bu eğitimi ve talimat işlemini tekrar ediyoruz.

8.2.İdari Tedbirler:

  • Kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması ve ilgili mevzuat hakkında çalışanlarımızın tümüne eğitimler veriyoruz.

  • KVKK’da belirtilenler dışında gereksiz, işe yaramayan kişisel veri toplamıyor ve işlemiyoruz.

  • Gereksiz dosya ve evrakların gerek elektronik ortamda gerekse de fiziki olarak silinmesi veya yok edilmesi işlemini gerçekleştiriliyor ve bunun ile ilgili periyodik denetimler yapılıyoruz.

  • Tüm personelimiz, KVKK ve gerekleri konusunda eğitim alıyor, personelin KVKK konusundaki hassasiyetini ayakta tutmak için idari ve teknik tedbir ve talimatların yer aldığı yazılı hatırlatma metinlerini fiziki olarak veya mail olarak periyodik olarak ilan ediyoruz.

  • İş sözleşmeleri başta olmak üzere yaptığımız tüm sözleşmelere veri güvenliğine ve gizliliğine ilişkin koruyucu maddeler ekliyoruz; güvenlik prosedür ve politikalarına uymayan çalışanlara yönelik disiplin prosedürü uyguluyoruz.

  • Kişisel verilerin yer aldığı dolapları, bölmeleri, odaları kilit altında tutuyor, güvenliğini sağlıyoruz.

  • ITciler dahil olmak üzere kişisel veri paylaştığımız 3. kişilerle Kişisel Veri Koruma Taahhütnamesi imzalıyoruz.

  • Kişisel verisini talep ettiğimiz her ilgili kişiye detaylı aydınlatma yapıyoruz.

  • Firmamıza özel Kişisel Veri Politikası belirleyip, iş akışımızı bu politika doğrultusunda yürütüyoruz, bu politikamızı ilgili kişilerle fiziki olarak veya elektronik ortamda paylaşıyoruz

  • KVVKK alt mevzuatı ile ilgili tabelalama yapıyoruz.

  • Banko veya danışmalarda kişisel veri alınırken şirket içi ve dışı kişilerden verileri koruma tedbirleri alınıyor.

  • Kişisel veri içermesi mümkün müsveddeleri imha ediyor, müsvedde kullanımında kişisel veri içerip içermediği hususunda hassasiyet taşıyoruz.

  • KVK uygulamalarına ilişkin periyodik idari denetimler yapıyor/yaptırıyoruz.

  • Sıklıkla erişimi gerekmeyen dosya ve evrakların ayrıştırılarak, ayrıca güvenli bir ortamda muhafaza edilmesini sağlıyoruz.

  • Veri ihlali durumunda derhal idareye bildirim yapılması konusunda personelimizi uyarıyor hemen gerekli tedbirlerin alınmaya başlanması konusunda hassasiyet gösteriyoruz.

  1. VERİ SORUMLUSUNUN XXXXXXXXXX YÜKÜMLÜLÜĞÜ



EKSENAL, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve EKSENAL, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

KVK Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

1.Veri sorumlusunun ve varsa temsilcisinin kimliği,

2.Kişisel verilerin hangi amaçla işleneceği,

3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5.KVK Kanunu’nun 10. maddesinde sayılan diğer haklar.


EKSENAL, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, EKSENAL’ın ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de xxxx xxxx beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan xxxx xxxx beyanlarında, KVK Kanunu’na dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin EKSENAL tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve xxxx xxxx temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.

Öte yandan, KVK Kanunu’nun 28(1) maddesi çerçevesinde sayılan durumlarda EKSENAL’ın aydınlatma yükümlülüğü bulunmamaktadır.

  1. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI



Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

(1) Kişisel veri işlenip işlenmediğini öğrenme,

(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(6) KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.


10.1.1.Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 11inci bölümde sayılan haklarını ileri süremezler:

(1) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

(2) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 10. bölümde sayılan diğer haklarını ileri süremezler:

(1) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

(2) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

(3) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

(4) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

10.1.2.Kişisel Veri Sahibinin Haklarını Kullanması

Veri sahipleri bu bölümün 11’inci başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle EKSENAL’a ücretsiz olarak iletebileceklerdir:

(a) xxxxxxxx@xxxxxxx.xxx e-posta adresine gönderecekleri bir e-posta

(b) “Xxxxxxxx XXXXX Xxx. 00.Xxx. Xx:00 Xxxxx / XXXXXXXX” EKSENAL adresine iadeli taahhütlü posta, noter vasıtasıyla veya elden teslim yöntemi ile öğrenme hakkına sahiptirler.

Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

10.1.3.Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; EKSENAL’ın cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

10.2. EKSENAL’ın BAŞVURULARA CEVAP VERMESİ

10.2.1. EKSENAL’ın Başvurulara Cevap Verme Usulü ve Süresi

Kişisel veri sahibinin, bu bölümün 10.1.2. başlıklı kısmında yer alan usule uygun olarak talebini EKSENAL’a iletmesi durumunda EKSENAL talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, EKSENAL tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

10.2.2. EKSENAL’ın Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

EKSENAL, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. EKSENAL, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

10.2.3. EKSENAL’ın Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

EKSENAL aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

(1) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

(2) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(5) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

(6) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

(7) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

(8) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

(9) Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması

(10) Orantısız çaba gerektiren taleplerde bulunulmuş olması

(11) Talep edilen bilginin kamuya açık bir bilgi olması.

  1. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA



İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.

  1. YÜRÜRLÜK



İşbu Politika 15.01.2020 tarihinde yürürlüğe girer.

  1. YÜRÜTME



İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan EKSENAL’ın yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm departman müdürleri sorumludur.

13


Document Metadata

Filed: January 2nd, 2020