I. GİRİŞ
A. POLİTİKANIN AMACI
ANFECA Yazılım ve Danışmanlık Limited Şirketi Yönetim Kurulu ve tüm personelleri, Kişisel Verilerin Korunması ve İşlenmesi Politikası doğrultusunda, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sair mevzuat tarafından getirilmiş ilke, kurallara uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir. Bu amaçla, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.
Kişisel Veri Koruma Politikasının amacı, ANFECA Yazılım ve Danışmanlık Limited Şirketi’nin kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel hedef ve yükümlülüklerin belirlenmesi, desteklenmesi, ANFECA Yazılım ve Danışmanlık Limited Şirketi’nin kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi; ANFECA Yazılım ve Danışmanlık Limited Şirketi kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.
B. POLİTİKANIN KAPSAMI
İşbu politika, ANFECA Yazılım ve Danışmanlık Limited Şirketi için hazırlanmış olup kurum bünyesinde verilen hizmetleri kapsamına almaktadır. Politika hükümleri, ANFECA Yazılım ve Danışmanlık Limited Şirketi’nin faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, sözleşmeleri, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika ANFECA Yazılım ve Danışmanlık Limited Şirketi’nin Yönetim Kurulu’nu, tüm departmanları, müdürlükleri, her türlü hizmeti veren firma çalışanlarını, stajyer ve sözleşmeli personeli kapsamaktadır. KVKK veya bu politikayı ihlal edici her türlü eylem ilgili mevzuat kapsamında değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.
ANFECA Yazılım ve Danışmanlık Limited Şirketi’nin kişisel verilere erişimi veya erişme ihtimali bulunan çözüm ortakları, kamu kurumları, sigorta şirketleri ve ANFECA Yazılım ve Danışmanlık Limited Şirketi ile çalışan tüm üçüncü taraflar bu politikayı okumaya ve politikaya uymaya davet edilir. Üçüncü taraflar, kişisel verilerin korunması konusunda en az ANFECA Yazılım ve Danışmanlık Limited Şirketi kadar güçlü ve yeterli standartlara sahip bir sistem ile kişisel verilerin korunmasını sağlamalıdır. Üçüncü taraflar ile ANFECA Yazılım ve Danışmanlık Limited Şirketi arasında kişisel verilerin korunması kapsamındaki yükümlülükler ve bunlara ilişkin denetim hakkını içeren yazılı bir gizlilik anlaşması yapılacaktır. Üçüncü taraflar gizlilik anlaşması imzalanmadan ANFECA Yazılım ve Danışmanlık Limited Şirketi tarafından işlenen kişisel verilere erişim sağlayamaz. Kişisel Verilerin Korunması ve İşlenmesi Politikası ile birlikte ANFECA Yazılım ve Danışmanlık Limited Şirketi’nin benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.
C. POLİTİKANIN HEDEFİ
ANFECA Yazılım ve Danışmanlık Limited Şirketi Politikası ile, şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumunu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda Politika ile KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme hedefi gözetmektedir.
D. TANIM ve KISALTMALAR
Şirket: ANFECA Yazılım ve Danışmanlık Limited Şirketi (ANFECA)
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan: Şirket personeli.
İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
KVK Kurulu: Kişisel Verileri Koruma Kurulu.
KVK Uyum Süreci: ANFECA Yazılım ve Danışmanlık Limited Şirketi tarafından yürürlüğe konulmuş, kişisel verilerin korunmasına ilişkin mevzuat ile uyumluluğun sağlanmasına ilişkin program.
KVK Kurumu: Kişisel Verileri Koruma Kurumu.
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Politika: ANFECA Yazılım ve Danışmanlık Limited Şirketi Kişisel Verilerin İşlenmesi ve Korunması Politikası.
Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, ANFECA Yazılım ve Danışmanlık Limited Şirketi tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “ANFECA Yazılım ve Danışmanlık Limited Şirketi Kişisel Veri Saklama ve İmha Politikası”.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Kayıtlı Elektronik Posta (KEP): her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi
E. KİŞİSEL VERİLERE İLİŞKİN GÖREV DAĞILIMI
Kişisel Verilerin Korunmasına İlişkin Görev Dağılımı
Ünvan : Yönetim Kurulu
Birim : ANFECA Yazılım ve Danışmanlık Limited Şirketi Yönetim Kurulu Üyeleri
Görev : Şirket politikasına uygun şekilde iş ve işlemlerin yürütülmesini sağlamak
Ünvan : KVKK Komitesi
Birim : Şirket tarafından kişisel verilerin korunmasına ilişkin uyum sürecinde belirlenen kişilerden oluşan komite
Görev : Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Ünvan : Departman Sorumluları
Birim : İnsan Kaynakları, Muhasebe, Finans, Satın Alma, Satış ve Pazarlama, Bilgi İşlem Departman Sorumluları
Görev : Görevlerine ve gizlilik sözleşmelerine uygun olarak Politikanın yürütülmesinden sorumludur.
Ünvan : İrtibat Kişisi
Birim : Veri Sorumlusu tarafından atanan kişi
Görev : Politikada yer alan hususların VERBİS sistemine uyumlu şekilde düzenlenmesi ve bildirimlerin yapılmasından sorumludur.
II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
A. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Tüm personel ve çalışanlar, ANFECA tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.
Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmektedir. Kişilere özgü erişim yetkilerine ilişkin bilgiler üçüncü kişiler ile paylaşılamaz. Kişisel verilere ilişkin bilgi güvenliği ile ilgili olaylar KVK Komitesi’nce kesin olarak tespit edildiğinden itibaren en kısa süre ve en geç 72 saat içerisinde KVK Kurulu’na bildirilir. İş bu politikanın XII. maddesinde belirtilen “İhlal Durumu İle Karşılaşılması Halinde Yapılacaklar” başlığı altındaki tedbirler ayrıca alınır.
Kişisel Verilerin Bulunduğu Ortamlar
Elektronik Ortamlar Elektronik Olmayan Ortamlar
B. İLGİLİ KİŞİNİN HAKLARININ GÖZETİLMESİ
İlgili Kişiler ANFECA nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak Kişisel Verilerin Korunması Hakkında Kanun’un 11. maddesinde ve iş bu politikanın XI. başlığının A-1 maddesinde açıkça sayılan haklara sahiptir. ANFECA, kişisel verilerin işlenmesi esnasında ilgili kişilerin tüm haklarını gözeterek faaliyetlerini sürdürmektedir.
C. DEPARTMANLARIN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
ANFECA, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasının sağlanması için çalışanlarına ve yetkili satış noktalarına gerekli farkındalık eğitimlerinin düzenlenmesini sağlamaktadır.
D. İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
ANFECA, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına ve tedarikçilerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
III. KİŞİSEL VERİLERİN İŞLENMESİNDE İLKELER VE UYULACAK KURALLAR
A. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
ANFECA, bünyesinde ilgili kişilerin kişisel verileri dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğü çerçevesinde işlenmektedir.
2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli tedbirler alınmakta, İlgili Kişi’ye verilerini güncellemesi ve var ise işlenen verilerindeki hataların düzeltilebilmesi için başvuru imkanı sunulmaktadır.
3. Belirli, Açık ve Meşru Amaçlarla İşleme
ANFECA tarafından kişisel verilerin kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve ticari hayatın olağan akışı çerçevesinde faaliyetlerini sürdürmek için belirlenen meşru amaçlar dahilinde kişisel veriler işlenmektedir.
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Bu nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde konuya ilişkin aydınlatmalar yapılarak açık rızalar alınmaktadır.
5. İşlendikleri Amaç İçin Gerekli Olan veya İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Etme
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlenen kişisel veriler ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır.
Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama sürelerine ilişkin ilkeler ve süreçler işbu politikanın IV. C. maddesinde detaylarıyla açıklanmaktadır.
B. KİŞİSEL VERİLERİN, KVKK’NIN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARI İLE SINIRLI OLARAK İŞLENMESİ
Kişisel veriler, KVKK’nın 5. Maddesinde belirtildiği üzere; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında ve bu şartlarla sınırlı olarak işlenmektedir.
C. İLGİLİ KİŞİNİN AYDINLATILMASI ve BİLGİLENDİRİLMESİ
ANFECA tarafından, kişisel veriler toplanırken; öncelikle KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. Aydınlatma metinlerimizde;
a. Şirketin unvanı, açık adresi ve iletişim bilgileri,
b. Mevcut ise temsilci kimliğine ilişkin bilgiler,
c. Kişisel veri kategorileri,
d. Kişisel verilerin hangi amaçla işleneceği,
e. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
f. Verileri toplama yöntemi ve hukuki sebebi,
g. İlgili kişinin KVKK’nın 11. maddesinde sayılan hakları, şeklinde alt başlıklar ve içerikleri yer almaktadır. Aydınlatma metnimizde yukarıda yer alan bilgilerin dışında başvuru yöntemleri de sayılmıştır. Bu yöntemler sayesinde Kişisel Verilerin Korunmasında şeffaf ve ulaşılabilir olunması hedeflenmiştir.
Şirket olarak kamuoyuna açık olan işbu Politika’nın açık, anlaşılır, kolay erişebilir olmasına özen gösterilmektedir.
Ayrıca, çalışanlar, çalışan adayları, ziyaretçiler, müşteriler ve kamera sistemleri için Kişisel Verilerin Korunması Kanunu hakkındaki “Aydınlatma Metinlerini” internet sitesi (www.hepimizaileyiz.com./Kurumsal/Kissel-Verilerin-Korunmasi-Kanunu/) üzerinden incelenebilecektir.
D. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler kanunlarda sınırlı sayıda öngörülmüştür. Bu verilerin işlenebilmesi için kanun maddeleri ve KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınmak suretiyle verilerin korunması sağlanmaktadır. Bu kapsamda, özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
IV. ANFECA TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI, İŞLEME AMAÇLARI ve SAKLAMA SÜRELERİ
A. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
1. KİŞİSEL VERİLER
Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.
Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz.
Kişisel Veri Kategorileri - Alt Başlıklar ve Açıklamalar
Kimlik : Ad soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, anne kızlık soyadı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler.
İletişim : İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası vb. kişisel verilerdir.
Özlük : Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb
Hukuki İşlem : Adli Makamlarla yazışma bilgileri, dava dosyalarındaki bilgiler
Müşteri İşlem : Fatura, senet, çek bilgileri, talep bilgisi, sipariş bilgisi vb. müşterilere ilişkin verilerdir.
Fiziksel Mekan Güvenliği : Çalışanların ve ziyaretçilerin giriş çıkış kayıtları, kamera kayıtları.
İşlem Güvenliği : İnternet sitesi giriş çıkış bilgileri, Ip adresi bilgileri, şifre ve parola bilgileri.
Finans : Bilanço bilgileri, malvarlığı bilgileri.
Mesleki Deneyim : Diploma bilgileri, gidilen kurslar, Meslek içi eğitim bilgileri, transkript bilgileri, sertifikalar.
Pazarlama : Alışveriş geçmişi bilgileri, anketler, Kampanya çalışmasıyla elde edilen bilgiler.
Görsel ve İşitsel Kayıtlar : Görsel ve işitsel kayıtlar
Özel Nitelikli Kişisel Veriler : KVKK’nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi).
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
B. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket olarak kişisel verileri sayılanlarla sınırlı olmamak üzere aşağıda sayılanlarla benzer amaçlar için işlemekteyiz:
C. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kişisel veriler mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca saklanmaktadır. Resmi internet sitesinde yayınlanan ANFECA Saklama ve İmha Politikası içeriğinde saklama ve imha sürelerinin detaylarına yer verilmiştir.
Kişisel veriler birden fazla amaç ile işlenmesi hallerinde, verinin işleme amaçlarının ortadan kalkması veya İlgili Kişi’nin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler silinir, yok edilir veya anonimleştirilerek saklanır. Yok etme, silme veya anonimleştirme hususlarında mevzuat hükümlerine ve KVK Kurulu kararlarına uyulur.
1. KİŞİSEL VERİLERİN SAKLANMASINA İLİŞKİN ALINAN TEDBİRLER
a. TEKNİK TEDBİRLER
b. İDARİ TEDBİRLER
V. KİŞİSEL VERİLERİN GÜVENLİĞİ
A. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER
Kişisel verilerin;
B. KİŞİSEL VERİLERİN HUKUKA AYKIRI İŞLENMESİNİ ÖNLEMEK İÇİN ALDIĞIMIZ TEDBİRLER
1. KİŞİSEL VERİLERE HUKUKA AYKIRI ERİŞİMİ ENGELLEMEK İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER
2. KİŞİSEL VERİLERİN HUKUKA AYKIRI İFŞASI DURUMUNDA ALDIĞIMIZ TEDBİRLER
Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik, idari ve teknik tedbirler alınmakta ve ilgili prosedürlere uygun şekilde bu tedbirler güncellenmektedir. Kişisel verilerin yetkisiz olarak ifşa edildiğinin tespit edilmesi halinde, bu durumun İlgili Kişiye ve KVK Kurulu’na bildirilmesi için sistem ve alt yapılar oluşturulmaktadır.
Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecek yahut ilgilisine doğrudan bildirilebilecektir.
VI. ANFECA TARAFINDAN VERİLERİ İŞLENEN KİŞİ GRUPLARI
ANFECA tarafından işlenen kişisel veriler aşağıdaki kişi gruplarına aittir;
VII. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
A. KİŞİSEL VERİLERİN İŞLENMESİ
6698 Sayılı Kişisel Verileri Koruma Kanunu’nun Kişisel Verilerin işlenmesi hakkındaki düzenlemesine göre, “İlgili Kişi’nin Açık Rızası Bulunmadıkça Kişisel Verisi İşlenemez.” Ancak, aşağıdaki şartlardan birinin varlığı halinde kişisel veriler sahibinin rızası olmaksızın işlenebilir.
Özel nitelikli kişisel verilerin İlgili Kişi’nin açık rızası olmadan işlenebileceği istisnai durumlar işbu Politika’nın XI. B. 2. maddesinde belirtilmiştir.
B. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
VIII. ANFECA TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER ve AKTARILMA AMAÇLARI
Kişisel veriler;
Kişisel Verilerin Aktarılma Amaçları Aşağıdaki Şekildedir:
A. KİŞİSEL VERİLERİN AKTARILMASI
1. KİŞİSEL VERİLERİN YURT İÇİNE AKTARIM ŞARTLARI
ANFECA tarafından kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket edilmektedir.
Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler İlgili Kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere ANFECA tarafından aktarılmaz.
KVKK ve sair mevzuatın öngördüğü istisnai hallerde İlgili Kişinin açık rızasına gerek kalmaksızın kişisel veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari/adli kurum veya kuruluşlar ile özel hukuk kişilerine aktarılabilir.
2. KİŞİSEL VERİLERİN YURT DIŞINA AKTARIM ŞARTLARI
Kişisel verileri kural olarak İlgili Kişinin açık rızası olmadan yurt dışına aktarılmaz.
Ancak işbu Politika’nın XI. B. 2. maddesinde yer alan istisnai hallerden birinin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin:
a. KİŞİSEL VERİLERİN AKTARILDIĞI KURUM ve KURULUŞLAR
Kişisel veriler;
B. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT İÇİNE AKTARIM ŞARTLARI
ANFECA, hukuka uygun olarak elde etmiş olduğu Özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda, gerekli idari ve teknik tedbirleri alarak, İlgili Kişinin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. ANFECA, bu doğrultuda, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda yer alan şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
Ayrıca, mevzuatın öngördüğü istisnai haller ile,
KVK Kurulu’nun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığı ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, Açık rızaya gerek kalmaksızın aktarılabilir.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARIM ŞARTLARI
ANFECA, gerekli özeni göstererek, gerekli idari ve teknik tedbirleri ve Kurul tarafından gerekli görülen önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, İlgili Kişinin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkeye aktarabilecektir.
IX. İŞYERİ VE İNTERNET SİTESİ ZİYARETÇİLERİNE İLİŞKİN VERİ İŞLEME FAALİYETLERİ
A. İŞYERİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETLERİ
1. Kişisel verilerin korunması hukukuna uygun şekilde işyerinin, çalışanların, ziyaretçilerin ve müşterilerin güvenliğinin sağlanabilmesi amacıyla ve bu amaçla sınırlı olarak güvenlik kamerası ile izleme faaliyeti yürütülmesi,
2. Kamera ile izleme faaliyetinin duyurulması,
3. Elde edilen verilerin güvenliğinin sağlanması,
4. Kamera ile izleme faaliyeti ile elde edilen kişisel verilerin muhafaza süresi,
5. İzleme sonucunda elde edilen bilgilere kimlerin erişebildiği ve bu bilgilerin kimlere aktarıldığı, şeklindeki bilgiler KVK Kurulu’nun resmi internet sitesinde ilan etmiş olduğu şekilde “katmanlı” olarak aydınlatma metinlerine eklenmiştir. Kamera sistemlerinin bulunduğu tüm yerlere tablolar halinde Katmanlı Kamera Aydınlatma Metinleri asılmıştır.
B. İŞYERİ MİSAFİR GİRİŞ ÇIKIŞ KAYITLARININ TAKİBİ
Şirket tarafından güvenliğin sağlanması amacı ve işbu Politikada belirtilen diğer amaçlarla, işyeri misafir giriş çıkış kayıtlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirket binalarına gelen kişilerin kimlik verileri elde edilirken ya da ANFECA nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu ilgili kişi bu kapsamda aydınlatılmaktadır. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
C. İŞYERİNDE ZİYARETÇİLERE, MİSAFİRLERE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Şirket tarafından güvenliğin sağlanması amacı ve bu Politikada belirtilen diğer amaçlarla, işyeri içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.
D. İNTERNET SİTESİ ZİYARETÇİLERİ
Çerez kayıtları, ANFECA resmi internet sitesinin işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanılmaktadır. Şirket resmi ve kurumsal yayın yaptığı internet sitesinde geçirilen vaktin daha verimli ve keyifli hale getirilmesi amaçlanmaktadır. Bunların yanında, internet sitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlanmaktadır. İnternet sitesinde yer alan çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve saklanabilmektedir. İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için resmi internet sitesinde yer alan "ANFECA Çerez Aydınlatma Metnini" inceleyebilirsiniz.
X. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesi, KVK Kanunu’nun 7. maddesi ve “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ANFECA’nın kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. ANFECA bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha işlemi yapılmaktadır. Bu yönetmelik uyarınca ANFECA tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
A. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ YÜKÜMLÜLÜĞÜ
KVKK’nın 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. Yukarıda belirtilen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesi uyarınca ANFECA tarafından ayrıca ANFECA Saklama ve İmha Politikası oluşturulmuştur.
B. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
1. KİŞİSEL VERİLERİN SİLİNMESİ ve YOK EDİLMESİ TEKNİKLERİ
2. Kişisel Verilerin Anonimleştirilmesi Teknikleri
XI. İLGİLİ KİŞİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
A. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
1. İLGİLİ KİŞİNİN HAKLARI
Aydınlatma yükümlülüğü kapsamında, ANFECA tarafından İlgili Kişi bilgilendirilmekte ve bu bilgilendirmeye ilişkin sistem ve altyapılar kurulmaktadır. İlgili Kişinin kişisel verilerine ilişkin haklarını kullanması için gerekli olan teknik ve idari düzenlemeler ANFECA tarafından yapılmaktadır.
İlgili Kişi kişisel verileri üzerinde;
2. İLGİLİ KİŞİNİN BAŞVURU USULÜ
İlgili kişi, yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak ANFECA’ya başvurabilir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesinde sayılan haklar kapsamındaki talepler, KVKK’nın 13. Maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. Maddesi gereğince, Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru Formu'nun doldurulması suretiyle aşağıda açıklanan yöntemlerden biri ile başvurulabilecektir.
ANFECA’ya iletilen başvurular, KVKK’nın 13/2 maddesi gereğince, talebin niteliğine göre, talebin Şirkete ulaştığı tarihten itibaren 30 gün içinde cevaplandırılacaktır. Başvuruya ilişkin cevaplar, KVKK’nın 13. Maddesi gereğince, yazılı ve elektronik ortamdan başvuru sahibine ulaştırılacaktır.
1. YAZILI OLARAK BAŞVURU
Başvuru yöntemi : Islak imzalı şahsen başvuru veya Noter vasıtasıyla
Başvuru yapılacak adres : Şişli Merkez PTT PK:11
Başvuruda yer alması gereken bilgi : Zarfın/tebligatın üzerine "Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi" yazılacaktır.
2. ŞİRKET SİSTEMİNDE BULUNAN ELEKTRONİK POSTA ADRESİ İLE BAŞVURU
Başvuru yöntemi : ANFECA sisteminde kayıtlı bulunan elektronik posta adresi kullanılmak suretiyle
Başvuru yapılacak adres : [email protected]
Başvuruda yer alması gereken bilgi : E-posta’nın konu kısmına "Kişisel Verilerin Korunması Kanunu Bilgi Talebi" yazılacaktır.
3. ŞİRKET SİSTEMİNDE BULUNMAYAN ELEKTRONİK POSTA ADRESİ İLE BAŞVURU
Başvuru yöntemi : obil imza/e-imza içerecek biçimde ANFECA sisteminde bulunmayan elektronik posta adresi kullanmak suretiyle
Başvuru yapılacak adres : [email protected]
Başvuruda yer alması gereken bilgi : E-posta’nın konu kısmına "Kişisel Verilerin Korunması Kanunu Bilgi Talebi" yazılacaktır.
3. İLGİLİ KİŞİNİN KİŞİSEL VERİLERİN KORUNMASI KURULU’NA ŞİKAYETTE BULUNMA HAKKI
Başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikayette bulunma hakkı bulunmaktadır.
B. İLGİLİ KİŞİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
KVKK’nın 28/2 hükmü uyarınca, aşağıdaki hallerde zararın giderilmesini talep etme hakkı hariç olmak üzere, ilgili kişilerin Kanun’un 11. maddesinde belirtilen haklardan yararlanmaları mümkün olmayacaktır;
XII. İHLAL DURUMU İLE KARŞILAŞILMASI HALİNDE YAPILACAKLAR
ANFECA tarafından alınan tüm teknik ve idari tedbirlere rağmen bir ihlal durumu ile karşılaşılması halinde ilgili kişiye açık ve sade bir dille bildirim yapılacaktır. Bu bildirimde;
XIII. ANFECA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
ANFECA bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere KVK Komitesi, Şirket Yönetim Kurulu kararı gereğince görevlendirilmiştir.
Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir: