KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. BÖLÜM - GİRİŞ ve KAPSAM
1.1. GİRİŞ
HB Bilişim Teknolojileri Sanayi Ticaret A.Ş.(“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu(“Kanun”) uyarınca kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Kişisel Verilerin Korunması ve işlenmesi Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.
Kişisel Verilerin Korunması ve İşlenmesi Politikası
İşbu Politika’da Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.
Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini alınmaktadır.
İşbu Politika, faaliyetlerimiz sırasında paylaşılan kişisel verilerin KVKK’da anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri açıklamaktadır.
Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
1.2. KAPSAM
Bu politika, kuruluşumuzda bulunan çalışanlarımız, tedarikçilerimiz ve ziyaretçilerimiz yönelik olup otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere işbu Politika’nın EK-1 (“EK 1- Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.
1.3. TANIMLAR ve KISALTMALAR
İşbu Politika’da yer alan terim ve kavramlar aşağıdaki şekilde sıralanmış ve açıklanmıştır.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
İlgili kişi ve/veya Veri Sahibi: Kişisel verisi işlenen gerçek kişi
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Mevzuat: Başta 2016/679 sayılı Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”) ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere, yürürlükte bulunan kişisel verilerin korunması kanun, alt düzenlemeleri ve yasal kurumların yayımladığı kararlar ile rehber dokümanlar
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
Kurul: Kişisel Verileri Koruma Kurulu
Kurum: Kişisel Verileri Koruma Kurumu
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,
Politika: HB Bilişim Teknolojileri Sanayi Ticaret A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası
Üçüncü Taraf: HB Bilişim Teknolojileri Sanayi Ticaret A.Ş. ticari faaliyetlerini yürütürken hizmet aldığı, projeler yürüttüğü, iş ortaklığı kurduğu, iş birliği içinde olduğu gerçek ve/veya tüzel kişiler, kurum, kuruluş, organizasyon veya tedarikçiler,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ve/veya HB Bilişim Teknolojileri Sanayi Ticaret A.Ş.
Yurt içi: İlgili mevzuata uygun olarak kişisel veri işleme ve aktarım faaliyetlerinin kısmen veya tamamen; Türkiye Cumhuriyeti coğrafi sınırlarında, ilgili mevzuata göre Türkiye Cumhuriyeti sınırlarına dahil olduğu kabul edilen tüm alanlarda ve bu alanlar içerisindeki bulut erişim sahalarında gerçekleştirilmesi halinde, işleme yurt içinde (Türkiye'de) yapılmış sayılır.
Yurt dışı: İlgili mevzuata uygun olarak kişisel veri işleme ve aktarım faaliyetlerinin kısmen veya tamamen; Türkiye Cumhuriyeti coğrafi sınırlarının dışında, GDPR’ın uygulama alanı bulduğu durumlar ile AB sınırları içerisinde veya ulusal olarak özel mevzuatın bulunduğu diğer yabancı ülkelerde ve bu alanlar içerisindeki bulut erişim sahalarında gerçekleştirilmesi halinde, işleme yurt dışında gerçekleştirilmiş sayılır.
2. BÖLÜM – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
2.1.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel veriler, kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
2.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
2.1.3 Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve bunları iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelik ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesi olup, aşağıda yer alan şartlardan birinin varlığı durumunda kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirketimiz tarafından işlenmektedir.
Açık rıza haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 2.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
2.2.1. Kanunlarda Açıkça Öngörülmesi
Kanunda açıkça öngörülmekte ise, diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin kişisel verileri, Şirketimiz tarafından mevzuatta öngörülen çerçevede işlenebilecektir.
2.2.2. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.2.3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
2.2.4. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.2.5. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
2.2.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.2.7 Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Kanun kapsamında hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmekte olduğundan, tarafımızdan çalışanlarımızın verisi dışında işlenmez.
2.4. İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI
Şirketimiz tarafından Kanun’a ve ilgili diğer mevzuat hükümlerine uygun olarak işbu Politika’da belirtilen amaçlar ve şartlar çerçevesinde işlenen kişisel veri kategorilerine ve bu kategoriler hakkında detaylı bilgilere işbu Politika’nın EK-2 (“Kişisel Veri Kategorileri”) dokümanından ulaşılması mümkündür.
Kanun ve ilgili diğer mevzuatlara uygun şekilde işbu Politika’da detaylandırılan kişisel veriler ve özel nitelikli kişisel verilerin işlenme şartları kapsamında, Şirketimizin kişisel veri işleme amaçları aşağıdaki gibidir:
i. Şirketimizin insan kaynakları politikaları ve süreçlerinin planlanması ve/veya icra edilmesi,
ii. Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası,
iii. Şirketimiz tarafından ve/veya Şirketimiz nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi,
iv. Şirketimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
v. Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası.
Söz konusu kişisel veri işleme amaçlarına ilişkin detaylı bilgilere işbu Politika’nın EK-3 (“EK 3- Kişisel Veri İşleme Amaçları”) dokümanından ulaşılması mümkündür.
3. BÖLÜM – KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
Şirketimiz bu doğrultuda Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nın EK 4 (“EK 4- Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları”) dokümanından ulaşılması mümkündür.
3.1 Kişisel Verilerin Aktarılması
İlgili mevzuat uyarınca kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Bu durumun istisnası olarak; kişisel verilerin işlenmesi aşağıda belirtilen hallerden birinin kapsamına giriyorsa, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması mümkün olabilir:
i. Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
ii. Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
iii. Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
iv. Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
v. Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
vi. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
vii. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Yurt dışına aktarım yapılırken,
Uluslararası anlaşmalarda veya diğer kanunlarda hüküm bulunuyorsa kişisel veriler yurt dışına aktarılabilir.
Uluslararası anlaşmalarda veya diğer kanunlarda hüküm bulunmuyorsa, kanunun 5’nci ve 6’ncı maddelerinde belirtilen şartlardan birisinin bulunması kaydıyla,
- Yeterlilik kararı varsa,
- Standart Sözleşme, Kurul tarafından onaylanmış bağlayıcı şirket kuralları,
- Uluslararası Sözleşme Niteliğinde Olmayan Anlaşmanın Varlığı -Taahhütname + Kurul Tarafından Aktarıma İzin Verilmesi,
- İstisnai Aktarım hallerinden biri varsa,
kişisel veriler yurt dışına aktarılabilir.
3.2 Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
i. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin aktarılmasına ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
ii. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
4. BÖLÜM – KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
Şirketimiz, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı, hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
5. BÖLÜM – KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Mevzuat’ta belirlenen kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin Veri Sorumlusu tarafından re’sen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
· Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde;
· Mevzuatta kişisel verilerin işlenmesi kapsamında uyulması gereken genel ilkelere,
· Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri kapsamında alınması gereken teknik ve idari tedbirlere ve ilgili mevzuat hükümlerine,
· Kurul kararlarına,
· Kişisel veri saklama ve imha politikasına, uygun hareket edilmesi zorunludur.
· Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
· Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.
Şirket, ilgili mevzuat hükümlerine göre işlediği kişisel verilerinin saklama ve imha sürelerinin tespitinde aşağıda yer alan kriterleri dikkate almaktadır:
· İlgili kişisel verinin işlenmesi mevzuat bakımından gerekli ve saklanması açısından da bir süre öngörülmüş ise bu süreye uyulur. Mevzuatta belirlenen sürenin sona ermesi halinde, ilgili kişisel verinin saklanması için diğer kriterler değerlendirilir, saklanmasına gerek bulunmuyor uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
· İlgili Mevzuatta bir kişisel verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması halinde;
o Özel nitelikli kişisel veriler, verinin işlenmesine gerek kalmadığı anda derhal uygun yöntemle imha edilir.
o Kişisel verilerin ilgili mevzuatın genel ilkeleri ve/veya istisnai hükümleri kapsamında işlenmesine gerek kalmaması halinde ve/veya bunlara aykırılık doğduğu ya da mevzuatın değiştiği ve/veya yürürlükten kalktığı tarihten sonra ilgili veriler uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
o İlgili mevzuat çerçevesinde kişisel verilerin işlenebileceği makul süreler tespit edilir. Bu sürelerin sona ermesiyle birlikte ve/veya verilerin saklanmasını gerektiren sürenin geçmiş olmasına karşın, kişisel verileri daha uzun süre saklamayı haklı kılacak makul bir sebebin var olmaması durumunda ilgili veriler uygun bir yöntemle silinir, anonimleştirilir ya da yok edilir.
o Belirlenen periyodik imha tarihlerinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o İlgili kişinin, mevzuat kapsamında kişisel verileri üzerindeki haklarını ileri sürmesi ve bunun üzerine taleplerinin veri sorumlusu tarafından kabul edilmesi halinde kişisel veriler silinir, anonimleştirilir ya da yok edilir.
o Veri sorumlusunun; ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi/taleplerini içeren başvurusunu reddetmesi, yetersiz cevap vermesi veya mevzuatta öngörülen süre içinde cevap vermemesi halleri ile ilgili kişinin Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması halinde, kişisel veriler silinir, anonimleştirilir ya da yok edilir.
6. BÖLÜM - KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz Kurul tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.
6.1 İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirketimiz mevcut çalışanlarının ve bünyesine yeni dahil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.
Şirketimiz, kişisel verilerin ve özel nitelikli kişisel verilerin güvenlik, gizlilik, bütünlük ve erişilebilirliği için müşterilerinin, çalışanlarının ve iş birliği içerisinde olduğu tüm tarafların bilgilerinin güvenliğine büyük önem vermekte ve bunu sağlamak adına en ileri teknolojiye sahip araçlarla çalışmaktadır. Tüm bilgiler yurt içinde ve yurt dışında yer alan güvenli sunucularda saklanmakta ve yedeklenmektedir. Şirketimiz; bilgi güvenliği hususunda çalışanlarının ve iş birliği yaptığı tüm kurum ve kuruluşların gerekli hassasiyeti taşımaları ve yeterli farkındalığa sahip olmaları için gerekli tüm önlemleri almaktadır. Alınan güvenlik tedbirleri Ek-5 de verilmiştir.
7. BÖLÜM – KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
HB Bilişim, Mevzuata ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan diğer düzenlemelere uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda HB Bilişim, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
· Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· Mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin Mevzuat’a aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Yukarıda belirtilen hakların kullanılması için Veri Sahibinin kimliğini tespit edici gerekli bilgiler ile kullanmayı talep ettiği hakkına yönelik açıklamalarını içeren;
E-posta yoluyla yapmak istediğiniz başvurularınızı [email protected] e-posta adresine yapabilirsiniz.
KEP yoluyla yapmak istediğiniz başvurularınızı [email protected] KEP adresimize yapabilirsiniz.
Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir.
Başvurunuzda;
a) Adınızın, soyadınızın ve başvuru yazılı ise imzanızın,
b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numaranızın, yabancı iseniz uyruğunuzun, pasaport numaranızın veya varsa kimlik numaranızın,
c) Tebligata esas yerleşim yeri veya iş yeri adresinizin,
d) Varsa bildirime esas elektronik posta adresi, telefon ve faks numaranızın,
e) Talep konunuzun, bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.
7.3 Başvurulara Cevap Verme Usulü, Süresi Ve Reddetme Hakkı
Kişisel veri sahibinin, usule uygun olarak talebini HB Bilişim’e iletmesi durumunda HB Bilişim talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurul tarafından ya da ilgili yasal mevzuatta bir ücret öngörülmesi hâlinde, HB Bilişim tarafından başvuru sahibinden ilgili mevzuatta belirlenen tarifedeki ücret alınacaktır.
HB Bilişim, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder ve cevabını kişisel veri sahibine yazılı olarak veya elektronik ortamda bildirir. Belirtilen usule uygun olarak ve/veya hukuken geçerli bir şekilde iletilmeyen taleplerin HB Bilişim’e ulaşmamasından HB Bilişim sorumlu değildir.
HB Bilişim, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. HB Bilişim, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
HB Bilişim aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
· Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
· Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbâri faaliyetler kapsamında işlenmesi.
· Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
· Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
· Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
· Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
· Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
· Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
· Orantısız çaba gerektiren taleplerde bulunulmuş olması.
· Talep edilen bilginin kamuya açık bir bilgi olması.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; kişisel veri sahibi, HB Bilişim’nin cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Madde 7.2’de düzenlenen başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
İşbu Politika, internet sitesinden kaldırılana kadar yürürlükte kalmaya devam eder.
EK-1 KİŞİSEL VERİ SAHİPLERİ
Çalışan | |
Çalışan Adayı / Stajyer | Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişidir. |
Müşteri/ Potansiyel Müşteri | Şirketimizden ürün veya hizmet alan, almayı düşünen ya da şirketimizle herhangi bir şekilde iletişim kurarak teklif veya bilgi talebinde bulunan gerçek kişiler. |
Ziyaretçi | Şirketimiz yerleşkelerini, internet sitelerini ziyaret eden veya Şirketimizin misafir internet ağına katılmış gerçek kişidir. |
Tedarikçi Çalışanı / Yetkilisi | Şirketimiz ile arasındaki mevcut ve/veya ileride kurulması muhtemel sözleşmeye istinaden Şirketimize mal ve/veya hizmet sağlayan şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişidir. |
Veri Sahibi Yakınları | Şirketimiz ürün ve/veya hizmetlerinden yararlanan kişilerin ve/veya çalışanlarımızın aile üyeleri ve yakınları olan kişidir. |
İş Ortağı/Çalışan Yetkilisi / Hissedarı | Şirketimizin ticari faaliyetlerini yürütürken şirketimizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu şirketlerin hissedarları, yetkilileri veya çalışanları olan gerçek kişidir. |
Diğer | Serbest Muhasebeci Mali Müşavir, Avukat |
EK-2 KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgisi | Kişinin kimliğine dair bilgilerin bulunduğu verilerdir (Ad-Soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet, fotoğraf gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası vb.) |
İletişim Bilgisi | Telefon numarası, adres, e-posta, IP adresi ve benzeri iletişim bilgileridir. |
Lokasyon Verisi | Fiziksel konum bilgileri, GPS verisi, IP adresi veya benzeri yöntemlerle tespit edilen ve belirli bir kişiyle ilişkilendirilebilen konum verileridir. Ürün ve hizmetlerinin kullanımı, teslimi sırasında veya işbirliği içerisinde olduğu kurumların çalışanlarının Şirket araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; GPS lokasyonu, seyahat verileri v.b |
Özlük | Çalışanların kimlik bilgileri, iletişim bilgileri, iş pozisyonu, maaş bilgileri, performans değerlendirmeleri, eğitim durumu, iş deneyimi ve diğer iş ile ilgili veriler. Çalışanın işe alım sürecinden itibaren kişisel gelişimine kadar olan süreçte toplanabilir ve işlenebilir. Bu veriler, genellikle işveren tarafından iş yerindeki yükümlülükleri yerine getirebilmek için kullanılır. |
Hukuki İşlem ve Uyum Bilgisi: | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel verilerdir. |
Müşteri işlem | Müşterilerin ürün veya hizmetlerle ilgili yaptığı işlemler, siparişler, satın almalar, ödeme işlemleri, iade ve değişim talepleri, sözleşme ve anlaşmalar, işlem geçmişi, fatura bilgileri ve diğer ticari faaliyetlere dair veriler |
Fiziksel Mekan Güvenlik Bilgisi | Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kamera kayıtları, ziyaretçi kayıtları gibi kişisel verilerdir. |
İşlem Güvenliği Bilgisi | Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve Ticari güvenliğimizi sağlamamız için işlenen kişisel verilerdir (Log kayıtları, şifre ve parolalar, vb). |
Risk Yönetimi | Şirketin faaliyetleri sırasında karşılaşılan potansiyel ve mevcut risklere ilişkin veriler, risk değerlendirmeleri, sigorta poliçeleri, güvenlik önlemleri, kriz yönetimi planları, iş sürekliliği analizleri, olay raporları, güvenlik ihlalleri ve diğer riskle ilgili analiz ve yönetim faaliyetlerine dair veriler |
Finansal Bilgi | Şirketimizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi verilerdir. |
Mesleki Deneyim | Gerçek kişilerin iş hayatındaki geçmişiyle ilgili veriler; önceki iş deneyimleri, görev tanımları, iş pozisyonları, çalışma süresi, elde edilen başarılar, alınan eğitimler, katıldıkları projeler, yetkinlikler, referanslar ve diğer mesleki gelişim verileri. |
Pazarlama | Müşteriler ve potansiyel müşterilerle yapılan pazarlama faaliyetlerine ilişkin veriler; demografik bilgiler, tüketici davranışları, satın alma alışkanlıkları, ilgi alanları, pazarlama kampanyalarına gösterilen tepkiler, e-posta pazarlama verileri, anket ve geri bildirim sonuçları, reklam etkileşimleri, sadakat programı verileri ve dijital pazarlama etkileşimleri. |
Görsel ve İşitsel Veri | Gerçek kişilerin görüntü ve ses verilerini içeren kayıtlar; video kayıtları, sesli görüşmeler, güvenlik kameraları ile alınan görseller, konferanslar veya toplantılar sırasında kaydedilen sesli ve görüntülü veriler, medya içerikleri, reklamlar ve diğer işitsel ya da görsel medya verileri. |
Kılık Ve Kıyafet | Çalışanların veya kişilerin giyim tarzı, iş yerindeki kıyafet yönetmeliklerine uyum, üniforma kullanımı, giyim tercihleri, fiziksel görünümle ilgili diğer veriler. Bu veriler, genellikle işyeri ortamında belirlenen standartlara uygunluğu sağlamak amacıyla toplanabilir. |
Sağlık Bilgileri | Bir kişinin fiziksel ve psikolojik sağlık durumunu, hastalık geçmişini, tedavi bilgilerini, sağlık raporlarını, ilaç kullanımı, engellilik durumu, tıbbi test sonuçları ve diğer sağlıkla ilgili kişisel veriler. |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | Ceza Mahkûmiyeti ve Güvenlik Tedbirleri verisi, özel nitelikli kişisel veriler arasında yer alır ve bu tür verilerin işlenmesi için açık rıza alınması gereklidir. Ancak bazı durumlarda, bu verilerin işlenmesi belirli yasal zorunluluklar çerçevesinde mümkündür. |
Çalışan Adayı / Stajyer Bilgisi | Şirketimize herhangi bir yolla iş başvurusunda bulunarak, çalışan veya stajyer olarak değerlendirilmek amacıyla sağladıkları kişisel veriler; kimlik bilgileri, iletişim bilgileri, eğitim durumu, önceki iş deneyimleri, staj geçmişi, beceri ve yetkinlikler, referanslar, başvuruya dair yapılan mülakat kayıtları, kişisel beyanlar, özgeçmiş (CV) bilgileri ve diğer işe alım süreçleriyle ilgili veriler. |
Aile Bireyleri ve Yakınları Bilgisi | Şirketimizin iş birimleri tarafından yürütülen operasyonlar çerçevesinde Şirketimizin ve veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki kişisel verilerdir. |
EK-3 KİŞİSEL VERİ İŞLEME AMAÇLARI
· Acil Durum Yönetimi Süreçlerinin Yürütülmesi
· Bilgi Güvenliği Süreçlerinin Yürütülmesi
· Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
· Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
· Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
· Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
· Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
· Denetim / Etik Faaliyetlerinin Yürütülmesi
· Eğitim Faaliyetlerinin Yürütülmesi
· Erişim Yetkilerinin Yürütülmesi
· Faaliyetlerin Mevzuata Uygun Yürütülmesi
· Finans Ve Muhasebe İşlerinin Yürütülmesi
· Fiziksel Mekan Güvenliğinin Temini
· Görevlendirme Süreçlerinin Yürütülmesi
· Hukuk İşlerinin Takibi Ve Yürütülmesi
· İç Denetim/ Soruşturma Faaliyetlerinin Yürütülmesi
· İletişim Faaliyetlerinin Yürütülmesi
· İnsan Kaynakları Süreçlerinin Planlanması
· İş Faaliyetlerinin Yürütülmesi / Denetimi
· İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
· İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
· İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
· Lojistik Faaliyetlerinin Yürütülmesi
· Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
· Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
· Mal / Hizmet Satış Süreçlerinin Yürütülmesi
· Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
· Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
· Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
· Organizasyon Ve Etkinlik Yönetimi
· Pazarlama Analiz Çalışmalarının Yürütülmesi
· Performans Değerlendirme Süreçlerinin Yürütülmesi
· Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
· Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
· Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
· Sözleşme Süreçlerinin Yürütülmesi
· Talep / Şikayetlerin Takibi
· Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
· Ücret Politikasının Yürütülmesi
· Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
· Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
· Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
· Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
· Yönetim Faaliyetlerinin Yürütülmesi
· Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
EK- 4 KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
VERİ AKTARIMI YAPILABİLECEK KİŞİLER | TANIM | VERİ AKTARIM AMACI |
Gerçek Kişiler veya Özel hukuk tüzel kişileri | İlgili mevzuat hükümleri uyarınca Bir serbest meslek erbabı (doktor, avukat, esnaf vb.) ve yine kanunun belirlediği çerçevede faaliyetlerini devam ettiren Özel hukuk tüzel kişileri (anonim, limited, şahıs şirketleri vb.) | Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla, Taraflar arasında yapılan bir sözleşmenin ifası, Veri sorumlusunun veya üçüncü bir tarafın meşru menfaatinin korunması, yasal olarak uyması gereken bir yükümlülük vb. sınırlı olarak kişisel veriler aktarılmaktadır. |
Tedarikçi | Şirketimizin ticari faaliyetlerinin yürütülmesi kapsamında Şirketimizin veri işleme amaçları ve talimatları doğrultusunda Şirketimize hizmet sunan taraflardır. | Şirketimizin tedarikçiden temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
İştirakler ve bağlı ortaklıklar | İştirak, ana şirketten ayrı bir tüzel kişilik olarak faaliyet gösterir. Bağlı ortaklıklar, ana şirketin kontrolü altında faaliyet gösterir. | Aktarım Şirketimizin ortak ticari faaliyetlerin yürütülmesi ile hukuki, finansal ve operasyonel süreçlerin yönetimi için yapılır. |
Kanunen Yetkili Kamu Kurum ve Kuruluşları | İlgili mevzuat hükümlerine göre Şirketimizden bilgi/belge talep etmeye yetkili mahkemeler, vergi daireleri v.b kamu kurum ve kuruluşlarıdır. | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kişisel veriler aktarılmaktadır. |
Kanunen Yetkili Özel Kurumlar | İlgili mevzuat hükümleri uyarınca kanunen belirlenmiş belirli şartlara uygun olarak kurulmuş ve yine kanunun belirlediği çerçevede faaliyetlerini devam ettiren kurum veya kuruluşlardır | İlgili özel kurum ve kuruluşların yürütmekte olduğu faaliyetler kapsamında giren konular ile ilgili sınırlı olarak kişisel veriler paylaşılmaktadır |
İş ortakları | Şirketimizin ticari faaliyetlerinin yürütülmesi kapsamında, Hizmetlerini veya ürünlerini sunarken, Ticari, hukuki ya da teknik amaçlarla iş birliği yaptığı, Belirli bir anlaşma veya sözleşme ile ilişki kurduğu taraflardır. | Ürün veya hizmetin sunulabilmesi, İş süreçlerinin yürütülmesi veya geliştirilmesi, Hukuki yükümlülüklerin yerine getirilmesi, Müşteri memnuniyeti ve destek süreçlerinin sağlanması, Ticari ilişkilere uygun raporlama, analiz veya optimizasyon çalışmaları vb amaçları kişisel veriler paylaşılmaktadır. |
Hissedarlar | İlgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan gerçek ve tüzel kişi hissedarlardır | İlgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak kişisel veriler aktarılmaktadır. |
EK- 5 GÜVENLİK TEDBİRLERİ
· Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
· Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
· Anahtar yönetimi uygulanmaktadır.
· Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
· Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
· Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
· Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
· Erişim logları düzenli olarak tutulmaktadır.
· Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
· Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
· Gizlilik taahhütnameleri yapılmaktadır.
· Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
· Güncel anti-virüs sistemleri kullanılmaktadır.
· Güvenlik duvarları kullanılmaktadır.
· İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
· Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
· Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
· Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
· Kişisel veri güvenliğinin takibi yapılmaktadır.
· Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
· Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
· Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
· Kişisel veriler mümkün olduğunca azaltılmaktadır.
· Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
· Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
· Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
· Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
· Mevcut risk ve tehditler belirlenmiştir.
· Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
· Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
· Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
· Saldırı tespit ve önleme sistemleri kullanılmaktadır.
· Sızma testi uygulanmaktadır.
· Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
· Şifreleme yapılmaktadır.
· Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
· Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Ürünlerimiz hakkında herhangi bir sorunuz mu var? Veya yenilenmiş belirli bir cihaz hakkında daha fazla bilgi edinmek mi istiyorsunuz? Lütfen bizimle iletişime geçmekten çekinmeyin.
Müşteri hizmetlerimiz sizin için 7/24 hazır!
hbbilisim.com.tr online deneyiminizi geliştirerek sizlere daha iyi hizmet sunabilmek için çerez kullanır. Sitemizi ziyaret ederek ve kullanmaya devam ederek çerez kullanımına onay vermiş kabul edilirsiniz.
Kapat