KVKK Politikası

RootsYou(“Şirketimiz”), tüm faaliyetlerini kişisel veri koruma mevzuatına uygun bir şekilde yürütmeyi ve kişisel veri sahiplerinin temel hak ve özgürlüklerine en yüksek düzeyde koruma sağlamayı hedeflemektedir.

Bu Politika, Şirketimizin tamamını kapsar ve Şirketimizin veri sorumlusu olduğu tüm kişisel veri işleme faaliyetleri için uygulanır.

TANIMLAR
Bu Politikanın uygulanmasında kullanılan terimler aşağıdaki anlamlara gelmektedir:

Çalışanlar

Şirketimizin çalışanlarını ifade eder.

Kişisel Veri Sahibi

Kişisel verisi işlenen gerçek kişiyi ifade eder. Örneğin; çalışan, ziyaretçi.

Kişisel Verilerin İşlenmesi

Kişisel veriler üzerinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan her türlü işlemi ifade eder. Örneğin; elde etmek, kaydetmek, saklamak, değiştirmek, aktarmak.

KVK Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

KVK Kurulu

Kişisel Verileri Koruma Kurulu’nu ifade eder. KVK Kurumu’nun karar organıdır.

KVK Kurumu

Kişisel Verileri Koruma Kurumu’nu ifade eder. KVK Kanunu ile kurulan, idari ve mali özerkliğe sahip resmi otoritedir.

Özel Nitelikli Kişisel Veri

Kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini ifade eder.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. Örneğin; belgeleri klasör veya dosyalara arşivlemek.

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

KVKK Çalışma Grubu

Şirketin Kanun’a tam uyum sağlamasını temin etmek üzere belirli görev ve sorumluluklara sahip, atanan çalışanlar veya danışmanlardan oluşan bir ekip.

Veri Sorumlusu
Bu Politikanın kapsadığı kişisel veri işleme faaliyetleri açısından veri sorumlusu, Şirketimizin tüzel kişiliğidir.

Envanter ve Kayıt Tutma
Kişisel veri işleme faaliyetlerini izlemek ve yönetmek ve yasal yükümlülüklerimizi yerine getirmek amacıyla Şirketimiz tarafından bir kişisel veri işleme envanteri tutulmaktadır. Bu envanter kapsamında, iş süreçlerimizle ilişkilendirilerek kişisel veri kategorileri, işleme amaçları, aktarıldığı alıcı grupları, saklama süreleri gibi bilgiler listelenir. Envanter özeti, VERBİS platformuna bildirilerek kamuoyuna açıklanabilir.

Eğitim ve Farkındalık
Şirketimizin kişisel veri işleme faaliyetlerinde yer alan ve/veya kişisel verilere erişimi olan çalışanlarının gerekli mevzuat ve bilgi güvenliği eğitimlerini alması sağlanarak, Şirketimizin kişisel veri koruma konusundaki genel farkındalığı korunur ve yeni katılan çalışanların bu farkındalık düzeyine ulaşması sağlanır. Şirket çalışanlarına yönelik gerekli mevzuat ve bilgi güvenliği eğitimleri periyodik olarak gerçekleştirilir.

KİŞİSEL VERİLERİN KORUNMASI
Kişisel veri işleme faaliyetleri kişisel veri koruma mevzuatına ve özellikle KVK Kanunu’na uygun olarak yürütülmekte olup, bu bölümde açıklanan tüm koşullar durumun özelliklerine uyacak şekilde yerine getirilmektedir.

Genel İlkeler
Şirketimiz tarafından yürütülen tüm kişisel veri işleme faaliyetlerinde aşağıdaki ilkeler her zaman gözetilir:

Hukuka ve Dürüstlük Kurallarına Uygun Olma
Kişisel veri işlenirken sadece KVK Kanunu değil, aynı zamanda diğer tüm kanun ve yönetmeliklere de uyulmalı ve kişisel veri sahiplerinin menfaatleri ve makul beklentileri dikkate alınmalıdır.

Doğru ve Gerektiğinde Güncel Olma
Kişisel verilerin doğru ve güncel tutulabilmesi için kişisel verilerin elde edilme aşamasında gerçeklikle tutarlı bir şekilde toplanması ve bilgilerin doğru olması gerekmektedir. Ayrıca, kişisel veri sahiplerinin verilerin doğru veya güncel olmadığı durumlarda taleplerini iletmelerini sağlamak için fırsatlar yaratılmalı ve bu talepler dikkatle ele alınmalıdır.

Bir işleme faaliyetinin kişisel veri sahibi için sonuç doğuracak nitelikte olması durumunda, kişisel verilerin güncel olup olmadığı kontrol edilmeli ve gerektiğinde kişisel veri sahibiyle iletişime geçilerek verilerin güncellenmesi sağlanmalıdır.

Belirli, Açık ve Meşru Amaçlarla İşlenme
Kişisel verilerin işlenme amacı, kişisel veriler elde edilmeden önce açık ve kesin bir şekilde belirlenmeli ve bu amaç meşru olmalı, yani hukuka uygun olmalıdır. Bu bağlamda, belirli bir amaç belirtilmeksizin veya çok genel bir amaç için kişisel veri toplanmamalıdır. Elde edilen kişisel verilerin toplama amacının dışında kullanılması durumunda yeni bir işleme dayanağı (örneğin rıza alınması) belirlenmeli ve bu mümkün değilse toplama amacı aşılmamalıdır. Ayrıca, kişisel veri sahibine işleme amacının bilinir hale getirilmesi için şeffaflık adımları atılmalıdır.

Şirketimiz, gerçekleştirdiği işleme faaliyetleri açısından kişisel veri işleme envanteri kapsamında işleme amaçlarını belirlemekte ve bunların meşruiyetini kontrol etmektedir. Ayrıca, aydınlatma yükümlülüğü kapsamında söz konusu amaçlar kişisel veri sahiplerine bildirilmektedir.

Amaca Uygun, Sınırlı ve Ölçülü Olma
Bu ilke, minimum işleme ilkesi olarak da ifade edilir. Kişisel veriler, belirlenen amaçların gerçekleştirilmesi için uygun olmalı ve amacın gerçekleştirilmesiyle ilgisi olmayan veya bu amaç için gerek duyulmayan kişisel verilerin işlenmesinden kaçınılmalıdır. Örneğin, kişisel veriler gelecekte ortaya çıkabilecek ihtiyaçları karşılamak amacıyla toplanmamalıdır.

Gerekli Süre Kadar Muhafaza Edilme
Kişisel veriler, ilgili yasal mevzuatta öngörülen süre boyunca veya işlendikleri amaç için gerekli olan süre boyunca muhafaza edilmelidir. Kişisel verilerin saklanması için geçerli bir neden bulunmuyorsa, o kişisel veri imha edilmelidir, yani silinmeli, yok edilmeli veya anonim hale getirilmelidir. Bu doğrultuda, Şirketimiz kişisel verileri gerekli süre boyunca muhafaza etmektedir.

Hukuka Uygunluk
İşleme Temelleri
Herhangi bir kişisel verinin hukuka uygun bir şekilde işlenebilmesi için, işleme faaliyetinin KVK Kanunu’nda belirtilen işleme temellerinden en az birine dayanması gerekmektedir. Kişisel veri sahibinin açık rızası, bu işlemenin temellerinden sadece biridir ve kişisel verilerin sahibinin açık rızası olmaksızın işlenmesi de mümkündür.

Kişisel veri işleme faaliyeti, açık rızanın dışında başka bir işleme dayanağına dayanıyorsa, kişisel veri sahibinin açık rızasını almaya gerek kalmaz. Çünkü açık rıza dışındaki bir dayanağa dayanarak işleme yapmak mümkünken, açık rızaya dayanmak yanıltıcı olabilir. Bu bağlamda, kişisel veri işleme faaliyetinin öncelikle açık rıza dışındaki bir işleme temelinden birine dayanıp dayanmadığı değerlendirilmelidir ve eğer açık rıza dışındaki dayanaklardan en az biri geçerli değilse, o zaman işleme faaliyetini gerçekleştirebilmek için kişisel veri sahibinin açık rızası alınmalıdır.

Şirketimiz tarafından yürütülen kişisel veri işleme faaliyetleri, KVK Kanunu’nun 5 ve 6. maddelerinde belirtilen yasal işleme ilkelerine dayanmaktadır. Ancak, e-posta sisteminde gerçek kişilere ait verilerin şirket dışına aktarılması, kurum kararına göre yurtdışına veri aktarımı olarak değerlendirilmektedir. Yurtdışına veri aktarımında hukuka uygunluk yollarından biri, ilgili kişinin açık rızasını gerektirdiğinden, bu işleme faaliyeti için kanunun 5. maddesinin 1. fıkrası uyarınca açık rıza istenmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirketimiz, özel nitel

ikli kişisel verilerin korunmasına büyük önem vermekte ve bu yönde gerekli idari ve teknik önlemleri uygulamaktadır.

Şeffaflık
Kişisel Veri Sahiplerinin Bilgilendirilmesi
Kişisel veri işleme faaliyetlerinin kişisel veri sahibinin bilgisi dahilinde gerçekleşmesi Şirketimiz için esastır. Bu bağlamda, sorumlu yöneticiler tarafından kişisel veri sahibine; veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçlarla işleneceği, üçüncü kişilere hangi amaçlarla aktarılabileceği, kişisel verilerin toplama yöntemi ve hukuki sebebi, KVK Kanunu’nda sayılan kişisel veri sahibinin hakları hakkında bilgi verilmesi sağlanır.

Öte yandan, KVK Kanunu’nun 28. maddesinde sayılan, ilgili kişinin kendisi tarafından alenileştirilen kişisel verilerin işlenmesi de dahil olmak üzere, KVK Kanunu’nun amacı ve temel ilkeleri ile orantılı olarak kişisel veri sahiplerine bu madde kapsamında bilgilendirme yapılmasına gerek olmayacaktır.

Kişisel Veri Sahiplerinin Taleplerinin Karşılanması
Kişisel Veri Sahiplerinin Hakları
Kişisel veri sahipleri, KVK Kanunu uyarınca aşağıdaki haklara sahiptir:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
KVK Kanunu’nun amacı ve temel ilkeleri ile orantılı olarak, kişisel veri sahipleri aşağıda sayılan durumlar dışında diğer haklarını talep edemezler:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
İlgili kişinin kendisi tarafından alenileştirilen kişisel verilerin işlenmesi,
Kişisel veri işlemenin yetkili ve görevli kamu kurum ve kuruluşları ile kamu tüzel kişileri tarafından denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturması veya kovuşturması için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel Veri Sahiplerinin Haklarını Kullanması
Kişisel veri sahipleri; yazılı olarak, kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza veya daha önce Şirketimize bildirilmiş ve sistemimizde kayıtlı bulunan e-posta adreslerini kullanarak haklarını talep edebilirler. Kişisel veri sahiplerinin yaptığı başvurular en kısa sürede ve en geç 30 gün içinde cevaplandırılır.

Başvuru Ücreti
Şirketimiz tarafından sağlanan cevaplarda ilk on sayfa için ücret talep edilmezken, on sayfadan fazla olan her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvurunun yanıtının CD, taşınabilir bellek gibi bir kayıt ortamında verilmesi durumunda, ilgili kayıt ortamının maliyeti kişisel veri sahibinden talep edilir. Başvuru Şirketimizin hatasından kaynaklanıyorsa, tüm ücret ve masraflar kişisel veri sahibine iade edilir.

Veri Aktarımları ve Üçüncü Taraf Uyumları
Hukuka Uygunluk
Kişisel verilerin üçüncü kişilere aktarılabilmesi durumunda, işleme temellerinin uygulanabilir olup olmadığı transfer özelinde kontrol edilir ve durum yerine getirilir. Örneğin, kişisel verilerin aktarılması için yasal bir zorunluluk olmalı veya kişisel verilerin aktarılması için açık rıza alınmış olmalıdır.

Özel nitelikli kişisel verilerin aktarımında gerekli tüm önlemler uygulanır.

İdari ve Teknik Önlemler
Kişisel verileri üçüncü bir tarafa aktarmadan önce veya Şirketimizin saklama alanlarına üçüncü bir tarafın erişimini sağlamadan önce, diğer tarafın kişisel verilerin işlenmesinde yeterli özen ve dikkat göstereceğinden ve uygun güvenlik seviyesini sağlayacağından emin olunur.

Fiziksel Ortamda Kişisel Verilerin Aktarılması

Fiziksel ortamda kişisel veriler, kişisel verilerin okunabileceği elektronik ortamlar dışındaki tüm kişisel verileri içerir.

Bu Kişisel Veri Aktarım Politikası’nın bu bölümü, kişisel verilerin fiziksel olarak aktarılması için gereksinimleri içerir. Aksi belirtilmedikçe, şirket çalışanları kişisel verileri fiziksel ortamda aktarırken bu Politikaya uymak zorundadır. Çalışanın bir transfer yaptığı veya bir transfere tanık olduğu durumlarda, KVKK Çalışma Grubuna bildirimde bulunmak zorundadır.

Fiziksel ortamda veri aktaran çalışan veya bölüm, aktarılacak kişisel verileri elde ederken ilgili kişinin açık rızasının alındığını kanıtlamak zorundadır. Açık rıza alınmaksızın aktarılan kişisel veriler için sorumluluk yalnızca veriyi elde eden kişiye yüklenemez. Aktaran kişi veya bölüm, aktardıkları kişisel veriler üzerinde veri işleyenden ayrılamayacak bir sorumluluk derecesine sahiptir.

Açık rıza alınmaksızın veri aktarımı, yalnızca Kanun’da belirtilen istisnaların sağlandığı durumlarda geçerlidir (8. maddenin ikinci fıkrası). Bu istisnaların dışında kalan tüm durumlarda, ilgili kişinin açık rızası olmadan kişisel veriler aktarılamaz. İstisnanın geçerliliğinden emin olamayan kişi, KVKK Çalışma Grubu ile istişare ederek bir transfer yapmalıdır.

Kişisel Veriler içeren fiziksel belgeler, transfer edilirken işlenmemelidir. Transfer sırasında, belgede bulunan kişisel veriler transfer eden kişi tarafından bile görülmemelidir. Bu nedenle, transfer dosyalarının fiziksel büyüklüğüne bağlı olarak, kişisel veriler transfer edilecek kişiye ulaşmadan önce işlenmişse, transfer sırasında izlenebilir bir şekilde gerçekleştirilmelidir. Bu takip, mühürlü zarf, paket, kutu ile mühürlenerek gerçekleştirilecektir. Mühürleme mümkün olmayan durumlarda, transfer sadece KVKK Çalışma Grubunun bilgisi ve onayı ile gerçekleştirilebilir.

Gönderen taraf, beklenen transfer süresi sonunda alıcı taraf ile iletişime geçerek kişisel verilerin alındığını doğrulamakla yükümlüdür. Alıcı taraf ise, transfer sırasında kişisel verilerin işlenmediğini (mührünü koruduğunu) bildirir ve aksi bir durumu düşündüğünde durumu gönderici tarafa ve KVKK Çalışma Grubunda ilgili kişiye iletir.

Elektronik Ortamda Kişisel Verilerin Aktarılması

Elektronik ortamda kişisel veriler, elektronik bir cihaz kullanılarak okunabilir hale getirilen tüm kişisel verileri içerir.

Bu Kişisel Veri Aktarım Politikası’nın bu bölümü, kişisel verilerin elektronik olarak aktarılması için gereksinimleri tanımlar. Aksi belirtilmedikçe, şirket çalışanları kişisel verileri elektronik olarak aktarırken bu Politikaya uymak zorundadır. Çalışanın bir transfer yaptığı veya bir transfere tanık olduğu durumlarda, KVKK Çalışma Grubuna bildirimde bulunmak zorundadır.

Elektronik olarak veri aktaran çalışan veya bölüm, aktarılacak kişisel verileri elde ederken ilgili kişinin açık rızasının alındığını kanıtlamak zorundadır. Açık rıza alınmaksızın aktarılan kişisel veriler için sorumluluk yalnızca veriyi elde eden kişiye yüklenemez. Aktaran kişi veya bölüm, aktardıkları kişisel veriler üzerinde veri işleyenden ayrılamayacak bir sorumluluk derecesine sahiptir. Açık rıza alınmaksızın veri aktarımı, yalnızca Kanun’da belirtilen istisnaların sağlandığı durumlarda geçerlidir (8. maddenin ikinci fıkrası). Bu istisnaların dışında kalan tüm durumlarda, ilgili kişinin açık rızası olmadan kişisel veriler aktarılamaz. İstisnanın geçerliliğinden emin olamayan kişi, KVKK Çalışma Grubu ile istişare ederek bir transfer yapmalıdır.

Kişisel veriler elektronik olarak aktar

ılmadan önce, alıcının verileri işlemek için yetkili olup olmadığı kontrol edilmelidir.

Kişisel verilerin elektronik olarak aktarılması, aşağıdaki yöntemlerle ve belirtilen koşullar yerine getirildiğinde yapılabilir, bu yöntemler yetersiz kaldığında, KVKK Çalışma Grubuna bilgi verilmelidir.

Elektronik posta
Transfer işlemi, transferi yapan bölüm yöneticisinin e-posta alıcıları arasında yer alması durumunda gerçekleştirilebilir. Bölüm Yöneticisinin bilgisi dahilinde bile olsa, e-posta alıcısı olmadığı durumlarda, çalışan Politika’ya aykırı hareket etmiş sayılacaktır.

E-posta metninde, e-postanın içeriği ve/veya eklerinde kişisel veri bulunduğuna dair bilgi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek engellenmelidir. Şifre, başka bir e-posta veya iletişim yöntemi ile alıcıya iletilmelidir. Şifreleme işlemi yapılmayacaksa, ilgili çalışan birim yöneticisine bilgi vermeli ve birim yöneticisi KVKK Çalışma Grubunu bilgilendirerek onay almalıdır.

Taşınabilir Medya
Taşınabilir medya; sabit diskler, CD’ler, DVD’ler, kasetler, USB bellekler, USB sabit diskler, hafıza kartları ve elektronik ortamların fiziksel olarak taşınabileceği tüm elektronik platformları içerir.

Kişisel veriler taşınabilir medya ile aktarılırken, taşınabilir medya şifrelenebilir. Özel nitelikli kişisel veriler şifrelenmeden taşınabilir medyaya aktarılamaz. Şifre, gönderici tarafından alıcıya farklı bir iletişim kanalı kullanılarak iletilir.

Verileri aktaran çalışan, taşınabilir medyadaki verilerin imhasından da sorumludur. Taşınabilir medyadaki kişisel veriler imha edilmeden medya başka bir işlem için kullanılamaz.

Taşınabilir medyanın fiziksel transferi, doğrudan göndericiden alıcıya yapılmalıdır. Bu transferin doğrudan yapılamadığı durumlarda, transfer minimum aracı kullanılarak yapılmalıdır. Transfer sırasında, şirket tarafından sözleşmeli kargo hizmeti kullanılır, transferde kargo hizmeti kullanılamaz.

Bulut Paylaşımı (Cloud)
Bulut paylaşımı, gönderici tarafından çevrimiçi bir depolama alanına yüklenen ve alıcının verileri buradan elde ettiği tüm paylaşımları içerir.

Çalışan, bulut paylaşımı yoluyla kişisel veri transfer ederken, kişisel veri sahibi olan bölüm yöneticisi ile birlikte Şirketin Bilgi Teknolojileri Departmanı ile her transferden önce en güvenli yöntem hakkında bilgi paylaşır. Kişisel verilerin bulut paylaşımı yoluyla paylaşılacağı tüm durumlarda, Şirketin Bilgi Teknolojileri Departmanına bilgi verilmesi zorunludur.

Bulut paylaşımı yöntemi ile paylaşılan veriler şifrelenir. Şifre, gönderici tarafından başka bir iletişim kanalı kullanılarak alıcıya iletilir. Bulut paylaşımı sadece şirket donanımı ve ağı kullanılarak yapılabilir, çalışan şirket donanımı ve ağı kullanmadan bulut paylaşımı yapamaz.

Ağ Paylaşımı
Kişisel veriler, şirketin ortak alanlarını kullanarak bölümler içinde ve/veya arasında paylaşılabilir. Ağ üzerinden paylaşımda, kişisel veriler yalnızca şifreli olarak aktarılabilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, gönderici tarafından farklı bir iletişim kanalı kullanılarak alıcıya iletilir. Çalışan, kişisel verilerin şifreleme veya kriptografik protokoller için uygun olmadığını düşündüğünde, ilgili birim yöneticisinin bilgisi dahilinde KVKK Çalışma Grubunu bilgilendirir ve Grup onayladığı durumlarda transfer gerçekleştirilir.

Ağ üzerinden paylaşım yapılırken, yalnızca alıcı bölüm ve/veya çalışan kullanılan alana erişim yetkisine sahip olmalıdır ve bu kontrol göndericinin sorumluluğundadır. Paylaşım tamamlandıktan sonra, alıcı, ağ üzerinden kişisel verileri yok ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerinde ortak alanda artık kişisel veri bulunmadığını kontrol etmeli ve emin olmalıdır.

Yurtdışına Kişisel Veri Aktarımı
Kişisel verilerin yurtdışına aktarılabilmesi için, bu Politikanın “Hukuka Uygunluk” başlığı altında belirtilen işleme temellerinin yurtdışına aktarım özelinde uygulanabilir olup olmadığı kontrol edilir ve durum yerine getirilir. İşleme temeli açık rıza değilse, işleme temeline ek olarak şunlar sağlanır:

Kişisel verilerin aktarılacağı yabancı ülkede yeterli koruma bulunup bulunmadığı veya
Yeterli koruma bulunmaması durumunda, yurtdışındaki alıcı taraf ile bir sözleşme ilişkisi kurulması ve KVK Kurumu tarafından yayımlanan “Yurtdışına Veri Aktarımında Veri Sorumluları Tarafından Hazırlanacak Taahhütnamede Bulunması Gereken Asgari Unsurlar”ın taahhütnamede yer alması sağlanır.
Yurtdışına veri aktarımında hukuka uygunluk yollarından biri, ilgili kişinin açık rızasını gerektirdiğinden, bu işleme faaliyeti için kanunun 5. maddesinin 1. fıkrası uyarınca açık rıza istenmektedir.
Gerekli şartların yerine getirilmesinin yanı sıra, fiziksel ortamda kişisel verilerin yurtiçinde transferi mümkün olduğunda doğrudan göndericiden alıcıya yapılır. Dolaylı veya elden ele transfer, yalnızca gerektiğinde tercih edilir.

Yurtdışına fiziksel ortamda kişisel veri aktarımı, Kurul tarafından duyurulacak yeterli korumanın bulunduğu ülkelere yapılabilir. Aktarım yapılacak ülke, yeterli koruma sağlanan ülke olarak belirlenmemişse, transferden önce KVKK Çalışma Grubu bilgisine başvurulur.

Veri Güvenliği
İdari ve Teknik Önlemler
Şirketimiz tarafından yürütülen tüm faaliyetlerde, kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişimi önlemek ve kişisel verileri korumak amacıyla gerekli teknik ve idari önlemler alınmaktadır. İdari ve teknik önlemlerimiz VERBİS platformunda kamuoyuna duyurulmuştur.

Veri Güvenliği İhlali
Şirketimiz tarafından işlenen kişisel verilerin üçüncü kişiler tarafından hukuka aykırı olarak elde edilmesi durumunda, bu durum en kısa sürede ilgili kişisel veri sahiplerine ve KVK Kuruluna bildirilmelidir. Bu yükümlülüğe uyum sağlamak amacıyla, Şirketimiz genelinde kişisel veri güvenliği açısından önemli olaylar izlenmekte ve veri güvenliği ihlali oluşturup oluşturmadığı değerlendirilerek gerekli işlemler yapılmaktadır. Veri güvenliği ihlali olması durumunda, ihlalin öğrenildiği andan itibaren en geç 72 saat içinde KVK Kuruluna bildirimde bulunulur.

Kişisel Verilerin İmhası

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için herhangi bir şekilde erişilemez hale getirilmesi sürecidir.

Kişisel verilerin yok edilmesi, kişisel verilerin herhangi bir şekilde kimse tarafından erişilemez, geri getirilemez ve kullanılamaz hale getirilmesi sürecidir.

Kişisel verilerin anonim hale getirilmesi, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların kaldırılması veya değiştirilmesi, veri sahibinin tanınmasını önlemek veya bir grup/kalabalık içinde farklılığını kaybederek bir gerçek kişi ile ilişkilendirilememesini sağlamak sürecidir.

Veri sorumlusu olarak, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için gerekli her türlü teknik ve idari önlemleri almakla yükümlüyüz. Saklama süreleri dolmuş fiziksel veya elektronik kişisel veriler yılda iki kez tespit edilmekte ve imha edilmektedir.

Alışveriş Sepeti

0
image/svg+xml

Sepette ürün yok.

Alışverişe Devam Edin