Kişisel Verilerinin Güvenliği ve Korunması

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI

 

  1. AMAÇ 

FİLOTİM YÖNETİM A.Ş. (“FİLOTİM veya Şirket”) olarak, kişisel verilerin işlenmesi ve korunmasına ilişkin yürürlükte bulunan tüm mevzuat ile uyumlu davranmak için en üst seviyede çaba göstermektedir. FİLOTİM şirket faaliyetlerinin şeffaflık içinde yürütülmesi ilkesinin sürdürülebilirliğini amaçlamaktadır. FİLOTİM, faaliyetlerini devam ettirebilmek amacıyla KVKK başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülükleri yerine getirebilmek, hizmetlerin yerine getirilmesini sağlamak, sözleşmesel ilişkileri yürütmek ve ticari faaliyetlerin devamlılığını sağlamak amacıyla; amaçlarını ve yasal yükümlülüklerini yerine getirebilmeyi sağlayacak kişisel verileri işleyebilmektedir. İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”) ile belirlenen amaçlar ve kapsam dışında kullanılmamak kaydı ile bilgi güvenliği tedbirleri de alınarak hukuka ve dürüstlük kuralına uygun olarak işlenir.

Kişisel verileriniz, KVKK’da öngörülen temel ilkelere ve Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şart ve amaçlarına uygun olarak, fiziken ve/veya elektronik ortamda, KVKK ve sair ilgili mevzuatta öngörülen sebeplerle Şirket faaliyetlerinin yürütülmesi, hizmetlerinin işleyişi ve geliştirilmesi çerçevesinde işlenir. İşbu Politika kişisel verilerin FİLOTİM tarafından elde edilmesi, işlenmesi, muhafaza edilmesi ve aktarılması süreçleri ve riayet edilen ilkeler hakkında ilgili kişileri bilgilendirmek amacıyla hazırlanmıştır.

  1. KAPSAM

Politika, FİLOTİM tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen gerçek kişilere yöneliktir. 

FİLOTİM’in veri sorumlusu kabul edildiği her türlü kişisel veri saklama ve imha faaliyetine uygulanır.

FİLOTİM’in veri işleyen olarak gerçekleştirdiği kişisel veri işleme faaliyetlerine ise Kanun’da düzenlenen veri işleyenin yükümlülükleri çerçevesinde uygulanır.

  1. TANIMLAR

Açık rıza

: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Alıcı grubu:

 Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Anonim hâle getirme:

 Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

İmha:

 Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İlgili kişi: 

 Kişisel verisi işlenen gerçek kişi

İlgili kişi grubu: 

 Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi

İrtibat kişisi: 

 Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi

Kanun:

 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı: 

 Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel veri işleme envanteri: 

 Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel veri saklama ve imha politikası: 

 Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika

Kişisel veri: 

 Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi: 

 Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel verilerin saklanması: Kişisel verilerin elde edilmesini takiben içeriğini, değerini veya anlamını elde edilmesinden sonraki bir zamanda tekrar işleyebilmek için veri saklamaya elverişli bir ortamda kayıt edilmesi

Kurul:

 Kişisel Verileri Koruma Kurulu

Özel nitelikli kişisel veri: 

 Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler

Sicil:

 Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili

Veri işleyen: 

 Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kategorisi: 

 Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı

Veri kayıt sistemi: 

 Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumluları sicil bilgi sistemi (VERBİS): 

 Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

Veri sorumlusu: 

 Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan

  1. KİŞİSEL VERİLERİN İŞLENMESİNDE GEÇERLİ OLAN GENEL İLKELER

FİLOTİM, hukuki uyumluluğun sağlanması amacıyla işlenen kişisel verilerin Kişisel Verileri Koruma Kanunu (“KVKK”) ve ilgili diğer mevzuat uyarınca belirlenen genel ilke ve hükümlere uygun olması gerektiğinin bilincindedir. Bu doğrultuda, KVKK madde 4 kapsamında tüm kişisel veri işleme faaliyetlerinde göz önünde bulundurulması gereken temel ilkeler aşağıda yer almaktadır:

 

Hukuka ve dürüstlük kurallarına uygun olma:

Kişisel veri işleme faaliyetleri Anayasa ve KVKK olmak üzere sair ilgili tüm mevzuata uygun olarak ve dürüstlük kurallarına riayet ederek gerçekleştirilir. 

Doğru ve gerektiğinde güncel olma:

FİLOTİM; kişisel verilerin, elde edilmesi sırasında doğru olması için gerekli tüm tedbirleri alır. Ayrıca söz konusu verilerin tekrar işlenmesi gerektiğinde güncel olması için azami çabayı gösterir. İlgili kişilerin işlenen kişisel verilerinde güncelleme yapabilmeleri için gerekli olan tüm yöntemleri belirler.

Belirli, açık ve meşru amaçlar için işlenme:

Kişisel veriler sadece görünür olan ve sınırları belirli amaçlar için işlenir. Yürürlükteki mevzuata aykırı veya iş faaliyetleriyle uyumsuz amaçlar için kişisel veriler işlenmez. 

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:

Elde edilen veya işlenen kişisel verilerin ilgili mevzuatla uyumlu olarak en az seviyede detaylı olmasına çalışılır. Kişisel verilerin elde edilmesinde işlenen amaçlar dikkate alınarak, söz konusu amaçla bağlantısız olan veya amaca ulaşmak için gerekli olmayan kişisel veriler işlenmez. 

Kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Söz konusu azami süreler bellidir ve bu süreler kadar kişisel veriler işlenir. Azami süre belirlenirken; İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre, kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre, ilgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre ile Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süreleri dikkate alınır.

  1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler Kanun nezdinde işlenme şartları açısından “Özel nitelikli kişisel veriler ile özel nitelikli kişisel veri olmayanlar” şeklinde bir ayırıma tabi tutulur. 

Özel Nitelikli Olmayan Kişisel Verilerin İşlenme Şartları

İlgili kişinin açık rızası olmadan kişisel veriler işlenemez.

Ancak, Kanun bazı durumlarda özel nitelikli olmayan kişisel verilerin ilgili kişinin açık rızası olmadan da işlenebileceği şartları düzenlemiştir.

     1) Kanunlarda açıkça öngörülmesi
     2) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
     3) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
     4) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
     5) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
     6) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
     7) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket Özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenmiş yeterli önlemler alır.

İlgili kişinin açık rızası olmadan özel nitelikli kişisel veriler işlenemez. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

  1. KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel verileriniz; yazılı, sözlü, fiziksel veya elektronik ortamlar vasıtasıyla, kişisel verilerinizin işlenmesine yönelik rızanıza, Kanun veya ilgili mevzuatta belirtilen ve aşağıda yer verilen hukuki sebeplere dayanarak, tamamen otomatik, kısmen otomatik ya da otomatik olmayan yöntemlerle toplanabilir, bu Politika’da yer verilen amaçlarla işlenebilir ve aktarılabilir.

  • İlgili mevzuatta öngörülmüş olması,

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, kanunlarda açıkça öngörülmüş olması, hukuki yükümlülüklerimiz, 

  • Açık rızanız,

  • Tarafınızca alenileştirilmiş olması,

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

  • Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlemenin zorunlu olması.

  • İLGİLİ KİŞİLERİN AYDINLATILMASI

FİLOTİM (KVKK) 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütür. Bu kapsamda Şirketimiz tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunur.

(1) Şirketimizin ünvanı,

(2) FİLOTİM tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,

(3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

(4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

(5) Veri sahibinin hakları olan;

Kişisel verilerinin işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

  1. KİŞİSEL VERİLERİN SAKLANMASI

Kişisel verilerin saklanması bir kişisel veri işleme faaliyetidir ve kişisel veri işleme şartlarına uygun olarak gerçekleştirilir. FİLOTİM ilgili kişilerin kişisel verilerini dijital veya fiziksel ortamlarda saklayabilir.

Kişisel veriler ilgili mevzuatta öngörülen süreler ve verinin işlenme amacı için gerekli olan süre boyunca saklanmaktadır. Söz konusu verilerin saklanması için yasal bir süre belirlenmemiş iş süreçleri, hukuki ve ticari teamüller göz önünde bulundurularak bir süre belirlenmektedir.

Söz konusu süre geçtikten sonra Şirket tarafından veya talebiniz üzerine kişisel verileriniz silinir, yok edilir veya anonim hale getirilir. Mevzuat uyarınca hiçbir surette kişisel verilerinizin saklanması gerekmiyor ise derhal imha edilir.

Şirket saklanması gereken kişisel verilerin saklanma ortamları belirlerken zorunlu olan en az ortamı kullanır.  

  1. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler yurt içinde veya yurt dışında başka veri sorumlularına veya veri işleyenlere aktarılabilir. Aktarım faaliyetleri mevzuata uygun şekilde gerçekleştirilir. Kişisel veriler KVKK Md.28/1 çerçevesinde yetkili kurum ya da kuruluş tarafından talep edilmesi halinde ilgili kişiyi aydınlatma yükümlülüğü olmadan veya ilgili kişinin açık rızası aranmadan ilgili makamlara aktarılabilir.

Kişisel veriler ayrıca kanunlarda açıkça belirtilmiş durumlarda talep edilmesi halinde yetkili kamu kurumlarına (bakanlıklar, Cumhurbaşkanlığı kurulları gibi idari makamlara) kanunda öngörülen amaç ve sınırlamalar dâhilinde ilgili kişiye karşı aydınlatma yükümlülüğü yerine getirilerek aktarılabilir.

Kişisel veriler kişisel veri işleme şartlarına uygun olarak yurt içinde diğer veri sorumlularına, yurt dışına da ilgili kişinin açık rızasının bulunması halinde aktarılır. 

  1. KİŞİSEL VERİLERİN İMHASI

Kişisel veriler silinme, yok edilme veya anonim hale getirilme yöntemleri ile imha edilir. Ne zaman ki kişisel verilerin saklanmasını gerektiren durumlar ortadan kalkar, o zaman kişisel veriler imha edilir.

Kişisel verilerin imhasını gerektiren durumlar şöyledir:

Kurul Kararı

Açık Rızanın Geri Alınması

İşlenme Şartlarının Ortadan Kalkması

Saklama Süresinin Sona Ermesi

Amacın Kalmaması

  1. GÜVENLİK TEDBİRLERİ

FİLOTİM; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

  1. KİŞİSEL VERİ İŞLEME ENVANTERİ

FİLOTİM, temas ettiği tüm gerçek kişilere istinaden gerçekleşen kişisel veri işleme faaliyetlerine istinaden envanterini oluşturmuştur. Tüm faaliyetler gözden geçirilmiş gerekli değişiklikler yapılmıştır. Gerektiğinde envanter güncellenmektedir.

  1. EĞİTİM

FİLOTİM; kendi kurum veya kuruluşunda, kişisel verilerin korunması konusunda farkındalığın oluşması ve ilgili kişilerin hak ve menfaatlerinin korunması amacıyla gerekli eğitim faaliyetlerini yürütmektedir. Kişisel veri işleyenlerin, öğrendikleri kişisel verileri başkalarına açıklayamayacakları ve görevlerinden ayrılmaları durumunda bu yükümlülüğün devam ettiğinin bilincinde olması sağlanmaktadır.

  1. İLGİLİ KİŞİNİN BAŞVURUSU VE HAKLARI

İlgili kişiler kişisel verilerine ilişkin haklarını kullanmak için öncelikle veri sorumlusuna başvurmak zorundadırlar. Kanun 14'üncü maddesi uyarınca ilgili kişiler doğrudan Kişisel Verileri Koruma Kurulu'na başvuramazlar.

Şirket işbu Politika’da yer alan esaslara uygun şekilde işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemleri almıştır. Söz konusu haklar şunlardır:

(1) Kişisel verilerinizin işlenip işlenmediğini öğrenme,

(2) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

(3) Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(4) Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,

(5) Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(6) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(7) İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,

(8) Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

İlgili kişiler haklarını aydınlatma metinlerinde yer alan yöntemleri kullanarak iletebilirler.

  1. VERİ SORUMLUSUNA BAŞVURULAMAYACAK DURUMLAR

İlgili kişiler veri sorumlusuna başvuru hakkını, Kanun’da belirtilen aşağıdaki hallerde; aşağıdaki hâllerde kullanamaz:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

  1. BAŞVURUNUN CEVAPLANDIRILMASI

İlgili kişilerin başvuruları titizlikle incelenir ve en kısa zamanda ve her halde en fazla 30 gün içerisinde ilgili kişinin talebine uygun veya Şirketçe uygun görülen herhangi başka bir yöntemle cevaplandırılır. Cevap için herhangi bir ücret talep edilmemekle birlikte söz konusu işin bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarifedeki ücret başvuran ilgili kişiden talep edilebilir. FİLOTİM, 

Başvurucunun taleplerinin karşılanabilmesi için kimliğin ispat edilmesi veya başka bir sebepten dolayı başvurucudan ek bilgi veyahut belge talep edilebilir.

 

  FİLOTİM tarafından hazırlanan işbu Politika kamuya açık olması sebebiyle internet sitesinde yayınlanarak ……………………tarihinde yürürlüğe girmiştir.

Filotim ile giderlerinizi netleştirin!