SECTION 1
1– Introduction
1.1. Introduction
Edip Uluslararası Gayrimenkul ve Turizm Anonim Şirketi (the “Company”) is substantially sensitive about the protection of personal data and it is among the priorities of our Company. The most important pillar of this topic is constituted by the protection of personal data of our Prospective Employees, Employees, Company Shareholders, Company Officials, our Visitors, Employees of the Institutions (Suppliers, Consultants, … etc) we collaborate with, their Shareholders and Authorized Representatives, and Third Parties, which is managed by this Policy.
According to the Constitution of the Republic of Turkey, everyone has the right to ask for the protection of his/her personal data relating to him/her. Concerning the protection of personal data that is a constitutional right, the Company uses due diligence for the protection of personal data of our Prospective Employees, Employees, Company Shareholders, Company Officials, our Visitors, Employees of the Institutions we collaborate with, their Shareholders and Authorized Representatives, and Third Parties, which is managed by this Policy, and makes it a Company policy.
In this scope, necessary administrative and technical precautions are taken by the Company to safeguard the personal data processed in compliance with the respective legislation.
Detailed explanations will be provided in this Policy, in regards to the basic principles listed below and adopted by the Company in processing of personal data:
· To process personal data in accordance with the law and integrity rules;
· To keep personal data accurate and, if required, up-to-date;
· To process personal data for particular, clear, and legitimate purposes;
· To process personal data in a limited and measured manner and in line with their purpose of being processed;
· To keep personal data for the period stipulated in the respective legislation or required for their purpose of being processed;
· To provide explanation and information to personal data owners;
· To establish the necessary system for personal data owners to exercise their rights;
· To take the necessary precautions in the protection of personal data;
· To act in compliance with the respective legislation and the regulations of the PDP Board in the transfer of personal data to third parties in line with the requirements of the purpose of processing;
· To exhibit the necessary sensitivity to processing and protection of personal data of private nature.
1.2. Objective of the Policy
The main objective of this Policy is to provide explanations in respect of the personal data processing activities conducted by the Company in compliance with the law and of the systems adopted for the protection of personal data and, in this context, to ensure transparency by informing the persons whose personal data is processed by our Company, in particular our Prospective Employees, Employees, Company Shareholders, Company Officials, our Visitors, Employees of the Institutions we collaborate with, their Shareholders and Authorized Representatives, and Third Parties.
1.3. Scope
This Policy concerns all personal data of our Prospective Employees, Employees, Company Shareholders, Company Officials, our Visitors, Employees of the Institutions we collaborate with, their Shareholders and Authorized Representatives, and Third Parties, processed by the means that are automated or non-automated provided that it is a part of any data recording system.
The scope of implementation of this Policy in terms of groups of personal data owners in the categories specified above may be the entire Policy (for example, our Prospective Employees who are also our Visitors) or may it also be only some provisions (for example, only our Visitors).
1.4. Implementation of the Policy and the Respective Legislation
The respective applicable legal arrangements about processing and protection of personal data will be prioritized to be implemented. The Company acknowledges that in the event of inconsistency between the current legislation and the Policy, the legislation in force will apply. The Policy has been created through the arrangement of the rules stipulated by the respective legislation, by concretizing them within the scope of Company implementations. The Company executes the necessary systems and preparations to comply with the validity periods stipulated in the PDP Law.
1.5. Validity of the Policy
The Policy drawn up by the Company and entered into force on 7 April 2018 was updated on 02/07/2019.
The Policy is published on the Company’s website and presented to the respective persons upon the request of personal data owners.
SECTION 2
2 – Issues concerning the Protection of Personal Data
The Company takes the necessary technical and administrative precautions, and in this context, carries out or has the necessary inspections conducted, to prevent the illegal processing of the personal data it processes, to prevent illegal access to the data and to ensure the protection of the data in compliance with article 12 of the PDP Law.
2.1. Ensuring the Security of Personal Data
2.1.1. Technical and Administrative Precautions taken to ensure the Legal Processing of Personal Data
The Company takes technical and administrative precautions in compliance with technological means and implementation costs to ensure that personal data are processed legally.
(i) Technical Precautions taken to ensure the Legal Processing of Personal Data
The main technical precautions taken by the Company to ensure the legal processing of personal data are set out below:
· Access logs are maintained regularly.
· When required, data masking precautions are implemented.
· Up-to-date anti-virus systems are used.
· Firewalls are used.
· Necessary security precautions are taken for entering to and exiting from physical environments containing personal data.
· The security of the physical environments containing personal data against external risks (fire, flood, etc.) is ensured.
· The security of environments containing personal data is ensured.
· Personal data are backed up and the security of backed-up personal data is ensured as well.
· Log records are kept in a manner that no user intervention will take place.
(ii) Administrative Precautions taken to ensure the Legal Processing of Personal Data
The main administrative precautions taken by the Company to ensure the legal processing of personal data are as follows:
· Employees have been informed and trained on the law on protection of personal data and the legal processing of personal data.
· The annotations that charge an obligation of not processing, disclosing, and using personal data, save for the Company’s instructions and exemptions imposed by law, are added to the agreements and documents that manage the legal relationship between the Company and the employees
· Corporate policies on the issues of access, information security, utilization, storage, and disposal have been drawn up and their implementation has started.
· Deeds of privacy commitments are being executed.
· Signed agreements contain data security provisions.
· Personal data security policies and procedures have been identified.
· Personal data are reduced as much as possible.
· Protocols and procedures for private personal data security have been determined and are being implemented.
2.1.2. Technical and Administrative Precautions taken to prevent Illegal Access to Personal Data
The Company takes technical and administrative precautions in line with the nature of the data to be safeguarded, technological possibilities, and implementation costs to prevent the unauthorized disclosure of personal data, or disclosure of them without precaution, as well as their access, transfer or any other illegal use.
(i) Technical Precautions taken to prevent Illegal Access to Personal Data
The main technical precautions taken by the Company to prevent illegal access to personal data are as follows:
· Technical precautions are taken in compliance with technological developments and the precautions taken are periodically updated and renewed.
· Access and authorization technical solutions are put into practice in compliance with the legal compliance requirements determined on the basis of working units.
· Access authorizations are restricted and the authorizations are regularly reviewed.
· Software and hardware containing virus protection systems and firewalls are installed.
· Personnel with knowledge in technical issues are employed.
(ii) Administrative Precautions taken to prevent Illegal Access to Personal Data
The main administrative precautions taken by the Company to prevent illegal access to personal data are as follows:
· The employees are trained on the technical precautions to be taken to prevent illegal access to personal data.
· Processes of access to and authorization for personal data on the basis of working units are designed and implemented in the Company in compliance with legal compliance requirements for processing personal data.
· The employees are informed regarding the fact that they may not disclose the personal data they have learned to anyone in violation of the provisions of the PDP Law, that they may not use them for purposes other than processing, and that this obligation will continue after they leave their job; and, accordingly, necessary commitments are taken from them.
· Provisions that the persons to whom the personal data are transferred will take the necessary security precautions to protect the personal data and ensure that such precautions are complied with in their own institutions are added to the agreements entered into by the Company with persons to whom personal data are legally transferred.
2.1.3. Keeping Personal Data in Safe Environments
Company takes the necessary technical and administrative precautions in line with technological possibilities and implementation costs to keep personal data in safe environments and to prevent their destruction, loss, or alteration for illegal purposes.
(i) Technical Precautions taken for Keeping Personal Data in Safe Environments
The main technical precautions taken by the Company for the storage of personal data in safe environments are listed below:
· Systems that are suitable for technological developments are used to store personal data in secure environments.
· Expert staff is employed in technical issues.
· Technical security systems for the storage areas are set up, the technical precautions taken are reported periodically to the respective person in compliance with the internal audit mechanism, and the required technological solutions are produced by re-evaluating issues that may pose risks.
· Backup programs are used in compliance with the law in order to ensure the safe storage of personal data.
· The accesses to data storage areas where personal data are stored are logged and inappropriate accesses or attempts to access are communicated to the respective people in an instant manner.
(ii) Administrative Precautions taken for Keeping Personal Data in Safe Environments
The main administrative precautions taken by the Company to keep personal data in safe environments are listed below:
· Employees are being trained on the issue of ensuring that personal data are stored securely.
· If an external service is received by the Company because of technical requirements concerning the storage of personal data, the provisions stipulating that persons to whom personal data are transferred will take the necessary security precautions to protect personal data and that such precautions will ensured to be taken in their own organizations are incorporated to the agreements entered into with the respective companies to which personal data are transferred in compliance with the law.
2.1.4. Inspection of the Precautions taken for the Protection of Personal Data
The Company conducts or causes to be conducted the necessary inspections within its own structure in compliance with article 12 of the PDP Law. The results of those inspections are reported to the respective department within the scope of the internal operation of the Company and the necessary actions are taken to improve the precautions taken.
.1.5. Precautions to be taken in the Event of Unauthorized Disclosure of Personal Data
Company executes a system that ensures that if personal data processed in compliance with article 12 of the PDP Law are obtained by others illegally, this situation is notified to the respective personal data owner and the PDP Board as soon as possible.
If considered necessary by the PDP Board, this situation may be announced on the website of the PDP Board or by means of any other method.
2.2. SAFEGUARDING THE RIGHTS OF DATA OWNERS; CREATION OF THE CHANNELS WHERE THEY DELIVER SUCH RIGHTS TO OUR COMPANY AND EVALUATION OF DATA OWNERS’ REQUESTS
The Company executes the necessary channels, internal operation, and administrative and technical regulations in compliance with article 13 of the PDP Law to evaluate the rights of personal data owners and provide the necessary information to personal data owners.
If personal data owners deliver their requests about their rights listed below to the Company in writing, the Company will conclude the request free of charge as soon as possible and in maximum 30 (thirty) days, depending on its nature. However, if a fee is stipulated by the Personal Data Protection Board, the fee in the determined tariff may be charged. Personal data owners have the rights set out below:
· To learn whether the personal has been processed or not,
· If personal data has been processed, to request information about it,
· To learn the objective of the processing activity and whether they are used in accordance with the objective or not,
· To know the to third parties to which personal data are transferred domestically or abroad,
· If personal data is incompletely or incorrectly processed, to request that they are corrected and to request that the action taken in this scope is made known to the third parties to which the personal data are transferred,
· To request that the personal data will be deleted or destroyed in the event that the reasons requiring its processing are no longer present even if the personal data have been processed in compliance with the provisions of the Law and other respective laws and to request that the action taken in this scope is made known to the third parties to which the personal data are transferred.
· To raise objection to the results against the respective person that emerge because of the analysis of the personal data processed exclusively through automated systems,
· If it incurs damage due to illegal processing of personal data, to request the elimination of the damage.
More detailed information about the rights of data owners is included in Section 10 of this Policy.
2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirket tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket bünyesinde gerekli denetimler sağlanmaktadır. Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 3. Bölümünde yer verilmiştir.
2.3. PROTECTION OF PRIVATE PERSONAL DATA
With the PDP Law, specific importance has been attached to some personal data due to the risk of inflicting victimization or discrimination when those personal data are illegally processed. These data are the ones concerning race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs, clothing; association, foundation, or union membership, health, sexual life, criminal conviction, and security precautions as well as biometric and genetic data.
The Company behaves sensitively in the protection of private personal data determined as “private” by the PDP Law and processed in compliance with the law. In this scope, the technical and administrative precautions taken by the Company to protect personal data are implemented carefully in view of private personal data and the required inspections are carried out in the Company. Detailed information about processing of private personal data is included in Section 3 of this Policy.
2.4. ÇALIŞMA BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE >DENETİMİ
Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışma birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirket’in çalışma birimlerinin mevcut çalışanlarının ve çalışma birimi bünyesine yeni dahil olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde profesyonel kişiler ile çalışılmaktadır.
Şirket’nin çalışma birimlerinin kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları Şirket’e raporlanmaktadır. Şirket bu doğrultuda ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte ve gerekli denetimleri yapmakta veya yaptırmaktadır. Şirket, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
2.4. INCREASING THE AWARENESS OF WORKING UNITS REGARDING THE PROTECTION AND PROCESSING OF PERSONAL DATA AND ITS INSPECTION
The Company ensures the organization of the necessary trainings to the working units for increasing awareness to prevent illegal processing of personal data and illegal access to them and to ensure the protection of them.
The required systems to raise awareness on the protection of personal data of the current employees of the Company’s working units and the employees having recently taken part in a working unit are established and professional people are worked with if needed.
The results of the training conducted for increasing the awareness of the Company’s working units on the protection and processing of personal data are reported to the Company. Accordingly, the Company evaluates the participation in the respective trainings, seminars, and informatory sessions and carries out or causes to be carried out the necessary inspections. The Company updates and renews its trainings in parallel with the updating of the respective legislation.
3. BÖLÜM
3– KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirket, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirket kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
Şirket, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun 5. maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
Şirket, Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.
Şirket, KVK Kanunu’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Şirket, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
SECTION 3
3 – ISSUES CONCERNING THE PROCESSING OF PERSONAL DATA
In compliance with article 20 of the Constitution and article 4 of the PDP Law, the Company performs personal data processing activities related to the objective, by pursuing certain, express, and legitimate purposes, and in a limited and measured manner, complying with the law and honesty rules, keeping them accurate and up-to-date when necessary. The Company retains the personal data for the period stipulated by law or as required by the objective of personal data processing.
Pursuant to article 20 of the Constitution and article 5 of the PDP Law, the Company processes personal data on the basis of one or several of the conditions set out in article 5 of the PDP Law about the processing of personal data.
The Company enlightens the personal data owners in compliance with article 20 of the Constitution and article 10 of the PDP Law and provides the necessary information if the personal data owners request it.
The Company acts in compliance with the regulations stipulated, concerning the processing of private personal data pursuant to article 6 of the PDP Law.
In compliance with articles 8 and 9 of the PDP Law, the Company adheres to the regulations stipulated in the law and set out by the PDP Board regarding the transfer of personal data.
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
3.1. PROCESSING OF PERSONAL DATA IN COMPLIANCE WITH THE PRINCIPLES STIPULATED IN THE LEGISLATION
3.1.1. Processing in compliance with the Law and the Rules of Honesty
The Company acts in compliance with the principles imposed by legal regulations and the general rule of trust and honesty in the processing of personal data. In this scope, the Company takes the proportionality requirements in the processing of personal data into account and does not use personal data outside of the requirement of the purpose.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır.
Örneğin, Şirket tarafından; kişisel veri sahiplerinin kişisel verilerini düzeltme ve doğruluğunu teyit etmelerine yönelik sistem kurulmuştur. Bu konu ile ilgili ayrıntılı bilgiye, bu Politika’nın 10. Bölümünde yer verilmiştir.
3.1.2. Ensuring that Personal Data are Accurate and Up-to-date when required
The Company ensures that the personal data it processes are accurate and up-to-date, taking the fundamental rights of personal data owners and their own legitimate interests into account. It takes the necessary precautions in this context.
For example, a system for personal data owners to correct their personal data and to verify their accuracy has been established by the Company. Detailed information on this subject was included in Chapter 10 of this Policy.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirket, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirket tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
3.1.3. Processing for Specific, Express, and Legitimate Purposes
The Company clearly and accurately identifies the purpose of processing personal data that is legitimate and lawful. The Company processes them as much as they are connected to the business activity it carries out and necessary for them. The objective of processing the personal data by the Company is identified before the personal data processing activity begins.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
3.1.4. Being Connected, Restricted, and Measured with the Objective of Processing
The Company processes personal data in a manner that is convenient for the achievement of the designated objectives and avoids the processing of personal data not related to the realization of the purpose or not needed.
For example, personal data processing activities are not carried out to fulfill the needs that might take place subsequently.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Gelecekte kullanma ihtimali ile Şirket tarafından kişisel veriler saklanmamaktadır. Bu konu ile ilgili ayrıntılı bilgiye, bu Politika’nın 9. Bölümünde yer verilmiştir.
3.1.5. Retention for the Period stipulated in the respective Legislation or required for the Purpose of processing
The Company keeps personal data only for the period set out in the respective legislation or for the purpose for which they are processed. In this scope, the Company first determines whether a period is stipulated for the storage of personal data in the respective legislation; if a period is stipulated, it acts in compliance with that period; if a period is not stipulated, the personal data is stored for the period required for the purpose for which they are processed. Personal data are deleted, destroyed, or anonymized by the Company in the event of the expiration of the period or the elimination of the reasons requiring their processing.
Personal data are not kept by the Company for the possibility of future use. Detailed information on this subject was included in Chapter 9 of this Policy.
3.2. KİŞİSEL VERİLERİ, KVK KANUNU’NUN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir.
Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirket bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Bu konu ile ilgili ayrıntılı bilgiye, bu Politika’nın 7. Bölümünde yer verilmiştir.
3.2. PROCESSING PERSONAL DATA ON THE BASIS OF ONE OR A FEW OF THE PERSONAL DATA PROCESSING CONDITIONS DESCRIBED IN ARTICLE 5 OF THE PDP LAW AND WITH LIMITATION TO THOSE CONDITIONS
Protection of personal data is a Constitutional right. Fundamental rights and freedoms may only be restricted by law and in line with the reasons set out in the respective articles of the Constitution, without affecting their essence.
In accordance with the third paragraph of article 20 of the Constitution, personal data can only be processed in cases stipulated by the law or with the express consent of the respective person. Accordingly and in compliance with the Constitution, the Company processes personal data only in cases stipulated by law or with the express consent of the respective person. Detailed information on this subject was included in Chapter 7 of this Policy.
3.3. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Şirket, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 10. Bölümünde yer verilmiştir.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirket bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 10. Bölümünde yer verilmiştir.
3.3. ENLIGHTENING AND INFORMING THE PERSONAL DATA OWNER
The Company enlightens Personal Data Owners during the acquisition of personal data in compliance with article 10 of the PDP Law. In this scope, the Company provides information about the identity of its representative, if any, the purpose for which personal data will be processed, to whom and for what purpose the processed personal data can be transferred, the method of personal data collection, and the legal reason and the rights of the personal data owner. Detailed information on this subject was included in Chapter 10 of this Policy.
It is stated in article 20 of the Constitution that everyone is entitled to be informed about his/her personal data. Accordingly, in article 11 of the PDP Law, “request of information” is included among the rights of the personal data owners. In this scope, the Company provides the necessary information if the Personal Data Owner requests information in compliance with article 20 of the Constitution and article 11 of the PDP Law. Detailed information on this issue is provided in Chapter 10 of this Policy.
3.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Şirket tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu’na uygun bir biçimde Şirket tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından
belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
• Kişisel veri sahibinin açık rızası var ise veya
• Kişisel veri sahibinin açık rızası yok ise;
• Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
3.4. PROCESSING OF PRIVATE PERSONAL DATA
The Company sensitively acts in accordance with the regulations stipulated in the PDP Law when processing of personal data determined as “private” by the PDP Law.
In article 6 of the PDP Law, some personal data that have the risk of posing victimization or discrimination when illegally processed are identified as “private.” These data are the ones concerning race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs, clothing; association, foundation, or union membership, health, sexual life, criminal conviction, and security precautions as well as biometric and genetic data.
By the Company, private personal data are processed in compliance with the PDP Law, provided that adequate precautions determined by the PDP Board are taken, in the following cases:
· If the personal data owner has express consent or
· If the personal data owner does not have express consent;
· Private personal data other than the health and sexual life of the personal data owner, in cases stipulated by the law,
· When it comes to the private personal data related to the health and sexual life of the personal data owner, processing by persons or authorized institutions and organizations under the obligation of secrecy for the purpose of conducting some services, planning and managing health services and their financing as well as protection of public health, preventive medicine, medical diagnosis, treatment, and care services.
3.5. KİŞİSEL VERİLERİN AKTARILMASI
Şirket hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak (Bkz. Bölüm 2/Başlık 2.1) kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir (Bkz. Bölüm 6). Şirket bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
3.5.1. Kişisel Verilerin Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
• Kişisel veri sahibinin açık rızası var ise,
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Şirket’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.5. TRANSFER OF PERSONAL DATA
The Company may transfer personal data and private data of the personal data owner to third parties by taking the necessary security precautions (See Section 2/Title 2.1) in line with the legal personal data processing objectives (See Section 6). Accordingly, the Company acts in compliance with the regulations stipulated in article 8 of the PDP Law. Detailed information on this subject was included in Chapter 6 of this Policy.
3.5.1. Transferring of Personal Data
The Company may transfer personal data to third parties on the basis of and with limitation to one or more of the personal data processing conditions listed below, specified in article 5 of the PDP Law, in line with its objectives of personal data processing that are legitimate and in compliance with law:
· If the personal data owner has an express consent,
· If there is an express regulation in the laws concerning the fact that the personal data will be transferred,
· If it is compulsory for the protection of the life or body integrity of the personal data owner or another person and the personal data owner is unable to explain its consent due to actual or legal invalidity, or its consent is not granted legal validity,
· If transfer of personal data belonging to the parties of an agreement is necessary, provided that it is directly related with the establishment or performance of an agreement,
· If transfer of personal data is compulsory for the Company to fulfill its legal obligation,
· If the personal data is made public by the personal data owner,
· If transfer of personal data is compulsory for the establishment, use, or protection of a right,
· If transfer of personal data is compulsory for the legitimate interests of the Company on condition that it will not pose damage on your fundamental rights and freedoms of the personal data owner.
3.5.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak (Bkz. Bölüm 2/Başlık 2.1) ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
• Kişisel veri sahibinin açık rızası var ise veya
• Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
3.5.2. Transfer of Private Personal Data
The Company may transfer private data of the personal data owner to third parties by using due diligence, taking the necessary security precautions (See Section 2/Title 2.1) and taking appropriate precautions stipulated by the PDP Board, in line with the legal personal data processing objectives, in the following cases.
· If the personal data owner has express consent or
· If the personal data owner does not have express consent;
· Private personal data other than the health and sexual life of the personal data owner, in cases stipulated by the law,
· When it comes to the private personal data related to the health and sexual life of the personal data owner, processing by persons or authorized institutions and organizations under the obligation of secrecy for the purpose of conducting some services, planning and managing health services and their financing as well as protection of public health, preventive medicine, medical diagnosis, treatment, and care services.
3.6. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Şirket hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak (Bkz. Bölüm 2/Başlık 2.1) kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
Şirket tarafından; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Şirket bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 6. Bölümünde yer verilmiştir.
3.6. TRANSFER OF PERSONAL DATA ABROAD
The Company may transfer personal data and private data of the personal data owner to third parties by taking the necessary security precautions (See Section 2/Title 2.1) in line with the legal personal data processing objectives.
By the Company; personal data can be transferred to foreign countries (“Foreign Countries with Sufficient Protection”) declared by the PDP Board as countries with sufficient protection and, where there is no sufficient protection, to the foreign countries (“Foreign Country where the Data Controller Committing Sufficient Protection is Present”) where the data controllers in Turkey and in the respective foreign countries have undertaken a sufficient protection in writing and where PDP Board’s permission is present. Accordingly, the Company acts in compliance with the regulations stipulated in article 9 of the PDP Law. Detailed information on this subject was included in Chapter 6 of this Policy
3.6.1. Kişisel Verilerin Yurtdışına Aktarılması
Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket ‘nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.6.1. Transfer of Personal Data Abroad
The Company may transfer personal data to Foreign Countries with Sufficient Protection if the an express consent of personal data owner is present or if the an express consent of personal data owner is not present, to the Foreign Countries where the Data Controller Committing Sufficient Protection is Present, in line with the legal personal data processing objectives in the case of presence of one of the following circumstances:
· If there is an express regulation in the laws concerning the fact that the personal data will be transferred,
· If it is compulsory for the protection of the life or body integrity of the personal data owner or another person and the personal data owner is unable to explain its consent due to actual or legal invalidity, or its consent is not granted legal validity,
· If transfer of personal data belonging to the parties of an agreement is necessary, provided that it is directly related with the establishment or performance of an agreement,
· If transfer of personal data is compulsory for the Company to fulfill its legal obligation,
· If the personal data is made public by the personal data owner,
· If transfer of personal data is compulsory for the establishment, use, or protection of a right,
· If transfer of personal data is compulsory for the legitimate interests of the Company on condition that it will not pose damage on your fundamental rights and freedoms of the personal data owner.
3.6.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak (Bkz. Bölüm 2/Başlık 2.1) ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
Kişisel veri sahibinin açık rızası var ise veya Kişisel veri sahibinin açık rızası yok ise; Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir), kanunlarda öngörülen hallerde, Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
3.6.2. Transfer of Private Personal Data Abroad
The Company may transfer private data of the personal data owner to Foreign Countries with Sufficient Protection or the Foreign Countries where the Data Controller Committing Sufficient Protection is Present, by using due diligence, taking the necessary security precautions (See Section 2/Title 2.1) and taking appropriate precautions stipulated by the PDP Board, in line with the legal personal data processing objectives, in the following cases.
If the personal data owner has express consent or the personal data owner does not have express consent; within the scope of the processing of private personal data other than the health and sexual life of the personal data owner (race, ethnicity, political opinion, philosophical belief, religion, sect or other beliefs, clothing; association, foundation, or union membership, health, sexual life, criminal conviction, and security precautions as well as biometric and genetic data), in cases stipulated by the law, when it comes to the private personal data related to the health and sexual life of the personal data owner, processing by persons or authorized institutions and organizations under the obligation of secrecy for the purpose of conducting some services, planning and managing health services and their financing as well as protection of public health, preventive medicine, medical diagnosis, treatment, and care services.
4. BÖLÜM
4 – ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.
SECTION 4
4 – CATEGORIZATION, OBJECTIVES OF PROCESSING, AND STORAGE PERIODS OF PERSONAL DATA PROCESSED BY OUR COMPANY
The Company informs the personal data owners in compliance with article 10 of the PDP Law, about which personal data of which personal data owner groups are processed, the processing purposes of the personal data of the personal data owners, and storage periods.
4.1. KİŞİSEL VERİLERİN KATEGORİZASYONU
Şirket nezdinde; Şirket’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (Tedarikçi, Müşteri, Ziyaretçi, Üçüncü Kişi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu da işbu Politika’nın 5. Bölümünde belirtilmektedir.
4.1. CATEGORIZATION OF PERSONAL DATA
In the Company, personal data are processed in line with the legitimate and lawful personal data processing objectives of the Company and on the basis of and with limitation to one or more of the personal data processing conditions set out in article 5 of the PDP Law and, complying with the general principles stipulated in the PDP Law as well as the principles and all obligations specified in the PDP Law, in particular the principles specified in article 4 about the processing of personal data, and with limitation to the subjects within the scope of this Policy (Supplier, Customer, Visitor, Third Party, Prospective Employee, Company Shareholder, Company Official, Employees, Shareholders and Officials of Institutions we cooperate) in the following categories, by informing the respective persons in compliance with article 10 of the PDP Law. The data owners, to whom the personal data processed in these categories are related, as regulated under this Policy, are also expressed in Section 5 of this Policy.
KİŞİSEL VERİ KATEGORİZASYONU
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Kimlik Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler
PERSONAL DATA CATEGORIZATION
EXPLANATION OF PERSONAL DATA CATEGORIZATION
Identity Data
They are the data clearly belonging to a real person whose identity is known or identifiable, processed partially or fully and automatically or non-automatically as part of a data recording system, where the information about the identity of the person is present: the documents like driver’s license, identity card, and passport containing information like the name and surname, TR ID number, nationality information, mother’s name and father’s name, place of birth, date of birth, gender, as well as and tax identification number, SGK number, signature information, vehicle number plates, etc.
İletişim Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
Contact Data
Information like telephone number, address, e-mail address, fax number, IP address, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system.
Lokasyon Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin Şirket iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Topluluk şirketlerinin ürün ve hizmetlerinin kullanımı sırasında veya işbirliği içerisinde olduğumuz kurumların çalışanlarının Şirket araçlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler; GPS lokasyonu, seyahat verileri v.b.
Location Data
The information that detects the location of the personal data owner during the use of the products and services of the Group companies or the employees of the institutions we cooperate with when driving the Company vehicles within the frame of the operations carried out by the Company working units, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system; GPS location, travel data, etc.
Fiziksel Mekan Güvenlik Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları,
yüz tanıma kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar v.b.
Physical Space Security Data
Personal data about the records and documents received during an access to a physical space and during the stay in that physical space, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system; camera records, face recognition records, fingerprint records, and records taken at the security point, etc.
Pazarlama Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ürün ve hizmetlerin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler anlamına gelmektedir.
Marketing Data
The personal data processed for marketing the products and services by being customized in line with the use habits, likes, and needs of the personal data owner and the reports and evaluations created upon the processing, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system.
Aile ve Yakını Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket çalışma birimleri tarafından yürütülen operasyonlar çerçevesinde, Şirketin sunduğu ürün ve hizmetlerle ilgili veya Şirket’nin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Family and Relative Data
Within the framework of the operations performed by the working units of the Company, information about the family members of the personal data owner (ex. spouse, mother, father, or children), acquaintances and other persons that can be reached in emergencies, in relation to the products and services offered by the Company or in order to protect the legal and other interests of the Company and the personal data owner, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system.
Görsel ve İşitsel Veri
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler
Audiovisual Data
Photos and camera recordings (save for records within the scope of Physical Space Security Information), sound recordings and data taking place in the documents in the form of a copy of the documents containing personal data, clearly belonging to a real person whose identity is known or identifiable.
Özlük Verisi
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
Personnel Data
All kinds of personal data processed for receiving information that will be the foundation for the formation of rights of the real persons in a working relationship with the Company as personnel, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system.
Özel Nitelikli Kişisel Veri
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (örn. kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)
Private Personal Data
Data set out in article 6 of the PDP Law (like the information on health data including blood group, biometric data, religion, and subscribed association) , clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system.
Diğer
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Şirket’e yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler
Other
Personal data about the receipt and assessment of any request or complaint conveyed to the Company, clearly belonging to a real person whose identity is known or identifiable; processed partially or fully and automatically or non-automatically as part of a data recording system.
4.2. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirket KVK Kanunu’nun 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
• Kişisel verilerinizin işlenmesine ilişkin Şirket’in ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
• Kişisel verilerinizin Şirket tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
• Kişisel verilerinizin işlenmesinin Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından işlenmesi
• Kişisel verilerinizin Şirket tarafından işlenmesinin Şirket’in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
• Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
• Şirket tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
• Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
4.2. PURPOSES OF PROCESSING PERSONAL DATA
The Company processes personal data with limitation to the purposes and provisions in the personal data processing conditions specified in paragraph 2 of article 5 and paragraph 3 of article 6 of the PDP Law. These purposes and provisions are
· The Company’s performance of the respective activities in regards to processing of your personal data is clearly stipulated in the Laws.
· The processing of your personal data by the Company is directly related with and required for the establishment or performance of an agreement.
· Processing of your personal data is compulsory for the Company to fulfill its legal obligation
· On condition that your personal data is made public by you, their processing by the Company in a manner that is limited with the purpose of your making public
· Processing of your personal data by the Company is compulsory for the establishment, use, or protection of the rights of the Company or you or third parties
· Performing personal data processing activities is compulsory for the legitimate interests of the Company on condition that it will not pose damage on your fundamental rights and freedoms
· Processing of your personal data by the Company is compulsory for the protection of the life or body integrity of the personal data owner or another person, and, in this case, the personal data owner is unable to explain its consent due to actual or legal invalidity
· Stipulation in laws in terms of private personal data other than the health and sexual life of the personal data owner
· When it comes to the private personal data related to the health and sexual life of the personal data owner, processing by persons or authorized institutions and organizations under the obligation of secrecy for the purpose of conducting some services, planning and managing health services and their financing as well as protection of public health, preventive medicine, medical diagnosis, treatment, and care services.
Bu kapsamda Şirket, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans Ve Muhasebe İşlerinin Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
• Şirket araçlarının güvenliğinin sağlanması amacı ile taşıt tanıma ile takip edilmesi
• Web sitesi ziyeretçilerinin, web sitesi kullanım kolaylığının sağlanması
• Fiziksel Mekan Güvenliğinin Temini
• Diğer
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen şartlardan
herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız
temin edilmektedir.
In this context, the Company processes your personal data for the following purposes:
· Execution of the Prospective Employee/Intern/Student Selection and Placement Processes
· Execution of the Prospective Employee Application Processes
· Fulfillment of the Obligations arising from the Employment Agreement and the Legislation
· Execution of the Processes of Ancillary Rights and Benefits for Employees arising from the Legislation
· Execution of the Finance and Accounting Works
· Execution of the Communication Activities
· Execution/Audit of the Business Activities
· Execution of the Occupational Health/Safety Activities
· Execution of the Agreement Processes
· Informing the Authorized Persons, Institutions, and Organizations
· Tracking Company vehicles with vehicle recognition for ensuring the safety of them
· Ensuring the facilitation of the website utilization by website visitors
· Ensuring the safety of physical spaces
· Other
In the event that the processing activity carried out for the foregoing purposes fails to fulfill the conditions stipulated under the PDP Law, your express consent about the respective processing process is obtained by the Company.
4.3. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Şirket, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen
süre boyunca saklamaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 9. Bölümünde yer verilmiştir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.3. PERIODS OF RETENTION OF PERSONAL DATA
If it is stipulated in the respective laws and regulations, the Company stores personal data for the period specified in those laws and regulations.
If no period is regulated in the legislation about how long the personal data must be stored, the personal data is processed for a period that requires processing in compliance with the practices of the Company and commercial life, depending on the activity performed by of the Company when processing those data and then deleted, destroyed, or anonymized. Detailed information regarding this issue is provided in Chapter 9 of this Policy.
In the event that the purpose of processing personal data has come to an end and the safekeeping periods determined by the respective legislation and the Company have expired, the personal data can be stored only to provide evidence in possible legal disputes or to assert the respective right relating to personal data or to establish a defense. In the establishment of the periods specified here, the safekeeping periods are determined on the basis of the time lapse periods for claiming the said right and examples made in the requests made to the Company on the same issues beforehand despite the fact that the time lapse periods have expired. In this case, the stored personal data are not accessed for any other purpose and access to respective personal data is provided only when it is needed to be used in the respective legal dispute. Also following the end of above-mentioned period, personal data are deleted, destroyed, or anonymized.
5. BÖLÜM
5 – ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
Şirket tarafından, aşağıda sıralanan kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politika’nın uygulama kapsamı Tedarikçiler, Müşteriler, Ziyaretçiler, Üçüncü Kişiler, Çalışan Adayları, Çalışanlar, Şirket Hissedarları/Ortakları, Şirket Yetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri ile sınırlıdır.
Şirket tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVK Kanunu kapsamında Şirket’e taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınacaktır.
Aşağıda işbu Politika kapsamında yer alan Tedarikçiler, Müşteriler, Ziyaretçi, Üçüncü Kişi, Çalışan Adayı, Çalışanlar, Şirket Hissedarı/Ortağı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri kavramlarına açıklık getirilmektedir.,
SECTION 5
5 – CATEGORIZATION FOR THE OWNERS OF THE PERSONAL DATA PROCESSED BY THE COMPANY
While the personal data of the categories of personal data owners listed below are processed by the Company, the scope of application of this Policy is limited to Suppliers, Customers, Visitors, Third Persons, Prospective Employees, Employees, Company Shareholders/Partners, Company Officials, as well as the Employees, Shareholders, and Officials of the Institutions we collaborate with.
In spite of the fact that the categories of persons whose personal data are processed by the Company are within the above-mentioned scope, the persons who remain outside of those categories will be able to furnish direct their requests to the Company within the scope of the PDP Law as well and the requests of those persons will also be assessed within the scope of this Policy.
Below, the concepts of Suppliers, Customers, Visitors, Third Persons, Prospective Employees, Employees, Company Shareholders/Partners, Company Officials, as well as the Employees, Shareholders, and Officials of the Institutions we collaborate with are clarified.
Kişisel Veri Sahibi Kategorisi Açıklaması
Şirket Müşterisi
Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket çalışma birimlerinin yürüttüğü operasyonlar kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler
Explanation of Personal Data Owner Category
Company Customer
The natural persons whose personal data are obtained due to business relations within the scope of the operations conducted by the Company’s working units, regardless of whether they have an agreement relationship with the Company or not.
Ziyaretçi
Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler
Visitor
The natural persons who enter the physical facilities possessed by the Company for various purposes or visit the websites
Üçüncü Kişi
Bu Politika kapsamına girmeyen diğer gerçek kişiler (Örn. Kefil, refakatçi, aile bireyleri ve yakınlar, eski çalışanlar)
Third Party
Other natural persons who are not covered by this Policy (ex. A guarantor, accompanying person, family members and acquaintances, or former employees)
Çalışan Adayı
Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler
Prospective Employee
The natural persons who have made a job application to the Company in any manner or opened their CVs and related information for the scrutiny of the Company
Çalışan
Şirket nezdinde 4857 Sayılı İş Kanunu
kapsamında istihdam edilen gerçek kişiler
Employee
The natural persons who are employed in the Company within the scope of the Labor Act No 4857
Şirket Hissedarı/Ortağı
Şirket’in hissedarı gerçek kişiler Şirket Yetkilisi Şirket’in yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
Company Shareholder/Partner
The natural persons who are a Company shareholder, Company official, member of the board of directors of the Company, and other authorized natural persons
Kiracılar
212 Alışveriş Merkezinde mağaza veya satış alanlarını kiralama yoluyla kullanan gerçek veya tüzel kişiler
Lessee
The natural or legal persons who use the stores or sales areas in 212 Shopping Center by way of renting
Kiracı Çalışanı
212 AVM Kiracıları ile iş ilişkisi içerisinde olan gerçek kişiler
Lessee Employee
The natural persons who are in a business relationship with the lessees of 212 Shopping Center
Kiracı Tedarikçileri
Kiracı ile Sözleşme İlişkisi İçerisinde Olunan 3. Kişiler
Lessee Supplier
The third parties in a contractual relationship with the lessees
212 AVM
Kiracıları ile çeşitli amaçlar için sözleşme ilişkisi içerisinde bulunan (iş ortağı, tedarikçi gibi ancak bunlarla sınırlı olmaksızın) gerçek ve tüzel kişiler.
212 Shopping Center
The natural or legal persons (including but not limited to the associates or suppliers) who have contractual relationship with the lessees for various purposes.
Kampanya Katılımcısı
212 Alışveriş Merkezi’nin sunmuş olduğu Kampanyalardan, hizmetlerden faydalanmak için 212 Alışveriş Merkezi’ni ziyaret eden, kampanyalara katılım sağlayan gerçek kişiler.
Campaign Participant
The natural persons who visit 212 Shopping Center to benefit from the campaigns and services provided by 212 Shopping Center and participated in the campaigns.
İşbirliği İçinde Olunan Kurumların (Tedarikçiler,Danışmanlar..vb) Çalışanları, Hissedarları ve Yetkilileri
Şirket’in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler
Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin
hangi tip kişisel verilerin işlendiği detaylandırılmaktadır.
Employees, Shareholders, and Officials of the Institutions (Suppliers, Consultants, etc.) in Collaboration
The natural persons (including but not limited to the associates or suppliers) who work in the institutions with which the Company has all kinds of business relationship, which include the shareholders and officials of those institutions.
In the following table, the categories of personal data owners mentioned above and the processed types of personal data of those persons in those categories are detailed.
KİŞİSEL VERİ KATEGORİZASYONU
İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ KATEGORİSİ
Kimlik Verisi
Çalışan Adayı, Çalışan, Tedarikçi Yetkilisi, Tedarikçi
Çalışanı, Kiracı Çalışanları, Kiracı Tedarikçileri, Kiracılar,
Kampanya Katılımcısı, Ziyaretçi, Web ziyaretçi
PERSONAL DATA CATEGORIZATION
THE DATA OWNER CATEGORY WITH WHICH THE RESPECTIVE PERSONAL DATA IS RELATED
Identity Data
Prospective Employee, Employee, Supplier Official, Supplier
Employee, Lessee Employees, Lessee Suppliers, Lessees,
Campaign Participant, Visitor, Web Visitor
İletişim Verisi
Çalışan Adayı, Çalışan, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Kiracı Çalışanları, Kiracı Tedarikçileri, Kiracılar, Kampanya Katılımcısı, Ziyaretçi, Web ziyaretçi
Communication Data
Prospective Employee, Employee, Supplier Official Employee, Lessee Employees, Lessee Suppliers, Lessees, Campaign Participant, Visitor, Web Visitor
Lokasyon Verisi
Çalışan Fiziksel Mekan Güvenlik Verisi
Çalışan Adayı, Çalışan, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Ziyaretçi, Hissedar/Ortak, Kiracı Çalışanları, Kiracı Tedarikçileri, Kiracılar, Kampanya Katılımcısı, Ziyaretçi, Web ziyaretçi
Location Data
Physical Space Security Data for Employees
Prospective Employee, Employee, Supplier Official, Supplier Employee, Visitor, Shareholder/Partner, Lessee Employees, Lessee Suppliers, Lessees, Campaign Participant, Visitor, Web Visitor
Pazarlama Verisi
Tedarikçi, Ziyaretçi, Web Ziyaretçi, Kampanya Katılımcısı,
Marketing Data
Supplier, Visitor, Web Visitor, Campaign Participant,
İşlem Güvenliği Verisi
Çalışan Adayı, Çalışan, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Ziyaretçi, Web Ziyaretçi, Hissedar/Ortak, Kiracı Çalışanları, Kiracı Tedarikçileri, Kiracılar, Kampanya Katılımcısı, Ziyaretçi, Web ziyaretçi
Transaction Security Data
Prospective Employee, Employee, Supplier Official, Supplier Employee, Visitor, Web Visitor, Shareholder/Partner, Lessee Employees, Lessee Suppliers, Lessees, Campaign Participant, Visitor, Web Visitor
Aile ve Yakını Verisi
Çalışan, Çalışan Adayı
Family and Acquaintance Data
Employee, Prospective Employee
Görsel ve İşitsel Veri
Çalışan Adayı, Çalışan, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Ziyaretçi, Hissedar/Ortak, Kiracı Çalışanları, Kiracı Tedarikçileri, Kiracılar, Kampanya Katılımcısı, Ziyaretçi, Web ziyaretçi
Audiovisual Data
Prospective Employee, Employee, Supplier Official, Supplier Employee, Visitor, Shareholder/Partner, Lessee Employee, Lessee Supplier, Lessees, Campaign Participant, Visitor, Web Visitors
Özlük Verisi
Çalışan
Personnel Data
Employee
Özel Nitelikli Kişisel Veri
Çalışan Adayı, Çalışan
Private Personal Data
Prospective Employee, Employee
Diğer
Çalışan Adayı, Çalışan, Tedarikçi Yetkilisi, Tedarikçi Çalışanı, Ziyaretçi, Web Ziyaretçi, Hissedar/Ortak, Kiracı Çalışanları, Kiracı Tedarikçileri, Kiracılar, Kampanya Katılımcısı, Ziyaretçi, Web ziyaretçi
Other
Prospective Employee, Employee, Supplier Official, Supplier Employee, Visitor, Web Visitor, Shareholder/Partner, Lessee Employee, Lessee Supplier, Lessee, Campaign Participant, Visitor, Web Visitor
6. BÖLÜM
6 – ŞİRKET TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
Şirket KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak (Bkz. Bölüm 3/Başlık 3.5) Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
(i) Şirket iş ortaklarına,
(ii) Şirket tedarikçilerine,
(iii) Şirket şirketlerine,
(iv) Şirket ortaklarına/hissedarlarına,
(v) Şirket şirket yetkililerine,
(vi) Hukuken Yetkili kamu kurum ve kuruluşlarına
(vii) Hukuken yetkili özel hukuk kişilerine
SECTION 6
6 – THE THIRD PARTIES TO WHICH THE PERSONAL DATA IS TRANSFERRED BY THE COMPANY AND THE OBJECTIVES OF THE TRANSFER
The Company informs personal data owners regarding the groups of persons to whom personal data are transferred in compliance with article 10 of the PDP Law.
The Company may, pursuant to articles 8 and 9 of the PDP Law (See Section 3/Title 3.5), transfer the personal data of data owners managed by the Policy to the following categories of persons:
(i) Company associates,
(ii) Company suppliers,
(iii) Company firms,
(iv) Company partners/shareholders,
(v) Company firms’ officials,
(vi) Legally authorized public institutions and organizations
(vii) Legally authorized private legal persons
7. BÖLÜM
7 – KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibini aydınlatmaktadır.
SECTION 7
7 – PROCESSING OF PERSONAL DATA ON THE BASIS OF THE CONDITIONS OF PROCESSING IN THE LAW AND WITH RESTRICTION TO THOSE CONDITIONS
Company enlightens the personal data owner about the personal data processed in compliance with article 10 of the PDP Law.
7.1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1.1. Kişisel Verilerin İşlenmesi
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda bu bölüm altında 7.1.2. başlığı içerisinde yer alan şartlar uygulanır.
Şirket tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde KVK Kanunu’nun 4. maddesinde belirtilen (Bkz. Bölüm 3.1.) genel ilkelere uygun olarak hareket edilmektedir.
7.1. PROCESSING OF PERSONAL DATA AND PRIVATE PERSONAL DATA
7.1.1. Processing of Personal Data
The grant of his/her express consent by a personal data owner is only one of the legal justifications that allow the processing of personal data in compliance with the law. Apart from express consent, the personal data can also be processed in the existence of one of the other conditions set out below. The justification of the personal data processing activity can be only one of the conditions stated below and more than one of those conditions can also constitute the justification of the same personal data processing activity. In the event that the processed data are private personal data, the conditions in this section under the title of 7.1.2. below are implemented.
Even though the legal justifications for the processing of personal data by the Company vary, the general principles specified in article 4 of the PDP Law (See Section 3.1.) are adhered to in all kinds of personal data processing activities.
(i) Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kişisel verilerin elde edilme sebeplerine yönelik işleme amacının (birincil işleme) dışındaki kişisel veri işleme faaliyetleri için (ikincil işleme) işbu başlığın (ii), (iii), (iv) (v), (vi), (vii) ve (viii)’de yer alan şartlardan en az biri aranmakta; bu şartlardan biri yok ise, Şirket tarafından bu kişisel veri işleme faaliyetleri kişisel veri sahibinin bu işleme faaliyetlerine yönelik açık rızasına dayalı olarak gerçekleştirilmektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, kişisel veri sahiplerinin ilgili yöntemler ile açık rızaları alınmaktadır.
(i) Presence of the Express Consent of Personal Data Owners
One of the conditions for processing personal data is the express consent of the owner of them. The express consent of the personal data owner must be disclosed on the basis of the provision of information on a specific subject and through free will.
For personal data processing activities (secondary processing) other than the objective of processing (primary processing) oriented to the purposes of obtaining personal data, at least one of the conditions taking place in (ii), (iii), (iv) (v), (vi), (vii), and (viii) of this heading is sought; if one of those conditions is not present, the personal data processing activities are carried out by the Company on the basis of the express consent of the personal data owner to these processing activities.
For the personal data to be processed in line with grant of the express consent by the personal data owner, the express consents of personal data owners are received by means of respective methods.
(ii) Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Örnek: Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi.
(ii) Express Stipulation in the Laws
Personal data of the data owner may be processed in compliance with the law if expressly stipulated in the law.
Example: Inclusion of the name of the respective person on an invoice in compliance with article 230 of the Tax Procedure Law.
(iii)Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek: Genel Kurul’da baygınlık geçiren hissedarın/ortağın kimlik bilgilerinin şirket çalışanı tarafından doktorlara verilmesi.
(iii) Failure to Obtain Express Consent of the Respective Person due to Physical Impossibility
In the event that it is mandatory to process the personal data of a person who is unable to disclose his/her consent due to actual impossibility or whose consent cannot be validated, or to protect the life or body integrity of another person, the personal data of the data owner might be processed.
Example: delivery of the identity information of a shareholder/partner who fainted at a General Assembly meeting by a Company employee to physicians.
(iv) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Örnek: İş ortağı danışman ile akdedilen danışmanlık sözleşmesinin ifası için, danışmana ödeme yapılabilmesi amacıyla, danışmanın banka hesap bilgisinin elde edilmesi.
(iv) Direct Relation to the Establishment or Performance of an Agreement
On condition that it is directly related to the establishment or performance of an agreement, it is possible to process personal data if it is necessary to process the personal data of the parties of the agreement.
Example: For the performance of a consultancy agreement entered into with an associate consultant, receiving the consultant’s bank account information to make payment to him/her.
(v) Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu
olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek: Mahkeme kararıyla talep edilen bilgilerin mahkemeye sunulması.
(v) The Company’s Fulfillment of its Legal Obligation
In the event that processing is necessary for the Company to fulfill its legal obligations as a data controller, the personal data of the data owner may be processed.
Example: Presenting information requested by a court decision to that court.
(vi) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
Örnek: Çalışan adayının iletişim bilgilerini, iş başvurusu yapılmasına imkan veren internet sitelerinde yayımlanması.
(vi) Making the Personal Data of the Personal Data Owner Anonymous
If the data owner has made his/her personal data anonymous by himself/herself, the respective personal data can be processed.
Example: Publishing the contact information of a prospective employee on websites that allow job applications.
(vii) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir.
Örnek: İspat niteliği olan verilerin (örneğin bir faturanın) saklanması ve gerekli olduğu anda kullanılması.
(vii) Data Processing is Mandatory for the Establishment or Protection of a Right
If data processing is mandatory for the establishment, exercise, or protection of a right, the personal data of the personal data owner may be processed.
Example: Keeping the data that is in the form of evidence (ex. an invoice) and using it when required.
(viii) Şirket’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri verileri işlenebilecektir.
Örnek: Holding’e ait bina ve tesislerde güvenlik amaçlı olarak kamera kaydı yapılması.
(viii) Obligation of Data Processing for the Legitimate Interest of
the Company
Provided that it will not inflict damage on the fundamental rights and freedoms of the personal data owner, the data may be processed if it is required for the legitimate interests of the Company.
Example: Camera recording in the buildings and facilities of the Holding for security reasons.
7.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
(i) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
(ii) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
7.1.2. Processing of Private Personal Data
If the express consent of the personal data owner is not available, the private personal data are processed only in the following cases, provided that appropriate precautions designated by the PDP Board are taken:
(i) Private personal data other than the health and sexual life of the personal data owner, in the circumstances stipulated by the law,
(ii) In the event of the private personal data related to the health and sexual life of the personal data owner, processing by persons or authorized institutions and organizations under the obligation of secrecy for the purpose of conducting some services, planning and managing health services and their financing as well as protection of public health, preventive medicine, medical diagnosis, treatment, and care services.
8. BÖLÜM
8– BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSE VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ
Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
Şirket tarafından güvenliğin sağlanması amacıyla, Şirket binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirket tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
SECTION 8
8 – PERSONAL DATA PROCESSING ACTIVITIES IN THE BUILDING, FACILITY ENTRANCES, AND INSIDE THE BUILDING FACILITY AND WEBSITE VISITORS
Personal data processing activities conducted by the Company at the entrances of the building and inside the facility are carried out in compliance with the Constitution, PDP Law, and other respective legislation.
The Company conducts personal data processing activities in the Company buildings and facilities for monitoring guest entrances and exits with security cameras to ensure security by the Company.
Personal data processing activities are carried out by the Company by means of using security cameras and recording guest entrances and exits.
8.1. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Bu bölümde Şirket’in kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır.
Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
8.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı
Şirket tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
8.1. THE CAMERA MONITORING ACTIVITY IN THE BUILDING, FACILITY ENTRANCES, AND INSIDE THE COMPANY
In this section, explanations about the camera monitoring system of the Company and information on how personal data, privacy, and fundamental rights of a person are protected will be provided.
Within the scope of the security camera-monitoring activity of the Company, targets such as protecting the interests of the Company and other people in terms of their security are set.
8.1.1. Legal Justification for Camera Monitoring
The camera monitoring activity carried out by the Company is continued in accordance with the Law on Private Security Services and respective legislation.
8.1.2. KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
Şirket tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
8.1.2. Monitoring Activity with Security Cameras as per the PDP Law.
The Company acts in compliance with the regulations in the PDP Law in performing camera-monitoring activities for security purposes. The Company carries out security camera monitoring activities to ensure security in its buildings and facilities, for the purposes stipulated in the legislation in force, and in compliance with the personal data processing conditions listed in the PDP Law.
8.1.3. Kamera ile İzleme Faaliyetinin Duyurulması
Şirket tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Şirket, genel hususlara ilişkin olarak yaptığı aydınlatmanın (Bkz. Bölüm 3/Başlık 3.5) kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır.
Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; Şirket internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).
8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
Şirket, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve
ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır.
Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.
8.1.3. Announcement of Camera Monitoring Activity
Personal data owners are enlightened in compliance with article 10 of the PDP Law. The Company informs through multiple methods concerning the disclosure about the camera monitoring in view of general issues (See Section 3/Title 3.5).
This way, the objective is to prevent damage to the fundamental rights and freedoms of the personal data owners and to ensure transparency and enlightenment of the personal data owner.
In terms of the camera monitoring activity by the Company, this Policy is published on the Company website (online policy regulation) and a notification text about the monitoring to be conducted is posted at the entrances of the areas where monitoring is performed (on-site enlightenment).
8.1.4. The Objective of conducting Camera Monitoring Activities and Limitation with the Objective
Company processes personal data in a manner that is measured, limited, and connected with the purpose for which they are processed, in compliance with article 4 of the PDP Law.
The objective of the Company in maintaining the video camera monitoring activity is limited to the purposes set out in this Policy. Accordingly, the monitoring areas of the security cameras, their number, and the times when monitoring will be conducted are put into service in order to achieve the security objective, as sufficient and limited to the objective.
The areas (for example, toilets) that may result in intervention with the privacy of the persons that surpasses security objectives are not made subject to monitoring.
8.1.5. Elde Edilen Verilerin Güvenliğinin Sağlanması
Şirket tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. (Bkz. Bölüm 2/Başlık 2.1)
8.1.5. Ensuring the Security of the Data acquired
The technical and administrative precautions required to ensure the security of personal data acquired as a result of camera monitoring are taken by the Company in accordance with article 12 of the PDP Law. (See Section 2/Title 2.1)
8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
Şirket’in, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri isimli 4.3. maddesinde yer verilmiştir.
8.1.6. Period of Retention of Personal Data acquired via Camera Monitoring Activity
Detailed information on the period of retention of personal data acquired via camera monitoring activity of the Company is provided in article 4.3. of this Policy under the title of The Periods of Retention of Personal Data.
8.1.7. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8.1.7. The Persons who can access the Information acquired via Monitoring and the ones to whom such Information is transferred
Only a limited number of Company employees have access to live camera footage and records made and safeguarded in a digital environment. The limited number of people who have access to the records declare that they will preserve the confidentiality of the data to which they have access, through a deed of privacy commitment.
8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
8.2. MONITORING OF GUEST MOVEMENTS OF ENTERING AND EXITING AT THE BUILDING AND FACILITY ENTRANCES AND INSIDE THE COMPANY
Personal data processing activities are conducted by the Company for ensuring security and for the purposes set out in this Policy, in terms of monitoring guests’ movements of entering and exiting the buildings and facilities of the Company.
The personal data owners are enlightened within this scope when obtaining the names and surnames of persons who come to the Company buildings as guests or by means of texts posted inside the Company or presented to guests in other methods. The data received for monitoring guests’ movements of entering and exiting are processed only for this purpose and the respective personal data are recorded in the data recording system in a physical environment.
8.3. ŞİRKET BİNA VE TESİSLERİNDE ZİYARETÇİ’LERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
Şirket tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; Şirket tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçi’lerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır.
Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
8.3. RETENTION OF THE RECORDS OF THE INTERNET ACCESS PROVIDED TO OUR VISITORS IN THE COMPANY BUILDINGS AND FACILITIES
Internet access may be provided by the Company to our visitors who request it during their stay in our buildings and facilities for ensuring security by the Company and for the purposes set out in this Policy. In this case, the log records concerning your internet access are kept in compliance with the governing provisions of the Law No. 5651 and the legislation arranged in view of that Law and those records are processed only when requested by authorized public institutions and organizations or for fulfilling our legal obligation during the audit processes to be conducted in the Company.
Only a limited number of Company employees have access to the log records received in this scope. The Company employees who have access to the said records access those records only for using them during audit processes or upon the request from the authorized public institutions and organizations and share them with legally authorized persons.
The limited number of people who have access to the records declare that they will preserve the confidentiality of the data to which they have access, through a deed of privacy commitment.
8.4. İNTERNET SİTESİ ZİYARETÇİLERİ
Şirket sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Kurabiyeler-cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir.
Şirket yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin “Şirket Çerez Politikası” metinleri içerisinde yer almaktadır.
8.4. WEBSITE VISITORS
The internet activities within the websites owned by the Company are recorded by technical means (ex. cookies) to ensure that those people who visit the sites conduct their visits in keeping with their visiting purposes on the sites, to be able to show them customized content, and to perform online advertising operations.
Detailed explanations on safeguarding and processing of personal data about the said activities conducted by the Company are included in the “Company Cookie Policy” texts of the respective websites.
9. BÖLÜM
9 – KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Şirket, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. Maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
SECTION 9
9 – CONDITIONS OF DELETING, DESTROYING, AND ANONYMIZING PERSONAL DATA
Personal data are deleted, destroyed, or anonymized upon the Company’s own decision or the request of the personal data owner if the reasons requiring their processing are no longer present although they have been processed in compliance with the provisions of the respective law as regulated in article 138 of the Turkish Penal Code and article 7 of the PDP Law.
9.1. ŞİRKET’İN KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ
Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kararına istinaden veya kişisel veri sahibinin talebi üzerine kişiselveriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Şirket ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
9.1. OBLIGATION OF THE COMPANY TO DELETE, DESTROY, AND ANONYMIZE PERSONAL DATA
Personal data are deleted, destroyed, or anonymized upon the Company’s own decision or the request of the personal data owner if the reasons requiring their processing are no longer present although they have been processed in compliance with the provisions of the respective law as regulated in article 138 of the Turkish Penal Code and article 7 of the PDP Law. In this scope, the Company fulfills its obligation through the methods described in this section.
9.2. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
9.2.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Şirket ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Şirket tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
9.2. TECHNIQUES OF DELETING, DESTROYING, AND ANONYMIZING PERSONAL DATA
9.2.1. Techniques of Deleting and Destroying Personal Data
The Company may delete, destroy, or anonymize personal data upon its own decision or the request of the personal data owner if the reasons requiring their processing are no longer present although they have been processed in compliance with the provisions of the respective law. The deletion or destruction techniques most commonly used by the Company are listed below:
(i) Fiziksel Olarak Yok Etme (Physical Destruction)
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
(i) Physical Destruction
Personal data may also be processed in non-automatic methods, provided that it is a part of any data recording system. When those data are deleted/destroyed, a system of physical destruction of personal data in a manner that it will not be possible to use them subsequently is implemented.
(ii) Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
(ii) Secure Deletion from Software
When those data processed by fully or partially automatic ways and stored in digital environments are deleted/destroyed, the methods of deleting the data from the respective software in a manner that cannot be recovered once again are used.
(iii) Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)
Şirket bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
(iii) Sending to a Specialist for Secure Deletion
The Company may, in some cases, agree with a specialist to delete personal data on its behalf. In such case, the personal data are securely deleted/destroyed by the person specialized in this issue in a manner that cannot be recovered once again are used.
9.2.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Şirket, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politika’nın 10. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır. Şirket tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
9.2.2. Techniques of Anonymizing Personal Data
The meaning of anonymization of personal data is to render personal data un-relatable with natural person whose identity is known or identifiable, in manner whatsoever, even by way of matching other data.
The Company may anonymize personal data when the reasons for the processing of the legally-processed personal data disappear.
Anonymized personal data may be processed for purposes like research, planning, and statistics in compliance with article 28 of the PDP Law. Such processing operations are outside the scope of the PDP Law and the express consent of the personal data owner will not be sought. As the personal data processed by means of anonymization will be outside the scope of the PDP Law, the rights regulated in Section 10 of the Policy will not apply to those data.
The anonymization techniques most widely used by the Company are as follows:
(i) Maskeleme (Masking)
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.
(i) Masking
It is a method of anonymization of personal data by way of extracting the basic identifying information of personal data from the data set through data masking.
Example: By extracting the information like the name, TR ID Number, etc. that makes it possible to identify a personal data owner, its conversion into a data set where identifying the personal data owner becomes impossible.
(ii) Toplulaştırma (Aggregation)
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek: Çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.
(ii) Aggregation
Numerous data are aggregated and personal data is rendered un-relatable to any person via the data aggregation method.
Example: Demonstrating that there are Z numbered employees at the age of X without showing the employees’ ages one by one.
(iii) Veri Türetme (Data Derivation)
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
(iii) Data Derivation
A more general content is created from the content of the respective personal data and those personal data is made un-relatable to any person by means of the data derivation method.
Example: Expressing ages instead of birth dates and expressing regions of residence rather than full addresses.
(iv) Veri Karma (Data Shuffling, Permutation)
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.
(iv) Data Shuffling, Permutation
It is ensured by shuffling the values in the personal data set through the data shuffling method that the connection between values and persons is broken.
Example: By changing the nature of sound recordings, rendering the voices and data owners un-relatable.
10. BÖLÜM
10 – KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Şirket, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
SECTION 10
10 – RIGHTS OF PERSONAL DATA OWNERS; THE METHODOLOGY OF USE AND ASSESSMENT OF THOSE RIGHTS
The Company informs personal data owners about their rights in compliance with article 10 of the PDP Law, provides guidance to the personal data owners about how to use those rights; the Company executes the necessary channels, internal functioning, and administrative and technical arrangements in compliance with article 13 of the PDP Law for evaluating the rights of the personal data owners and informing them.
10.1 VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
10.1.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
10.1 RIGHTS OF THE DATA OWNERS AND THEIR USE OF THOSE RIGHTS
10.1.1. Rights of Personal Data Owners
Personal data owners have the rights set out below:
1. To learn whether the personal has been processed or not,
2. If personal data has been processed, to request information about it,
3. To learn the objective of the processing activity and whether they are used in accordance with the objective or not,
4. To know the to third parties to which personal data are transferred domestically or abroad,
5. If personal data is incompletely or incorrectly processed, to request that they are corrected and to request that the action taken in this scope is made known to the third parties to which the personal data are transferred,
6. To request that the personal data will be deleted or destroyed in the event that the reasons requiring its processing are no longer present even if the personal data have been processed in compliance with the provisions of the Law and other respective laws and to request that the action taken in this scope is made known to the third parties to which the personal data are transferred.
7. To raise objection to the results against the respective person that emerge because of the analysis of the personal data processed exclusively through automated systems,
8. If it incurs damage due to illegal processing of personal data, to request the elimination of the damage.
10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, KVK Kanunu’nun 28. addesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 10.1.1.’de sayılan haklarını ileri süremezler:
1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 10.1.1.’de sayılan diğer haklarını ileri süremezler:
1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
10.1.2. The Circumstances that Personal Data Owners may not assert their Rights
Pursuant to article 28 of the PDP Law, personal data owners cannot assert the rights of personal data owners, listed in paragraph 10.1.1., on these topics, as the following circumstances are excluded from the scope of the PDP Law:
1. Processing of personal data for the purposes like research, planning, and statistics by making them anonymous with official statistics.
2. Processing of personal data for artistic, historical, literary, or scientific purposes or within the scope of freedom of expression, provided that it will not violate national defense, national security, public security, public order, economic security, privacy of private life, or personal rights or constitute a felony.
3. Processing of personal data within the scope of preventive, protective, and intelligence activities carried out by public institutions and organizations authorized by law to ensure national defense, national security, public security, public order, or economic security.
4. Processing of personal data by judicial authorities or execution authorities in relation to investigation, prosecution, trial, or execution proceedings.
Pursuant to article 28/2 of the PDP Law, personal data owners cannot assert the rights listed in paragraph 10.1.1., save for the right of compensation of damages, in the following circumstances:
1. Processing of personal data because it is necessary for the prevention of crime or for a criminal investigation.
2. Processing personal data made public by the personal data owner itself.
3. Processing of personal data is necessary for the execution of supervision or regulation duties and for disciplinary investigation or prosecution by authorized and authorized public institutions and organizations and professional organizations that act in the form of public institutions on the basis of the authority granted by law
4. Processing of personal data is necessary for the protection of the economic and financial interests of the State about budget, tax, and financial issues.
10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri bu bölümün 10.1.1. Başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak iletebileceklerdir:
1. www.212istanbul.com adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile 212İstanbul Alışveriş Merkezi yönetim ofisi Mahmutbey Merkez Mh.Taşocağı Cd. No:5 Bağcılar-İstanbul adresine iletilmesi
2. www.212istanbul.com adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı formun edipuluslararasigayrimenkul@hs03.kep.tr adresine kayıtlı elektronik posta ile gönderilmesi Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
10.1.3. Use of their Rights by Personal Data Owners
Personal Data Owners will be able to furnish their requests about their rights listed under the title of 10.1.1 of this section to the Company free of charge by filling and signing the Application Form and by using the following methods or other methods determined by the Personal Data Protection Board together with the information and documents that will identify their identity:
1. After filling the form on www.212istanbul.com, a wet-signed copy of it will be delivered by hand or through a notary public to 212Istanbul Shopping Center management office Mahmutbey Merkez Mh.Taşocağı Cd. No: 5 Bağcılar-Istanbul.
2. After filling the form on www.212istanbul.com and signing with your “secure electronic signature” within the scope of Electronic Signature Law No: 5070, the form with the secure electronic signature will be sent by registered e-mail to the address of uluslararasigayrimenkul@hs03.kep.tr. For third parties to apply on behalf of the personal data owners, there must be a special power of attorney drawn up by the data owner through a notary public on behalf of the person who will apply.
10.1.4. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirket’in cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
10.1.4. Right of a Personal Data Owner to file a Complaint to the PDP Board
In the event that the application is rejected and the response is considered insufficient or the application is not responded on time pursuant to article 14 of the PDP Law, the personal data owner may file a complaint to the PDP Board within thirty days from the date of learning the Company’s answer, and in any event in sixty days from the date of application.
10.2. ŞİRKET’İN BAŞVURULARA CEVAP VERMESİ
Şirket ile sözleşmesel ilişkisi olan Şirketlerin kişisel veri işleme faaliyetleri ile ilgili başvuruların ilgili Şirkete yapılması gerekmektedir. Şirket’e yalnızca Şirket’in KVK Kanunu kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Şirket’in doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Şirket ile Şirket arasındaki veri paylaşımının KVK Kanunu kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, ilgili Şirketin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Şirket’e değil, ilgili Şirkete yapılması gerekmektedir.
10.2. THE COMPANY’S ANSWER TO APPLICATIONS
Applications about the personal data processing activities of the companies that have an agreement relationship with the Company must be filed to the respective company. An application must be made to the Company only in cases where the Company is considered as the data controller in accordance with the PDP Law. This situation may be in question in cases where the Company collects personal data directly from the respective person or the data sharing between the respective company and the Company is considered as a data transfer from a data controller to a data controller pursuant to the PDP Law. Apart from them, the applications about personal data processing activities for which the respective company is considered as the data controller must be made to the respective company, not to the Company.
10.2.1. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 10.1.3. başlıklı kısmında yer alan usule uygun olarak talebini Şirket’e iletmesi durumunda Şirket talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Şirket tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
10.2.1. The Procedure and Period of the Company to respond to Applications
In the event that the personal data owner presents its request in accordance with the procedure set out the in section titled 10.1.3. to the Company, the Company will conclude the request free of charge in maximum thirty days depending on the nature of the request. Nevertheless, if a fee is stipulated by the PDP Board, the fee in the tariff determined by the PDP Board will be collected from the applicant by the Company.
10.2.2. Şirket’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirket, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
10.2.2. The Information that the Company may request from an Applying Personal Data Owner
The Company may request information from the respective person to determine whether the applicant is a personal data owner. The Company may ask questions to a personal data owner about its application to clarify the issues in the application of the personal data owner.
10.2.3. Şirket’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Şirket aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomi güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek
kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
5. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
6. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
9. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
10. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
11. Talep edilen bilginin kamuya açık bir bilgi olması.
10.2.3. The Right of the Company to reject the Application of a Personal Data Owner
The Company may reject the application of an applicant by explaining its justification in the cases set out below:
1. Processing of personal data for the purposes like research, planning, and statistics by making them anonymous with official statistics.
2. Processing of personal data for artistic, historical, literary, or scientific purposes or within the scope of freedom of expression, provided that it will not violate national defense, national security, public security, public order, economic security, privacy of private life, or personal rights or constitute a felony.
3. Processing of personal data within the scope of preventive, protective, and intelligence activities carried out by public institutions and organizations authorized by law to ensure national defense, national security, public security, public order, or economic security.
4. Processing of personal data by judicial authorities or execution authorities in relation to investigation, prosecution, trial, or execution proceedings.
5. Processing of personal data because it is necessary for the prevention of crime or for a criminal investigation.
6. Processing personal data made public by the personal data owner itself.
7. Processing of personal data is necessary for the execution of supervision or regulation duties and for disciplinary investigation or prosecution by authorized and authorized public institutions and organizations and professional organizations that act in the form of public institutions on the basis of the authority granted by law
8. Processing of personal data is necessary for the protection of the economic and financial interests of the State about budget, tax, and financial issues.
9. The possibility that the personal data owner’s request may prevent the rights and freedoms of other persons
10. Requests that require disproportionate effort have been made.
11. The information requested is open for public.
11. BÖLÜM
11 – ŞİRKET KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Şirket, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikaların yanısıra Topluluk Şirketleri için de temel politikalar oluşturmaktadır.
Şirket içi politikalarının esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Şirket’in yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.
SECTION 11
11 – THE RELATIONSHIP OF THE COMPANY’S POLICY OF PROTECTION AND PROCESSING OF PERSONAL DATA WITH OTHER POLICIES
The Company creates basic policies as well as sub-policies for internal use oriented to its Group Companies for the protection and processing of personal data to which the principles set out in this Policy are related.
By reflecting the principles of the internal policies of the Company via public policies to the extent it is related, the objective was set to inform those respective people within this framework and ensure transparency and accountability about the personal data processing activities performed by the Company.
12. BÖLÜM
12- REFERANS DÖKÜMANLAR
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
• Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
SECTION 12
12- REFERENCE DOCUMENTS
· Law No. 6698 on Personal Data Protection
· Regulations on Deletion, Destruction, or Anonymization of Personal Data.