Kişisel Verilerin Korunması Ve İşlenmesi Politikası

Son Güncelleme 03.06.2022 06:22

GLOBAL BİLGİSAYAR KONTROL SİSTEMLERİ SAN.VE TİC. LTD. ŞTİ. (“ELRA”); kişisel verilerinizin güvenliği hususuna hassasiyet göstermekte olup ürün ve hizmetlerimizden faydalanan müşterilerimiz ve iş bağlantılarımız dâhil olmak üzere, Şirketimiz ile ilişkili tüm şahıslara ait her türlü kişisel verinin, misyon, vizyon ve temel ilkeleri doğrultusunda; çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

İşbu “Kişisel Verilerin Korunması ve İşlenmesi Politikası” (“Politika”) ile ELRA tarafından kişisel verilerin korunması, saklanması ve imhasında benimsenen temel ilke ve prensipler düzenlenmekte ve Şirket politikası olarak uygulamaya alınarak sürdürülebilir hale getirilmektedir.

Bu politika ile hedeflenen amaç, ELRA bünyesinde toplanan, işlenen, aktarılan kişisel verilerin korunması konusunda sahip olunan ilkeleri ve yapılan çalışmaları çalışanlarımıza ve kamuoyuna açıklamaktır.

Bu politika, çalışanlarımızın, şirket yöneticilerinin, ziyaretçilerin, çalışan adaylarımızın, ticari birliktelik içinde olduğumuz şirket çalışanlarının, müşterilerin, tüketicilerin, üçüncü kişilerin kanun kapsamında işlenen kişisel verileri için uygulanmaktadır.

Bu Politika’nın uygulanmasında kullanılan tanımlar aşağıda yer almaktadır:

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Çalışan (lar): ELRA ile İş Kanunu uyarınca iş ilişkisinde bulunan işçiler

İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere ELRA organizasyonu içerisinde veya ELRA’dan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha: Kişisel verilerin geri getirilemeyecek bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı

Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Veri Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel Verilerin Korunması Komitesi: ELRA tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla ELRA bünyesinde gerekli koordinasyonu sağlayan ve farklı birimlerinden yetkililerin katılımıyla oluşan komite

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri işleme, saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politika: ELRA tarafından kişisel verilerin işlenmesi, saklanması ve imhasında benimsenen ilkelerin düzenlendiği işbu GLOBAL BİLGİSAYAR KONTROL SİSTEMLERİ SAN.VE TİC. LTD. ŞTİ. Kişisel Verilerin Korunması ve İşlenmesi Politikası”

Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumluları Sicili: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan ve kamuya açık olan veri sorumluları sicili

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

KVKK m.3/I(e) maddesi uyarınca, ““veri işleme”; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilebilecek her türlü işlemi“ ifade etmektedir.

ELRA nezdinde işlenen kişisel veriler, Kanun’un 4. Maddesi doğrultusunda, aşağıda yazılı ilkelere uygun biçimde işlenebilir:

iii. Veri işleme işlemleri, ancak belirli, açık ve meşru amaçlar için yapılmalıdır.

iv. Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü biçimde işlenmelidir.

v. Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Kişisel verilerin işlenmesinde, Kanun’un 5 ve 6. Maddelerinde sayılan koşullara uyulması gerekmektedir. Kural olarak kişisel verinin, ilgili kişinin açık rızası olmaksızın işlenmemesi esastır. Ancak Kanun’un 5.maddesi, bazı durumlarda veri sahibinin açık rızasına gerek duyulmaksızın kişisel verilerin işlenmesine izin vermektedir. Kişilerin açık rızasının alınmasına gerek duyulmaksızın verilerin işlenebileceği durumlar aşağıdaki gibidir:

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik

tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına Uygun Olarak İşlenmesi

Özel nitelikli kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması şartıyla işlenebilmektedir. Ancak cinsel hayat ve kişisel sağlık verileri dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza almaksızın işlenebilir.

ELRA, özel nitelikli kişisel verilerin işlenmesi ve korunmasına ilişkin olarak Kurul tarafından belirlenen önlemleri almaktadır. ELRA, özel nitelikli kişisel verilerin korunması ve güvenliği hususuna azami hassasiyet göstermekte olup özel nitelikli kişisel verilerin korunmasına ilişkin alınan teknik ve idari önlemleri özenle uygulanmakta ve ELRA bünyesinde gerekli denetimler yapılmaktadır.

ELRA, kişisel veri işleme amaçları doğrultusunda ve varsa açık rıza, yoksa hukuki sebeplerle sınırlı olarak gerekli güvenlik önlemlerini almak suretiyle ilgili kişinin kişisel ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. ELRA bu kapsamda Kanun’un 8. ve 9.maddelerinde öngörülen kişisel veri aktarım şartlarına uygun hareket etmektedir.

ELRA, Kanun’un 8.maddesi gereğince yurtiçinde veri aktarımı faaliyetlerini veri işleme şartlarına uygun olarak yürütmektedir.

ELRA, Kanun’un 9.maddesi gereğince yurtdışına veri aktarımı faaliyetlerini veri işleme şartlarına uygun olarak yürütmektedir. Kişisel verilerin KVKK uyarınca açık rıza alınmaksızın aktarıldığı durumlarda, ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekmektedir:

i. Kişisel verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması,

ii. Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’dan izin alınması

ELRA, Kanun’un 8. ve 9.maddelerine uygun olarak veri sahiplerinin kişisel verilerini, ELRA’ya hizmet sunan iş ortaklarına, tedarikçilerine, banka ve finans kuruluşlarına, hukuk, vergi vb. benzeri alanlarda destek aldığı danışmanlık ve denetim firmalarına, Şirket yetkililerine, hissedarlarına, kanunen yetkili kamu kurumlarına ve özel kişilere, Şirket adına kişisel veri işleyen yurt içi ve/veya yurt dışında depolama, arşivleme, bilişim teknolojileri desteği (sunucu, hosting, yazılım, bulut bilişim vb.) alanlarında destek alınan hizmet sağlayıcılarına, ticari faaliyetlerini ve iş süreçlerini devam ettirmek amacıyla aktarabilmektedir. Kişisel verilerin aktarıldığı alıcı gruplarının sınıflandırmasına bu Politika’nın 3. Bölümünde yer verilmiştir.

Kişisel veri aktarımı halinde ELRA, kişisel veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlamaktadır. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenmekte ve teknik tedbirler alınmaktadır.

Şirketimiz bünyesinde toplanan kişisel veriler genellikle yasal ve sözleşmesel yükümlülüklerin yerine getirilmesi amacıyla işlenmektedir. Aşağıda, ELRA bünyesinde genel olarak hangi tür kişisel verilerin işlendiğine ilişkin bilgiler ayrıntılarıyla yer almaktadır.

Kimlik Verileri: Kişinin kimliğine dair bilgilerin bulunduğu verilerdir: adı-soyadı, T.C. kimlik numarası, medeni durumu, cinsiyet, uyruğu, anne-baba adı-soyadı, doğum yeri- tarihi ve sair kimlik bilgileri ve bu bilgileri içeren ehliyet, nüfus cüzdanı, pasaport, doğum sertifikası gibi belgeler ile vergi numarası, SGK numarası ve sair bilgilerdir.

İletişim Verileri: Telefon numarası, adres, e-posta adresi, faks numarası gibi iletişim amaçlı kullanılan bilgiler ve bu bilgileri içeren ikamet belgesi gibi belgelerdir.

Aile Bireylerine/Yakınlara ait Kişisel Veriler: Şirketimizin faaliyetleri kapsamında veya Şirketin / ilgili kişinin hukuki ve diğer menfaatlerini korumak amacıyla veri sahibinin aile bireyleri ve yakınları hakkındaki kişisel verileridir. Örnek: Aile bireylerinin iletişim bilgisi, kimlik bilgisi vb.

Finansal Veriler: Şirketimizin veri sahibi ilgili kişi ile kurmuş̧ olduğu hukuki ilişkiye göre ortaya çıkan her türlü̈ finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin kişisel verilerdir. Örnek: Kredi kartı bilgisi, gelir bilgisi, IBAN numarası, vb.

Özlük Verileri: Şirketimiz ile çalışma ilişkisi içerisinde olma kapsamında, gerçek kişilerin özlük haklarının oluşmasına temel olan bilgilerin elde edilmesine yönelik işlenen kişisel verilerdir.

İletişim ve Şikâyet Yönetimi Verileri: Şirketimize yönelik her türlü talep veya şikâyetin alınması ve değerlendirilmesi süreçlerinde elde edilen kişisel verilerdir.

Özel Nitelikli Kişisel Veriler: Kanunda sınırlı sayma yoluyla belirlenmiş, işlenmesi halinde veri sahipleri hakkında ayrımcılık yapılma riski taşıyan kişisel verilerdir. Örnek: Kan grubu da dahil olmak üzere sağlık verileri, biyometrik veriler, üye olunan dernek bilgisi vb.

İşlem Güvenliği Verileri: Gerek veri sahibinin gerekse Şirketimizin teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel verilerdir.

Ödeme Verileri: Ajans ve müşteri fatura ve ödeme bilgileri (adı, soyadı, fatura adresi, TC kimlik numarası, vergi kimlik numarası), üyeye gönderilen faturalar ve üyelerden alınan ödemelere ait dekont örnekleri, ödeme numarası, fatura numarası, fatura tutarı, fatura kesim tarihi gibi veriler.

Aşağıda, işbu Politika kapsamında yer alan müşterilerimizin, platform kullanıcılarımızın, çalışanlarımızın, çalışan adaylarımızın, iş bağlantılarımızın ve üçüncü kişilerin tanımlama ve açıklamalarına yer verilmektedir.

Müşteriler: Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.

Platform Kullanıcıları: Şirketimize ait elektronik ortamdaki platformlarımızı herhangi bir amaç ile ziyaret eden/etmiş olan ve/veya kullanan/kullanmış olan gerçek kişilerdir.

Çalışanlar : Şirketimiz ile çalışma ilişkisinde olan gerçek kişilerdir.

Çalışan Adayları: Şirketimize herhangi bir yolla iş başvurusunda bulunup özgeçmiş ve/veya iş başvuru formu ile ilgili bilgilerini şirketimizin incelemesine sunmuş olan gerçek kişilerdir.

Şirket Yetkilileri: ELRA’nın üst düzey yönetiminde yer alan ve/veya ELRA’yı temsile yetkili gerçek kişiler ile tüzel kişilerin gerçek kişi temsilcileridir. Yönetim kurulu üyeleri bu kapsamda değerlendirilir.

Diğer üçüncü Kişiler: Herhangi bir ilgili kişi kategorisine girmeyen diğer gerçek kişilerdir.

ELRA Tarafından İşlenen Kişisel Verilerin İlgili Kişilere Göre Sınıflandırılması

Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve işleme faaliyeti kapsamındaki kişisel veri kategorileri eşleştirilerek detaylandırılmaktadır:

Müşteriler, Platform Kullanıcıları, Çalışanlar, Çalışan Adayları, Diğer üçüncü kişiler

Müşteriler, Platform Kullanıcıları, Çalışanlar, Şirket Yetkilileri, Diğer üçüncü kişiler

ELRA, kişisel veri işleme faaliyetini aşağıda yer alan amaçlar doğrultusunda yürütmektedir. Kişisel veri işleme amaçları, iş süreçleri ve kişisel veri kategorilerinin ilişkilendirilmesiyle her iş birimi ve süreci bazında açık ve detaylı olarak belirlenmiş ve ELRA Kişisel Veri Envanterine işlenmiştir:

· ELRA tarafından sunulan hizmetlerden müşterilerimizi faydalandırmak için gerekli planlama, değerlendirme ve çalışmaların ELRA iş birimleri tarafından yapılması;

· ELRA tarafından sunulan hizmetlere yönelik reklam ve pazarlama faaliyetlerinin yürütülerek tanıtım, promosyon, kampanya, teklif, etkinlik ve benzeri konularda bilgilendirme yapılması, kurumsal iletişim faaliyetlerinin yürütülmesi, ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek sunulması;

· Kurumsal iletişim ve bu kapsamda sair etkinlik, kampanya ve davetlerin düzenlenmesi ve bunlar hakkında bilgilendirme yapılması, pazar araştırma çalışmalarının yürütülmesi;

· ELRA müşterilerinin kullanımına sunulan dijital platformların iyileştirilmesi ve platform kullanıcılarına verimli ve kişiselleştirilmiş deneyim sunmak amacıyla kullanıcıların sayısı, tipi, ziyaret sıklığı, davranışları ve benzeri istatistiklerin çıkartılması, platform kullanıcılarının ilgi alanı ve ihtiyaçlarına göre kişiye özel içerik, kampanya ve reklam sunulması;

· İlgili kişilerden gelen talep, öneri ve şikâyetlerin takibi, değerlendirilmesi, müşteri memnuniyeti yönetimi ve bu kapsamda planlama, istatistik ve memnuniyet değerlendirme çalışmalarının uygulanması;

· ELRA ve ELRA ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini (ELRA tarafından sağlanan hizmetlere yönelik idari operasyonların planlanması, müşteri (yetkili veya çalışanları) değerlendirme ve denetim süreçleri, hukuki uyum süreci gibi.);

· Yasal hakların kullanılması, hukuki ilişkinin sona ermesinden sonra işlem geçmişine ilişkin bilgilerin uyuşmazlık halinde delil olarak kullanılması;

· ELRA’nın ticari, hukuki ve iş stratejilerinin belirlenmesi ve uygulanması;

· ELRA’nın insan kaynakları politikalarının ve işe alım süreçlerinin yürütülmesi, çalışanların kontrol ve denetimi ile çalışan haklarının düzenlenmesi, iş ilişkisinden doğan yasal yükümlülüklerin yerine getirilmesi;

· Bilgi güvenliği süreçlerinin planlanması, denetimi ve yürütülmesi, bilgi teknolojileri altyapısının yönetimi;

· ELRA faaliyetleri kapsamında planlama, raporlama, ziyaretçi/müşteri istatistikleri ve benzeri incelemelerin yapılması;

· Yurtiçi ilgili mevzuata uyum sağlanması, kamu kurum ve kuruluşları tarafından talep edilen bilgilerin temini, raporlama yükümlülüklerinin yerine getirilmesi.

· ELRA’ya ait internet site ve platformlarımız, çeşitli sosyal medya mecralarında, ELRA satış ve pazarlama faaliyetleri kapsamında kullanılan e-posta, kısa mesajlar (“SMS”) veya multimedya mesajları (“MMS”),

· ELRA iş faaliyetleri kapsamında imzalanan sözleşmeler, poliçeler, sunulan ticari teklifler, basılı ve elektronik formlar, belgeler, yazışmalar aracılığıyla,

· Yapılan iş görüşmeleri kapsamında elde edilen kartvizit ve sair belgeler aracılığıyla,

· ELRA’nın grup şirketleri, iş bağlantıları veya hizmet/ürün tedarik ettiği firmalar gibi üçüncü kişiler kanalıyla; sözlü, yazılı veya elektronik ortamda olmak kaydıyla, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan çeşitli yöntemler ile toplamaktadır.

Bu yöntemler doğrultusunda toplanan kişisel veriler, işbu Politika’nın 5. Bölümünde yer alan veri işleme şartlarına uygun olarak ve yukarıda listelenen kişisel veri işleme amaçları doğrultusunda, KVKK ve diğer mevzuatta zorunlu kılınan sürelere uygun kalmak ve gerekli tüm idari ve teknik tedbirleri almak suretiyle muhafaza edilmektedir.

ELRA, KVKK’ya uygun olarak işbu Politika kapsamında yer alan kişisel verileri aşağıda sıralanan alıcı gruplarına belirtilen amaçlar ile aktarabilmektedir. Kişisel verilerin aktarıldığı alıcı grupları ve aktarım amaçları, kişisel veri kategorilerinin ilişkilendirilmesiyle açık ve detaylı olarak belirlenmiş ve ELRA Kişisel Veri Envanterine işlenmiştir.

Şirketimizin temin ettiği ve Şirketimizin faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak.

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak.

İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak.

ELRA tarafından gerçekleştirilen kişisel veri aktarımlarında Politika’nın 5. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.

ELRA, KVKK’ nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için imkânlar dâhilinde ve korunacak verinin niteliğine göre uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca teknik tedbirler aşağıda listelenmiştir:

· ELRA tarafından kişisel verilerin korunmasına ilişkin olarak teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler güncellenmektedir, alınan önlemlerin uygulanmasına yönelik düzenli aralıklar ile denetim yapılmaktadır.

· Veri güvenliğini sağlayacak yazılım ve sistemler kurulmakta ve kullanılmaktadır, kişisel verilere hem şirket içerisinden hem de dışarıdan hukuka aykırı bir şekilde müdahale yapılmasının önlenmesi için veri kayıt ortamları virüs koruma programları ve güvenlik duvarları başta olmak üzere çeşitli yazılım ve sistemler aracılığı ile korunmaktadır.

· Kişisel verilere erişim yetkisi, belirlenen veri işleme amacı doğrultusunda sınırlandırılmakta ve yetkiler düzenli olarak gözden geçirilmektedir.

· Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.

· Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde teknolojik gelişmelere uygun sistemler ve yedekleme programları kullanılmaktadır.

· Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:

· ELRA bünyesinde Kanuna uyumluluğun sağlanması ve sürdürülebilirliği için “Kişisel Verileri Koruma Komitesi” kurulmuş ve faaliyete geçmiştir.

· ELRA çalışanları, kişisel verilerin korunması ve hukuka uygun olarak işlenmesi konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir.

· ELRA’nın yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmiş, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri belirlenmiş ve kişisel veri envanterine işlenmiştir, ELRA tarafından düzenli olarak güncellenmektedir.

· ELRA iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri özelinde, kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler, her bir iş birimi ve detay faaliyet özelinde belirlenmiştir.

· Uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların ve uygulamanın sürekliliğini sağlamak için şirket içi politikalar hayata geçirilmekte ve denetimler yapılmaktadır.

Özel nitelikli kişisel veriler, her durumda ilgili kişinin rızasını zorunlu kılmaktadır. Bu nedenle ayrı bir aydınlatma ve onay metni ile işlenmeleri gerekir. Özel nitelikli kişisel veri sahibi, ayrıca ve özel olarak bilgilendirilir. ELRA Sağlık bünyesinde, üstte açıklanan teknik ve idari tedbirlere ilave olarak;

· Özel nitelikli kişisel veri işleme alanında çalışanlara yönelik özel nitelikli kişisel veri güvenliği eğitimi verilmekte ve bu konuda özel olarak farkındalık oluşturulmaktadır.

· Özel nitelikli kişisel verilerin gerek e-posta gibi dijital ortamlar veya taşınabilir bellek, CD, DVD gibi fiziki araçlar yolu ile taşınması durumunda, verilerin saklandığı dosya şifrelenmektedir. Kağıt yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı azami hassasiyet gösterilmekte ve verilerin saklandığı fiziksel ortamlar ancak yetkili kişilerin erişimine açılmaktadır.

10.4 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

ELRA, KVKK uyarınca, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları, Şirketin iç işleyişi kapsamında Kişisel Verileri Koruma Komitesine, üst yönetime ve konu ile ilgili bölüme raporlanmakta, aksiyonlar planlanmakta ve alınan tedbirlerin iyileştirilmesi için planlanan aksiyonların takibi, ilgili süreç sahipleri ve Kişisel Verileri Koruma Komitesi tarafından takip edilerek yürütülmektedir.

10.5 Kişisel Verilerin Kanuni Olmayan Yollar ile İfşası Durumunda Alınacak Tedbirler

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi veya ifşa edilmesi halinde ELRA, bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirecektir.

Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına ELRA tarafından azami hassasiyet gösterilmektedir.

ELRA, özel nitelikli kişisel verilerin güvenliği hususuna azami özenle yaklaşmakta ve bu konuda Şirket bünyesinde gerekli denetimleri sağlamaktadır.

ELRA, kişisel veri sahiplerinin Politika ve Kanunun uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın 12. bölümünde yer verilmiştir.

ELRA tarafından işlenen kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak farklı ortamlarda kaydedilebilmektedir. Bu kapsamda veri sahiplerine ait kişisel veriler, ELRA tarafından aşağıda listelenen ortamlarda, başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır.

II. Yazılımlar: Bulut altyapısında üçüncü taraf yazılımları, veri işleme amaçlarına göre farklı yazılımlar, vb.

IV. Elektronik Cihazlar: Ağ Cihazları, Bilgisayarlar, Dizüstü Bilgisayarlar, Taşınabilir Medya Cihazları (flash bellek, hard disk, vb.), Yazıcılar, Mobil Telefonlar

ELRA kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede ELRA öncelikle ilgili mevzuatta kişisel verilerin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranmakta, ifade edilmemiş ise o veriyi işlerken sunduğu hizmetlerle bağlı olarak işlenmesini gerektiren süre kadar saklamaktadır. Sürenin bitimi, veri sahibinin talebi veya verinin işlenmesini gerektiren amacın ortadan kalkması halinde, kişisel veriler ELRA tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

11.2 Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ve İdari Sebepler

Kişisel verilerin işlenme amacının sona ermesi, veri sahibinin talebi ve/veya ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmesi halinde kişisel veriler, olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi vb. yasal sorumlulukların yerine getirilmesi amacıyla kanunlarda öngörülen ölçülere ve/veya belirtilen sürelere uygun olarak saklanabilmektedir. Bu hususa ilişkin sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır.

Silme, yok etme veya anonimleştirme yolu ile imha edilecek veriler ise en geç bir sonraki periyodik imha tarihine kadar saklanabilmektedir.

Yukarıda bahsi geçen süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Elra’da, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

· 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

· İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin

Bu kanunlar ve yönetmelikler uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Elra, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.

• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.

• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

• ELRA ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

11.3 Kişisel Verilerin İmhasını Gerektiren Hukuki, Teknik ve İdari Sebepler

· Kişisel verilerin işlenmesini gerektiren tüm amaçların ve saklanmasını gerektiren sebeplerin ortadan kalkması,

· Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, veri sahibinin rızasını geri alması,

· Veri sahibinin KVKK kapsamında yer alan belirtilen haklarını kullanarak kişisel verilerinin imha edilmesini talep etmesi ve yapılan başvurunun ELRA tarafından kabul edilmesi veya bu talebin reddi üzerine Kurul’a şikâyet sonucu talebin Kurul tarafından uygun bulunması,

· Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında ELRA tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, ELRA tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

• Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

• Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir.

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

Yukarıda sayılan durumlar gerçekleşmesi sırasında ELRA; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. ELRA, kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilmektedir:

Değişkenleri Çıkartma: Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.

Kayıtları Çıkartma: Kişisel veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimliğin kuvvetlendirilme yöntemidir.

Genelleştirme: İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir.

Bölgesel Gizleme: Belli bir kayıta ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değerin “bilinmiyor” olarak değiştirilmesi ile tahmin edilebilirlik riskinin azaltılma yöntemidir.

Alt ve Üst Sınır Kodlama: Kişisel veri kümesindeki belli bir değişken için bir kategori tanımlayarak bu kategorinin yarattığı gruplama içinde kalan değerleri birleştirerek elde edilir.

Global Kodlama: Seçilen değerler için ortak ve yeni bir grup oluşturularak veri kümesindeki tüm kayıtların bu yeni tanım ile değiştirilmesi ise yapılan anonimleştirme yöntemidir.

Örnekleme: Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır.

Bu yöntem ile veri kümesindeki bütün kayıtlar belirli bir sayıda alt kümelere ayrılarak alt kümenin belirlenen değişkene ait değerinin ortalamasının alınması ve alt kümenin o değişkenine ait değerinin ortalama değer ile değiştirilme yöntemidir.

Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir.

Veri kümesinde seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için ekleme ve çıkartmalar yapılmasıdır.

Diğer anonim hale getirmeyi kuvvetlendirici istatistiksel yöntemler (K-Anonimlik, L-Çeşitlilik, T-Yakınlık vb.)

Kişisel verileri saklama ve imha süreçlerinin yürütülmesi ve bu Politika uyarınca gerekli aksiyonların alınması amacıyla ELRA nezdinde “Kişisel Verileri Koruma Komitesi” kurulmuştur. Kişisel Verileri Koruma Komitesinde yer alan ilgili kişiler, işbu Politika’da düzenlenen kişisel verilerin saklanması ve imha süreçlerine ilişkin tüm yükümlülüklerini eksiksiz ifa etmekle sorumludurlar.

Saklama süresine ilişkin olarak, Mevzuatta bir süre öngörülmüş ise her durumda bu süreye riayet edilir. Anılan sürenin sona ermesi ile veriler silinir, yok edilir ya da anonim hale getirilir. Mevzuatta saklama süresi öngörülmemesi durumunda, işlenme amaçları ve hukuki sebep değerlendirilerek, ELRA’nın menfaatleri doğrultusunda uygun saklama süresi tespit edilir. Tespit edilen sürelerin, zaman içinde revizyona ihtiyaç duyması durumunda koruma ve imha politikası güncellenir.

Saklama süresi dolan kişisel veriler, işbu Politikada belirtilen imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Kişisel veri sahibi, KVKK’nın 11. maddesi uyarınca ELRA’ya başvurarak kendisiyle ilgili;

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

e) Kişisel verilerin eksik veya yanlış̧ işlenmiş̧ olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f) Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş̧ olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

h) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kişisel veri sahipleri, KVKK’nın 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, bu konularda 12.1 ’de sayılan haklarını ileri süremezler:

a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

d) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,

e) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVKK’nın 28. maddesinin 2. fıkrası uyarınca ise, aşağıdaki hallerde veri sahibi zararın giderilmesini talep etme hakkı hariç bu politikanın 12.1 maddesinde belirtilen haklarını kullanamaz:

a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

d) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

İlgili kişi, işbu Politika’nın 12.1 maddesinde belirtilen haklarını, “elrasaglik.com” adresinde yer alan başvuru formunu doldurup ıslak imzalı olarak veya kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza veya ELRA’ya daha önce bildirilen ve sistemlerde kayıtlı olan elektronik posta adresi vasıtasıyla iletmek suretiyle kullanabilmektedir. Yukarıda adresi sağlanan “Kişisel Verilerin Korunması Kanunu Kapsamında Başvuru Formu'nda yapılacak başvurunun yöntemi ayrıntılı bir şekilde açıklanmaktadır.

İlgili Kişinin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, yetkili makamlar tarafından düzenlenmiş veya onaylanmış kimliğini tevsik edici belgelerin, varsa talebi destekleyici belgelerin, başvuru formunun ekinde ELRA’ya iletilmesi gerekmektedir.

ELRA, kendisine yöneltilen talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracaktır. Taleplerin yerine getirilmesi sebebiyle bir maliyet doğması hâlinde Kurulca belirlenen tarifedeki ücretleri talep edilebilecektir.

ELRA, talebi kabul edebileceği gibi gerekçesini açıklamak suretiyle reddedebilir; cevabını kişisel veri sahibine yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde ELRA, talebin gereğini yerine getirir.

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, ELRA’nın cevabını öğrendiği tarihten itibaren otuz gün ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

ELRA tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesi amacıyla karar alma ve üst yönetime sunma yetkilerine sahip ve bu amaçla ELRA bünyesinde gerekli koordinasyonu sağlayan ve farklı birimlerinden yetkililerin katılımıyla oluşan “Kişisel Verileri Koruma Komitesi” kurulmuştur.

a) ELRA bünyesinde kişisel verilerin işlenmesi, saklanması, korunması ve imhasına ilişkin tüm faaliyetleri iş birimleri bazında koordine etmek ve yönetmek,

b) Kişisel verilerin işlenmesi, saklanması, korunması ve imhası ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,

c) Kişisel verilerin işlenmesi, saklanması, korunması ve imhasına ilişkin politikaların uygulanmasını sağlamak, mevzuata ve şirket politikasına uyumluluk sürecini yönetmek ve üst yönetime raporlamak,

d) ELRA’nın veri sorumlusu sıfatıyla yürütmüş olduğu faaliyetler kapsamında ilgili veri sahipleri ile iletişimi koordine etmek, bu amaçla gerekli organizasyonu sağlamak,

e) Kurul’un talep, istek, şikâyet ve bildirimleri ile ilgili şirket bünyesinde gerekli faaliyet ve düzenlemeleri yapmak, süreçleri organize etmek,

f) İlgili kişilerden gelecek talep, istek, şikâyet ve bildirimleri ile ilgili şirket bünyesinde gerekli faaliyet ve düzenlemeleri yapmak, süreçleri organize etmek,

g) Kişisel veri işleme envanterini güncellemek ve veri işleme faaliyetlerini takip etmek, raporlamak, envantere işlemek ve değişiklik olması halinde VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)’ de gerekli güncellemeleri yapmak,

h) Çalışan farkındalığı için eğitimler organize etmek, eğitimlerin devamlılığını sağlamak, verimliliğini ölçmek,

i) Kişisel verilerin işlenmesi, saklanması, korunması ve imhası konusunda ELRA içerisinde ve ELRA’nın iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak, bilgilendirmeler yapmak,

j) Kişisel veri işleme faaliyetlerine ilişkin denetimin ne şekilde yerine getirileceğine karar vermek ve bu kapsamda gerekli koordinasyonu sağlamak,

k) Kişisel veri işleyen 3. kişilerin veri güvenliğine ilişkin aldığı teknik ve idari tedbirleri belirlemek veya belirlenmesini sağlamak, denetimler yapmak veya yaptırmak,

l) Kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; aksiyon planları ve iyileştirme önerilerini üst yönetimin onayına sunmak ve icrasını koordine etmek,

m) KVKK uyumluluğu kapsamında şirket içinde denetimler düzenlemek, dış kaynaklı denetim alınacak ise gerekli düzenlemeleri yapmak, tespit edilen riskler için alınacak önlemlerin belirlenmesini ve değerlendirilmesini sağlamak,

n) Kişisel Verilerin Korunmasına ilişkin danışman firmalar ile beraber çalışarak değerlendirmelere katılmak, raporlar sunmak,

o) Kurul duyuruları ve mevzuata ilişkin gelişmeleri takip etmek, ilgili yerlerde uygulamaya alınmasını sağlamak ve gerekli bildirimlerde bulunmak,

p) Data gizliliği ihlali durumları için süreçleri yönetmek, sorumlu kişi / ekip ve görevlerini belirlemek, raporlama ve düzeltici faaliyetleri yönetmek.

ELRA, Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutmaktadır.

İşbu Politika’da yapılan değişiklikler derhal metne işlenmekte ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanmaktadır.

ELRA olarak, işbu Politika’da farklı zamanlarda değişiklik yapmamız mümkündür. Şirketimiz tarafından hazırlanan Politika’nın güncel versiyonuna Şirketimizin internet sitesinden ulaşılabilir ve Politika’da yapılabilecek değişiklikler yine bu internet sitesinden takip edilebilirsiniz.

1. Çalışan, müşteri, üçüncü kişiler ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması İş ilişkisinin sona ermesine müteakip 10 yıl 180 gün içerisinde,

2. Çalışan Finansman Süreçleri İş ilişkisinin sona ermesine müteakip 10 yıl 180 gün içerisinde,

3. Üçüncü kişilerle imzalanan sözleşmeler Sözleşmenin sona ermesini müteakip 10 yıl 180 gün içerisinde,

4. İşe alım ve bordrolama İş ilişkisinin sona ermesine müteakip 10 yıl 180 gün içerisinde,

5. İş sağlığı ve güvenliği uygulamaları İş ilişkisinin sona ermesine müteakip 10 yıl 180 gün içerisinde,

6. Ödeme işlemleri İş ilişkisinin sona ermesine müteakip 10 yıl 180 gün içerisinde,

8. Çalışan özlük dosyanın oluşturulması ve muhafazası İş ilişkisinin sona ermesine müteakip 10 yıl 180 gün içerisinde,

9. Çalışanlar için oluşturulan yazılım sistem hesapları, işlem güvenliği bilgilerinin kurulması İş sözleşmesinin sona ermesine müteakip 1 yıl 180 gün içerisinde,

10. Müşterilerin şikâyet süreçlerinin yönetimi Şikayetin kayıtlara gelmesine müteakip 2 yıl 180 gün içerisinde,

11. Müşterilerin tazminat taleplerinin yönetimi zarara ilişkin değerlendirme yapmak Zararın oluşmasını müteakip 10 yıl 180 gün içerisinde

[1] ELRA nezdinde muhafaza edilen kişisel verilerin saklama süresinin sona ermesinden sonra verilerin imha edeceği süreyi ifade eder.