KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

MADDE 1. POLİTİKA’NIN KONUSU
Kişisel verilerin korunması, Persty Yazılım Danışmanlık Sanayi ve Ticaret Anonim Şirketi’nin (bundan böyle Persty olarak anılacaktır) en önemli öncelikleri arasında yer almaktadır. Bu konunun en önemli kısmını ise işbu Politika ile yönetilen, Persty hissedarlarının, yetkililerinin, çalışanlarının, aday çalışanlarının, stajyerlerin, ziyaretçilerinin, müşterilerinin, müşteri adaylarının, iş birliği içinde olunan kurumların hissedarlarının, yetkililerinin, çalışanlarının ve diğer üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi oluşturmaktadır.

T.C. Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Anayasa ile güvence altına alınan bir hak olan kişisel verilerin korunması konusunda şirket, işbu Politika ile yönetilen; çalışan adaylarının, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerinin, iş birliği içinde olduğu kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir Bu kapsamda, yasal mevzuat çerçevesinde işlenen kişisel verilerin korunması için şirket tarafından gereken idari ve teknik tedbirler alınmaktadır. Bu Politikada kişisel verilerin işlenmesinde şirketin benimsediği temel ilkeler şunlardır;

  • Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
  • Kişisel verilerin muhafazasında gerekli tedbirleri alma,
  • Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
  • Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti göstermek.
MADDE 2. POLİTİKA’NIN AMACI

Politikanın temel amacı, Persty tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve bu kapsamda Persty hissedarları, yetkilileri, çalışanları, aday çalışanları, stajyerleri, ziyaretçileri, müşterileri, müşteri adayları, iş birliği içinde olunan kurumların hissedarları, yetkilileri, çalışanları ile üçüncü kişiler başta olmak üzere kişisel verileri Persty tarafından işlenen kişileri bilgilendirilerek şeffaflık ve güveni sağlamaktır.

Persty, veri sorumlusu sıfatı ile kişisel verilerin korunması amacıyla yürürlüğe koyduğu iş bu politika gereği tüm iç işleyişleri ve süreçleri düzenlemeyi, gerek kişilere verdiği özel önem ve gerekse mevzuattan kaynaklanan yükümlülüklerini yerine getirmeyi sağlamak üzere şirket bünyesinde Persty Kişisel Verileri Koruma Komisyonu (KVK Komisyonu) oluşturmuştur. Persty, kişisel verilerin korunması kapsamındaki sorumluluklarını komisyon marifetiyle sürdürmektedir.

Persty, iş bu komisyon aracılığı ile kişisel verilerin korunması politikalarını oluşturma, güncelleme, süreçlerin düzenlenmesi ve takibi, kişisel verilerin korunması için idari ve teknik tedbirlerin belirlenmesi ve uygulanması, çalışanların eğitimi ve denetim faaliyetleri gibi gerekli tüm faaliyetlerini yürütmektedir.

MADDE 3. İÇERİK VE TANIMLAR

Bu Politika; Persty hissedarlarının, yetkililerinin, çalışanlarının, aday çalışanlarının, stajyerlerinin, kullanıcı ve üyelerinin, ziyaretçilerinin, müşterilerinin, müşteri adaylarının, iş birliği içinde olunan kurumların hissedarlarının, yetkililerinin, çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu Politikanın uygulama kapsamı Politikanın tamamı olabileceği gibi; yalnızca bir kısmı da olabilir.

Bu politika metninde yer alan kavramların tanımları ise şöyledir:

Alıcı grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan : Persty personeli
Elektronik ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik olmayan ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet sağlayıcı : Kurum ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili kişi : Kişisel verisi işlenen gerçek kişi
İlgili kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel veri işleme envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul : Kişisel Verileri Koruma Kurulu
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik imha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika : Kişisel Verileri Saklama ve İmha Politikası
Persty : Persty Yazılım Danışmanlık Sanayi ve Ticaret Anonim Şirketi (İşyeri/sorumlu unvanı yazılacak)
Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri sorumluları sicil bilgi sistemi : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

MADDE 4. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Persty, yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

Politika, ilgili mevzuat tarafından ortaya konulan kuralların Persty uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.

MADDE 5. POLİTİKA’NIN YÜRÜRLÜĞÜ

Persty tarafından düzenlenen bu Politika, Persty Portalda (https://www.corexm.com) yayımlandığı gün yürürlüğe girer. Politikada yenilik ya da değişiklik olursa Persty Portalda yayımlandığı gün itibariyle yürürlük tarihi güncellenecektir.

Politika Persty Portalda yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

MADDE 6. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Persty, KVKK’ nın 12. maddesi uyarınca, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenliği sağlamak için gereken idari, teknik ve hukuki tüm tedbirleri almakta, bu kapsamda gereken tüm denetimleri sağlamaktadır.

MADDE 7. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
  • 7.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler

    Persty, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

  • 7.1.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

    Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

    • a. Persty, bünyesinde kişisel veri işleme faaliyetlerini yürütecek çalışanların elektronik olmayan verileri işleme gereklilikleri doğrultusunda çalışma alanlarına ilişkin teknik tedbirler almakta, elektronik sistemler üzerinden veri işleme durumunda ise gereklilikler doğrultusunda çalışanlara yönelik kullanıcı yetki tanımlamaları teknik çözümleri uygulanmakta ve denetlenmektedir.
    • b. Persty, bünyesinde yürütülen kişisel veri işleme faaliyetlerini kurulan teknik sistemlerle denetlenmektedir.
    • c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
    • d. Teknik konularda bilgili personel istihdam edilmektedir.

  • 7.1.2 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

    Persty tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

    • a. Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
    • b. Persty’nin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulmaktadır.
    • c. Persty’nin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
    • d. Persty iş birimleri tarafından belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Persty iç politikaları ve eğitimler yoluyla hayata geçirilmektedir.
    • e. Persty ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Persty talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta, gerekli hallerde ilgili çalışanlar ile gizlilik sözleşmeleri yapılmakta ve bu konuda çalışanlarda farkındalık oluşturulmakta ve denetimler yürütülmektedir.

  • 7.2 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

    Persty, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

  • 7.2.1 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

    Persty tarafından kişisel verilere hukuka aykırı erişimi engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

    • a. Persty bünyesinde kişisel veri işleme faaliyetlerini yürütecek çalışanların elektronik olmayan verilere erişimlerinin gereklilikleri doğrultusunda saklama ünitelerinde teknik güvenlik sağlanmakta, elektronik sistemlere erişimlerde ise gereklilikler doğrultusunda elektronik sistemde çalışanlara yönelik kullanıcı tanımlamaları, erişim lokasyonu (IP) ve erişim zamanı sınırlamaları için teknik çözümler sağlanmakta, uygulanmakta ve denetlenmektedir.
    • b. Persty bünyesinde kişisel veri işleme faaliyetlerini yürütecek çalışanların idari kararlar ile belirlenen görev ve sorumlulukları kapsamında yürütecekleri iş ve işlemler için elektronik olan ve olmayan verilere erişimleri bakımından gereken sistem yetkilendirme ve erişim sınırlama teknik çözümleri sağlanmakta, uygulanmakta ve denetlenmektedir.
    • c. Elektronik sistem veri kaynaklarına dışsal ve doğrudan erişimlerde VPN yöntemi uygulanmaktadır.
    • d. Virüs koruma sistemleri ve güvenlik duvarlarını içeren (Firewall-DDoS) yazılımlar ve donanımlar kurulmaktadır.
    • e. Erişimler kayıt altına alınarak (log) izlenmekte, yetkisiz erişimler için gerekli idari ve hukuki süreçler ivedilikle başlatılmakta ve takip edilmektedir.
    • f. Teknolojideki gelişmelere uygun diğer teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
    • g. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
    • h. Teknik konularda bilgili personel istihdam edilmektedir.

  • 7.2.2 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler

    Persty tarafından kişisel verilere hukuka aykırı erişimi engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

    • a. Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik tedbirler konusunda eğitilmektedir.
    • b. İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak Persty içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
    • c. Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
    • d. Persty tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

  • 7.3 Kişisel Verilerin Güvenli Ortamlarda Saklanması

    Persty, kişisel verilerin güvenli ortamlarda saklanmasını sağlamak ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

  • 7.3.1 Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

    Persty tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

    • a. Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
    • b. Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
    • c. Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
    • d. Teknik konularda uzman personel istihdam edilmektedir.

  • 7.3.2 Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler

    Şirketimiz tarafından kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

    • a. Çalışanlar, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
    • b. Persty tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan barındırma (colocation-cloud) vb. hizmet alınması durumunda, kişisel verilerin saklandığı sistem üniteleri için barındırma hizmeti veren ve/veya kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; barındırılan sistem ünitelerinin ve/veya kişisel verilerin aktarıldığı firmaların, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

  • 7.4 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

    Persty, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Persty'nin iç işleyişi kapsamında konu ile ilgili birime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

  • 7.5 Kişisel Verilerin Yetkisiz Bir Şekilde Açıklanması Durumunda Alınacak Tedbirler

    Persty, KVKK’nın 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayacaktır.

    KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

MADDE 8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlenmesi durumunda kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.

Persty, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına özel bir önem vermektedir.

Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgi Özel Nitelikli Kişisel Verilerin Korunması Politikasında detaylıca ifade edilmektedir.

MADDE 9. KİŞİSEL VERİLERİN, KVKK’ NIN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME

Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Persty bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Bu konu ile ilgili ayrıntılı bilgiye, bu Politikada yer verilmiştir.

MADDE 10. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Persty, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Persty ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Persty bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.

MADDE 11. KİŞİSEL VERİLERİN AKTARILMASI

Persty, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi tüzel kişilere, iş ortaklarına, üçüncü gerçek kişilere) aktarabilmektedir. Persty bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.

  • 11.1 Kişisel Verilerin Aktarılması Persty meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanunun 5.maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:

    • a. Kişisel veri sahibinin açık rızası var ise;
    • b. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
    • c. Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
    • d. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
    • e. Perstynin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
    • f. Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
    • g. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
    • h. Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Persty’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
MADDE 12. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Persty, hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Persty tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Persty bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

MADDE 13. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ

Persty, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.

MADDE 14. KİŞİSEL VERİLERİN KATEGORİZASYONU ve İŞLEME AMAÇLARI
  • a. Ad ve İletişim Bilgileri: Persty kurum içi değerlendirme, iletişim, kullanıcı kayıt, potansiyel abone bilgisi elde etmek, satış sonrası süreçlerin geliştirilmesi, iş geliştirme, tahsilat,, promosyon, analiz, şikayet yönetimi, abone memnuniyeti süreçlerini yönetmek, pazarlama, reklam, araştırma, faturalandırma, etkinlik bilgilendirmesi, operasyonel faaliyetlerin yürütülmesi, hizmet kalitesinin ölçülmesi, geliştirilmesi, denetim, kontrol, optimizasyon, müşteri doğrulama, pazarlama, satış, reklam, satış sonrası hizmetleri, dolandırıcılığın tespiti ve önlenmesi;
  • b. Kimlik Doğrulama Bilgileri: Kullanıcı kayıt, sorun/hata bildirimi, kontrol, operasyonel faaliyetlerin geliştirilmesi, yürütülmesi, abone sonrası süreçlerin geliştirilmesi, iş geliştirme, tahsilat, şirket içi değerlendirme, müşteri portföy yönetimi, hizmet kalitesinin ölçülmesi, iletişim, optimizasyon, denetim, risk yönetimi, denetim, müşteri doğrulama, dolandırıcılığın tespiti ve önlenmesi;
  • c. Demografik Veriler: Promosyon, şirket içi değerlendirme, analiz, iletişim, satış sonrası süreçlerin geliştirilmesi, iş geliştirme, tahsilat, kullanım verileri ve ilgi alanları, sık kullanılanlar, pazarlama, satış, reklam, denetim ve kontrol, risk yönetimi, satış sonrası süreçlerin geliştirilmesi, iş geliştirme, tahsilat, şirket içi değerlendirme, satış sonrası hizmetler, hizmet kalitesinin ölçülmesi, geliştirilmesi, iletişim, şikayet yönetimi süreçlerini yürütmek, operasyonel faaliyetlerin yürütülmesi ve geliştirilmesi, kayıt, sorun/hata bildirimi;
  • d. Kullanım Verileri ve Sık Kullanılanlar: Kullanıcı kayıt, sorun/hata bildirimi, kontrol, operasyonel faaliyetlerin yürütülmesi ve geliştirilmesi, satış sonrası hizmetler ve satış sonrası süreçlerin geliştirilmesi, iş geliştirme, tahsilat, şirket içi değerlendirme, online davranışsal reklamcılık ve pazarlama, abone portföy yönetimi, hizmet kalitesinin ölçülmesi ve geliştirilmesi, iletişim, optimizasyon, denetim, risk yönetimi ve kontrol, promosyon, analiz, ilgi alanları belirleme, skorlama, profilleme, pazarlama, satış, reklam, iletişim, şikayet yönetimi süreçlerini yürütmek, kayıt, sorun/hata bildirimi;
  • e. Konum verileri: Konuma bağlı veya konumla ilişkili Portal fonksiyonlarının kullandırılması, denetim ve kontrol, risk yönetimi;
  • f. Ödeme Verileri: Faturalandırma sürecini yönetmek, muhasebe, satış sonrası süreçlerin geliştirilmesi, iş geliştirme, tahsilat, şirket içi değerlendirme, skorlama, profilleme, müşteri ilişkileri yönetimi, satış sonrası hizmetler, iletişim, pazarlama, denetim, kontrol, ödeme hizmet sağlayıcıları ile yürütülen süreçler;
  • g. İçerik: İş geliştirme, optimizasyon, müşteri ilişkileri yönetimi, denetim, kontrol, operasyonel faaliyetlerin geliştirilmesi, iş geliştirme, promosyon, şirket içi değerlendirme, abone yönetimi, analiz, skorlama, profilleme, satış sonrası süreçlerin geliştirilmesi, tahsilat, satış sonrası hizmetler, iletişim, hizmet kalitesi ölçülmesi, geliştirilmesi, şikayet yönetimi süreçlerini yürütme;
  • h. Anket Cevapları: Persty tarafından Persty Portal dahilinde düzenlenen periyodik anketlere cevap veren kullanıcılar’dan talep edilen bilgiler, Persty ile Persty Portal fonksiyonlarının kullandırılması ve bu fonksiyonların Persty tarafından yerine getirilebilmesi için işbirliği yaptığı gerçek ve/veya tüzel kişiler ile Persty Portal’ın kullanım amaçlarına uygun olarak yukarıda belirtilen tüm işleme faaliyetleri kapsamında işbirliği yaptığı üçüncü gerçek ve tüzel kişiler tarafından bu kullanıcılar’a doğrudan pazarlama yapma, istatistikî analiz yapma, süreçlerini iyileştirme ve veri tabanı oluşturma;

Persty ile iş ilişkisi içerisinde olan üçüncü gerçek veya tüzel kişiler ile yapılan sözleşmeler veya yürütülen faaliyetler ile yasal düzenlemelerden doğan yükümlülükler çerçevesinde hukuki ve ticari yükümlülüklerin gerçekleştirilmesi için Persty tarafından iş ortağı/müşteri/tedarikçiler ile yapılan sözleşmelerden kaynaklanan yükümlülükleri ifa etme, hak tesis etme, hakları koruma, ticari ve hukuki değerlendirme süreçlerini yürütme, hukuki ve ticari risk analizleri yapma, hukuki uyum sürecini yürütme, mali işleri yürütme, yasal gereklilikleri yerine getirme, yetkili kurum, kuruluş ve mercilerin kararlarını yerine getirme, taleplerini cevaplama, amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

MADDE 15. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Persty, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Persty’nin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Persty’nin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu politikada yer verilmiştir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Persty’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

MADDE 16. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON

Persty tarafından, kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politikanın uygulama kapsamında çalışanlar, müşteriler, potansiyel müşteriler, çalışan adayları, Persty hissedarları, Persty yetkilileri, ziyaretçiler, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ve üçüncü kişilerle sınırlıdır.

Persty tarafından kişisel verileri işlenen kişilerin kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVK Kanunu kapsamında Persty’e taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınacaktır.

İşbu Politika kapsamında yer alan çalışan, müşteri, potansiyel müşteri, ziyaretçi, çalışan adayı, hissedar ve yönetim kurulu üyesi, işbirliği içerisinde olduğumuz kurumlardaki gerçek kişiler ve bu kişilerle ilişkili üçüncü kişiler kavramlarına açıklık getirilmektedir.

MADDE 17. PERSTY TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Persty, KVKK’ nın 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.

Persty, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak hizmet alanların kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:

  • a. Şirket iş ortaklarına,
  • b. Şirket tedarikçilerine,
  • c. Şirket iştiraklerine,
  • d. Şirket Hissedarlarına,
  • e. Hukuken Yetkili kamu kurum ve kuruluşlarına,
  • f. Hukuken yetkili özel hukuk kişilerine.

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları şöyledir;

  • 1. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak,
  • 2. Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirketimize sunulmasını sağlamak amacıyla sınırlı olarak,
  • 3. Şirketimizin iştiraklerin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak,
  • 4. Şirketimizin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin yasal mevzuat hükümlerine göre tasarlanması ve denetim amacıyla sınırlı olarak,
  • 5. Hukuken yetkili kamu kurum ve kuruluşlarının yasal mevzuat çerçevesinde şirketimizden bilgi ve belge istemi halinde, hukuki yetkilerimiz dahilinde talep ettiği amaçla sınırlı olarak,
  • 6. Hukuken yetkili özel hukuk kişilerinin yasal mevzuat çerçevesinde şirketimizden bilgi ve belge istemi halinde, hukuki yetkilerimiz dahilinde talep ettiği amaçla sınırlı olarak,

Persty tarafından gerçekleştirilen aktarımlarda politikada düzenlenen hususlara uygun olarak hareket edilmektedir.

Persty, sahibi olduğu Persty Portalda; Persty Portalı ziyaret eden kişilerin Persty Portaldaki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek maksadıyla teknik vasıtalarla site içerisindeki internet hareketlerini kaydedilmektedir.

Şirketimizin yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin ‘Şirket İnternet Sitesi Gizlilik Politikası” metinleri içerisinde yer almaktadır.

Persty, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Persty’nin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Persty bu ilgili yasal yükümlülüğünü yasal yöntemlerle yerine getirmektedir.

MADDE 18. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
  • 18.1 Kişisel Verilerin Silinmesi ve Yok Edilmesi
    Persty ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir.

  • 18.2 Kişisel Verileri Anonim Hale Getirme Teknikleri

    Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Persty, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

    KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politikada düzenlenen haklar bu veriler için geçerli olmayacaktır.

    Persty, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Persty, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

MADDE 19. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
  • 19.1 Kişisel Veri Sahibinin Hakları Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

    • a. Kişisel veri işlenip işlenmediğini öğrenme
    • b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
    • c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
    • d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
    • e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
    • f. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
    • g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
    • h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

  • 19.2 Kişisel Veri Sahibinin Haklarını Kullanması Kişisel veri sahipleri bu bölümün yukarıda sıralanan haklarına ilişkin taleplerini aşağıda belirtilen yöntemle Şirketimize ücretsiz olarak iletebileceklerdir:

    • a. www.corexm.com adresinde bulunan formu doldurulup ıslak imzalı olarak imzalandıktan sonra istenilen ekleri ile birlikte Çağış Mahallesi Çağış B.M. Sk. No:340/16/14 Bigadiç / BALIKESİR adresine şahsen başvuru ile
    • b. www.corexm.com adresinde bulunan formu doldurulup ıslak imzalı olarak imzalandıktan sonra istenilen ekleri ile birlikte Çağış Mahallesi Çağış B.M. Sk. No:340/16/14 Bigadiç / BALIKESİR adresine kargo ya da posta vasıtasıyla,
    • c. www.corexm.com adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı form ile istenilen ekleri kvk@corexm.com adresine gönderilecek bir e-posta ile
    • d. www.corexm.com adresinde bulunan elektronik formun doldurulup istenilen ek belgeleri yükledikten sonra formda yer alan ilgili onayları vererek göndermek sureti ile
Kişisel veri sahipleri, haklarını kullanmak için yapacakları başvuruda, yukarıda bağlantı sağlanan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”nu dolduracaklardır. Bu formda yapılacak başvurunun yöntemi de ayrıntılı bir şekilde anlatılmaktadır.
MADDE 20. ŞİRKETİN BAŞVURULARA CEVAP VERMESİ
  • 20.1 Persty’nin Başvurulara Cevap Verme Usulü ve Süresi

    Kişisel veri sahibinin, bu bölümün yukarıdaki kısmında yer alan usule uygun olarak talebini Persty’e iletmesi durumunda Persty talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.

    Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Persty tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

  • 20.2 Persty’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

    Persty, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.

    Persty, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.