KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

ARTSAN TEKSTİL TRANSFER KAĞITLARI SAN. VE TİC. LTD. ŞTİ. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

İÇİNDEKİLER
1. GİRİŞ

1.1. Amaç
1.2. Kapsam
1.3. Tanımlar
2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNE YÖNELİK BİLGİLER
2.1. Veri Sahipleri
2.2. Kişisel Verilerin İşlenme Amaçları
2.2.1. Ürün ve/veya Hizmetlerden İlgili Kişileri Faydalandırmak Amacıyla İş
Süreçlerinin Yürütülmesi
2.2.2. İnsan Kaynakları Politikaları İle Süreçlerinin Planlanması ve İcra Edilmesi
2.2.3. Ticari Faaliyetlerin Gerçekleştirilmesi İçin Gerekli Çalışmaların Yapılması Ve
Buna Bağlı İş Süreçlerinin Yürütülmesi
2.2.4. Ürün Ve Hizmetlerin Beğeni, Kullanım Alışkanlıkları Ve İhtiyaçlarına Göre
Özelleştirilerek İlgili Kişilere Önerilmesi Ve Tanıtılması İçin Gerekli Olan
Aktivitelerin Planlanması Ve İcra Edilmesi
2.2.5. Ticari ve/veya İş Stratejilerinin Planlanması ve İcra Edilmesi
2.2.6. Şirket İle İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari İş
Güvenliğinin Temini
2.2.7. Sunulan Ürün veya Hizmetlerin Beğeni, Kullanım Alışkanlıkları Ve İhtiyaçlarına
Göre Özelleştirilerek İlgili Kişilere Önerilmesi Ve Tanıtılması İçin Gerekli Olan
Aktivitelerin Planlanması Ve İcra Edilmesi
2.3. Kişisel Veri Kategorileri
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKE VE KURALLAR
3.1. Kişisel Verilerin İşlenmesine İlişkin İlkeler
3.1.1. Verilerin Hukuka ve Dürüstlük Kuralına Uygun İşlenmesi
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması
3.1.3. Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi
3.1.4. Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
3.1.5. Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan
Süre Kadar Muhafaza Edilmesi
3.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar
3.2.1. Kişisel Veri Sahibinin Açık Rızasının Olması
3.2.2. Kişisel Veri İşleme Faaliyetlerinin Kanunlarda Açıkça Ön Görülmesi
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
4. KİŞİSEL VERİLERİN AKTARILMASI
4.1. Kişisel Verilerin Yurt İçindeki Üçüncü Kişilere Aktarımı
4.2. Kişisel Verilerin Yurt Dışındaki Üçüncü Kişilere Aktarımı
4.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
5. VERİ SAHİBİNİN HAKLARI VE İLGİLİ HAKLARIN KULLANILMASI
5.1. Kişisel Veri Sahibinin Hakları
5.2. Kişisel Veri Sahiplerinin Haklarını Kullanması
5.3. Şirketimizin İlgililerin Başvurularına Cevap Vermesi
5.4. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
6. TEKNİK VE İDARİ TEDBİRLER
6.1. İdari Tedbirler
6.2. Teknik Tedbirler
7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

1. GİRİŞ

1.1. Amaç
Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin
Korunması Kanunu (“KVKK” ya da “Kanun”) uyarınca veri sorumlusu sıfatıyla ARTSAN
TEKSTİL TRANSFER KAĞITLARI SAN. VE TİC. LTD. ŞTİ. (“Şirket”) tarafından
yükümlülüklerimizi yerine getirmek, kişisel verilerin işlenmesi ve korunması kapsamında
uygulayacağımız bütün idari ve teknik tedbirleri bildirmek amacıyla işbu Kişisel Verilerin
Korunması ve İşlenmesi Politikası (“Politika”) hazırlanmıştır. Özel nitelikli kişisel veriler ve
kişisel verileriniz işbu politikada “Kişisel Veriler” olarak adlandırılacaktır.
1.2. Kapsam
Bu Politika; Şirketimiz çalışanları da dahil kişilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
tüm kişisel verilerin işlenmesinde benimsenen prensipleri ortaya koymaktadır. Şirketimiz
tarafından kişisel verisi işlenecek ilgili kişilere yönelik gerçekleştirilen kişisel veri işleme
faaliyetlerine ve politikaya ayrıca; http://artsantransfer.com/ web adresimiz üzerinden
ulaşabilirsiniz.
1.3. Tanımlar
TANIM KISALTMA
Kanun/KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale

Getirilmesi Hakkında Yönetmelik
Kurul Kişisel Verileri Koruma Kurulu
Politika Kişisel Verilerin Saklama ve İmha Politikası
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan
gerçek veya tüzel kişi.

Veri Sahibi/İlgili
Kişi

Kişisel verisi işlenen gerçek kişi.

Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel

verileri işleyen gerçek veya tüzel kişi.

Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli
Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da
sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Çalışan / Personel Şirket personeli
Şirket ARTSAN TEKSTİL TRANSFER KAĞITLARI SAN. VE TİC. LTD.

ŞTİ.
Kişisel Verilerin
İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlemesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin
Silinmesi

Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Verilerin
Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Verilerin
Anonim Hale
Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir suretle
kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hale getirilmesi.

Kişisel Verilerin
Saklanması

Kişisel verilerin fiziki ortamda veya dijital ortamda muhafaza
edilmesi.

Kişisel Verilerin
Paylaşılması

Kişisel verilerin hukuka uygun şekilde paylaşılması.

Kişisel Verilerin
3.Kişiye
Aktarılması

Kişisel verilerin yurt içinde veya yurt dışında tüzel veya gerçek kişiye
aktarılması.

Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt

sistemi.

Veri Güvenliği Verinin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok
edilmesinden, izinsiz değiştirilmesinden, bilgilere hasar
verilmesinden koruma veya bilgilere yapılacak olan izinsiz erişimleri
engelleme işlemi.

VERBİS Veri Sorumluları Sicil Bilgi Sistemi.
İrtibat Kişisi Türkiye’de yerleşik olan tüzel kişilerin ve tüzel kişi veri sorumlusu
temsilcisinin sicil kapsamındaki yükümlülükleriyle ilgili olarak, Kurul
ve Kurum tarafından yapılacak iletişimlerde irtibata geçilmek üzere
atanan gerçek kişi.

Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen
kişisel verilerin bulunduğu her türlü ortam.

Soft Ortam Dijital ortam.
Başvuru Formu Kişisel veri sahibinin şirkete başvuru durumunda dolduracağı matbu

form.

Özel Vekaletname Bir kimsenin başka bir kimseyi belirli işlerde kendi adına hareket
edebilmesi için yazılı olarak yetkilendirdiğine ait yazılı bir belgedir.
Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,

değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik
Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer
ortamlar.

Açık Rıza Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle

açıklanan rıza.

İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan
aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek
kişilerdir.

Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması durumunda kişisel verileri saklama ve imha
politikasında belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya anonim hale getirme
işlemini.

Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya

tüzel kişi kategorisi.

Kişisel Veri İşleme
Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte
oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları
ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu
kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin
işlendikleri amaçlar için gerekli olan azami muhafaza edilme
süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri
güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları
envanter.

Aydınlatma
Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya
yetkilendirdiği kişi, ilgili kişilere;
1. Veri sorumlusunun ve varsa temsilcisinin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. Kanun’un 11 inci maddesinde sayılan diğer hakları,
konusunda bilgi vermek.

Güncellenme
Periyodu

İşbu politikada yapılan güncellemelere ilişkin tablo.

2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNE YÖNELİK BİLGİLER
2.1. Veri Sahipleri
Politika kapsamındaki veri sahipleri, Şirket tarafından kişisel verileri işlenen, Şirket çalışanları
dahil tüm gerçek kişilerdir. Genel olarak veri sahipleri aşağıdaki şekilde sıralanabilir:
Veri Sahibi
Kategorileri

Açıklama

Hissedar /Ortak Şirket’e ortak veya hissedar olan gerçek kişi.
Müşteri Şirket’in sunduğu ürün ve hizmetlerden yararlanan gerçek kişi.
Potansiyel Müşteri Şirket’in sunduğu ürün ve hizmetlere ilgi gösteren, müşteriye

dönüşme potansiyeli olan gerçek kişi.

Çalışan Şirket personeli
Ziyaretçi Şirket birimlerine ziyarette bulunan kişi.
Tedarikçi Şirket’e mal veya hizmet üreten gerçek kişi.
Üçüncü Kişi Yukarıda yer verilen veri sahibi kategorileri hariç gerçek kişileri

ifade etmektedir.

Yukarıdaki tabloda açıklanan veri sahibi kategorileri genel bilgi paylaşımı amacıyla
belirtilmiştir. Veri sahibinin bu kategorilerden herhangi birinin kapsamına girmemesi,
Kanun’da belirtildiği şekilde veri sahibi niteliğini ortadan kaldırmamaktadır.
2.2. Kişisel Verilerin İşlenme Amaçları
2.2.1. Ürün ve/veya Hizmetlerden İlgili Kişileri Faydalandırmak Amacıyla İş Süreçlerinin
Yürütülmesi
Ziyaretçi kayıtlarının oluşturulması ve takibi,
Tedarik zinciri yönetimi süreçlerinin yürütülmesi,

Ürün ve/veya hizmetlerin satış süreçlerinin planlanması ve icra edilmesi,
Finans ve muhasebe işlerinin yürütülmesi,
Faaliyetlerin mevzuata uygun yürütülmesi,
Satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icra edilmesi,
Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icra edilmesi,
Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,
İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
Fiziksel mekân güvenliğinin temini,
İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
Yabancı personel çalışma ve oturma izni işlemleri,
Bilgi güvenliği süreçlerinin yürütülmesi,
Müşteri talep ve/veya şikayetlerinin takibi.
2.2.2. İnsan Kaynakları Politikaları İle Süreçlerinin Planlanması ve İcra Edilmesi
Yetenek- kariyer gelişimi faaliyetlerinin planlanması ve icrası,
Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
Şirket içi oryantasyon aktivitelerinin planlanması ve icra edilmesi,
Personel çıkış işlemlerinin planlanması ve icra edilmesi,
Ücret politikasının yürütülmesi,
Acil durum yönetimi süreçlerinin yürütülmesi,
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
İnsan kaynakları süreçlerinin planlanması,
Performans değerlendirme süreçlerinin yürütülmesi,
Personel temin süreçlerinin yönetilmesi,
Şirket için atama-terfi ve işten ayrılma süreçlerinin planlanması ve icra edilmesi,
Çalışanların performans değerlendirme süreçlerinin planlanması ve icra edilmesi,
Çalışanların iş faaliyetlerinin takibi ve/veya denetimi,
Şirket içi eğitim faaliyetlerinin planlanması ve/veya icra edilmesi,
Çalışan memnuniyetinin ve/veya bağlılığı süreçlerinin planlanması ve icra edilmesi,
Çalışanların iş ve/veya üretim süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve
değerlendirilmesi süreçlerinin planlanması ve icra edilmesi,

2.2.3. Ticari Faaliyetlerin Gerçekleştirilmesi İçin Gerekli Çalışmaların Yapılması Ve
Buna Bağlı İş Süreçlerinin Yürütülmesi
İş faaliyetlerinin planlanması ve icra edilmesi,
Kurumsal iletişim faaliyetlerinin planlanması ve icra edilmesi,
Tedarik zinciri yönetimi süreçlerinin planlanması ve icra edilmesi,
Üretim ve/veya operasyon süreçlerinin planlanması ve icra edilmesi,
Bilgi güvenliği süreçlerinin planlanması, denetimi ve icra edilmesi,
Bilgi teknolojileri altyapısının oluşturulması ve yönetilmesi,
İş ortaklarının bilgiye erişim yetkilerinin planlanması ve icra edilmesi,
Finans ve/veya muhasebe işlerinin takibi,
Kurumsal sürdürülebilirlik faaliyetlerin planlanması ve icra edilmesi,
Kurumsal yönetim faaliyetlerin planlanması ve icra edilmesi,
İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icra edilmesi,
Lojistik faaliyetlerinin planlanması ve icra edilmesi.
2.2.4. Ürün Ve Hizmetlerin Beğeni, Kullanım Alışkanlıkları Ve İhtiyaçlarına Göre
Özelleştirilerek İlgili Kişilere Önerilmesi Ve Tanıtılması İçin Gerekli Olan Aktivitelerin
Planlanması Ve İcra Edilmesi
Pazarlama faaliyetlerine konu edilecek kişilerin, tüketici davranışı kriterleri doğrultusunda
tespiti ve/veya değerlendirilmesi,
Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
Pazarlama analiz çalışmalarının yürütülmesi,
Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım ve/veya pazarlama aktivitelerinin
tasarlanması ve/veya icra edilmesi,
Dijital ve/veya diğer mecralarda müşteri kazanım ve/veya mevcut müşterilerde değer
yaratımı üzerine geliştirilecek aktivitelerin tasarlanması ve/veya icra edilmesi,
Pazarlama amacıyla veri analitiği çalışmalarının planlanması ve/veya icra edilmesi,
Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icra edilmesi,
Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması
süreçlerinin planlanması ve/veya icra edilmesi.
2.2.5. Ticari ve/veya İş Stratejilerinin Planlanması ve İcra Edilmesi
İş ortakları ile olan ilişkilerin yönetilmesi,
İş faaliyetlerinin yürütülmesi / denetimi,
Veri sorumlusu operasyonlarının güvenliğinin temini.
2.2.6. Şirket İle İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari İş
Güvenliğinin Temini

Hukuk işlerinin takibi,
Faaliyetlerin mevzuata uygun yürütülmesi,
Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin
temini için gerekli operasyonel faaliyetlerinin planlanması ve icra edilmesi,
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
Ziyaretçi kayıtlarının oluşturulması ve takibi,
Acil durum yönetimi süreçlerinin planlanması ve icra edilmesi,
Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
Şirket denetim faaliyetlerinin planlanması ve icra edilmesi,
İş sağlığı ve/veya güvenliği süreçlerinin planlanması ve/veya icra edilmesi,
Risk yönetimi süreçlerinin yürütülmesi,
Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini,
Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi.
2.2.7. Sunulan Ürün veya Hizmetlerin Beğeni, Kullanım Alışkanlıkları Ve İhtiyaçlarına
Göre Özelleştirilerek İlgili Kişilere Önerilmesi Ve Tanıtılması İçin Gerekli Olan
Aktivitelerin Planlanması Ve İcra Edilmesi
Pazarlama faaliyetlerine konu edilecek kişilerin, tüketici davranışı kriterleri doğrultusunda
tespiti ve/veya değerlendirilmesi,
Kişiye özel pazarlama ve/veya tanıtım aktivitelerinin tasarlanması ve/veya icra edilmesi,
Dijital ve/veya diğer mecralarda reklam ve/veya tanıtım ve/veya pazarlama aktivitelerinin
tasarlanması ve/veya icra edilmesi,
Dijital ve/veya diğer mecralarda müşteri kazanım ve/veya mevcut müşterilerde değer
yaratımı üzerine geliştirilecek aktivitelerin tasarlanması ve/veya icra edilmesi,
Pazarlama amacıyla veri analitiği çalışmalarının planlanması ve/veya icra edilmesi,
Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icra edilmesi,
Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması
süreçlerinin planlanması ve/veya icra edilmesi.
2.3. Kişisel Veri Kategorileri
Şirket tarafından aşağıdaki şekilde kategorize edilen kişisel veriler, Kanun’da ve ilgili
mevzuatta yer alan kişisel veri işleme şartlarına uygun olarak işlenmektedir:
Veri
Kategorisi

Açıklama

Kimlik Verisi Ad soyad, anne adı, baba adı, anne kızlık soyadı, doğum tarihi, doğum
yeri, medeni hali, nüfus cüzdanı seri sıra no, T. C. kimlik no, ehliyet,
nüfus cüzdanı, pasaport, avukatlık kimliği, evlilik cüzdanı gibi belgelerde
yer alan bilgiler.

İletişim Verisi Adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi

(KEP), telefon no gibi bilgiler.

Lokasyon
Verisi

Veri sahibinin konumunu tespit etmeye yarayan bilgiler (örn. araç
kullanımı sırasında edinilen konum bilgileri).

Müşteri Verisi Fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi,

talep bilgisi gibi

Müşteri İşlem
Verisi

Ürün ve hizmetlerimizden faydalanan müşteriler tarafından
gerçekleştirilen her türlü işleme ilişkin bilgiler.

Fiziksel Mekân
Güvenlik
Verisi

Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan
kamera kayıtları, parmak izi kayıtları gibi kayıtlar ve belgelere ilişkin
kişisel veriler.

İşlem
Güvenliği
Verisi

IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri.

Finansal Veri Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri,

malvarlığı bilgileri gibi bilgiler.

Mesleki
Deneyim
Verisi

Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar,
transkript bilgileri gibi bilgiler

Özlük Verisi Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal
bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları
gibi bilgiler.

Hukuki İşlem
ve Uyum Veri

Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi

Denetim ve
Teftiş Verisi

Şirket’in kanuni yükümlülüklere, iş süreçlerine ve şirket politikalarına
uyumu kapsamında işlenen kişisel veriler.

Özel Nitelikli
Veri

Kişilerin sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik verileri.

Ceza
Mahkûmiyeti
Ve Güvenlik
Tedbirleri

Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi
bilgiler.

Biyometrik
Veri

Parmak izi bilgileri

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE KURALLAR
Şirket, kişisel verilerin işlenmesi konusunda aşağıdaki kurallara uygun olarak hareket eder:
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilme.
Şirket, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel
verileri muhafaza eder.
3.1. Kişisel Verilerin İşlenmesine İlişkin İlkeler
Şirket, Kanun’un 10. maddesine uygun olarak veri sahiplerini aydınlatmaktır ve rıza alınması
gereken durumlarda veri sahiplerinden rızalarını talep ederek bu kişisel verileri aşağıda
belirtilen ilkeleri esas alarak işler.

3.1.1. Verilerin Hukuka ve Dürüstlük Kuralına Uygun İşlenmesi
Şirket, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen
ilkelere uygun hareket etmektedir. Şirket, veri işlemedeki hedeflerine ulaşmaya çalışırken,
ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır. İlgili kişinin beklemediği ve
beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder. İlke
uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sahibini
bilgilendirme ve uyarı yükümlülüklerine uygun hareket eder.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması
Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Şirket’in aktif
özen yükümlülüğü bulunmaktadır. Bu sebeple Şirket tarafından veri sahibi olan ilgili kişinin
bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açık tutar.
3.1.3. Verilerin Belirli, Açık ve Meşru Amaçlarla İşlenmesi
Şirket, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak
belirlemektedir. İlgili kişi bu konuda bilgilendirilmektedir. Yürütmekte olduğu ticari faaliyet ile
bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.
3.1.4. Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Şirket, kişisel verileri, iştigal konusu ile ilgili ve işinin yürütülmesi için gerekli olan amaçlar
dahilinde işlemektedir. Bu sebeple, kişisel verileri belirlenen amaçların
gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili
olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
3.1.5. Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre
Kadar Muhafaza Edilmesi
Şirket, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan
süre kadar muhafaza etmektedir. Bu kapsamda; öncelikle ilgili mevzuatta kişisel verilerin
saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu
süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için
gerekli olan süre kadar saklamaktadır. Kişisel veri işleme amacının ortadan kalkmasından
sonra ya da mevzuatta öngörülen sürenin dolması ile kişisel veriler Şirket tarafından
silinmekte, yok edilmekte veya anonimleştirilmektedir.
3.2. Kişisel Verilerin İşlenmesine İlişkin Şartlar ve Hukuki Gerekçeleri
Kişisel verileriniz 2 koşulda şirketimiz tarafından işlenmekte, saklanmakta ve
aktarılabilmektedir. 1 inci koşul; Kanun’un 5 inci maddesinin 2 nci fıkrası ve 6 ncı maddesinin
3 üncü fıkrasında yer alan kişisel veri işleme şartlarından en az birinin varlığı halinde kişisel
verileriniz Şirket tarafından açık rızanız olmadan işlenebilmektedir. 2 nci koşul; Kanun’un 5
inci maddesinin 1 inci fıkrası ve 6 ncı fıkrasına göre açık rızanız alınarak kişisel verileriniz
işlenmekte, saklanmakta ve aktarılabilmektedir.
3.2.1. Kişisel Veri Sahibinin Açık Rızasının Olması
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin
açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle
açıklanmalıdır.
Kanun’un 5 inci maddesinin 1 inci fıkrası ve 6 ncı maddesinin 2 nci fıkrasına göre, ilgili
kişilerin açık rızası alınarak kişisel verileriniz işlenmekte, saklanmakta ve aktarılabilmektedir.

3.2.2. Kişisel Veri İşleme Faaliyetlerinin Kanunlarda Açıkça Ön Görülmesi
Veri sahibinin kişisel verileri, ilgili mevzuatında açıkça öngörülmesi halinde veri sahibinin açık
rızası olmadan da hukuka uygun olarak işlenebilmektedir.
3.2.3. Fiili İmkânsızlık
Rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
olması halinde ilgili kişinin kişisel verileri işlenebilecektir. Kanun’a göre fiili imkânsızlık
halinde, kişisel verilerin işlenebilmesi için ilgili kişinin veya üçüncü bir kişinin hayatı veya
beden bütünlüğünün korunması bakımından zorunluluk bulunmalıdır. Örneğin; hürriyeti
kısıtlanan bir kişinin kurtarılması amacıyla kendisinin veya şüphelinin taşımakta olduğu
telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin
belirlenmesi için bu verilerin işlenmesi gibi.
3.2.4. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
tara arına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla
sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür. Örneğin, bir sözleşme gereği
paranın ödenmesi için alacaklı tarafın hesap numarasının alınması veya bir bankayla kredi
sözleşmesi yapılması sırasında bankanın, o kişiye ait maaş bordrosunu, tapu kayıtlarını, icra
borcu olmadığına dair belgeyi edinmesi gibi. Ayrıca, sözleşme gereği satıcının, malı teslim
borcunu yerine getirmesi için alıcının adresini kaydetmesi ya da işverenin maaş ödemesini
gerçekleştirmek amacıyla çalışanların banka bilgilerini elinde bulundurması bu kapsamda
değerlendirilebilir.
3.2.5. Veri Sorumlusunun Hukuki Yükümlülüğünün̈ Yerine Getirebilmesi İçin Zorunlu
Olması
Veri Sorumlusunun hukuki yükümlülüğünün̈ yerine getirebilmesi için veri işlenmesinin zorunlu
olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir. Şirketin çalışanına maaş
ödeyebilmesi için, banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu
kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin elde edilmesi ve
işlenmesi bu duruma örnek verilebilir. İşverenin vergi denetimi sırasında çalışanlarına veya
müşterilerine ait bilgileri ilgili kamu görevlilerinin incelemesine sunması da bu kapsamda
değerlendirilebilir.
3.2.6. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde
kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir
kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık
şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon
numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde
paylaşılması halinde de alenileştirmeden söz edilebilir.
3.2.7. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması
İçin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel
verilerinin işlenmesi mümkündür. Örneğin, bir şirketin kendi çalışanı tarafından açılan bir
davada ispat için bazı verileri kullanması ya da kısıtlı bir kişinin haklarının korunması
amacıyla vasisinin veya kayyumun, kısıtlının mali bilgilerini tutması gibi. Ayrıca, sözleşme

sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura,
sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması bu kapsamda
değerlendirilebilir.
3.2.8. Veri İşlemenin İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek
Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi
mümkündür. Bazı durumlarda veri sorumlusunun meşru menfaati bakımından veri işleme söz
konusu olabilmektedir. Örneğin bir şirket sahibinin, çalışanlarının temel hak ve özgürlüklerine
zarar vermemek kaydıyla, onların terfileri, maaş̧ zamları yahut sosyal haklarının
düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol
dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi şirket sahibinin
meşru menfaati kapsamına alınmıştır. Bu şarta dayalı olarak veri işlenebilmesi için, veri
sorumlusunun meşru menfaatinin bulunması ve ilgili kişinin temel hak ve özgürlüklerine zarar
verilmemesine göz önüne alarak şirketimiz tarafından kişisel verileriniz işlenir. Şirketimizin
Meşru menfaat kapsamı, gerçekleştirilecek olan işlenme sonucunda elde edeceği çıkara ve
faydaya yöneliktir. Şirketimizin elde edeceği fayda; meşru, ilgili kişinin temel hak ve
özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve halihazırda mevcut olan bir
menfaatine ilişkin olmalıdır. Şirketimizin, gerçekleştirdiği güncel aktivitelerle ilişkili ve ona
yakın gelecekte fayda sağlayacak bir işlem olmasına dikkat edilir.
3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi
Şirket tarafından, “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da
öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
Şirket tarafından; özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli
önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
– Kişisel veri sahibinin açık rızası var ise
– Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda
öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmektedir.
Şirketimiz iş faaliyeti gereği; hizmet alan ve potansiyel hizmet alıcısı kişilere ait işlenen sağlık
verileri, sır saklama yükümlülüğü bulunan doktorlarımız tarafından işlenmekte ve
saklanmaktadır. Hasta bilgi gizliliği ve bilginin mahremiyeti göz önüne alınarak alınan
verileriniz şirketimiz tarafından gerekli önlemler alınarak korunmakta ve üçüncü kişilere
aktarım yapılmamaktadır.
4. KİŞİSEL VERİLERİN AKTARILMASI
Şirket, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini yurt içi veya
yurt dışındaki üçüncü kişilere aktarabilmektedir. Şirket, bu doğrultuda KVK Kanunu’nun 8.
maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

4.1. Kişisel Verilerin Yurt İçindeki Üçüncü Kişilere Aktarımı
Kanun’un 5. ve 6. maddesinde yer alan ve bu Politika’nın 3. Başlığı altında açıklanmış olan
veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel
ilkelere uymak şartıyla kişisel verileriniz Şirketimiz tarafından; şirket yetkilileri, yönetim kurulu
üyeleri ve diğer yetkilendirilen kişiler, hissedar ve ortaklara, hizmet alan kişinin bağlı
bulunduğu sigorta şirketlerine, gerçek kişiler veya özel hukuk tüzel kişilerine, yetkili kamu
kurum ve kuruluşlarına, iştiraklerimize, tedarikçilere, hizmet sağlayıcı kurum ve kuruluşlara,
grup şirketlerimize aktarılabilmektedir.
4.2. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Kanunun genel ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme şartları dahilinde Şirket,
aşağıdaki tabloda kategorizasyonu yapılmış taraflara veri aktarımı gerçekleştirebilmektedir:
Veri Aktarımı Yapılabilecek
Kişiler

Tanım Amaç

İş Ortağı Şirket’in ticari faaliyetlerini
yürütürken iş ortaklığı
kurduğu taraflar

İş ortaklığının kurulma
amaçlarının yerine
getirilmesini temin etmek
amacıyla sınırlı olarak
kişisel verilerin paylaşımı

Tedarikçiler Şirket’e sözleşme karşılığı
mal veya hizmet üreten
gerçek veya tüzel kişi.

Şirket bünyesinde
yürütülen işlerden
bazılarının tedarikçiler
kanalı ile yürütülmesinin
temini.

Şirket Yetkilileri, Yönetim
Kurulu Üyeleri ve diğer
yetkilendirilen kişiler

Şirket’in ticari faaliyetlerine
ilişkin stratejilerin
tasarlanması

En üst düzeyde
yönetiminin sağlanması
ve denetim amaçlarıyla
sınırlı olarak kişisel
verilerin paylaşımı

Yetkili Kamu Kurum ve
Kuruluşları

Hukuken Şirket’ten bilgi ve
belge almaya yetkili kamu
kurum ve kuruluşları

İlgili kamu kurum ve
kuruluşlarının bilgi talep
etme amacıyla sınırlı
olarak kişisel veri
paylaşımı

Yetkili Özel Hukuk Kişileri Hukuken Şirket’ten bilgi ve
belge almaya yetkili özel
hukuk kişileri

İlgili özel hukuk kişilerinin
hukuki yetkisi dahilinde
talep ettiği amaçla sınırlı
olarak verilerin paylaşımı

Hizmet Alan Kişinin Bağlı
Bulunduğu Sigorta Şirketleri

Veri Sahibinin bağlı
bulunduğu sigorta şirketi

Gerekli olması halinde
Veri Sahibinin sigorta
işlemlerinde

5. KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ
Şirketimiz tarafından farklı kanallarla fiziki ya da elektronik ortamda; her türlü her türlü yazılı,
sözlü, elektronik ortamlardan otomatik olan ya da olmayan yöntemlerle internet siteleri
üzerinden, e-posta kanalıyla ya da diğer dijital yollarla, güvenlik kameralarından veya fiziki
form/evraklar üzerinden toplanmaktadır.
6. KAMERA KAYITLARI AYDINLATMA METNİ

Şirketimizin kapalı devre kayıt sistemleri vasıtasıyla kişisel verileriniz Şirketimiz tarafından
“Veri Sorumlusu” sıfatıyla işbu politikanın 3. Maddesinde yer alan amaçlarla işletmenin
değişik lokasyonlarına yerleştirilen güvenlik kameraları aracılığı ile otomatik yollarla
toplanarak işlenme amaçları için gerekli olan süre kadar saklayarak işlenebileceğini ve KVK
Kanunu’nda sayılan diğer işlemlere tabi tutulabileceğini bildiririz.
Kişisel Verilerin İşlenme Amacı; Toplanan kişisel veriler, Kanun’un 5. Maddesinde yer alan
“ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine dayanarak dijital ortamda
işlenmektedir. İşlenen kişisel verileriniz, kişisel veri işleme şartları ve amaçları çerçevesinde,
binamızda güvenlik ve gizliliğin sağlanması, daha iyi hizmet verebilmek, ileride doğabilecek
uyuşmazlıklarda delil olarak kullanabilmek, adli bir vakada ve acil durumların yönetilmesinde
yetkili kamu kurum veya kuruluşlarının taleplerinin karşılanabilmesi, şirketin güvenliğini
sağlama, herhangi adli suç vakalarında tespit sağlama, denetim amacıyla sınırlı olarak
kamera kaydı yapılarak işlenmektedir.
Kişisel Verilerin Aktarılabileceği Taraflar ve Aktarım Amacı; Toplanan kişisel veriler,
Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları
çerçevesinde, Şirket ile iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-iş
güvenliğinin temin edilmesi ve Şirket’e ait lokasyonların güvenliğinin sağlanması amaçları
dahilinde hukuken yetkili kurum ve kuruluşlar ile paylaşılabilecektir.
Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi ve Saklama Süresi; Kişisel
verileriniz, lokasyonlarda yer alan kapalı devre kamera sistemleri vasıtasıyla Kanun’un 5.
Maddesinde belirtilen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebebine
dayalı şekilde toplanılmaktadır. Şirketimiz dahilinde 7 gün 24 saat işlenen kamera kaydınız
belirtilen amaçlarla sınırlı kalınmak şartıyla alınmakta ve saklama süresi sonunda imha
edilmektedir.
7. VERİ SAHİBİNİN HAKLARI VE İLGİLİ HAKLARIN KULLANILMASI
7.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve
bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
f. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini
veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.
7.2. Kişisel Veri Sahiplerinin Haklarını Kullanması

Kişisel Veri Sahipleri bu bölümün 3. Başlığı altında sıralanan haklarına ilişkin taleplerini
kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel
Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup
imzalayarak ARTSAN TEKSTİL TRANSFER KAĞITLARI SAN. VE TİC. LTD. ŞTİ.’ne
ücretsiz olarak iletebileceklerdir:
a. http://artsantransfer.com/ adresinde bulunan başvuru formu doldurulduktan sonra ıslak
imzalı bir nüshasının bizzat elden veya noter aracılığı ile “Üniversite Mah. Bağlariçi Cad.
No:16 Avcılar / İSTANBUL” adresine iletilmesi,
b. http://artsantransfer.com/ adresinde bulunan başvuru formu doldurulup imazalandıktan
sonra soft ortamda kvkk@artsantransfer.com adresine elektronik posta ile gönderilmesi,
c. KVK Kanunu’nda belirtilen diğer yöntemlerle başvurarak iletebilirsiniz.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi
tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname
bulunmalıdır.
7.3. Şirketimizin İlgililerin Başvurularına Cevap Vermesi
Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve Yönetmelik’e uygun
olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri
sahibinin, bu bölümün 7.2. başlıklı kısmında yer alan usule uygun olarak talebini iletmesi
durumunda şirketimiz talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak
sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, şirketimiz
tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır.
7.4. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı
dışında tutulduğundan, bu konularda 5.1’de sayılan haklarını ileri süremezler:
a. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere
uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan
aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
b. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi,
c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç
teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi,
d. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya
ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum
ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında
işlenmesi,
e. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak
yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28.2. maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın
giderilmesini talep etme hakkı hariç, 5.1’de sayılan diğer haklarını ileri süremezler:
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması,
b. Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve
kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması,
d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali
çıkarlarının korunması için gerekli olması.
8. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi,
erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un
12. Maddesindeki ilkeler çerçevesinde, şirketimiz tarafından alınmış olan tüm idari ve teknik
tedbirler aşağıda sayılmıştır:
8.1. İdari Tedbirler
Şirketimiz idari tedbirler kapsamında;
1. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile
sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem
derecesi de dikkate alınır.
2. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi
hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
3. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile
kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut
mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
4. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve
personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli
eğitimleri verir. İşbu eğitimlerle şirket bünyesindeki personellerin teknik bilgi/becerisi
geliştirilmekte ve kişisel verilerin işlenmesi/saklanması ve imhası prosedürlerinin, ilgili
personeller tarafından hukuka ve mevzuata uygun şekilde yürütülmesi
sağlanmaktadır.
5. Kendi tüzel kişiliği nezdinde kanun hükümlerinin uygulanmasını ve kontrolünü
sağlamak amacıyla gerekli denetimleri periyodik olarak yapar ve yaptırır. Denetimler
sonucunda ortaya çıkan/çıkma ihtimali bulunan gizlilik ve güvenlik zaafiyetlerini
giderir.
6. Kişisel verilerin korunması ve veri güvenliğinin sağlanması amacıyla, şirket tarafından
yürütülen faaliyetlere ilişkin olarak çalışanlarla gizlilik sözleşmeleri imzalar veya var
ise mevcut sözleşmelere eklenen hükümler ile veri güvenliğini sağlar.
7. Kişisel veri işlemeye başlamadan önce kişisel verileri işlenen ilgili kişilere bu verilerin
kim tarafından, hangi amaçlarla ve hukuki sebeplerle işlenebileceği, kimlere hangi
amaçlarla aktarılabileceği hususunda bilgi vererek aydınlatma yükümlülüğünü yerine
getirir.
8. Mevzuat tarafından ön görülen istisnai haller dışında; kişisel verileri ilgilinin açık rızası
olmadan işlemeyeceğini ilgili kişilere taahhüt etmektedir. Açık rıza alınması gerekli
hallerde ise; ilgili kişinin belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür
iradeyle açıklanan rızası alınarak söz konusu yükümlülük yerine getirilir.
9. Kanunda ön görülen veya politikada belirtilen veri saklama süresinin dolması halinde;
şirket tarafından yapılacak ilk periyodik imha işleminde işbu kişisel verilerin silinmesi,
yok edilmesi veya anonim hale getirilmesi süreci işletilir.
10. Bilginin çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul
önlemlerin alınması sağlanır.
8.2. Teknik Tedbirler

Şirketimiz teknik tedbirler kapsamında;
1. Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
2. Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler
alınır.
3. Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki
analizinin gerçekleştirilmesi süreçlerini yürütür.
4. Hukuka aykırı veri işlemeye yönelik riskler belirler ve işbu risklere uygun teknik
tedbirler alır. Hukuka aykırı veri işlendiğinin tespiti halinde ise, ilgili kişiye ve kurula
bildirmek için bir sistem ve altyapı oluşturur.
5. Erişim yetki ve rol dağılımları için prosedürler oluşturulur ve uygulanır. Yetki matrisi
uygulanır, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulur,
saklama ve imha politikasına uygun imha süreçleri tanımlanır ve uygulanır
6. Düzenli olarak ve ihtiyaç halinde sızma (penetrasyon) testi hizmeti satın alınarak;
bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılır ve
gerekli önlemler alınır.
7. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin
kontrolünü sağlar.
8. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol
altında tutulmasını sağlar.
9. Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak
şekilde sağlanır.
10. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi
güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile
korunur. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenir.
11. Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları
kullanılır.
12. Belirlenen kurallara göre güvenli işlem kayıtları (Log kaydı) tutulur.
13. Belirlenen kurallara göre işlem kayıtları (log kaydı) tutulur.
14. Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili
raporlama ve analiz çalışmaları yapılır.
15. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulur.
16. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılır.
17. Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim
prensiplerine göre sınırlandırılmaktadır.
18. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24
çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel
güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve
yazılımsal (Güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı
yazılımları engelleyen sistemler vb.) önlemler alınır.
9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği
üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde Şirket’in kararına istinaden veya kişisel veri
sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu
kapsamda Şirket ilgili yükümlülüğünü yerine getirmek üzere Şirket içerisinde gerekli teknik ve
idari tedbirleri alarak; bu konuda gerekli işleyiş mekanizmaları geliştirmiş olup; bu
yükümlülüklerine uygun davranmak üzere ilgili iş birimlerini eğitmekte, görevlendirme ve
farkındalıklarını sağlamaktadır.