Gizlilik Polikası
1-AMAÇ
Bu Politikanın temel
amacı 6698 Sayılı Kişisel Verilerilerin Korunması Kanunu (“Kanun”) ve alt
düzenlemeleri çerçevesinde VTS ARGE TEKNOLOJİ tarafından hukuka uygun bir
biçimde yürütülen kişisel veri işleme faaliyeti neticesinde VTS ARGE TEKNOLOJİ
nezdinde işlenen kişisel verilerin saklanması, kontrol edilmesi, kanun ve
alt düzenlemelerine uygun şekilde silme, yok etme ve anonim hale getirilmesi
sureti ile imha edilmesi ve anılan süreçlere ilişkin çalışma yöntemlerinin
belirlenerek tanımlanmasına yönelik olarak hazırlanmıştır.
2-KAPSAM
Bu Politika; VTS ARGE
TEKNOLOJİ tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin
saklanma usulleri ile silme, yok etme ve anonim hale getirilmesi sureti ile
imha edilmesi süreçlerine ilişkindir.
Bu Politika, VTS ARGE
TEKNOLOJİ ve VTS ARGE TEKNOLOJİ ‘ye hizmet veren tedarikçi, ortaklık ve/veya
iştirakleri de kapsamaktadır.
Bu Politika, VTS ARGE
TEKNOLOJİ müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları,
hissedarları, ziyaretçileri, kendisi ile akdettiği bir sözleşme çerçevesinde
(destek hizmeti, bağımsız denetim, danışmanlık, hizmet, satın alma, iş birliği,
çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve
bunların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilerin otomatik
olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla işlenen tüm kişisel verilerine uygulanmaktadır.
3-REFERANSLAR
·
• Kişisel verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik
·
• 6698 Sayılı Kişisel
Verilerin Korunması Kanunu
4-TANIMLAR
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye
dayanan ve özgür iradeyle açıklanan rızayı,
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı
gerçek veya tüzel kişi kategorisini,
Anonim hale getirme: Kişisel verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir
gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Kişisel Veri Sahibi / İlgili Kişi: Kişisel verisi
işlenen Müşteri olmayan potansiyel müşteriler, çalışanlar, çalışan adayları,
hissedarlar, ziyaretçiler, kendisi ile akdettiği bir sözleşme çerçevesinde
(destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın
alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum
ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü
gerçek kişiyi,
İmha : Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale ettirilmesini,
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla
işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü bilgiyi,
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek
vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik bilgileri,
Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından
tutulan veri sorumluları sicilini,
Kişisel verilerin işlenmesi: Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlemi,
Kişisel veri işleme envanteri: Veri sorumlularının iş
süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme
faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan
alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve
kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı
ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan
tedbirleri açıklayarak detaylandırdıkları envanteri,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Periyodik imha: Kanunda yer alan kişisel verilerin
işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri
saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun
adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre
yapılandırılarak işlendiği kayıt sistemini,
İlgili Kullanıcı: Verilerin teknik olarak depolanması,
korunması, ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere
veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve
talimat doğrultusunda kişisel verileri işleyen kişileri,
İş/ Hizmet Ortakları: VTS ARGE TEKNOLOJİ ile akdettiği
bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, danışmanlık,
hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde
bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve
yetkilileri ile üçüncü gerçek kişiyi, ifade eder
5-KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
VTS ARGE TEKNOLOJİ
kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar
ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
5.1.1 Kişisel Veri Muhafaza Ortamları
5.1.1. Teknik Tedbirler
VTS ARGE TEKNOLOJİ
tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan
başlıca teknik tedbirler aşağıda sıralanmaktadır:
·
VTS ARGE TEKNOLOJİ bünyesinde gerçekleştirilen kişisel veri
işleme faaliyetleri, kurulan teknik sistemlerle denetlenmektedir.
·
Alınan teknik önlemler periyodik olarak iç denetim mekanizması
gereği ilgilisine raporlanmaktadır.
·
Teknik konularda departmanlar kurulmuş olup bu konuda bilgili
personel istihdam edilmektedir.
5.1.1.1 Kişisel Verilerin Güvenli Ortamlarda Saklanması için
Alınan Teknik Tedbirler
·
Kişisel verilerin güvenli ortamlarda saklanması için teknolojik
gelişmelere uygun sistemler kullanılmaktadır.
·
Teknik konularda uzman personel istihdam edilmektedir.
·
Saklanma alanlarına yönelik teknik güvenlik sistemleri
kurulmakta, alınan teknik önlemler üretilmektedir.
·
Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için
hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
·
Kişisel verilerin bulunduğu veri depolama alanlarına erişimler
loglanarak uygunsuz
·
Erişimler veya erişim denemeleri ilgililere anlık olarak
iletilmektedir.
·
VTS ARGE TEKNOLOJİ sunucuları periyodik olarak iç denetim
mekanizması gereği ilgilisine raporlanmakta,
·
Risk teşkil eden hususlar yeniden değerlendirilerek gerekli
teknolojik çözüm
·
Müşteri, çalışan ve tedarikçi çalışanı kaynaklı kişisel veriler,
sözleşmeli hizmet sağlayıcı veri merkezlerinde ve/veya VTS ARGE TEKNOLOJİ
sunucularında bulunabilmektedir. Bu uygulamaların tam listesi Veri Envanteri
içerisinde güncel biçimde tutulmaktadır.
5.1.2. İdari Tedbirler
VTS ARGE TEKNOLOJİ
tarafından kişisel verilerin hukuka uygun işlenmesi için alınan idari
tedbirler:
·
VTS ARGE TEKNOLOJİ çalışanları, bayi ve yetkili servis
çalışanları kişisel verilerin korunması hukuku ve kişisel verilerin hukuka
uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
·
VTS ARGE TEKNOLOJİ’nın yürütmekte olduğu tüm kişisel veri işleme
faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle
oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
·
VTS ARGE
TEKNOLOJİ bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri
işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme
şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, VTS
ARGE TEKNOLOJİ tarafından yazılı politika ve prosedürlere bağlanmış olup her
bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet
özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
·
VTS ARGE
TEKNOLOJİ bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili
denetim ve yönetimi, Bilgi Güvenliği Komiteleri tarafından organize
edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması
için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın
sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika,
prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
·
VTS ARGE
TEKNOLOJİ ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili
belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir
kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için
gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır.
·
VTS ARGE
TEKNOLOJİ KVK Kanunu’nun 12. maddesine uygun olarak işlenen kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu
durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na
bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek
görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir
yöntemle ilan edilebilecektir.
VTS ARGE TEKNOLOJİ
aşağıdaki durumlarda Gizlilik Etki Analizi PR.12 Risk Değerlendirme
Prosedürü’ne göre değerlendirmesini yapmaktadır:
·
Kişisel veri içeren yeni projelerde, iş süreçlerinde
·
Kişisel veri aktarılan tedarikçi seçiminden önce
·
Pazarlama faaliyetleri kapsamında yapılacak aktiviteler
öncesinde
·
Yukarıda belirtilen faaliyetlerdeki herhangi bir değişiklik söz
konusu olduğunda
Gizlilik Etki
Analizi, VTS ARGE TEKNOLOJİ Veri Koruma Sorumlusu onayına tabidir
5.1.3 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin
Denetimi
VTS ARGE TEKNOLOJİ
bünyesinde Kişisel Veri Gizlilik Yöneticisi bulunmaktadır. Kişisel Veri
Gizlilik Yöneticisi, veri sorumlusu olan VTS ARGE TEKNOLOJİ adına, Kanunun 12.
maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda Kanun
hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat
yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle
yaptırmaktadır.
Bu denetim
sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar Bilgi
Güvenliği Yönetim Temsilcisi’ne bildirilmekte ve Bilgi Güvenliği Yönetim
Temsilcisi, bu hususlar nezdinde gereken tedbirleri aldırmaktadır. VTS ARGE
TEKNOLOJİ tarafından kişisel verilerin saklanması konusunda teknik
gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel
verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin
aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik
tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını
sağlanacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır.
6-KİŞİSEL VERİ SAHİBİNİN HAKLARI VE TALEPLERİ
VTS ARGE TEKNOLOJİ,
KVK Kanunun 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu
olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru ve
Yanıt Prosedürü ve kanunda belirtilen başvuru koşullarını taşımayan başvurular
için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere
uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar
yapılmıştır. VTS ARGE TEKNOLOJİ bünyesinde bu prosedürün uygulanmasını
sağlayacak sistemsel altyapı mevcuttur.
Kişisel veri
sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile
şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi,
güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından VTS ARGE
TEKNOLOJİ’ya daha önce bildirilen ve VTS ARGE TEKNOLOJİ’nın sisteminde kayıtlı
bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına
yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla VTS ARGE TEKNOLOJİ’ya
kimlikleri teyit edilebilir bir biçimde iletmeleri durumunda VTS ARGE TEKNOLOJİ,
talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak
cevaplandıracaktır. Bu hususta detaylı açıklama aşağıda, bu politikanın 20.
maddesinde yapılmıştır.
Kişisel veri
sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait
kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil
kanunun ilgili maddesindeki tüm hakları talep edebileceklerdir.
Kişisel veri
sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak VTS
ARGE TEKNOLOJİ ‘a iletmeleri
durumunda VTS ARGE
TEKNOLOJİ talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak
Sonuçlandırmaktadır.
Kişisel veri sahipleri;
·
Kişisel veri işlenip işlenmediğini öğrenme,
·
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
·
Kişisel verilerin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
·
Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
·
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
·
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda
yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
·
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla
analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına
itiraz etme,
·
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
7-ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile
birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem
atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili veriler ile biyometrik ve genetik verilerdir.
VTS ARGE TEKNOLOJİ
tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun
olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle
davranılmaktadır. Bu kapsamda, VTS ARGE TEKNOLOJİ tarafından, kişisel verilerin
korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler
bakımından özenle uygulanmakta ve VTS ARGE TEKNOLOJİ bünyesinde gerekli
denetimler sağlanmaktadır.
Bu kapsamda, VTS ARGE
TEKNOLOJİ bünyesinde çalışanların sağlık verileri işlenmekte olup bu özel
nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte,
bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik
olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır.
İlgili personelin işten ayrılması durumunda erişim yetkisi derhal
kaldırılmaktadır. Çalışanların sağlık dosyalarında fiziki olarak saklanan
kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitlidir.
8-KİŞİSEL VERİ KATEGORİZASYONU
Kimlik Bilgisi : Kimliği belirli veya belirlenebilir bir gerçek
kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin
kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası,
uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi
bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi
numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler
İletişim Bilgisi
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; telefon numarası, adres,
e-mail adresi, faks
numarası, IP adresi gibi bilgiler.
Fiziksel Mekan Güvenlik Bilgisi
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış
sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera
kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar v.b.
Finansal Bilgi
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; Koç Holding’in kişisel veri sahibi ile kurmuş olduğu hukuki
ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge
ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN
numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir
bilgisi gibi veriler
Görsel/İşitsel Bilgi
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan;fotoğraf ve kamera
kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç),
sunucularda ses kayıtları ile kişisel veri içeren belgelerin kopyası
niteliğindeki belgelerde yer alan veriler
Özlük Bilgisi
Kimliği belirli veya
belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen
otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan
şekilde işlenen; VTS ARGE TEKNOLOJİ ile çalışma ilişkisi içerisinde olan gerçek
kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine
yönelik işlenen her türlü kişisel veri.
9-KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
VTS ARGE TEKNOLOJİ,
ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu
mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar
süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse,
Kişisel veriler VTS ARGE TEKNOLOJİ’un o veriyi işlerken yürüttüğü faaliyet ile
bağlı olarak, VTS ARGE TEKNOLOJİ’nın uygulamaları ve sektörün teamülleri
uyarınca saklanmasını gerektiren süre kadar saklanmakta, daha sonra verinin
niteliği uyarınca VTS ARGE TEKNOLOJİ tarafından oluşturulmuş ilgili politika
uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Türk Ceza Kanunu’nun
138. maddesinde ve KVK Kanunu’nun 7. Maddesinde düzenlendiği üzere ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde VTS ARGE TEKNOLOJİ’un kendi kararına
istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir,
yok edilir veya anonim hâle getirilir.
Kişisel verilerin
işlenme amacı sona ermiş, ilgili mevzuat ve VTS ARGE TEKNOLOJİ’nın belirlediği
saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki
uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın
ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.
Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik
zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce
aynı konularda VTS ARGE TEKNOLOJİ’ya yöneltilen taleplerdeki örnekler esas
alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel
verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki
uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim
sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler
silinmekte, yok edilmekte veya anonim hale getirilmektedir.
10-KİŞİSEL VERİLERİN İŞLENMESİ
Bina ve Çalışma
Alanlarında ;VTS ARGE TEKNOLOJİ tarafından güvenliğin sağlanması amacıyla, ofis
ve çalışma alanlarında binalarında ve tesislerinde güvenlik kamerasıyla izleme
faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme
faaliyetinde bulunulmaktadır.
Güvenlik kameraları
kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla VTS
ARGE TEKNOLOJİ Tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
Kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili
mevzuata uygun olarak sürdürülmektedir ve kamera ile izleme faaliyeti sonucunda
elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve
idari tedbirler alınmaktadır.
VTS ARGE TEKNOLOJİ
faaliyetleri kapsamında Bayi ile sözleşme ilişkisi içine girmekte ve abonelik
işlemleri faaliyetlerinden VTS ARGE TEKNOLOJİ müşterilerinin önemli bir
kısmının kişisel verileri, Bayiler aracılığıyla veri sahibi gerçek kişilerden
aydınlatma yükümlülüğü yerine getirilerek ve rıza alınarak temin edilmekte ve VTS
ARGE TEKNOLOJİ’ye aktarılmaktadır. İşin yürütülebilmesi amacıyla bu veriler
yalnızca VTS ARGE TEKNOLOJİ tarafından işlenmektedir. VTS ARGE TEKNOLOJİ ile
Bayi arasındaki kişisel veri paylaşımına dair ilişki KVK Kanunu kapsamında veri
işleyenden veri sorumlusuna kişisel veri aktarımı şeklinde gerçekleşmesi
durumunda, ilgili Bayi veya ilgili kişinin kişisel verisini toplama aşamasında,
kişiyi, bu kişisel verilerin VTS ARGE TEKNOLOJİ’a gönderilebileceği konusunda
aydınlatır. VTS ARGE TEKNOLOJİ, kendi adına kişisel veri toplanması hallerini
değerlendirerek bu hususta Bayileri bilgilendirir, gerekli eğitimleri verir ve
tarafların hak ve yükümlülüklerini düzenleyen KVKK doğrultusunda hazırlanmış
sözleşmelerin imzalanmasını sağlar.
Ziyaretçilere
Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması
VTS ARGE TEKNOLOJİ
tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer
amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca talep eden ziyaretçilere
internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin
log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın
amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve
kuruluşları tarafından talep edilmesi halinde veya VTS ARGE TEKNOLOJİ içinde
gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine
getirmek amacıyla işlenmektedir.
11-KİŞİSEL VERİLERİN AKTARILMASI
VTS ARGE TEKNOLOJİ,
hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik
önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli
kişisel verilerini resmi kurumlara aktarabilmektedir. Aktarım sebepleri
aşağıda açıklanmıştır:
·
Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir
düzenleme var ise,
·
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli
ise, VTS ARGE TEKNOLOJİ’un hukuki yükümlülüğünü yerine getirmesi için kişisel veri
aktarımı zorunlu ise,
·
Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya
korunması için zorunlu ise,
·
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, VTS ARGE TEKNOLOJİ’un meşru menfaatleri için kişisel veri
aktarımı zorunlu ise.
12-KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
VTS ARGE TEKNOLOJİ;
KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda VTS ARGE
TEKNOLOJİ, veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel
verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi
amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile
kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine
ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda Bayi ,
müşteri, çalışan ve ilgili taraf sözleşmelerine aydınlatma maddeleri
eklenmiştir. . VTS ARGE TEKNOLOJİ web sitesinde bu politika ile birlikte
müşteri aydınlatma metni, başvuru formu da yayınlanmıştır.
13-KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
ŞARTLARI
Türk Ceza Kanunu’nun
138. maddesinde, KVK Kanunu’nun 7. maddesinde ve Kurul tarafından çıkarılan
“Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında
Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde VTS ARGE
TEKNOLOJİ’nın kendi kararına istinaden veya kişisel veri sahibinin talebi
üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. VTS
ARGE TEKNOLOJİ bu konuda yönetmelik hükümlerine göre bir politika
oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır.
Bu yönetmelik uyarınca VTS ARGE TEKNOLOJİ tarafından periyodik imha tarihleri
belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla
periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
VTS ARGE TEKNOLOJİ
tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda
sıralanmaktadır:
·
Fiziksel Olarak Yok Etme :Kişisel
veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken
kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi
sistemi uygulanmaktadır.
·
Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen
otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler
silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili
yazılımdan silinmesine ilişkin yöntemler kullanılır.
14-KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI
VTS ARGE TEKNOLOJİ,
KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını
kendisine bildirmekte, ve 11. maddede düzenlenen bu hakların nasıl
kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve VTS ARGE
TEKNOLOJİ, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel
veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13.
maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik
düzenlemeleri yürütmektedir.
14.1 Veri Sahibinin Hakları ve Bu Haklarını Kullanması
·
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
·
Kişisel veri işlenip işlenmediğini öğrenme,
·
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
·
Kişisel verilerin işlenme amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
·
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı
üçüncü kişileri bilme,
·
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde
bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
·
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda
yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
·
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla
analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması
halinde bu sonuca itiraz etme,
·
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle
zarara uğraması hâlinde zararın giderilmesini talep etme
14.2 Veri Sahibinin Bu Haklarını Kullanması
Kişisel veri
sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini
tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya
Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru
Formu’nu doldurup imzalayarak VTS ARGE TEKNOLOJİ’a ücretsiz olarak
iletebileceklerdir.
https://vtsteknoloji.com.tr adresinde bulunan formun doldurulduktan sonra
ıslak imzalı bir nüshasının bizzat elden veya yazılı olarak iadeli taahhütlü
posta aracılığı ile Küçükbakkalköy Mahallesi Selvili Sokak No:4/48 Ataşehir
/ İSTANBUL adresine iletilmesi veya şahsen başvuru,
Yukarıda sayılan başvurunun
geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru
Usulleri Hakkında Tebliğ uyarınca başvuruda, ilgili kişinin;
·
Ad, soyad ve başvuru yazılı ise imza,
·
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası,
yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
·
Tebligata esas yerleşim yeri veya iş yeri adresi,
·
Varsa bildirime esas elektronik posta adresi, telefon ve faks
numarası,
·
Talep konusu,
bilgilerini
belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak
değerlendirilmeyecektir. Başvuru formu doldurmadan yapılacak başvurularda
burada sayılan hususların eksiksiz olarak VTS ARGE TEKNOLOJİ’ a iletilmesi
gerekmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde
bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter
kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
14.4 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri
sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu
kapsamı dışında tutulduğundan, bu konularda 20.1.1.’de sayılan haklarını ileri
süremezler:
·
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek
suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
·
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya
kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat,
tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi,
·
Kişisel verilerin millî savunmayı, millî güvenliği, kamu
güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak
kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
·
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz
işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından
işlenmesi.
·
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan
hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç,
20.1.1.’de sayılan diğer haklarını ileri süremezler:
·
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç
soruşturması için gerekli olması,
·
Kişisel veri sahibinin kendisi tarafından alenileştirilmiş
kişisel verilerin işlenmesi,
·
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak
görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki
meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile
disiplin soruşturma veya kovuşturması için gerekli olması,
·
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin
olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
15-VTS ARGE TEKNOLOJİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
VTS ARGE TEKNOLOJİ,
işbu belge ile ortaya koyulan esasları, VTS ARGE TEKNOLOJİ bünyesindeki diğer
veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve
işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak
oluşturmuştur.
16- VTS ARGE TEKNOLOJİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
SÜREÇLERİ KOORDİNASYONU
VTS ARGE TEKNOLOJİ
tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve Kişisel
Verilerin Korunması ve İşlenmesi Politikasının yürürlüğünü sağlamak için
yönetim yapısı kurulmuştur.
VTS ARGE TEKNOLOJİ
bünyesinde işbu Politika ve bu Politika ‘ya bağlı ve ilişkili diğer
politikaları yönetmek üzere Bilgi Güvenliği Komitesi, Şirket üst yönetiminin
kararı gereğince görevlendirilmiştir.
Bu Komite’nin kişisel
verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:
·
Kişisel verilerin korunması ve işlenmesi ile ilgili temel
politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve
üst yönetiminin onayına sunmak,
·
Kişisel verilerin korunması ve işlenmesine ilişkin politikaların
uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve
bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun
sağlanması hususlarını üst yönetimin onayına sunmak,
·
KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması
gereken hususları tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını
gözetmek ve koordinasyonunu sağlamak,
·
Kişisel verilerin korunması ve işlenmesi konusunda VTS ARGE
TEKNOLOJİ içerisinde ve VTS ARGE TEKNOLOJİ’ un işbirliği içerisinde olduğu
kurumlar nezdinde farkındalığı arttırmak,
·
VTS ARGE
TEKNOLOJİ ‘un kişisel veri işleme faaliyetlerinde oluşabilecek riskleri
tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme
önerilerini üst yönetimin onayına sunmak,
·
Kişisel verilerin korunması ve politikaların uygulanması ve
yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri
ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler
düzenlenmesini sağlamak,
·
Kişisel veri sahiplerinin başvurularını en üst düzeyde karara
bağlamak,
·
Kişisel verilerin korunması konusundaki gelişmeleri ve
düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak VTS
ARGE TEKNOLOJİ içinde yapılması gerekenler konusundaki önerilerini almak,
·
KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek,
·
Şirket üst yönetiminin kişisel verilerin korunması konusunda
vereceği diğer görevleri icra etmek.
