APG INVESTMENT DANIŞMANLIK ANONİM ŞİRKETİ 

(GLOKEY)

KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI

I. GİRİŞ

1.1. Politikanın Amacı

Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”), 4 Mayıs 2016 tarihinde Avrupa Birliği (AB) Resmi Gazetesi’nde yayımlanan ve 25 Mayıs 2018 tarihinde uygulanmaya başlayan (AB) 2016/679 sayılı AB Genel Veri Koruma Tüzüğü (“GDPR”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca APG Investment Danışmanlık Anonim Şirketi (“Şirket”) tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (danışan, potansiyel danışan, ziyaretçi, çalışan, çalışan adayı, eski çalışan, iş ortağı, üçüncü kişi firma çalışanı vb.) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin korunması, işlenmesi, saklanması ve gerektiğinde imha edilmesine dair esasların belirlenmesi bu Politika’nın amacını oluşturmaktadır.

1.2. Politikanın Kapsamı 

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak  tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Şirket tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması 

İşbu Politika, yürürlükte bulunan yürürlükte bulunan 6098 sayılı Türk Borçlar Kanunu, 6102 Sayılı Türk Ticaret Kanunu, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun, 2016/679 sayılı AB Genel Veri Koruma Tüzüğü, 6458 sayılı Yabancılar ve Uluslararası Koruma Kanunu, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik, 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği,  başta olmak üzere, ilgili mevzuata ve Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır. 

Şirket tarafından Politika’nın yayım tarihinden sonra Kanun, GDPR veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Şirket tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.

1.4. Politikanın Yürürlüğü

Politika, Şirket’e ait www.glokey.com.tr internet sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.

II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR 

2.1. Kişisel Verilerin Güvenliğinin Sağlanması 

6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür. 

Açıklanan nedenlerle Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER kısmında yer almaktadır.

2.2. Özel Nitelikli Kişisel Verilerin Korunması 

Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Özel nitelikli kişisel verilerin işlenmesi kural olarak yasak olup kanunla sınırlı hallerde işlenebilir. 

Şirket tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm tedbirler alınmakta olup, bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.

III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi 

Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:

• Hukuka ve dürüstlük kuralına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işleme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

 

3.2. Kişisel Verilerin İşlenme Şartları 

Şirket tarafından elde edilen kişisel veriler, Kanun’da öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez. GDPR’ın ilgili hükümleri saklı olmakla birlikte; kişisel verileriniz aşağıda gösterilen hallerde açık rıza olmaksızın işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

3.3. Açık Rıza Alınması Yükümlülüğünün İstisnaları

a) Kanunlarda açıkça öngörülmesi 

Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir. Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.

b) Fiili imkânsızlık

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilmektedir.

c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması

Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi gündeme gelebilmektedir.

d) Şirket’in hukuki yükümlülüğünü yerine getirmesi

Veri sorumlusu sıfatıyla Şirket’in yerine getirmesi gereken hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.

e) İlgili kişi tarafından alenileştirilmiş olması

Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma konu olamaz.

f) Bir hakkın tesisi, kullanılması ve korunması için zorunlu olması 

Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerinin açık rızası olmaksızın da işlenmesi mümkündür.

g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması 

Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel veriler işlenebilir.

Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işleme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.

3.4. Özel Nitelikli Kişisel Verilerin İşlenmesi 

GDPR’ın ilgili hükümleri saklı olmakla birlikte; özel nitelikli kişisel verilerin işlenmesi Kanun’un 6. maddesine tabidir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu kapsamda yer alan veriler sınırlı sayıda olup yorum yoluyla genişletilemez. Özelliği gereği özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin ayrımcılığa ve mağduriyete uğramasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.

Özel nitelikli kişisel veriler; ilgili kişinin açık rızasının olması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde işlenebilir. Ayrıca özel nitelikli kişisel verilerin işlenmesinde, KVKK tarafından belirlenen yeterli önlemlerin alınması şarttır. GDPR’ın ilgili hükümleri saklıdır.

3.5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi 

Kişisel verilerin elde edilmesi sırasında Şirket’in veri sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme yapılmaktadır. Yapılan bilgilendirmeye dair usul ve esaslar Şirket tarafından yayımlanan ilgili kişisel verilerin işlenmesine ilişkin aydınlatma metinlerinde belirtilmiş olup bilgilendirme özetle aşağıdaki unsurları içermektedir:

• Veri sorumlusu ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’un 11. maddesinde gösterildiği üzere ilgili kişinin hakları.

 

a) Veri sorumlusu ve temsilcisinin kimliği

Kanun’un 10. maddesine göre veri sahiplerinden (danışan, potansiyel danışan, ziyaretçi, çalışan, çalışan adayı, eski çalışan, iş ortağı, üçüncü kişi firma çalışanı vb.) elde edilen kişisel veriler veri sorumlusu sıfatıyla Şirket tarafından işlenmekte olup, www.glokey.com.tr adresinde yer alan iletişim kanallarıyla sağlanabilir.

b) Kişisel verilerin işlenme amaçları

Kişisel verilerin işlenmesi belirli, açık ve meşru amaçlarla gerçekleştirilmekte olup veri sahiplerinin bilgilendirilmesi esasına dayanmaktadır. Elde edilen verilerinizin hangi amaçlarla işlendiği Politika’nın V. ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLEME AMAÇLARI kısmında yer almaktadır.

c) Kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları

Veri sorumlusunun, veri sahibini aydınlatma yükümlülüğü çerçevesinde kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları açıkça belirtilmelidir. Kişisel veriler, veri sahibinin açık rızası olmaksızın 3.kişilere aktarılamamaktadır. Şirket tarafından kişisel verilerin aktarıldığı alıcı grupları ve aktarılma amaçları IV. KİŞİSEL VERİLERİN AKTARILMASI kısmında gösterilmiştir. GDPR’ın ilgili hükümleri saklıdır.

d) Kişisel veri toplamanın yöntemi ve hukuki sebebi

Kanun’un 5 ve 6. maddesine uygun olarak, kişisel veri işleme şartlarından hangisine dayanılarak işlendiğinin veri sorumlusu tarafından açıkça belirtilmesi gerekir. Veri toplama yöntemi ve aracılığı, veri sorumlusunca belirlenmektedir. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda (m.5-6) sınırlı sayıda sayılmış olup, bu şartlar genişletilememektedir. GDPR’ın ilgili hükümleri saklıdır.

Veri sorumlusu Şirket tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirmesi yapılmakta, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmektedir.

IV.KİŞİSEL VERİLERİN AKTARILMASI 

4.1. Yurt İçi Aktarım

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak 5’inci maddenin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Şirket tarafından işlenen kişisel verilerinizin aktarıldığı alıcı gruplarına dair bilgiler bu Politika’nın EK 4 – Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları kısmında yer almaktadır. GDPR’ın ilgili hükümleri saklıdır.

4.2. Yurt Dışı Aktarım

Kişisel veriler, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarılabilir. GDPR’ın ilgili hükümleri saklıdır.

V.ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI 

Veri sahibi ilgili kişiler tarafından Şirket tarafından elde edilen veri kategorizasyonu ve kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında gösterilmiştir.

V.KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve kişisel verilere erişilmesinin önlenmesi için Şirket tarafından idari ve teknik tedbirler alınmaktadır.

Kişisel veriler Kanun’un 4. maddesinin 2. fıkrası (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda işlenen veriler, veri işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenmekte, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. GDPR’ın ilgili hükümleri saklıdır. Şirket tarafından işlenen kişisel verilerin saklama ve imha prosedürüne ve saklama sürelerine ilişkin bilgiler işbu Politika’nın VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI ve EK–4: Kişisel Verileri Saklama Süreleri kısımlarında gösterilmiştir.

Kişisel veri güvenliğinin sağlanması için Şirket tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının belirlenmesi yoluna gidilmekte; bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı (1), mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği (2), güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği (3) dikkate alınmaktadır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte, Kanun ve GDPR çerçevesinde gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.

VII. BİNA GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETİ 

Bina Girişlerinde ve İçerisinde Kamera ile İzleme Faaliyeti 

Şirket girişi, çalışma alanları, ortak alanlar ve çevresinde güvenliğin sağlanması, Şirket’in ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerin korunması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Kamera ile izleme faaliyeti GPDR ve Kanun ile uyumlu olarak yürütülmekte olup gerek Kanun’da gerekse de işbu Politika’da sayılan veri işleme şartları kapsamında gerçekleştirilmektedir.

VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 

8.1. Şirket nezdinde tutulan kişisel verileriniz, veri işleme faaliyetinin gerekli olduğu süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinmekte, yok edilmekte veya anonim hale getirilmektedir. kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4.maddesinde gösterilen genel ilkeler, 12. maddesinde gösterilen teknik ve idari tedbirlere ve GDPR’ın ilgili maddelerine uygun hareket etmektedir.

Periyodik imhanın gerçekleştirileceği zaman aralığı azami 1 yıl ile sınırlı tutulmuştur. Şirket tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 3 yıl süreyle muhafaza edilmektedir.

Şirket tarafından işlenen kişisel verilerin saklama süreleri EK–4’te gösterilmiştir.

Verilerin saklanması ve imhasına ilişkin Şirket tarafından görevlendirilen kişisel veriler uzmanı kişi, kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişidir.

8.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü

Şirket tarafından işlenmiş kişisel veriler, Kanun’un 7. Maddesi, Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve GDPR hükümlerine uygun olarak işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

• Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Silinen kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır. 

• Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. 

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi için her türlü teknik ve idari tedbir alınmaktadır. 

• Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerinizin anonim hale getirilmesi için her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale getirilmektedir.

7.3. Kişisel Veri Kayıt Ortamları

Kişisel veri kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.

Veri sahibi ilgili kişilere ilişkin kişisel veriler, Şirket tarafından, Kanun ve GDPR hükümleri başta olmak üzere, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde aşağıda belirtilen veri kayıt ortalarında saklanmaktadır: 

a) Teknik kayıt ortamları: Bilgisayar ortamı, merkezi sunucular, çıkartılabilir bellekler (USB, Hafıza Kart vb.), bilgi güvenliği cihaz ve yazılımları.

b) Teknik olmayan veri kayıt ortamları: Kâğıtlar, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar.

7.4. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler 

Şirket tarafından veri sahibi ilgili kişilere ilişkin kişisel veriler, bunlarla sınırlı olmamak üzere başta; 

• Kanun’un 4. maddesinde yer alan genel ilkeler, 
• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Veri sahibi ilgili kişinin kişisel verilerin imha edilmesine ilişkin talepte bulunması, 
• Kişisel verilerin saklanmasına ilişkin yasal yükümlülüklerin sona ermesi,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve saklamaya devam edilmesinin gerektiren haklı bir nedenin olmaması

gibi amaç ve sebeplerle imha edilmektedir.

7.5. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri

Şirket tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin gerçekleştirilmesi esnasında; çalışanların bilgi güvenliği ve imha süreçlerine ilişkin bilgilendirilmesi, kişisel verilerin tutulduğu veri kayıt ortamının niteliğine göre en uygun yöntemin tercih edilmesi, veri güvenliğine ilişkin düzenli ve periyodik bakım ve takip çalışmalarının yapılması, teknolojik ve teknik açıdan gerekli en güncel imha sistemlerinin kullanılması, otomatik silme komutlarının verilmesi, silinen verilere erişim ve silinen verileri tekrar kullanma ve geri getirme yetkisinin kaldırılması gibi gerekli idari ve teknik tedbirler alınmaktadır.

Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili çalışanların tespit edilmesi (2), ilgili çalışanların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi (3), ilgili çalışanların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.

IX.KİŞİSEL VERİ SAHİBİNİN HAKLARI VE HAKLARIN KULLANILMASI

9.1. Kişisel Veri Sahibinin Hakları 

6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• 7. maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
• Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme 

haklarınız bulunmaktadır.

9.2. Kişisel Veri Sahibinin Haklarını Kullanması 

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi www.glokey.com.tr internet adresinde yayınlanan Veri Sahibi Başvuru Formu’nda belirtilen yöntemlerle, formu doldurmak suretiyle veya başvuru formunda yazılı zorunlu bilgilerinizi içerir başka bir belge ile yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirket’e daha önce bildirilen ve Şirket’in sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle kimliğiniz teyit edilebilir bir biçimde Şirket’e iletmeniz durumunda Şirket, talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.  

9.3. Şirketimizin Başvurulara Cevap Vermesi 

Başvuru talebinin niteliğine göre en kısa sürede Şirket tarafından sonuçlandırılmaktadır. Bu süre başvurunuzun Şirket’e tebliğinden itibaren 30 günü aşamaz. Başvurunuzda yer alan eksiklikler, açık olmayan anlatımlar sebebiyle ek bilgi talep edilmesi halinde ilgili ek bilgi ve belgeler tarafımıza tebliğ olana dek cevap süresi işlemez. İşlemin herhangi bir maliyeti gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.

EK – 1: Tanımlar 

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Genel Veri Koruma Tüzüğü (GDPR): 4 Mayıs 2016 tarihinde Avrupa Birliği (AB) Resmi Gazetesi’nde yayımlanan ve 25 Mayıs 2018 tarihinde uygulanmaya başlayan (AB) 2016/679 sayılı AB Genel Veri Koruma Tüzüğü’nü,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, 

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Verilerin Korunması Kanunu (“KVKK”): 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi, 

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.