KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

BİRİNCİ BÖLÜM: POLİTİKA HAKKINDA GENELBİLGİ

1. Giriş

Özak Gayrimenkul Yatırım Ortaklığı A.Ş (“Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında “Veri Sorumlusu” sıfatıyla, müşterilerimiz, potansiyel müşterilerimiz, tedarikçilerimiz, ziyaretçilerimiz, internet sitemizin kullanıcıları, şirket hissedarlarımız, şirket yetkililerimiz, işbirliği içerisinde olduğumuz kurumların çalışanları, hissedarları, yetkilileri, çalışan adaylarımız ve çalışanlarımız dahil olmak üzere Şirketimiz ile ilişkili gerçek kişilerin kişisel verilerinin, Kanun ve bağlı mevzuatına uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir. Faaliyetlerimiz sırasında ilişkide olduğumuz tüm veri sahiplerinin kişisel verilerinin işlenmesi, saklanması, aktarılmasına ilişkin işlemleri, işbu Kişisel Verilerin Korunması ve İşlenmesi Politikasına (“Politika”) göre gerçekleştirmekteyiz. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin korunması için gerekli idari ve teknik tedbirlerin alınması kişisel verilerin işlenmesine ilişkin işbu Politikamızın ve Şirketimizin temel prensibidir.

1. Politikanın Amacı

İşbu Politika’ nın temel amacı, Kanun tahtında “veri sorumlusu” sıfatını haiz Şirketimiz tarafından, ticari ve sosyal sorumluluk ve benzeri faaliyetlerimiz sırasında veri sahipleri tarafından paylaşılan kişisel verilerin, Kanunda anılan ilkeler çerçevesinde işlenmesi, saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine dair izlediğimiz yöntemleri belirlemektir.

Bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışan adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları, 5 yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri Özak Global Holding Şirketleri tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

2. Politikanın Kapsamı

Sayılanlarla sınırlı olmamak üzere, çalışanlarımızın, çalışan adaylarımızın, hissedar/ortaklarımızın, ziyaretçilerimizin, iş ortaklarımızın, müşterilerimizin, potansiyel müşterilerimizin, tedarikçilerimizin, iştiraklerimizin internet sitemizi ziyaret eden kullanıcılarımızın kısacası faaliyetlerimiz sırasında ilişkide olduğumuz tüm veri sahiplerinin kişisel verileri bu Politika kapsamında düzenlenmiştir. İşbu Politika tüzel kişilere ait verilere uygulanmaz.

Kişisel verilerin işlenmesi ve korunmasına yönelik geçerli mevzuat ile işbu Politika arasında bir uyumsuzluğun tespiti halinde yürürlükte bulunan mevzuat hükümleri uygulama alanı bulacaktır.

3. Politikanın Yürürlüğü

İşbu Politika, Şirketimiz tarafından onaylanarak 01.06.2020 tarihinden itibaren geçerli olmak üzere yürürlüğe girmiştir. Bu Politika’nın yürürlüğe girmesi ile birlikte daha önce internet sitemizde yayınlanmış olan Politika yürürlükten kaldırılmıştır. Politika’ da değişiklik gerekmesi durumunda, ilgili maddeler bu doğrultuda güncellenecektir. İşbu Politika’ da yapılan değişikliklere ilişkin açıklamalar işbu Politikanın Onbirinci bölümünde belirtilir.

İKİNCİ BÖLÜM: KİŞİSEL VERİLERİN SINIFLANDIRILMASI

1. Kişisel Veriler

Kişisel veri kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi kapsamaktadır. Mevzuat ile aynı doğrultuda, işbu Politikada, kişisel veri kavramı, özel nitelikli kişisel verileri de kapsayacaktır.

4. Özel Nitelikli Kişisel Veriler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

ÜÇÜNCÜ BÖLÜM: VERİ KONUSU KİŞİ GRUPLARI VE VERİ KATEGORİLERİ

1. Kişisel Veri Kategorizasyonu

Şirket nezdinde, aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği bu bölümde belirtilmiştir. Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;

DÖRDÜNCÜ BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ

1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Hukuka ve dürüstlük kurallarına uygun olma,

Doğru ve gerektiğinde güncel olma,

Belirli, açık ve meşru amaçlar için işlenme,

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

5. Kişisel Verilerin İşlenme Şartları

Şirket, kişisel verileri veri sahibinin açık rızası olmaksızın işlemez. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın kişisel veriler işlenebilecektir:

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası bilgisi alınabilecektir.

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

İlgili kişinin kendisi tarafından alenileştirilmiş olması: Bir başka ifadeyle kamuoyuna açıklanmış olan kişisel veriler, korunması gereken hukuki yarar ortadan kalktığından, açık rıza almadan işlenebilir.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlemez. Şirket Özel Nitelikteki Kişisel Veriler’ in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütür.

7. Kişisel Verileri İşleme Amaçlarımız

Şirket tarafından, toplanan Kişisel Veriler, aşağıda sayılan amaçlarla Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak veri sahibinin açık rızası Şirket tarafından temin edilmektedir.

Acil durum süreçlerinin yürütülmesi,

Bilgi güvenliği süreçlerinin yürütülmesi,

Erişim yetkilerinin yürütülmesi,

Fiziksel mekan güvenliğinin temini,

İletişim faaliyetlerinin yürütülmesi,

Saklama ve arşiv faaliyetlerinin yürütülmesi,

İç denetim, soruşturma ve istihbarat faaliyetlerinin yürütülmesi,

Risk yönetimi süreçlerinin yürütülmesi,

Taşınır mal ve kaynakların güvenliğinin temini,

Organizasyon ve etkinlik yönetimi,

Yönetim faaliyetlerinin yürütülmesi,

Ticari ve idari faaliyetlerimizin yürütülmesi,

Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlamak ve raporlama yapmak,

Müşterilerimizin tercih ve ihtiyaçlarının tespit edilerek müşterilerimize verilecek hizmetlerin bu kapsamda şekillendirilmesi, güncellenmesi, geliştirilmesi,

Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerimizi yerine getirilmesini sağlamak,

Kampanya, anket, promosyonlar yapmak,

Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlamak,

Reklam ve pazarlama yapma,

Uyum yönetimi,

Satıcı / tedarikçi yönetimi, program ve servisleri,

Yasal raporlama,

Faturalandırma,

İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,

Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,

Kendisinin ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,

Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,

Veri güvenliğinin en üst düzeyde sağlanması,

Veri tabanlarının oluşturulması,

İnternet sitesinde sunulan hizmetlerin geliştirilmesi ve sitede oluşan hataların giderilmesi,

Kendisine talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,

Etkinlik yönetimi,

Personel temin süreçlerinin yürütülmesi,

Grup Şirketleri’nin personel temin süreçlerine ve ilgili mevzuata uyum konusunda destek olunması,

Grup Şirketleri’nin faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,

Grup Şirketleri’nin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması,

Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,

Şirket hukuk işlerinin icrası/takibi,

İtibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,

Ziyaretçi kayıtlarının oluşturulması ve takibi,

İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,

Finans ve/veya muhasebe işlerinin takibi,

Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi ve yetkili kuruluş denetimlerine hazırlık,

Kurumsal iletişim faaliyetlerinin planlanması ve icrası,

Operasyon süreçlerinin planlaması ve icrası,

İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkililerinin planlanması ve icrası,

Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,

Müşteri talep ve/veya şikayetlerinin takibi,

Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi,

Hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,

Satış ve satış sonrası operasyonlar ile satın alma operasyonları,

Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,

Şirketimizin insan kaynakları politikalarının yürütülmesinin temini ve insan kaynakları politikalarına uygun şekilde işe başvuruların değerlendirilmesi amacı doğrultusunda,

İş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması,

Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,

Personel işe giriş-çıkış işlemlerinin yapılması,

Ücret-performans sürecinin değerlendirilmesi, ücret ve bordroların yönetilmesi,

Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası ,

Şirketimizin ve şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda,

Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,

Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini,

Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,

Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda,

Şirketimiz tarafından yürütülen sosyal sorumluluk aktiviteleri,

Gümrük operasyonları süreçlerinin planlanması ve icrası,

Kalite süreçlerinin tamamlanması,

BEŞİNCİ BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI

1. Kişisel Verilerin Aktarılma Şartları

Şirket olarak, Kişisel Verilerin aktarılması konusunda Kanunda öngörülen ve Kurul tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket etmekte ve gereken önlemleri almaktayız. Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili 14 Kişi’ nin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere tarafımızdan aktarılmaz. Ancak, kişisel veriler:

İşbu Politika’ nın Dördüncü Bölümünün 2. maddesinde açıklanan hallerde,

Özel nitelikli kişisel veriler hususunda işbu Politika’ nın Dördüncü Bölümünün 2. maddesinde sayılan hallerde,

Kurulun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara,

açık rıza aranmadan aktarılabilir.

Aktarım yapılırken şirketimiz tarafından kullanılan medya araçları kurum içi ağ, elektronik posta, basılı kopya, excel çalışma sayfası, VPN, güvenli dosya transferidir.

8. Kişisel Verilerin Yurt Dışına Aktarılma Şartları

Kişisel veriler kural olarak İlgili Kişi’ nin açık rızası olmadan yurt dışına aktarılmaz. Ancak, işbu Politika’ nın Dördüncü Bölümünün 2. maddesinde yer alan istisnai hallerinin birinin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin ancak:

Kurul’un ilan ettiği yeterli korumanın olduğu ülkelerde bulunması,

Yeterli korumanın olmadığı ülkeler arasında yer alması halinde Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması;

hallerinde açık rıza olmadan kişisel veriler yurt dışında aktarılabilir.

9. Kişisel Verileri Aktarma Amaçlarımız ve Aktarılabileceği Üçüncü Kişiler

Kişisel veriler, işbu Politika’ nın 4. Maddesinde belirtilen amaçlar ile;

Tedarikçilerimize,

İş ortaklarımız ve iş bağlantılarımıza,

Aktay Otel İşletmeleri A.Ş,

İştiraklerimiz ve grup şirketlerimize,

- Aktay Otel İşletmeleri A.Ş,

- Özak Yenigün Ziylan Adi Ortaklığı,

- Özak Gayrimenkul Yatırım Ortaklığı A.Ş,

- Akyön Tesis Yönetim Hizmetleri A.Ş ,

- Kamer İnşaat Ticaret ve Sanayi A.Ş.

Hukuken yetkili kamu kurum ve kuruluşlara,

Hukuken yetkili özel hukuk kişilerine,

Hissedarlarımıza,

Sunucu hizmeti aldığımız yurtiçi ve yurtdışı sunucu hizmeti veren şirketlere,

Denetim şirketlerine,

işbu Politikada açıklanan ilke ve kurallara göre gerekli teknik ve idari tedbirler alınmak kaydı ile aktarılabilmektedir.

10. Yabancı Ülkelere Aktarımı Öngörülen Kişisel Veriler

Şirketimizin yurtdışında operasyonel süreçlerinin olması sebebi ile yurtdışında yer alan yabancı iş ortaklarımız ile operasyonel işleyişin zorunlu kıldığı haller ile sınırlı olmak kaydı ile veri sahibi kişilerin açık rızası alınarak işbu rıza ile sınırlı şekilde sadece irtibat bilgileri olmak üzere kişisel veri aktarımı yapılabilir.

ALTINCI BÖLÜM: KİŞİSEL VERİLERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

1. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel Veriler, Şirketimiz tarafından internet sitemiz, elektronik postalar, başvuru formu, teklif formu, güvenli elektronik işlem, basılı formlar, kayıt formları ve fiziki kanallar gibi farklı kanallarda icra edilen teknik ve süreçsel yöntemlerle veya sözlü, yazılı veya elektronik ortamda, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, sizlere ticari hizmetlerimizi sunmak ve bu çerçevede ticari faaliyetlerimizi yürütmek noktasında uygulama imkânı bulan ilgili mevzuat, sözleşme, talep, ticari teamül ve dürüstlük 16 kurallarına dayalı olarak ortaya çıkan ve icra edilen hukuki sebepler çerçevesinde, Şirketimizin hukuki sorumluluklarını yerine getirebilmesi, sizlerle kurmuş olduğumuz iş ilişkisinin gereklerinin ifa edilebilmesi ve bu doğrultuda karşılıklı olarak sahip olduğumuz hakların tesisi, kullanılması ve korunması maksadı ve ilişkide olduğumuz kişisel veri sahiplerinin temel hak ve özgürlüklerini gözeterek Şirketimizin meşru menfaatlerini korumak gibi amaçlar dahilinde işlemek üzere toplanmaktadır. Bu bağlamda Kişisel Veri Toplama yöntemlerinden özellik arz edenler, toplamanın amaçları ve bu doğrultuda yürütülen faaliyetler aşağıdaki şekildedir:

a) Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yürütülen Kamera ile İzleme Faaliyeti

Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

Kamera ile İzleme Faaliyetinin Yasal Dayanağı

Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

Kamera ile İzleme Faaliyetinin Duyurulması

Şirketimiz tarafından KVK Kanunu’nun 10. maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır.

Şirketimiz tarafından kamera ile izleme faaliyetine yönelik olarak; Şirketimiz internet sitesinde işbu Politika yayımlanmakta (çevrimiçi Politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).

Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık

Şirketimiz tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’ da sayılan amaçlarla sınırlıdır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler, mescitler) izlemeye tabi tutulmamaktadır.

Elde Edilen Verilerin Güvenliğinin Sağlanması

Şirketimiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için işbu politikada sayılı olan teknik ve idari tedbirler uygun düştüğü ölçüde alınmaktadır.

İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı

Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Canlı kamera görüntülerini ise, şirket içinde güvenlik görevlileri ve idari işlerden sorumlu departman çalışanları izleyebilmektedir. Başkaca kişiler tarafından erişim mümkün olamamaktadır.

b) Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’ da belirtilen amaçlarla, Şirket binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Misafir olarak Şirket binalarına gelen kişilerin isim ve soyadları ile araç plaka bilgileri elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.

c) İnternet Sitesi Ziyaretçileri

Şirketimiz sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Çerezler (cookies) gibi) site içerisindeki internet hareketlerini kaydedilmektedir. İnternet sitemizi ziyaret eden kişilere “Çerez Politikamız” sunulmakta ve aydınlatma yükümlülüğü kapsamında geniş biçimde bilgi verilmektedir.

d) Şirketimize Ait Mobil Uygulamalar

Şirketimiz vermiş olduğu hizmetleri müşterilerimizin kullanımına daha kolay sunabilmek adına, müşterilerimizin cep telefonlarına yüklemek suretiyle kullandıkları mobil uygulamalar geliştirebilmektedir. Mobil uygulamamızı kullanan müşterilerimize henüz bilgi girişini gerçekleştirmeden önce aydınlatma yükümlülüğü kapsamında geniş bilgi vererek açık rızaları alınmaktadır.

YEDİNCİ BÖLÜM: KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel Verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Şirketimiz, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel Verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Şirketimiz içerisinde belirlenen periyodik imha dönemlerinde veri imha işlemleri tutanak altına alınarak yerine getirilir.

11. Kişisel Verileri Saklama ve İmha Süresi

Şirket, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler, Şirketimizin o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

SEKİZİNCİ BÖLÜM: KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEDBİRLER

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

1. Kişisel Veri Güvenliğine İlişkin Alınan Teknik Tedbirler

Kişisel verilerin güvenliğini sağlamak ve muhafaza etmek için sayılanlarla sınırlı olmamak üzere;

Ağ güvenliği ve uygulama güvenliği sağlanmakta,

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmakta,

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmakta,

Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için şirket içi teknik organizasyon yapılmakta,

Gerektiğinde veri maskeleme önlemi uygulanmakta,

Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için teknik altyapıyı oluşturmakta,

Oluşturulan teknik alt yapının süreçleri takip edilmekte ve denetimleri yapılmakta,

Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler belirlenmekte,

Teknik tedbirler periyodik olarak güncellenmekte ve yenilenmekte,

Riskli durumlar yeniden incelenerek gerekli teknolojik çözümler üretilmekte,

Güncel anti-virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik ürünleri kullanılmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurulmakta,

Kişisel verilerin toplandığı uygulamalar güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmekte ve bulunan açıkların kapatılması sağlanmakta,

Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmakta,

Kişisel verilerin tutulduğu ortamlara ve/veya veriye erişim kısıtlayarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, kişisel verilerin bulunduğu veri depolama alanlarına erişimlerin log kayıtlarını tutarak uygunsuz erişimler veya erişim denemelerini ilgililere anlık olarak iletmekte,

Log kayıtlarını düzenli olarak incelemekte,

Teknik konularda uzman çalışanlar istihdam etmekte,

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup, bunların takibi de yapılmakta,

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmakta,

Özel nitelikli kişisel veriler elektronik posta yolu ile gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmekte,

Özel nitelikli kişisel veriler için güvenli şifreleme, kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmekte,

Saldırı tespit ve önleme sistemleri kullanılmakta,

Sızma testi uygulanmakta,

Siber güvenlik önlemleri alınmış olup, uygulaması sürekli takip edilmekte,

Şifreleme yapılmaktadır.

12. Kişisel Veri Güvenliğine İlişkin Alınan İdari Tedbirler

Kişisel verilerini korumak için sayılanlarla sınırlı olmamak üzere;

Grup şirketlerimiz ve iştirak çalışanlarımız dahil olmak üzere kişisel verilere erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politika ve prosedürler oluşturulmakta, kişisel veri içeren veri tabanları ve uygulamaların kullanıldığı araç ve gereçlerin kullanımına ilişkin politikalar hazırlanmakta ve uygulanmakta,

Çalışanlar, kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirilmekte ve eğitilmekte,

Çalışanlar için veri güvenliği konusunda belirli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Çalışanlarımız ile yaptığımız sözleşmelerde ve/veya oluşturduğumuz politikalarda, şirket çalışanlarımız tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirler kayıt altına alınmakta,

Çalışanlarımız ile imzalanan sözleşme ve talimatlara, Kanuna aykırı herhangi bir suretle kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda farkındalık yaratılmakta ve denetimler yürütülmekte,

Çalışanlar için veri güvenliği içeren disiplin düzenlemeleri uygulanmakta,

Çalışanlarımız, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve işleme amacı dışında kullanmama yükümlülüğünün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden taahhüt alınmakta,

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmakta ve uygulanmakta,

Şirketimiz ile, kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte,

Şirket için çalışanlarımızın görev ve pozisyonlarına göre kişisel verilere erişim kapsamları belirlenmekte ve erişim yetkileri sınırlandırılmakta, yetkileri düzenli olarak gözden geçirilmekte, yetki matrisi oluşturulmakta, işten ayrılan veya görev değişikliği yapılan çalışanların bu alandaki yetkileri kaldırılmakta,

Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeler takip edilmekte ve gerekli aksiyonlar alınmak üzere hukuki ve teknik danışmanlık hizmeti alınmakta,

Birlikte çalıştığımız veri işleyenlerin ve diğer veri sorumlularının Kanun ve bağlı mevzuatına uygunluğu sorgulanmakta ve gerekli yönlendirmeler yapılmakta ve farkındalıkları sağlanmakta,

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmakta,

Kişisel veri güvenliğinin takibi yapılmakta,

Kişisel veriler mümkün olduğunca azaltılmakta,

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmakta,

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmakta,

Mevcut risk ve tehditler belirlenmekte,

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmakta,

Kişisel veri içeren ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta,

Kişisel veri içeren ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmakta,

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

Teknik konular ile ilgili personel istihdam edilmektedir.

Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’ na bildirilmesini sağlayan sistem kurulmuş ve uygulanmaktadır.

13. Kişisel Veri Güvenliğine İlişkin Alınan Fiziki Tedbirler

Kişisel verilerin bulunduğu noktalara yönelik olarak rol tabanlı fiziksel erişim tedbirleri alınmakta,

Kişisel veri içeren doküman ve saklama-depolama araçları kilitli dolaplarda saklanmakta,

Çalışma alanlarına yönelik olarak kartlı geçiş sistemleri uygulanmakta,

Çalışma alanları çalışanların mahremiyetlerini ihlal etmeyecek biçimde kapalı devre kamera kayıt sistemi ile izlenmekte,

Kişisel verilerin yer aldığı doküman ve saklama araçları güvenli bir biçimde yok edilmekte ve kaybı önlenmek üzere KVKK ve işbu Politika’ da belirlenen kurallar kapsamında olmak üzere yedeklenmektedir.

14. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda İzlenecek Yol

Şirketimiz, Kanun’un 12. maddesine uygun olarak, işlenen Kişisel Veriler’ in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumun tespitinden itibaren en kısa sürede ve en geç 72 saatte olmak üzere ilgili veri sahibine ve Kurul’a bildirim yapılmaktadır.

15. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirketimiz, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri 6 ayda bir yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

16. Çalışanların, Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için mevcut çalışanlarına ve iş birimi bünyesine yeni dâhil olmuş çalışanlarına yönelik gerekli eğitimlerin düzenlenmesini sağlamaktadır. Mevcut çalışanlarına 4 ayda bir farkındalık eğitimi aldırmaktadır.

DOKUZUNCU BÖLÜM: VERİ SAHİBİNİN HAKLARI

1. Kişisel Veri Sahibinin Aydınlatılması

Kişisel Veriler’ in elde edilmesi sırasında Kanun’un 10. maddesine uygun olarak varsa Şirket temsilcisinin kimliği, Kişisel Veriler’ in hangi amaçla işleneceği, işlenen Kişisel Veriler’ in kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibi’ nin sahip olduğu hakları konusunda aydınlatma yapılmaktadır.

17. Veri Sahibinin Hakları

Şirketimiz, Kanun’un 11.maddesi uyarınca kişisel verileri alınan kişilere;

Kişisel verisinin işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,

Kanun’un 11. Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme,

haklarının olduğunu açıklar.

18. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri işbu Politikada sayılan haklarına ilişkin taleplerini http://www.ozakgyo.com/ internet sitemiz üzerinden, internet sitemizde belirtilen yöntemlerle “Başvuru Metni” aracılığı ile ve işbu “Başvuru Metni” üzerindeki şartları yerine getirerek Şirketimize iletebilirler.

19. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Şirketimiz tarafından başvurunun reddedilmesi, verilen cevabın veri sahibi tarafından yetersiz bulunması veya Şirketimiz tarafından süresinde başvuruya cevap verilmemesi hâllerinde veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.

20. Veri Sorumlusunun Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Şirket kişisel veri sahibi tarafından kendisine yapılan başvuruyu işbu politikada belirtildiği üzere belirli şartların varlığı halinde reddetme hakkına sahiptir. Veri Sorumlusu Şirketin başvuruya ilişkin red hakkını kullanabileceği haller aşağıda sıralanmıştır.

İlgilinin başvuruna konu kişisel verinin ;

Resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

Millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,

Soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

İşlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

Sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

İşlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

İşlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

Sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,

Orantısız çaba gerektiren taleplerde bulunulmuş olması,

Talep edilen bilginin kamuya açık bir bilgi olması hallerinde Veri Sorumlusu Şirket başvuruya ilişkin ret hakkını kullanabilir.

ONUNCU BÖLÜM: POLİTİKAYA UYULMASINDA GÖREVLİ PERSONEL

Şirket bünyesinde işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur. Kişisel Veri Komitesi, Kişisel Veri Sahipleri’ nin verilerinin hukuka, işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir. Bu Kişisel Veri Komitesinin başlıca görevleri şunlardır:

Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,

Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin onayına sunmak,

Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılaması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,

Kişisel Verilerin Korunması ve İşlenmesi konusunda Şirket içerisinde ve Şirketin iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,

Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,

Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak,

Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,

Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,

Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,

Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,

Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek,

Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.

ONBİRİNCİ BÖLÜM: GÜNCELLEME VE DEĞİŞİKLİKLER

Şirket, Kanun’da ve bağlı mevzuatında yapılan değişiklikler, Kurul kararları ve/veya sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. İşbu Politika’ da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar bu bölümde belirtilir.
01/06/2020 : İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası, Şirketimiz tarafından kabul edilerek yürürlüğe girmiştir.