İçindekiler

1.     POLİTİKANIN AMACI ve KAPSAMI                                                                               

2.     TANIMLAR                                                                                                                       

3.     KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR                              

4.     KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER                                              

5.     KİŞİSEL VERİLERİN İŞLENME AMAÇLARI                                                                   

6.     KİŞİSEL VERİLERİN AKTARILMASI                                                                              

7.     İŞLENEN KİŞİSEL VERİLER                                                                                             

8.     VERİ ANALİZİ, VERİ ENVANTERİ ve VERİ ETKİ DEĞERLENDİRME VERİ ANALİZİ:  

9.     VERİ SAHİBİNİN HAK ve YÜKÜMLÜLÜKLERİ                                                          

10.      VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ                                          

11.      VERİ İŞLEYENİN HAK VE YÜKÜLÜLÜKLERİ                                                         

12.      KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ ve SAKLAM SÜRESİ SONU İŞLEMLER            

13.      KİŞİSEL VERİLERİN KORUNMASI - İDARİ VE TEKNİK TEDBİLER                     

14.      VERİ SAHİBİ HAK KULLANIM SÜRECİ ve VERİ SORUMLUSU TESPİT ÇALIŞMASI            

15.      KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ                                             

16.      VERİ İHLAL OLAYI BİLDİRİMİ                                                                                

 

 

 

 

1.POLİTİKANIN AMACI ve KAPSAMI

 

Bu politika ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (6698 KVKK) kapsamına giren kişisel verilerin, veri sorumlusu sıfatıyla  EKENLER tarafından işlenmesine ve korunmasına yönelik uygulanan kural ve düzenlemelerin açıklanması amaçlanmaktadır.  

Bu politika, aşağıda yer alan hususları kapsamaktadır;

• 6698 KVKK ve ilgili diğer yönetmelik ve tebliğlerde belirtilen hususları,
• EKENLERişyerlerini ve departmanlarını,
• Bu işyerleri ve departmanlarında gerçekleştirilen veri işlemle faaliyetlerini,
• Veri işleme faaliyeti ile ilgili tarafları ve paydaşları,
• Veri işleme faaliyetinde yer alan tüm kaynakları kapsamaktadır.

 

2.TANIMLAR

Kavram / İfade	Kanun’daki Tanım
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri
İlgili kişi	Kişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade edilmektedir)
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri kayıt sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistem
Açık rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Silme, Yok Etme ve Anonimleştirme	Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Anonimleştirme:  Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

3.KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR

 EKENLER bünyesinde, Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur.

Bu Komite’nin başlıca görevleri şöyledir; 

• Kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,
• Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak ve ilgili aksiyonların alındığının takibinin gerçekleştirmek, 
• Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,
• Kanun’un uygulaması ile ilgili şirket içinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak, 
• Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak, 
• Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak, 
• Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir. 

 

4.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Veri sorumlusu konumunda olan  EKENLER, 6698 KVKK’nın 4. maddesi gereğince kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket etmektedir:

• Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmelidir. Veri sorumlusu olarak, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uyulmaktadır.

 

• Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulamalıdır. Bu doğrultuda verilerini, veri işleme sistemine doğru girilmesi için gerekli veri giriş, kontrol ve doğrulama süreçleri oluşturulmuştur. Bununla birlikte veri sahibinin güncellenen veya yanlışlıkla hatalı girilen kişisel verilerinin güncellenmesi için gerekli talep, inceleme ve güncelleme süreçleri oluşturulmuş olup, dijital ortamlarda veri girişi ve veri güncellemeye ilişkin işlem loğları da tutulmaktadır. 
• Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda,  EKENLER bilgilendirme/aydınlatma metninde belirtildiği üzere, VERBİS sistemine de uygun olarak veri işleme maçları belirtilmiştir. Bakınız: “EKENLER, Kişisel Verilerin Korunması Kanunu Hakkında Bilgilendirme Metni”

 

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri sorumluları, Kanun kapsamında belirledikleri veri işleme amaçları ile sınırlı ve yeterli düzeyde veri işlemekle yükümlüdür. Bu doğrultuda,  EKENLER tarafından, veri sahibine bildirilen amaçları gerçekleştirmek için gerekli olan yeterli düzeyde kişisel veri alınmakta ve işlenmektedir. 

 

• İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, yürürlükte bulunan mevzuat, taraflarca imzalanan sözleşme gereksinimleri ve işleme amaçları ile doğrultusunda belirlenen süreler buyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Sürelerin sona ermesinin ardından kişisel veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.  

 

5.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI   

Kanun’un 5 ve 6. maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları belirtmektedir. Özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı bir şekilde belirtilmiş olup, aşağıdakilerle sınırlıdır: 

• Kişilerin ırkı,
• Etnik kökeni,
• Siyasi düşüncesi,
• Felsefi inancı,
• Dini, mezhebi veya diğer inançları,
• Kılık ve kıyafeti,
• Dernek, vakıf ya da sendika üyeliği,
• Sağlığı, cinsel hayatı,
• Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
• Biyometrik ve genetik verileri.

 

Kanunun 5. Maddesinde, veri sahibinin açık rızası olmadan, kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin islenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili kişinin (veri sahibi) kendisi tarafından alenileştirilmiş̧ olması.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanunun 6. Maddesinde, veri sahibinin açık rızası olmadan, özel nitelikli kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda açık rıza aranmaksızın (açık rıza istisnaları) kişisel verilerin işlenmesi mümkündür:

• Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi. 
• Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi. 

 

Veri sorumlusu olarak  EKENLER öncelikli olarak veri sahiplerinden açık rıza alma yolunu seçmiştir. Bununla birlikte sunulan ürün ve hizmetlerden kendi isteği ile faydalanmak isteyen müşterilerin ve sunulan ürün ve hizmetlerden ve bunların neticesinden menfaat elde eden çalışanların, tedarikçilerin ve diğer paydaşların kişisel verilerini yukarıda belirtilen istisnalar kapsamında işleyecektir. Bu işleme, bilgilendirme/aydınlatma metninde belirtilen amaçlar doğrultusunda, sınırlı ve ihtiyaç duyulduğu kadar verinin işlenmesi şeklinde olacaktır.     

 Veri sorumlusu olarak  EKENLER bilgilendirme ve açık rıza almak için şu yöntemleri kullanmaktadır:

• Islak imzalı açık rıza beyanı alma: 
• Tedarikçi sözleşmeleri:
• Sesli yanıt sistemi:.
• Dijital ortamda onay alınması:
• SMS ile onay alınması:

 

 

 

Veri sorumlusu olarak  EKENLER, VERBİS sisteminde de yer alan aşağıda belirtilen amaçlar doğrultusunda kişisel ve özel nitelikli kişisel verileri işlemektedir:

• Yurt içi ve yurt dışı tedarikçiler ve müşteriler ile yapılan sözleşme yükümlülüklerini yerine getirmek,
• Yasal mercilerin (Emniyet, Kişisel verileri koruma kurulu, SGK vb.), sektör birliklerinin (TURSAB, dernek vb.) isteklerini ve 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun gerekliliklerini karşılamak,
• Sunduğumuz hizmetleri geliştirebilmek, öneri, talep ve şikayetlerinizi kaydedebilmek,
• Müşterileri ve diğer paydaşları daha iyi tanıyarak ihtiyaçlarınız doğrultusunda hizmet vermek,
• Satış-pazarlama faaliyetlerimizi yürütmek,
• Analiz – profilleme yapmak,
• Kampanyalarımız ve müşteri talepleri hakkında müşterileri (çağrı merkezi 444 88 07, elektronik posta, posta, SMS ve MMS araçları ile) bilgilendirmek,
• Orta-uzun vade ticari stratejilerimizi belirlemek.
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Çalışan Adayı/ Stajyer/ Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
• Denetim/ Etik Faaliyetlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Erişim Yetkililerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans ve Muhasebe İşlerinin Yürütülmesi
• Firma/ Ürün/ Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
• Fiziksel Mekân Güvenliğinin Temini
• Görevlendirme Süreçlerinin Yürütülmesi
• Hukuk İşlerinin Takibi ve Yürütülmesi
• İç Denetim/ Soruşturma/ İstihbarat Faaliyetlerinin Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• İş Faaliyetlerinin Yürütülmesi/ Denetimi
• İş Sağlığı/ Güvenliği Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerinin Alınması ve Değerlendirilmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• Lojistik Faaliyetlerin Yürütülmesi
• Mal/ Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Mal Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
• Mal/ Hizmet Satış Süreçlerinin Yürütülmesi
• Mal/ Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
• Müşteri İlişkileri ve CRM Yönetimi Süreçlerinin Yürütülmesi
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• Organizasyon ve Etkinlik Yönetimi
• Pazarlama ve Analiz Çalışmalarının Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Reklam/ Kampanya/ Promosyon Süreçlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Sponsorluk Faaliyetlerinin Yürütülmesi
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Talep/ Şikâyetlerin Takibi
• Taşınır Mal ve Kaynakların Güvenliğinin Takibi
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Ücret Politikasının Yürütülmesi
• Ürün/ Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yabancı Personel Çalışma ve Oturma İzni İşlemleri
• Yatırım Süreçlerinin Yürütülmesi
• Yetenek/ Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
• Yönetim Faaliyetlerinin Yürütülmesi
• Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
• Yasal gereksinim
• Anlaşmazlıkların Çözümü 

 

6.KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, veri sorumlusu sıfatıyla  EKENLER tarafından KVKK da belirtilen yükümlülükler ve 6.Madde de yer alan amaçlar çerçevesinde  EKENLER tüzel kişiliği dışında “Yurt İçinde ve Yurt Dışında başka bir Tüzel veya Gerçek kişi ile paylaşılabilir.

Kişisel verilerin aktarılmasına ilişkin şartlar kanunun 8. Maddesinde belirtilmektedir. Kanun burada; kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel” veri olup olmadığına göre bir ayrıma gitmiştir. Bununla birlikte, yukarıda 5.Madde de kişisel verilerin işlenme amaçları kısmında belirtilen işleme şartlarından birinin varlığı halinde ve yeterli “idari ve teknik güvenlik tedbirlerini” almak koşuluyla üçüncü kişilere aktarılabilmesine izin vermektedir. Yukarıda 5’incı maddede ve kanunun 5-6. Maddelerinde yer alan açık rıza ve istisna durumları kişisel verilerin aktarılması içinde geçerlidir.

  EKENLER tarafından YURT İÇİNDE aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır:

• ……… A.Ş.
• ……… A.Ş.

 

Yurt dışına kişisel veri aktarımında kanun aşağıda yer alan hususlara uyulmasını şart beklemektedir:

• Veri sahibinin açık rızasının bulunması veya açık rıza istisnaları şartlarından birinin veya birkaçının karşılanması halinde,
• Verilerin aktarıldığı ülkede yeterli koruma* bulunması halinde,
• Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ise, veri sorumlusu sıfatıyla  EKENLER ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması şartı ile aktarılabilmektedir. 

(*) Yeterli korumanın bulunduğu ülkeler KVKK Kurulu tarafından belirlenerek ilan edilir. 

  EKENLER tarafından YURT DIŞINDA aşağıda yer alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmaktadır. Bazı internet sitelerine üyelik gerçekleştirilerek “kişisel veri” aktarımı yapılmaktadır.

• ……… A.Ş.
• ……… A.Ş.

 

 

7.İŞLENEN KİŞİSEL VERİLER

 EKENLER tarafından, 6.Maddede belirtilen amaçlar doğrultusunda aşağıda yer alan kişisel veri kategorilerindeki kişisel ve özel nitelikli kişisel veriler paylaşılmaktadır:

Veri Kategorisi	Kişisel Veri Kategorizasyonu Açıklama	İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri
Kimlik Bilgisi	Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan bilgiler	TCKN, pasaport no., nüfus cüzdanı seri no., ad-doyad, fotoğraf, doğum yeri, doğum tarihi, yaş, nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı örneği
İletişim Bilgisi	Kişiyle iletişim kurulması amacıyla kullanılan bilgiler	E-mail adresi, telefon numarası, cep telefonu numarası, adres v.b.
Lokasyon Verisi	Veri sahibinin konumunu tespit etmeye yarayan veriler	Şirket araçlarının kullanımı sırasında edinilen lokasyon verileri
Aile Bireyleri ve Yakın Bilgisi	ilgili şirket ve veri sahibinin hukuki menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler	Kişisel veri sahibinin çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi ve profesyonel, eğitim bilgileri v.b. bilgiler
Müşteri Bilgisi	Ürün ve hizmetlerimizden faydalanan müşterilere ait bilgiler	Müşteri no, meslek bilgisi, v.b.
Müşteri İşlem/hizmet/ürün Bilgisi	Ürün ve hizmetlerimizden faydalanan müşteriler tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler	Talep ve talimatlar, sipariş bilgileri, v.b. Kullanılan ürün ve hizmet ve bunlar ilişkin bilgiler
Fiziksel Mekan Güvenlik Bilgisi	fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler	Giriş çıkış logları, ziyaret bilgileri, kamera kayıtları v.b.
İşlem Güvenliği ve kimlik doğrulama Bilgisi	Tesis ve ilgili tarafların teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler	Kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren bilgiler (örn. Internet sitesi şifre ve parola bilgileri)
Risk Yönetimi Bilgisi	Tesis’nin ticari, teknik ve idari risklerini yönetebilmek için işlenen kişisel veriler	IP adresi, Mac ID vb. kayıtlar
Finansal Bilgi	kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler	Veri sahibinin yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, kredi kartı borcu, kredi tutarı, kredi ödemeleri, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi v.b.
Özlük Bilgisi	Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler	Kanunen özlük dosyasına girmesi gereken her türlü bilgi ve belge (örn. Maaş miktarı, SGK pirimleri, bordrolar v.b.)
Çalışan Adayı Bilgisi	Tesis nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait, başvuru değerlendirme sürecinde kullanılan kişisel veriler	Özgeçmiş, mülakat notları, kişilik testleri sonuçları v.b.
Çalışan İşlem Bilgisi	çalışanların işle ilgili gerçekleştirdiği her türlü işleme ilişkin kişisel veriler	İşe giriş-çıkış kayıtları, iş seyahatleri, katıldığı toplantılara ilişkin bilgiler, güvenlik sorgusu, mail trafikleri izleme bilgisi, araç kullanım bilgisi, şirket kredi kartı harcama bilgisi v.b.
Çalışan Performans ve Kariyer Gelişim Bilgisi	çalışanların performanslarının ölçülmesi ve kariyer gelişimlerinin insan kaynakları politikaları kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler	Performans değerlendirme raporları, mülakat sonuçları, kariyer gelişimine yönelik eğitimler v.b.
Yan Haklar ve Menfaatler Bilgisi	çalışanlara sunulan yan hak ve menfaatlerin planlanması ve çalışanların bunlardan faydalandırılmasına yönelik işlenen kişisel veriler	Özel sağlık sigortası, araç tahsisi v.b.
Pazarlama Bilgisi	Tesis tarafından pazarlama faaliyetlerinde kullanılacak veriler	Pazarlama amcıyla kullanılmak üzere toplanan kişinin alışkanlıkları, beğenilerini gösteren raporlar ve değerlendirmeler, hedefleme bilgileri, cookie kayıtları, veri zengileştirme faaliyetleri,  v.b.
Hukuki İşlem ve Uyum Bilgisi	hukuki alacak ve hakların tespiti ve takibi ile borç ve kanuni yükümlülüklerin ifası amacıyla işlenen kişisel veriler	Mahkeme ve idari merci kararları gibi belgelerde yer alan veriler
Denetim ve Teftiş Bilgisi	Tesis’nin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler	Denetim ve teftiş raporları, ilgili görüşme kayıtları ve benzeri kayıtlar
Özel Nitelikli Kişisel Veri	kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inanç, kılık ve kıyafet, dernek, vakıf ya da sendika üyelik bilgisi, sağlık ve cinsel hayat ile ilgili veriler, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler, biyometrik veriler, genetik veriler
Talep/Şikayet Yönetimi Bilgisi	Tesis’ne yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler	Şirketlere yönelik her türlü talep ve şikayetler, bunlarla ilgili kayıt ve raporlar
İtibar Yönetimi Bilgisi	Tesis’nin, hissedarlarının, çalışanlarının, iş ortaklarının veya müşterilerinin itibarını etkileme ihtimali bulunan kişisel veriler	Şirket ile ilgili sosyal medyada çıkan olumsuz haberlerde yer alan kişisel veriler v.b. bilgiler
Görsel ve İşitsel Veri	kişisel veri sahibiyle ilişkilendirilen görsel ve işitsel kayıtlar	Fotoğraflar, kamera kayıtları ve ses kayıtları

 

 

 

8.VERİ ANALİZİ, VERİ ENVANTERİ ve VERİ ETKİ DEĞERLENDİRME VERİ ANALİZİ:

 EKENLER tarafından, iş süreçlerinde kullanılan “kişisel ve özel nitelikli kişisel verilerin” tespiti için veri analizi çalışması yapılmıştır. Kişisel verileri, özel nitelikli kişisel verileri ve bu verilere ilişkin işleme faaliyetleri bilgileri, oluşturulan “veri envanterinde” yer almaktadır. Veri envanteri şu amaçlarla kullanılmak için oluşturulmaktadır:

• İşlenen veri ve veri kategorilerini tespit etmek.
• İşleme faaliyetlerini (otomatik-manuel ve işleme tipi) tespit etmek.
• Veri işlemenin kişisel mahremiyete etkisini değerlendirmek.
• Veri güvenliğine ilişkin riskleri değerlendirmek.
• Veri güvenliğine yönelik idari ve teknik tedbirlerin belirlenmesi için girdi sağlamak.
• Veri sahibi ve ilgili mercilerden gelen veri işlemeye yönelik taleplerin karşılanmasında kılavuzluk yapmak.
• Veri silme, yok etme ve anonimleştirme için dayanak oluşturmak.
• Gereksiz veri işleme faaliyetlerini tespit ederek, süreçlerde veri işlemeye dayalı verimsizlikleri ve etkinsizlikleri ortadan kaldırmak.   

 

VERİ ENVANTERİ/VERİ HARİTALAMA:

Veri işleme envanteri aşağıda yer alan bilgi alanlarını içermektedir:

• Departman / Birim
• Ana Süreç
• Alt Süreç
• Sürecin İşlem Adımları
• Veri İşleme Aktivitesi,
• Veri işleyen Rol/Görev
• İşlenen Kişisel Veri
• İşlenen Kişisel Veri Kategorisi
• İşlenen Kişisel Veri Hassaslık Durumu (ÖNKV-KV)
• Veri İşleme Amacı
• İşlenen Kişisel Veri Sahibi
• Verinin alındığı (elde edildiği) yer
• Verinin Toplama Metodu 
• İşlenen Verinin Basılı Olarak Tutulduğu Doküman Adı 
• İşlenen Verinin Basılı Olarak Tutulduğu Dokümanın Saklandığı Yer 
• İşlenen Verinin Dijital Olarak Tutulduğu (Sürecin İşletildiği) Sistem/Uygulama Adı
• İşlenen Verinin Dijital Olarak Tutulduğu Sistemin/Uygulamanın Bulunduğu Yer  
• İşlenen Kişisel Verinin İletildiği İç Birim/Departman
• İşlenen Kişisel Verinin İç Birim/Departmana İletim Amacı
• İşlenen Kişisel Verinin İç Birim/Departmana İletim Yöntemi
• İşlenen Kişisel Verinin İletildiği Yurt İçi Dış Kurum/Kuruluş
• İşlenen Kişisel Verinin Yurt İçi Dış Kurum/Kuruluşa İletim Amacı
• İşlenen Kişisel Verinin Yurt İçi Dış Kurum/Kuruluşa İletim Yöntemi
• İşlenen Kişisel Verinin İletildiği Yurt Dışı Kurum/Kuruluş
• İşlenen Kişisel Verinin Yurt Dışı Kurum/Kuruluşa İletim Amacı
• İşlenen Kişisel Verinin Yurt Dışı Kurum/Kuruluşa İletim Yöntemi
• İşlenen Verinin Saklama Süresi
• İşlenen Verinin Saklama Süresi Sonunda Uygulanan İşlem
• İşlenen Verinin Korunması İçin Yasal Dayanak
• İşlenen Verinin Açık Rıza Dışında İşlenme Gerekçesi / İstisnalar

 

VERİ ETKİ DEĞERLENDİRME:

Mevcut süreçler ve yeni devreye alınacak süreçlerde olası bir veri ihlali durumunda, veri sahiplerine olabilecek olumsuz etkileri açısından veri etki değerlendirmesi analizi yapılır. Bu analiz ile;

• Ana süreç ve alt süreç,
• Süreçte işlenen veri kategorisi ve işlenen veri,
• Veri kategorisinin etki değeri,
• Veri kategorisi etki değerine göre, temel veri koruma idari ve teknik tedbirleri belirlenir.

 

Bu çalışma ile amaç, olası veri ihlali durumunda hangi süreçlerin kişi hak ve özgürlüklerine daha fazla etki edeceğini belirleyerek, veri güvenliğini sağlamak için gerekli idari ve teknik tedbirleri öncelikli olarak bu süreçlerde almak suretiyle kayakları ve riskleri daha etkili yönetmektir. 

9.VERİ SAHİBİNİN HAK ve YÜKÜMLÜLÜKLERİ

Veri Sahibi, kanun’un 11. maddesine göre veri sorumlusuna karşı aşağıdaki haklara sahiptir: 

• Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.
• Kendisi ile ilgili kişisel veri işlenmişse buna ilişkin bilgi talep etme.
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme. 
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme. 
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.
• İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme.
• Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme. 
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme. 
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Aşağıda belirtilen maddeler ve hususlara göre, bu kanun uygulanmayacağından, veri sahibin hakları belirtilen durumalar çerçevesinde işleme alınmayacaktır. Kanun’un 28. Maddesinin 2. Fıkrasında, kanunun 11.Maddedesinde belirtilen veri sahibinin uğradığı zararın giderilmesi hakkı hariç, aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,  

 

Kanun’un 28. Maddesinin 1. Fıkrasına göre aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

 

 

Veri Sahibi Tarafından Hakların Kullanılması 

Veri sorumlusu sıfatıyla  EKENLER tarafından, talepte bulunan kişinin kimliği tespit edilecek şekilde başvuru yapan veri sahibinin talepleri değerlendirmeye alınacaktır. Kimliği belirlenemeyen veri sahibine ilişkin şirket içinde veri işleme araştırması yapılamayacağından, talep işleme alınmayacaktır. Bununla birlikte, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edilebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltilebilir.

Veri sahibi yukarıda bahsi geçen haklarını kullanmak için şu kanallar vasıtasıyla talepte bulunabilir:

• www.ekenler.com.tr

 

Kanun’da öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz gün içerisinde cevap verilmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi öngörülmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir. 

10.VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ 

Kanunun 10,12 ve 16. maddelerinde belirtildiği üzere veri sorumlusu aşağıda yer alan sorumluluk, hak ve yükümlülüklere sahiptir:

• Aydınlatma yükümlülüklerini yerine getirmek.
• Kişisel verilere hukuku aykırı erişilmesini ve işlenmesini engellemek.
• Kişisel verilerin belirtilen işleme amaçları dışında kullanılmasını önlemek.
• Yeterli idari ve teknik tedbirleri alarak kişisel verileri veri ihlallerine karşı korumak.
• Kendi adına başka bir gerçek veya tüzel kişiye kişisel veri işletiliyorsa, müşterek sorumluluk kuralı gereğince, gerekli idari ve teknik tedbirleri almak ve aldırmak.
• Kanunda belirtilen hükümlerin uygulanmasını sağlamak maçıyla belirli periyotlarda denetimler yapmak veya yaptırtmak.
• Kanuna aykırı bir durum olduğunda kurula ilgililere uygun kanallar vasıtasıyla bildirmek.
• Kurul tarafından belirtilen kurallar çerçevesinde VERBİS’e (sicile) kayıt yaptırmak. 
• Asgari 6 aylık periyotlarda veri envanterini gözden geçirerek, kullanım amacı ve süresi biten verilerin imhasını gerçekleştirmek.
• Veri sahibi, veri kurulu ve diğer yasal mercilerce iletilen talepleri incelemek ve gerekli çalışmaları yapmak.  

 

Veri Sahibin Aydınlatılması ve Açık Rıza;

Veri sahibi, web sayfamızı ziyaretinde, webden rezervasyon sırasında, konaklama ya geldiği esnada danışmada, tur operatörleri tarafından rezervasyonda ve ürün hizmet kullanımı sırasında kişisel verilerin kullanım amaçları hususunda bilgilendirilmekte ve açık rıza beyanları alınmaktadır. Bunların yanı sıra, odalarda ve tesisin muhtelif görünür yerlerinde bilgilendirme metinleri yer almaktadır.

11.VERİ İŞLEYENİN HAK VE YÜKÜLÜLÜKLERİ

Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Veri işleyen kapsamında şunlar değerlendirilmektedir:

• Veri sorumlusu bünyesinde çalışan personel. 
• Ürün ve hizmet alınan tedarikçiler ve bu tedarikçilerin çalışan personelleri,
• Hissedar, yatırımcı, yönetim kurulu üyesi, yasal merciler gibi diğer paydalar.

 

Veri isleyenler öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve isleme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri isleyenin görevinden ayrılmasından sonra da devam etmektedir.

 

Kişisel verilerin hukuka aykırı olarak islenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesinin önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü̈ teknik ve idari tedbirlerin alınması hususunda veri işleyen veri sorumlusu ile birlikte müştereken sorumludur.

 

Veri işleyen ihmal, hata veya kasıtlı olarak veri ihlali gerçekleştirmesi durumunda kanuni çerçevede cezai yaptırımla karşı karşıya kalacaktır. Veri işleyen sıfatıyla;

• Çalışanlarla iş sözleşmesinde ve görev tanımlarında,
• Tedarikçiler ile ürün ve hizmet alımı sözleşmesinde görev, hak ve yükümlülükler belirtilmiştir.

 

 

12.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ ve SAKLAMA SÜRESİ SONU İŞLEMLER

Kişisel verilerin saklanma süreleri yürürlükte bulunan mevzuat ve süreç konusu verilerin işlenme amaçları göz önünde tutarak belirlenmektedir. Saklama süreleri her halükârda yasal yükümlülükler ve ilgili zamanaşımı süreleri ışığında tespit edilmektedir. 

 

Faaliyet / Süreç	Saklama Süresi	İlgili Kanun	İmha Süreleri
Personel Özlük Dosyaları	15 yıl	İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği (m. 7)	Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde
İnsan kaynaklarına ilişkin süreçler (özgeçmiş değerlendirme; işe alım)	Kanuni saklama süresi olmadığından işlendikleri amaç için gerekli olan süre kadar	6698 s. KVKK m.4/d	Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde
İdari hizmetler ve operasyonlar ile özel güvenlik hizmetlerine ilişkin süreçler (acil durum yönetimi kapsamında görevli personelin verilerinin işlenmesi; personel giriş-çıkış kayıtları vb.)	Kanuni saklama süresi olmadığından işlendikleri amaç için gerekli olan süre kadar	6698 s. KVKK m.4/d	Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde
Tedarik hizmetleri Sözleşme – İmza sirküleri	Sözleşme geçerliliği bitmesinden itibaren 10 yıl.		Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde
Satış Sözleşme – İmza sirküleri	Sözleşme geçerliliği bitmesinden itibaren 10 yıl.		Saklama süresinin dolmasını takip eden ilk periyodik imha işleminde Veri sahibinin imha talebinin haklı bulunması halinde 30 gün içinde

 

Türk Ceza Kanunu'nun 138. maddesinde ve KVK Kanunu'nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

• Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
• Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.
• Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

13.KİŞİSEL VERİLERİN KORUNMASI - İDARİ VE TEKNİK TEDBİLER 

Veri sorumlusu sıfatıyla  EKENLER tarafından, kişisel verilerin güvenliğini sağlamaya yönelik, makul seviyede idari ve teknik tedbirler alınmıştır. İdari ve teknik tedbirler, veri işleme süreçleri bu süreçleri gerçekleştirmek için ihtiyaç duyulan varlıklar/kaynaklar ve bunlar üzerindeki veri güvenliği riskleri göz önüne alınarak belirlenmiştir.

Kişisel veri koruma açısından risk, kişisel ve özel nitelikli kişisel verilerin kasten, hatayen veya ihmal sonucu kötüye kullanımına sebebiyet verebilecek her türlü durum ve olay olarak tanımlanmaktadır. 

 

İdari ve teknik tedbirler için veri güvenliği riskleri değerlendirme alanları aşağıdaki gibi kategorize edilmiştir:

1. Bilgi sistemlerine yönelik riskler: Sistem, sunucu, uygulama, web platformu, dış-iç network, ses, kamera, yazıcı, tarayıcı, PC ve veri merkezi gibi tüm bilgi sistemleri varlıklarına/unsurlarına yönelik riskler   
2. Bina, ofis, oda ve hizmet gerçekleştirme ortamlarına yönelik riskler: Hizmetlerin sunulduğu ve iş süreçlerinin gerçekleştirilerek kişisel verilerin işlendiği fiziksel ortamlara yönelik riskler.
3. Arşiv ortamlarına yönelik riskler: Bilgilerin fiziksel dokümanlarda saklandığı ortamlar yönelik riskler.
4. İş süreçlerinim işleyişine yönelik riskler: Süreçlerin işletilmesinde erişim, yetki ve iş kurallarına yönelik riskler.
5. Personele yönelik riskler: Hizmet gerçekleştiren ve veri işleyen tüm personele ilişkin görev, yetki ve yetkinliğe yönelik veri güvenliği riskleri.
6. Tedarikçi ve sağlanan girdilere yönelik risk: Tedarikçiler ve bunlardan sağlanan ürün ve hizmetlere yönelik veri güvenliği riskleri.

 

 EKENLER tarafından, yukarıda belirtilen veri koruma risklerine yönelik alınan tedbirler aşağıdaki gibidir:

1. Personel farkındalık ve yetkinliğine yönelik tedbirler: Belirli periyotlarda eğitim ve farkındalık çalışmaları yapılmaktadır.

 

2. Network ve internet sağlayıcıya yönelik tedbirler: Hizmeti.

 

3. Fiziksel (dijital ve kağıt ortamında) bilgi ve belge teminine yönelik tedbirler: USB, Harici disk, CD ortamında gelen veriler sınırlı ve yetkili kişiler tarafından virüs taraması yapıldıktan sonra işleme alınır. Kağıt ortamında gelen bilgi ve belgeler, ilgili bölüm ve kişi tarafından işleme alınır. Muhatabı dışında hiçbir personel tarafından işlem yapılmaz.

 

4. Routing – Firewall yönetimine yönelik tedbirler:

 

5. Gateway – Proxy yönetimine yönelik tedbirler:

 

6. Kimlik, Hesap ve Parola-Şifre yönetimine yönelik tedbirler:

 

7. Mantıksal ve Fizikse erişim ve yetkilendirmeye yönelik tedbirler: 

 

8. Vpn, Özel Devre, FTP-sFTP, Web service yönetimine yönelik tedbirler:

 

9. Sabit cihaz yönetimine yönelik tedbirler:

 

10. Mobil cihaz yönetimine yönelik tedbirler:

 

11. Harici ortam (usb,cd vb.) kullanımına yönelik tedbirler:

 

12. İzleme ve Log yönetimine (SİEM) yönelik tedbirler:

 

13. Segmantasyon (sanal ağ,wlan) yönetimine yönelik tedbirler:  

 

14. Bulut çalışma ortamına yönelik tedbirler:

 

15. Korumaya yöntemlerine (içerik ve sıpam mail filtreleme, saldırı tespit sistemi, sasus yazılım engelleme, anti virüs vb.) yönelik tedbirler: 

 

16. Açıklık analizine yönelik tedbirler:

 

17. E-posta, İnternete çıkış ve özel bağlantı çıkış yöntemlerine yönelik tedbirler:

 

18. DLP yönetimine yönelik tedbirler:  

 

19. Denetim ve kontrole yönelik tedbirler:

 

20. Süreç veri ihtiyacı tespit ve kontrol tedbirleri: Veri işleme ihtiyaçlarında optimizasyon yapılır.

 

21. Tedarikçi / Dış kaynak kullanımına yönelik tedbirler:

 

14.VERİ SAHİBİ HAK KULLANIM SÜRECİ ve VERİ SORUMLUSU TESPİT ÇALIŞMASI

Veri sahibinden, veri koruma kurulundan ve diğer ilgili yasal mercilerden gelen talepler aşağıda belirtilen adımlar gerçekleştirilerek işlenir:

1. ADIM: TALEBİN KARŞILANMASI:
   • E-posta, Web Form, fiziksel dilekçe veya posta yoluyla gelen tüm talepler KVKK iletişim kişisi tarafından karşılanır
   • Talep takip formuna gelen talep işlenir ve kanunda belirtilen 30 günlük cevaplama süresi başlatılır.
   • Talep içeriği kontrol edilmek üzere aynı gün içerisinde KVKK komitesi üyelerine iletilir.
   • Bir sonraki gün için KVKK komite üyeleri toplantıya çağrılır. 

 

2. ADIM: TALEP İÇERİĞİNİN KONTROL EDİLEREK ANLAŞILMASI:
   • Komite üyeleri tarafından talebin içeriği kontrol edilir.
   • KVKK talep değerlendirme toplantısında ilgili taraflarca talep içeriği görüşülür.
   • Talep sahibinin kimliği belirlenebilir değilse talep işleme alınmaz ve talep gelen kanaldan gerekçesi belirtilerek geri bildirim yapılır.
   • İhtiyaç duyulması halinde ise talep sahibine kimliğini belli etmek yada talebi daha detaylı anlamak için sorular sorulur.
   • Dijital tarafta ve basılı belgelerde yapılması gereken araştırma çalışmaları belirlenir
   • Yapılacak çalışmalar için sorumlu ve görev bitiş tarihi belirlenerek görev ataması yapılır
   • KVKK komitesi sekreteri tarafından talep takip formuna, görevler, sorumlular ve görev tamamlanma tarihi işlenir.

 

3. ADIM: TALEBE YÖNELİK ARAŞTIRMA YAPILMASI:
   • Veri haritası çalışması referans alınarak, hem basılı belgeler hem de dijital ortamdaki bilgiler kontrol edilir.
   • Talebin içeriğine uygun olarak istenen bilgiler toplanır. 
   • KVKK Komitesi sekreterine bilgiler iletilir
   • Toplanan bilgiler, sekreter tarafından konsolide edilerek taslak cevap metni oluşturulur ve komite üyelerine iletilir.
   • Komiye üyeleri talep cevabının oluşturulması için toplantıya davet edilir.  

 

4. ADIM: TALEP CEVABININ OLUŞTURULMASI:
   • KVKK Komitesinde talep cevap metni görüşülür
   • Cevap yazısı oluşturulur.

 

5. ADIM: TALEBE CEVAP DÖNÜLMESİ:
   • Talep sahibinin belirttiği kanal üzerinden veya talebin geldiği kanal üzerinden talebe cevap verilir.
   • Talep takip formuna talep cevaplama tarihi, kanalı bilgileri ve talebe istinaden yapılan işlemlerin özet bilgisi kaydedilir. 

 

6. ADIM: TALEBİN ARŞİVLENMESİ: 
   • Alınan talep bilgisi ve gönderilen cevap bilgisi ile varsa bunlara ilişkin basılı ve dijital belgeler arşivlenerek saklanır. 
   • Talep kapatılır.

 

15.KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ

EKENLER, 6698 KVKK kapsamında oluşturmuş olduğu veri koruma yönetimi yapısını, yılda asgari bir kez olmak üzere kendi bünyesindeki iç denetçiler aracılığıyla veya dışardan denetim hizmeti satın alarak, kanunda be bu politikada belirtilen hususları yeterlilik, uygunluk ve etkinlik yönlerinden denetime tabi tutmaktadır.

0nş i

16.VERİ İHLAL OLAYI BİLDİRİMİ

Bir veri ihlali olması durumunda, KVKK Kurulunun belirtiği üzere, olay anlaşıldıktan sonra 72 saat içinde KVKK kuruluna, yine kurullun belirttiği formatta bildirim yapılır.

Bildirim kararı ve bildirim içeriği, gerekli olay etki araştırması yapıldıktan sonra KVKK Komitesi tarafından oluşturulur.