ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

MADDE 1. POLİTİKA’NIN KONUSU

Kişisel verilerin korunması, Persty Yazılım Danışmanlık Sanayi ve Ticaret Anonim Şirketi’nin (bundan böyle Persty olarak anılacaktır) en önemli öncelikleri arasında yer almaktadır. Bu konunun en önemli kısmını ise işbu Politika ile yönetilen, Persty hissedarlarının, yetkililerinin, çalışanlarının, aday çalışanlarının, stajyerlerin, ziyaretçilerinin, müşterilerinin, müşteri adaylarının, iş birliği içinde olunan kurumların hissedarlarının, yetkililerinin, çalışanlarının ve diğer üçüncü kişilerin özel nitelikli kişisel verilerinin korunması ve işlenmesi oluşturmaktadır.

Bu kapsamda, yasal mevzuat çerçevesinde işlenen kişisel verilerin korunması için şirket tarafından gereken idari ve teknik tedbirler alınmaktadır. Bu Politikada kişisel verilerin işlenmesinde şirketin benimsediği temel ilkeler şunlardır;

  • Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
  • Kişisel verileri doğru ve gerektiğinde güncel tutma,
  • Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
  • Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
  • Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
  • Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
  • Kişisel verilerin muhafazasında gerekli tedbirleri alma,
  • Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
  • Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti göstermek.

MADDE 2. POLİTİKA’NIN AMACI

Politikanın temel amacı, Persty tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve bu kapsamda Persty hissedarları, yetkilileri, çalışanları, aday çalışanları, stajyerleri, ziyaretçileri, müşterileri, müşteri adayları, iş birliği içinde olunan kurumların hissedarları, yetkilileri, çalışanları ile diğer üçüncü kişiler başta olmak üzere özel nitelikli kişisel verileri Persty tarafından işlenen kişileri bilgilendirilerek şeffaflık ve güveni sağlamaktır.

Persty, veri sorumlusu sıfatı ile kişisel verilerin korunması amacıyla yürürlüğe koyduğu iş bu politika gereği tüm iç işleyişleri ve süreçleri düzenlemeyi, gerek kişilere verdiği özel önem ve gerekse mevzuattan kaynaklanan yükümlülüklerini yerine getirmeyi sağlamak üzere şirket bünyesinde Persty Kişisel Verileri Koruma Komisyonu (KVK Komisyonu) oluşturmuştur. Persty, kişisel verilerin korunması kapsamındaki sorumluluklarını komisyon marifetiyle sürdürmektedir.

Persty, iş bu komisyon aracılığı ile kişisel verilerin korunması politikalarını oluşturma, güncelleme, süreçlerin düzenlenmesi ve takibi, kişisel verilerin korunması için idari ve teknik tedbirlerin belirlenmesi ve uygulanması, çalışanların eğitimi ve denetim faaliyetleri gibi gerekli tüm faaliyetlerini yürütmektedir.

MADDE 3. İÇERİK VE TANIMLAR

Bu Politika; Persty hissedarlarının, yetkililerinin, çalışanlarının, aday çalışanlarının, stajyerlerinin, kullanıcı ve üyelerin ile Audience üyelerin, müşterilerin, iş birliği içinde olunan kurumların hissedarlarının, yetkililerinin, çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen özel nitelikli kişisel verilerine ilişkindir.

Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu Politikanın uygulama kapsamı Politikanın tamamı olabileceği gibi; yalnızca bir kısmı da olabilir.

Bu politika metninde yer alan kavramların tanımları ise şöyledir:

Alıcı grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan : Persty personeli
Elektronik ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik olmayan ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet sağlayıcı : Kurum ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili kişi : Kişisel verisi işlenen gerçek kişi
İlgili kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel veri işleme envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul : Kişisel Verileri Koruma Kurulu
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik imha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika : Kişisel Verileri Saklama ve İmha Politikası
Persty : Persty Yazılım Danışmanlık Sanayi ve Ticaret Anonim Şirketi (İşyeri/sorumlu unvanı yazılacak)
Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri sorumluları sicil bilgi sistemi : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

MADDE 4. POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI

Özel Nitelikli kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Persty, yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

Politika, ilgili mevzuat tarafından ortaya konulan kuralların Persty uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur.

MADDE 5. POLİTİKA’NIN YÜRÜRLÜĞÜ

Persty tarafından düzenlenen bu Politika, Persty Portalda (https://www.corexm.com) yayımlandığı gün yürürlüğe girer. Politikada yenilik ya da değişiklik olursa Persty Portalda yayımlandığı gün itibariyle yürürlük tarihi güncellenecektir.

Politika Persty Portalda yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

MADDE 6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Persty, KVKK’ nın 12. maddesi uyarınca, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenliği sağlamak için gereken idari, teknik ve hukuki tüm tedbirleri almakta, bu kapsamda gereken tüm denetimleri sağlamaktadır.

MADDE 7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

  • 7.1 Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler

    Persty, özel nitelikli kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

  • 7.1.1 Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

    Persty tarafından özel nitelikli kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

    • a. Persty, bünyesinde özel nitelikli kişisel veri işleme faaliyetlerini yürütecek çalışanların elektronik olmayan verileri işleme gereklilikleri doğrultusunda çalışma alanlarına ilişkin teknik tedbirler almakta, elektronik sistemler üzerinden veri işleme durumunda ise gereklilikler doğrultusunda çalışanlara yönelik kullanıcı yetki tanımlamaları teknik çözümleri uygulanmakta ve denetlenmektedir.
    • b. Persty, bünyesinde yürütülen özel nitelikli kişisel veri işleme faaliyetlerini kurulan teknik sistemlerle denetlenmektedir.
    • c. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
    • d. Teknik konularda bilgili personel istihdam edilmektedir.

  • 7.1.2 Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

    Persty tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

    • a. Çalışanlar, özel nitelikli kişisel verilerin korunması hukuku ve özel nitelikli kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
    • b. Persty’nin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde özel nitelikli kişisel veri işleme faaliyetleri ortaya konulmaktadır.
    • c. Persty’nin iş birimlerinin yürütmüş olduğu özel nitelikli kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı özel nitelikli kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detay faaliyet özelinde belirlenmektedir.
    • d. Persty iş birimleri tarafından belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Persty iç politikaları ve eğitimler yoluyla hayata geçirilmektedir.
    • e. Persty ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Persty talimatları ve kanunla getirilen istisnalar dışında, özel nitelikli kişisel verileri yetki dışı işlememe, hiçbir şekilde ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta çalışanlar ile gizlilik sözleşmeleri yapılmakta ve bu konuda çalışanlarda farkındalık oluşturulmakta ve denetimler yürütülmektedir.

  • 7.2 Özel Nitelikli Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

    Persty, özel nitelikli kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

  • 1 Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür işbu politika ile belirlenmiştir.

    2 Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
    a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,
    b) Gizlilik sözleşmelerinin yapılmakta,
    c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta,
    d) Periyodik olarak yetki-işlem kontrolleri gerçekleştirilmekte,
    e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter derhal iade olarak alınmaktadır.

    3 Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamların, elektronik ortam olması halinde,
    a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
    b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
    c) Veriler üzerinde gerçekleştirilen tüm hareketler ve işlemler güvenli olarak kayıt altına (log) alınmakta,
    d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
    e) Verilere bir yazılım aracılığı ile erişildiği durumlarda bu yazılıma ait kullanıcı yetkilendirmesi yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçlarının kayıt altına alınmakta,
    f) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi ile giriş uygulaması çalıştırılmaktadır.

    4 Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
    a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri(elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta,
    b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

    5 Özel nitelikli kişisel veriler aktarılacaksa;
    a) Verilerin e-posta yoluyla aktarılması gerektiği durumda şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,
    b) Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması sağlanmakta,
    c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,
    d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi sağlanmaktadır.

    Bu tedbirlere ek olarak da Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunmasına dair Persty Politikamızın ilgili hükümlerince ek güvenlik tedbirleri alınmaktadır.

  • 7.3 Özel Nitelikli Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

    Persty, KVKK’nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Persty iç işleyişi kapsamında konu ile ilgili birime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

  • 7.4 Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

    Persty, KVKK’ nın 12. maddesine uygun olarak işlenen özel nitelikli kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlanmaktadır.

    KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

MADDE 8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ KVKK’NIN 6. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME

Persty tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere özel önem verilmektedir.

KVK Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Özel nitelikli kişisel veriler Persty tarafından, KVK Kanunu’na uygun bir biçimde ve KVK Kurulu’nca belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

1. Kişisel veri sahibinin açık rızası var ise veya
2. Kişisel veri sahibinin açık rızası yok ise;
a) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
b) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

MADDE 9. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Persty, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Persty ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirketimiz bu kapsamda, Anayasa’nın 20. ve KVK Kanunu’nun 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.

MADDE 10. KİŞİSEL VERİLERİN AKTARILMASI

Persty hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü tüzel kişilere, iş ortaklarına, üçüncü gerçek kişilere) aktarabilmektedir. Persty bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politikada yer verilmiştir.

10.1. Özel Nitelikli Kişisel Verilerin Aktarılması
Persty gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

1. Kişisel veri sahibinin açık rızası var ise veya
2. Kişisel veri sahibinin açık rızası yok ise;
a) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
b) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

10.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Persty gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.

1. Kişisel veri sahibinin açık rızası var ise veya
2. Kişisel veri sahibinin açık rızası yok ise;
a) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
b) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.

MADDE 11. PERSTY TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ

Persty, KVK Kanunu’nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir.

MADDE 12. KİŞİSEL VERİLERİN KATEGORİZASYONU ve İŞLEME AMAÇLARI

ÖZEL NİTELİKLİ KİŞİSEL VERİ; Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; 6698 Sayılı Kanun’un 6’ıncı maddesinde belirtilen verilerdir. Bunlar, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Araştırma yapan kurumlar ve araştırmacı bireyler tarafından, çeşitli konularda (tüketici, çalışan, tedarikçi vb. tutum ve davranışları, ihtiyaç, istek ve beklentileri, pazar araştırması, kamuoyu yoklaması vb.) yapılması günümüzün en önemli çalışmaları arasında yer almaktadır. Bu bağlamda gerek şirketimizin kendisi tarafından araştırma yapılması istendiğinde ve gerekse şirketimizin web portalı uygulama ve hizmetlerinden yararlanarak araştırma yapan kurumlar ve araştırmacı bireylerin doğrudan kendileri tarafından araştırma yapılması halinde, araştırmanın amacına bağlı olarak deneklerden çeşitli nitelikte (demografik özellikler, kişisel özellikler, alışkanlıklar, tutum ve davranışlar vb. ) verilerin toplanması istenebilmekte, bu verilerden hareketle çeşitli tanımlayıcı (frekans dağılımı, merkezi eğilim vb.) ve çıkarsamalı istatistiksel yöntemlerle (tahmin, hipotez testleri vb.) verilerin analizi yapılmaktadır. Araştırma amacına bağlı olarak, deneklerden bu veriler alınmadığı sürece, gerek bu analizlerin yapılabilmesi, gerekse raporu okuyanların araştırma örnekleminin özelliklerini görebilmesi (araştırma örneklemini oluşturan deneklerin cinsiyet dağılımı, yaş dağılımı, eğitim dalımı vb.) ve araştırmanın güvenirliği ve geçerliğinden söz edilebilmesi mümkün olamamaktadır. Audience üyeler başta olmak üzere tüm üye ve denekler ile ilgili bu verilerin toplanma amacı, araştırmacıların, çeşitli konularda (tüketici tutum ve davranışları, ihtiyaç, istek ve beklentileri, pazar araştırması, kamuoyu yoklaması vb.) yapacakları araştırmaları için, araştırma yapacakları evreni istatistiksel olarak temsil edebilecek nitelik (demografik özellikler, kişisel özellikler, alışkanlıklar, tutum ve davranışlar vb. ) ve nicelikteki örneklemi oluşturmalarına olanak sağlamaktır. Dolayısıyla bahsedilen bilimsel araştırma teknikleri ve hizmet amaçları düşüldüğünde özel nitelikli kişisel veriler yapılacak olan araştırmanın niteliğine göre işlenebilecektir.

MADDE 13. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Persty, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Persty’nin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu politikada yer verilmiştir.

MADDE 14. KİŞİSEL VERİLERİN SİLİNMESİ VE YOK EDİLMESİ

14.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi
Persty, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir.

14.2. Kişisel Verileri Anonim Hale Getirilmesi
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politikada düzenlenen haklar bu veriler için geçerli olmayacaktır.

Persty, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Persty, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

MADDE 15. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI

15.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
a. Kişisel veri işlenip işlenmediğini öğrenme
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
f. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme
h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

15.2. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri bu bölümün yukarıda sıralanan haklarına ilişkin taleplerini aşağıda belirtilen yöntemle Şirketimize ücretsiz olarak iletebileceklerdir:
a. www.corexm.com adresinde bulunan formu doldurulup ıslak imzalı olarak imzalandıktan sonra istenilen ekleri ile birlikte Çağış Mahallesi Çağış B.M. Sk. No:340/16/14 Bigadiç / BALIKESİR adresine şahsen başvuru ile,
b. www.corexm.com adresinde bulunan formu doldurulup ıslak imzalı olarak imzalandıktan sonra istenilen ekleri ile birlikte Çağış Mahallesi Çağış B.M. Sk. No:340/16/14 Bigadiç / BALIKESİR adresine kargo ya da posta vasıtasıyla,
c. www.corexm.com adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı form ile istenilen ekleri kvk@corexm.com adresine gönderilecek bir e-posta ile,
d. www.corexm.com adresinde bulunan elektronik formun doldurulup istenilen ek belgeleri yükledikten sonra formda yer alan ilgili onayları vererek göndermek sureti ile,

Kişisel veri sahipleri, haklarını kullanmak için yapacakları başvuruda, yukarıda bağlantı sağlanan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”nu dolduracaklardır. Bu formda yapılacak başvurunun yöntemi de ayrıntılı bir şekilde anlatılmaktadır.

MADDE 16. PERSTY’NİN BAŞVURULARA CEVAP VERMESİ

16.1. Persty’nin Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün yukarıdaki kısmında yer alan usule uygun olarak talebini Persty’e iletmesi durumunda Persty talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.

Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Persty tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

16.2. Persty’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
Persty, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.

Persty, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.