Müşteri Hizmetleri

Kişisel Veri İşleme ve Koruma Politikası

AKSANTAÅž AKÅžEHÄ°R A.Åž.

KİŞİSEL VERİ İŞLEME VE KORUMA POLİTİKASI

1.TANIMLAR VE KISALTMALAR

Alıcı Grubu: Veri sorumlusu tarafından kiÅŸisel verilerin aktarıldığı gerçek veya tüzel kiÅŸi kategorisidir. Envanter: KiÅŸisel Veri Ä°ÅŸleme Envanteri’dir. Ä°lgili Kanun: 6698 S. KİŞİSEL VERÄ°LERÄ°N KORUNMASI KANUNU’dur. Ä°lgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kiÅŸi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doÄŸrultusunda kiÅŸisel verileri iÅŸleyen kiÅŸilerdir. Ä°mha: KiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. Ä°SGK: Ä°ÅŸ SaÄŸlığı ve GüvenliÄŸi Kanunu’dur. Kanun: 6698 Sayılı KiÅŸisel Verilerin Korunması Kanunu’dur. Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla iÅŸlenen kiÅŸisel verilerin bulunduÄŸu her türlü ortama verilen addır. KiÅŸisel Veri Ä°ÅŸleme Envanteri: Veri sorumlularının iÅŸ süreçlerine baÄŸlı olarak gerçekleÅŸtirmekte oldukları kiÅŸisel verileri iÅŸleme faaliyetlerini; kiÅŸisel verileri iÅŸleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kiÅŸi grubuyla iliÅŸkilendirerek oluÅŸturdukları ve detaylandırdıkları envanterdir. Kurul: KiÅŸisel Verileri Koruma Kurulu’dur. Kurum: KiÅŸisel Verileri Koruma Kurumu’dur. Özel Nitelikli KiÅŸisel Veri: KiÅŸilerin ırkı, etnik kökeni, siyasi düÅŸüncesi, felsefi inancı, dini, mezhebi veya diÄŸer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliÄŸi, saÄŸlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kiÅŸisel veridir. Periyodik Ä°mha: Kanunda yer alan kiÅŸisel verilerin iÅŸlenme ÅŸartlarının tamamının ortadan kalkması durumunda kiÅŸisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleÅŸtirilecek silme, yok etme veya anonim hale getirme iÅŸlemidir. Ä°ÅŸbu Politika’da Haziran ve Aralık aylarını ifade etmektedir. Politika: AKSANTAÅž AKÅžEHÄ°R A.Åž. KiÅŸisel Veri Ä°ÅŸleme Ve Koruma Politikası Sicil: KiÅŸisel Verileri Koruma Kurumu BaÅŸkanlığı tarafından tutulan Veri Sorumluları Sicili’dir. Veri Kayıt Sistemi: KiÅŸisel verilerin belirli kriterlere göre yapılandırılarak iÅŸlendiÄŸi kayıt sistemidir. Veri Sorumlusu: KiÅŸisel verilerin iÅŸleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kiÅŸidir. AKSANTAÅž AKÅžEHÄ°R A.Åž. : AKSANTAÅž AKÅžEHÄ°R A.Åž. (Veri Sorumlusu) Åžirket: AKSANTAÅž AKÅžEHÄ°R A.Åž. (Veri Sorumlusu)

2. AMAÇ AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından gerçekleÅŸtirilmekte olan iÅŸleme ve koruma faaliyetlerine iliÅŸkin iÅŸ ve iÅŸlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır. AKSANTAÅž AKÅžEHÄ°R A.Åž. ; kanun ile belirlenen temel ilkeler doÄŸrultusunda; ÅŸirket çalışanları, çalışan adayları, hizmet/ürün saÄŸlayıcıları, müÅŸteriler, ziyaretçiler ve diÄŸer üçüncü kiÅŸilere ait kiÅŸisel verilerin T.C. Anayasası, uluslararası sözleÅŸmeler, 6698 sayılı KiÅŸisel Verilerin Korunması Kanunu ve diÄŸer ilgili mevzuata uygun olarak iÅŸlenmesini ve ilgili kiÅŸilerin haklarını etkin bir ÅŸekilde kullanmasının saÄŸlanmasını öncelik olarak belirlemiÅŸtir. KiÅŸisel verilerin iÅŸlenmesine ve korunmasına iliÅŸkin iÅŸ ve iÅŸlemler, AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından bu doÄŸrultuda hazırlanmış olan Politikaya uygun olarak gerçekleÅŸtirilir.

3. KAPSAM AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın kiÅŸisel verilerin iÅŸlendiÄŸi departmanları ile çalışanlarını ve AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın veri paylaşımında bulunduÄŸu iÅŸ ortaklarını, iÅŸ ve hizmet satın aldığı tüzel/gerçek kiÅŸileri, 3. kiÅŸi ve resmi kurum ve kuruluÅŸlar ile kanunun yetkilendirdiÄŸi tüzel/gerçek kiÅŸileri kapsamaktadır. Ä°ÅŸbu Politika; AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın kiÅŸisel veriler üzerinde uygulayacağı iÅŸleme faaliyetlerine iliÅŸkin koruma faaliyetlerini kapsayacak olup, her türlü iÅŸleme sonucunda uygulanacaktır. Ä°lgili mevzuatın deÄŸiÅŸmesi veya güncellenmesi durumunda, AKSANTAÅž AKÅžEHÄ°R A.Åž.  politikasını ilgili mevzuata uyumlu olacak ÅŸekilde güncelleyecek ve internet sitesinin bu bölümünde yayınlanacaktır. Ä°ÅŸbu Politika’nın AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından uygulanmasında hukuki bir engel olması, uyumsuzluk ortaya çıkması ve/veya yeni düzenlemeler ışığında güncelleme ihtiyacı doÄŸması halinde, AKSANTAÅž AKÅžEHÄ°R A.Åž. , Politika ve uygulamasını yeniden belirleyebilecek, deÄŸiÅŸtirebilecek ve güncelleyebilecektir.

4. KİŞİSEL VERİLERİN İŞLENMESİ

A- KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENMESÄ°NDE UYULAN Ä°LKELER KiÅŸisel Verilerin korunmasında ÅŸirketimizce aÅŸağıdaki evrensel ilke ve esaslara uyulmaktadır: · Hukuka ve dürüstlük kurallarına uygun, adil ve ÅŸeffaf bir biçimde iÅŸlenme. · DoÄŸru ve gerektiÄŸinde güncel olma. · Belirli, açık ve meÅŸru amaçlar için iÅŸlenme. · Ä°ÅŸlendikleri amaçla baÄŸlantılı, sınırlı ve ölçülü olma. · Ä°lgili mevzuatta öngörülen veya iÅŸlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

B- KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENME ÅžARTLARI · KiÅŸisel Veri Sahibinin Açık Rızasının Bulunması KiÅŸisel verilerin iÅŸlenme ÅŸartlarından biri veri sahibinin açık rızasıdır. KiÅŸisel veri sahibinin açık rızası belirli bir konuya iliÅŸkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. AÅŸağıda yer alan kiÅŸisel veri iÅŸleme ÅŸartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kiÅŸisel veriler iÅŸlenebilecektir. · Kanunlarda Açıkça Öngörülmesi Veri sahibinin kiÅŸisel verileri, kanunda açıkça öngörülmekte ise diÄŸer bir ifade ile ilgili kanunda kiÅŸisel verilerin iÅŸlenmesine iliÅŸkin açıkça bir hüküm olması halinde iÅŸbu veri iÅŸleme ÅŸartının varlığından söz edilebilecektir. · Fiili Ä°mkânsızlık Sebebiyle Ä°lgilinin Açık Rızasının Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kiÅŸinin kendisinin ya da baÅŸka bir kiÅŸinin hayatı veya beden bütünlüÄŸünü korumak için kiÅŸisel verisinin iÅŸlenmesinin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecek ve/veya aktarılabilecektir. · SözleÅŸmenin Kurulması veya Ä°fasıyla DoÄŸrudan Ä°lgi Olması Veri sahibinin taraf olduÄŸu bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili olması kaydıyla, kiÅŸisel verilerin iÅŸlenmesinin gerekli olması halinde iÅŸbu ÅŸart yerine getirilmiÅŸ sayılabilecektir. · Åžirketin Hukuki YükümlülüÄŸünü Yerine Getirmesi Åžirketimizin hukuki yükümlülüklerini yerine getirmesi için iÅŸlemenin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir. · KiÅŸisel Veri Sahibinin KiÅŸisel Verisini AlenileÅŸtirmesi Veri sahibinin, kiÅŸisel verisini alenileÅŸtirmiÅŸ olması halinde ilgili kiÅŸisel veriler alenileÅŸtirme amacıyla sınırlı olarak iÅŸlenebilecektir. · Bir Hakkın Tesisi veya Korunması için Veri Ä°ÅŸlemenin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için veri iÅŸlemenin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir. · Åžirketimizin MeÅŸru Menfaati için Veri Ä°ÅŸlemenin Zorunlu Olması KiÅŸisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Åžirketimizin meÅŸru menfaatleri için veri iÅŸlemesinin zorunlu olması halinde veri sahibinin kiÅŸisel verileri iÅŸlenebilecektir.

C- ÖZEL NÄ°TELÄ°KLÄ° KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENME ÅžARTLARI Özel nitelikli kiÅŸisel veriler Åžirketimiz tarafından, iÅŸbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceÄŸi yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aÅŸağıdaki ÅŸartların varlığı halinde iÅŸlenmektedir: · SaÄŸlık ve cinsel hayat dışındaki özel nitelikli kiÅŸisel veriler, kanunlarda açıkça öngörülmesi diÄŸer bir ifade ile ilgili faaliyetin tabi olduÄŸu kanunda kiÅŸisel verilerin iÅŸlenmesine iliÅŸkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın iÅŸlenebilecektir. Aksi durumda söz konusu özel nitelikli kiÅŸisel verilerin iÅŸlenebilmesi için veri sahibinin açık rızası alınacaktır. Bu kapsamda alınacak bilgi ve belgeler rıza kapsamında iÅŸlenmektedir. · SaÄŸlık ve cinsel hayata iliÅŸkin özel nitelikli kiÅŸisel veriler, kamu saÄŸlığının korunması, koruyucu hekimlik, tıbbi teÅŸhis, tedavi ve bakım hizmetlerinin yürütülmesi, saÄŸlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüÄŸü altında bulunan kiÅŸiler veya yetkili kurum ve kuruluÅŸlar tarafından açık rıza aranmaksızın iÅŸlenebilecektir. Aksi durumda söz konusu özel nitelikli kiÅŸisel verilerin iÅŸlenebilmesi için veri sahibinin açık rızası alınacaktır. Bu kapsamda alınacak saÄŸlık bilgileri, Ä°SGK ve zorunlu tıbbi uygulamalar kapsamında, yukarıda sayılan hallerle sınırlı kalmak üzere rıza alınmaksızın da iÅŸlenebilecektir.

D- KİŞİSEL VERÄ° SAHÄ°BÄ°NÄ°N AYDINLATILMASI AKSANTAÅž AKÅžEHÄ°R A.Åž. , Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kiÅŸisel veri sahiplerini aydınlatmaktadır. Bu kapsamda AKSANTAÅž AKÅžEHÄ°R A.Åž. , kiÅŸisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla iÅŸlendiÄŸi, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kiÅŸisel verilerinin iÅŸlenmesi kapsamında sahip olduÄŸu hakları konusunda ilgili kiÅŸileri bilgilendirmektedir. Nitekim uluslararası mevzuat kapsamında da, verilerin saklanacağı süre ve sürenin belirtilmesinin mümkün olmadığı hallerde, saklama süresinin belirlenmesinde uygulanacak kriterler belirtilmekte, kiÅŸisel verinin iÅŸlenmesinin zorunlu olup olmadığı ve zorunlu olan iÅŸleme faaliyetlerinin gerçekleÅŸmemesi durumunda meydana gelecek sonuçlar gösterilmiÅŸtir. Fiziksel güvenlik ve denetimin saÄŸlanması için gerekli olan kamera kaydına iliÅŸkin aydınlatma metninin sunulmasında Engelliler Hakkında Kanun gereÄŸince eriÅŸilebilirlik standartlarına uygun davranılmaktadır.

E- Ä°ÅžLENEN KİŞİSEL VERÄ° GRUPLARI AKSANTAÅž AKÅžEHÄ°R A.Åž.  KVK Politikası kapsamı dâhilinde olan ve AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından kiÅŸisel verileri iÅŸlenen veri sahipleri aÅŸağıda gruplandırılmaktadır. · AKSANTAÅž AKÅžEHÄ°R A.Åž.  Çalışan Adayları AKSANTAÅž AKÅžEHÄ°R A.Åž.  ile hizmet akdi kurulmamış ancak kurulmak üzere AKSANTAÅž AKÅžEHÄ°R A.Åž.  deÄŸerlendirmesine alınan kiÅŸiler. · AKSANTAÅž AKÅžEHÄ°R A.Åž.  Ä°ÅŸ Ortakları, Yetkilileri, Çalışanları AKSANTAÅž AKÅžEHÄ°R A.Åž. ’in ticari iliÅŸki içinde olduÄŸu kuruluÅŸların gerçek kiÅŸi yetkilileri, hissedarlar, çalışanlar, iÅŸletme ve ÅŸirketler. · AKSANTAÅž AKÅžEHÄ°R A.Åž.  Ziyaretçileri AKSANTAÅž AKÅžEHÄ°R A.Åž.  binalarını veya AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından iÅŸletilen internet sitelerini ziyaret eden gerçek kiÅŸiler. · DiÄŸer Gerçek KiÅŸiler AKSANTAÅž AKÅžEHÄ°R A.Åž.  Çalışanları KiÅŸisel Verilerin Korunması ve Ä°ÅŸlenmesi Politikası kapsamında olmayan tüm gerçek kiÅŸiler.

F- KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENME AMACI · AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın kısa / orta / uzun vadede ticari politikalarının tespiti, planlanması ve uygulanması: i. Stratejik Planlama Faaliyetlerinin Ä°crası ii. Ä°ÅŸ ortakları, müÅŸteri ve tedarikçilerle olan iliÅŸkilerin yönetimi · AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın Ä°nsan Kaynakları Faaliyetlerinin Tasarlanması ve Yürütülmesi: i. Çalışan temin süreçlerinin yürütülmesi ii. Stajyer ve öÄŸrenci temin, yerleÅŸtirmesi ve operasyon süreçlerinin planlanması ve icrası iii. Ä°nsan kaynakları süreçlerinin planlanması iv. Åžirket çalışanları için iÅŸ akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi v. Çalışanların iÅŸ faaliyetlerinin takibi ve denetimi vi. Çalışanlar için yan haklar ve menfaatlerin planlanması ve icrası vii. Çalışan çıkış iÅŸlemlerinin planlanması ve icrası viii. Çalışanların performans deÄŸerlendirme süreçlerinin planlanması ve takibi x Åžirket içi eÄŸitim faaliyetlerinin planlanması ve icrası x. Ä°ÅŸ ortakları ve tedarikçilerle olan iliÅŸkilerin yönetimi xi. Ücret yönetimi xii. Åžirket içi oryantasyon ve sosyal aktivitelerin planlanması ve icrası xiii. Adli ve idari süreçlerde bilgi ve belge yükümlülüÄŸünün yerine getirilmesi · AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın YürüttüÄŸü Ticari Faaliyetlerin Mevzuata ve Åžirket Politikalarına Uygun Olarak Yerine Getirilmesi Ä°çin Åžirket Bünyesindeki Ä°ÅŸ Birimleri Tarafından Gerekli Çalışmaların Yapılması ve bu DoÄŸrultuda Faaliyetlerin Yürütülmesi: i. Finans ve muhasebe iÅŸlerinin takibi ii. Yatırımcı iliÅŸkilerinin yürütülmesi iii. Kurumsal iletiÅŸim faaliyetlerinin planlanması ve icrası iv. Kurumsal sürdürülebilirlik faaliyetlerin planlanması ve icrası v. Ä°ÅŸ faaliyetlerinin etkinlik/verimlilik ve yerindelik analizlerinin gerçekleÅŸtirilmesi planlanması ve icrası vi. Etkinlik yönetimi vii. Bilgi teknolojileri alt yapısının oluÅŸturulması ve yönetilmesi viii. Bilgi güvenliÄŸi süreçlerinin planlanması, denetimi ve icrası · DiÄŸer iÅŸleme amaçları: i. AKSANTAÅž AKÅžEHÄ°R A.Åž.  ile iÅŸ iliÅŸkisi içerisinde olunan ilgili kiÅŸilerin ticari, teknik, hukuki emniyetinin saÄŸlanması ve iÅŸbu gerçek / tüzel kiÅŸilerle irtibat saÄŸlanması; ii. AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın ticari itibarı ve oluÅŸturduÄŸu güvenin korunması; iii. Resmi kurumlarca ilgili mevzuat kapsamında öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması, bu hizmetlerden faydalanılmasına iliÅŸkin olarak tabi olduÄŸumuz yasal yükümlülüklerin ifa edilmesi; iv. Resmi makamlardan ya da ilgili kiÅŸilerden gelen taleplerin incelenmesi, deÄŸerlendirilmesi, yanıtlanması; v. Åžirkete ait fiziki mekânların güvenliÄŸi ve denetiminin kamera kaydı ve sairi sistemlerle saÄŸlanması; vi. Ä°leride doÄŸabilecek hukuki uyuÅŸmazlıklarda delil olarak ispat yükümlülüÄŸünün yerine getirilmesi; vii. KVKK 5. ve 6. maddelerinde belirtilen kiÅŸisel verilerin iÅŸlenmesi ÅŸartları ve amaçları kapsamında iÅŸlenmektedir.

G- KİŞİSEL VERÄ°LERÄ°N Ä°ÅžLENME SÜRESÄ° SÜREÇ- SAKLAMA SÜRESÄ°- Ä°MHA SÜRESÄ° 1. Ticari Ä°ÅŸlerin Yürütülmesi Süreci- 10 yıl - Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 2. SözleÅŸmelerin Hazırlanması ve Ä°crası- SözleÅŸmenin iÅŸ ve iÅŸlemlere etkisinin sona ermesini takiben 10 yıl -Saklama süresinin bitimini takip eden ilk periyodik imha süresinde3.  Åžirket ile iletiÅŸim Faaliyetlerinin Ä°crası- Faaliyetin sona ermesini takiben 10 yıl- Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 4. Ä°nsan Kaynakları Süreçlerinin Yürütülmesi -Ä°ÅŸ sözleÅŸmesi ve hukuki sürecinin sona ermesini takiben 10 yıl- Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 5. Log Kayıt Takip Sistemleri- 2 yıl -Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 6. Donanım ve Yazılıma EriÅŸim Süreçlerinin Yürütülmesi -2 yıl- Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 7.  Ziyaretçi Kaydı- 2 yıl -Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 8. Kamera Kayıtları -2 ay- Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 9. Çalışan Adayı Ä°ÅŸ BaÅŸvuru Formu/ CV - BaÅŸvurulan iÅŸ tanımının ortadan kalkması halinde derhal, diÄŸer hallerde 2 yıl - Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 10. Veri Sorumlusuna BaÅŸvuru Formu- BaÅŸvuru ve varsa Kuruma intikal eden dosya sürecinin sona ermesini takiben 10 yıl- Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 11. Kurumsal Hafıza -99 yıl - Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

5. KİŞİSEL VERİLERİN AKTARILMASI

A- KİŞİSEL VERÄ°LERÄ°N AKTARILMASINDA UYULAN Ä°LKE VE ESASLAR KiÅŸisel veri sahibinin açık rızası olmasa dahi aÅŸağıda belirtilen ÅŸartlardan bir ya da birkaçının mevcut olması halinde ÅŸirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kiÅŸisel veriler üçüncü kiÅŸilere aktarılabilecektir: · KiÅŸisel verilerin aktarılmasına iliÅŸkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi, · KiÅŸisel verilerin Åžirket tarafından aktarılmasının bir sözleÅŸmenin kurulması veya ifasıyla doÄŸrudan doÄŸruya ilgili ve gerekli olması, · KiÅŸisel verilerin aktarılmasının Åžirketimizin hukuki yükümlülüÄŸünü yerine getirebilmesi için zorunlu olması, · KiÅŸisel verilerin veri sahibi tarafından alenileÅŸtirilmiÅŸ olması ÅŸartıyla, alenileÅŸtirme amacıyla sınırlı bir ÅŸekilde Åžirketimiz tarafından aktarılması, · KiÅŸisel verilerin Åžirket tarafından aktarılmasının Åžirket’in veya veri sahibinin veya üçüncü kiÅŸilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması, · Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Åžirket meÅŸru menfaatleri için kiÅŸisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması, · Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kiÅŸinin kendisinin ya da bir baÅŸkasının hayatı veya beden bütünlüÄŸünü koruması için zorunlu olması.

B- ALICI GRUBU VE AKTARIM AMACI AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından gerçekleÅŸtirilecek kiÅŸisel veri aktarımlarında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiÅŸ olan kiÅŸisel veri aktarım ÅŸartlarına uygun olarak hareket edilmektedir. i. KiÅŸisel Verilerin Yurtiçinde Aktarılması AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından, KVK Kanunu’nun 8. maddesi gereÄŸince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri iÅŸleme ÅŸartlarına uygun olarak hareket edilmektedir. ii. AKSANTAÅž AKÅžEHÄ°R A.Åž.  Tarafından KiÅŸisel Verilerin Aktarıldığı KiÅŸi Grupları AKSANTAÅž AKÅžEHÄ°R A.Åž. , KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak AKSANTAÅž AKÅžEHÄ°R A.Åž.  KVK Politikası kapsamı dahilinde olan veri sahiplerinin kiÅŸisel verilerini aÅŸağıda sıralanan kiÅŸi gruplarına belirtilen amaçlarla aktarabilir: · AKSANTAÅž AKÅžEHÄ°R A.Åž.  Ä°ÅŸ Ortakları’na, iÅŸ ortaklığının kurulması ve sürdürülmesinin temini amacıyla sınırlı olarak, · AKSANTAÅž AKÅžEHÄ°R A.Åž.  Tedarikçileri’ne, tedarikçiden temin edilen ve AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın ticari faaliyetlerini yerine getirmek amacıyla sınırlı olarak, · Yetkili kamu kurum ve kuruluÅŸları (ilgili belediyeler vs.) ile yetkili özel hukuk kiÅŸilerine (ilgili vinç firmaları vs.), ilgili kiÅŸilerinin hukuki yetkisi dahilinde talep ettiÄŸi amaçla sınırlı olarak, · Üçüncü kiÅŸilere kiÅŸisel veri aktarım ÅŸartlarına uygun olarak

6. KİŞİSEL VERİ SAHİBİNİN HAKLARI

A- HAKLAR KiÅŸisel veri sahipleri aÅŸağıda yer alan haklara sahiptirler: ·KiÅŸisel veri iÅŸlenip iÅŸlenmediÄŸini öÄŸrenme, ·KiÅŸisel verileri iÅŸlenmiÅŸse buna iliÅŸkin bilgi talep etme, ·KiÅŸisel verilerin iÅŸlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öÄŸrenme, ·Yurt içinde veya yurt dışında kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸileri bilme, ·KiÅŸisel verilerin eksik veya yanlış iÅŸlenmiÅŸ olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan iÅŸlemin kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸilere bildirilmesini isteme, ·KVKK ve ilgili diÄŸer kanun hükümlerine uygun olarak iÅŸlenmiÅŸ olmasına raÄŸmen, iÅŸlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kiÅŸisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan iÅŸlemin kiÅŸisel verilerin aktarıldığı üçüncü kiÅŸilere bildirilmesini isteme, · Ä°ÅŸlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kiÅŸinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, ·KiÅŸisel verilerin kanuna aykırı olarak iÅŸlenmesi sebebiyle zarara uÄŸraması hâlinde zararın giderilmesini talep etme, haklarına sahiptirler. BaÅŸvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde baÅŸvuruya cevap verilmemesi hâllerinde; ilgili kiÅŸi, veri sorumlusunun cevabını öÄŸrendiÄŸi tarihten itibaren otuz ve her hâlde baÅŸvuru tarihinden itibaren altmış gün içinde KiÅŸisel Verileri Koruma Kurulu’na ÅŸikâyette bulunabilir. Kanunun 13 üncü maddesi uyarınca baÅŸvuru yolu tüketilmeden ÅŸikâyet yoluna baÅŸvurulamaz. Uluslararası mevzuat kapsamında da ilgili kiÅŸinin yukarıda sayılan hakları dışında; kiÅŸisel verilerinin iÅŸlenmesinin kısıtlanmasını talep etme ve kiÅŸisel verilerin iÅŸlenmesi veya aktarılmasına iliÅŸkin rızasını geri çekme hakkı da mevcuttur.

B- HAKLARIN KULLANILMA ÅžEKLÄ° KiÅŸisel veri sahipleri ÅŸahsen yazılı belge ile, noterden ihtarname göndermek sureti ile, elektronik imzalı belge ile ve mobil imza ya da daha önceden sistemde kayıtlı bulunan e-posta vasıtası ile gerçekleÅŸtirebilecektir. BaÅŸvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde baÅŸvuruya cevap verilmemesi hâllerinde; ilgili kiÅŸi, veri sorumlusunun cevabını öÄŸrendiÄŸi tarihten itibaren otuz ve her hâlde baÅŸvuru tarihinden itibaren altmış gün içinde KiÅŸisel Verileri Koruma Kurulu’na ÅŸikâyette bulunabilir. Kanunun 13 üncü maddesi uyarınca baÅŸvuru yolu tüketilmeden ÅŸikâyet yoluna baÅŸvurulamaz.

C- VERÄ° SORUMLUSU TARAFINDAN TALEBÄ°N CEVAPLANDIRILMASI Åžirketimiz, kiÅŸisel veri sahibi tarafından yapılacak baÅŸvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. KiÅŸisel veri sahibinin, yukarıda yer alan haklara iliÅŸkin talebini usule uygun olarak Åžirketimize iletmesi durumunda, Åžirketimiz talebin niteliÄŸine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, iÅŸlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

7. KİŞİSEL VERÄ°LERÄ°N GÜVENLİĞİ

A- TEKNÄ°K TEDBÄ°RLER AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından, iÅŸlediÄŸi kiÅŸisel verilerle ilgili olarak alınan teknik tedbirler aÅŸağıda sayılmıştır: · Farklı testler ile ÅŸirketin biliÅŸim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. · Bilgi güvenliÄŸi olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda biliÅŸim sistemlerinin sürekliliÄŸini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. · BiliÅŸim sistemlerine eriÅŸim ve kullanıcıların yetkilendirilmesi, eriÅŸim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.

· AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın biliÅŸim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliÄŸi için gerekli önlemler alınmaktadır. · Çevresel tehditlere karşı biliÅŸim sistemleri güvenliÄŸinin saÄŸlanması için, donanımsal (kamera kaydı, alarm sistemi ve kilit sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, aÄŸ eriÅŸim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. · KiÅŸisel verilerin hukuka aykırı iÅŸlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması saÄŸlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. · AKSANTAÅž AKÅžEHÄ°R A.Åž.  içerisinde eriÅŸim prosedürleri oluÅŸturularak kiÅŸisel verilere eriÅŸim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. · KiÅŸisel verilerin bulunduÄŸu saklama alanlarına eriÅŸimler kayıt altına alınarak uygunsuz eriÅŸimler veya eriÅŸim denemeleri kontrol altında tutulmaktadır. · Kurum, silinen kiÅŸisel verilerin ilgili kullanıcılar için eriÅŸilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. · KiÅŸisel verilerin hukuka aykırı olarak baÅŸkaları tarafından elde edilmesi halinde bu durumu ilgili kiÅŸiye ve Kurula bildirmek için AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından buna uygun bir sistem ve altyapı oluÅŸturulmuÅŸtur. · Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. · KiÅŸisel verilerin iÅŸlendiÄŸi elektronik ortamlarda güçlü parolalar kullanılmaktadır. · KiÅŸisel verilerin iÅŸlendiÄŸi elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. · KiÅŸisel verilerin güvenli olarak saklanmasını saÄŸlayan veri yedekleme programları kullanılmaktadır. · Elektronik olan veya olmayan ortamlarda saklanan kiÅŸisel verilere eriÅŸim, eriÅŸim prensiplerine göre sınırlandırılmaktadır. · Özel nitelikli kiÅŸisel verilerin güvenliÄŸine yönelik ayrı politika belirlenmiÅŸtir. · Özel nitelikli kiÅŸisel veri iÅŸleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kiÅŸisel veri güvenliÄŸi konusunda eÄŸitimler verilmiÅŸ, gizlilik sözleÅŸmeleri yapılmış, verilere eriÅŸim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. · Özel nitelikli kiÅŸisel verilerin iÅŸlendiÄŸi, muhafaza edildiÄŸi ve/veya eriÅŸildiÄŸi elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, · Özel nitelikli kiÅŸisel verilerin iÅŸlendiÄŸi, muhafaza edildiÄŸi ve/veya eriÅŸildiÄŸi fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliÄŸi saÄŸlanarak yetkisiz giriÅŸ çıkışlar engellenmektedir. · Özel nitelikli kiÅŸisel veriler e-posta yoluyla aktarılması gerekiyorsa ÅŸifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle ÅŸifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleÅŸtiriliyorsa, sunucular arasında veya sFTP yöntemiyle veri aktarımı gerçekleÅŸtirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kiÅŸiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

B- Ä°DARÄ° TEDBÄ°RLER AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından, iÅŸlediÄŸi kiÅŸisel verilerle ilgili olarak alınan idari tedbirler aÅŸağıda sayılmıştır: · Çalışanların niteliÄŸinin geliÅŸtirilmesine yönelik, kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmenin ve eriÅŸilmesinin önlenmesi, kiÅŸisel verilerin muhafazasının saÄŸlanması, iletiÅŸim teknikleri, teknik bilgi beceri ve mevzuat hakkında eÄŸitimler verilmektedir. · AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından yürütülen faaliyetlere iliÅŸkin çalışanlara gizlilik sözleÅŸmeleri imzalatılmaktadır. · Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır. · KiÅŸisel verilerin saklanması için üçüncü kiÅŸilerle iÅŸ birliÄŸi yapılması durumunda kiÅŸisel verilerin aktarıldığı ÅŸirketler ile yapılan sözleÅŸmelere; kiÅŸisel verilerin aktarıldığı kiÅŸilerin, aktarılan kiÅŸisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına iliÅŸkin yükümlülük ve sorumluluklarını ortaya koyan hükümlere yer verilir. Genel olarak prensibimiz, verilerin aktarıldığı iÅŸletmelerin de gerekli sertifikasyon ve uyumluluk süreçlerine sahip olmasıdır. ·KiÅŸisel verilerin fiziki saklandığı mekanların güvenliÄŸi saÄŸlanmakta olup eriÅŸim yetkisi sınırlandırılmıştır. · KiÅŸisel veri iÅŸleme envanteri hazırlanmıştır. · Kurum içi periyodik ve rastgele denetimler yapılmaktadır. · Ä°ÅŸ yeri dahilinde özellikle fiziksel imhaya iliÅŸkin gerekli ekipman bulundurulur. · Fiziksel güvenlik ve denetimin saÄŸlanması için gerekli olan kamera kaydına iliÅŸkin aydınlatma metninin sunulmasında Engelliler Hakkında Kanun gereÄŸince eriÅŸilebilirlik standartlarına uygun tedbirler alınmaktadır.

8. KİŞİSEL VERİLERİN İMHASI

A- Ä°MHAYI GEREKTÄ°REN SEBEPLER KiÅŸisel veriler; · Ä°ÅŸlenmesine esas teÅŸkil eden ilgili mevzuat hükümlerinin deÄŸiÅŸtirilmesi veya ilgası · Ä°ÅŸlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, · KiÅŸisel verileri iÅŸlemenin hukuka veya dürüstlük kuralına aykırı olması ya da sonradan hukuka veya dürüstlük kuralına aykırı hale gelmesi, · Kanunun 11 inci maddesi gereÄŸi ilgili kiÅŸinin hakları çerçevesinde kiÅŸisel verilerinin silinmesi ve yok edilmesine iliÅŸkin yaptığı baÅŸvurunun AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından kabul edilmesi, · AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın, ilgili kiÅŸi tarafından kiÅŸisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan baÅŸvuruyu reddetmesi, verdiÄŸi cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula ÅŸikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması (Kurum veya Kurul talimatı) · KiÅŸisel verilerin saklanmasını gerektiren azami sürenin geçmiÅŸ olması ve kiÅŸisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir ÅŸartın mevcut olmaması · Taraflar arasındaki sözleÅŸmenin hiç kurulmamış olması, sözleÅŸmenin geçersiz olması, sözleÅŸmenin kendiliÄŸinden sona ermesi, sözleÅŸmenin feshi veya sözleÅŸmeden dönülmesi, · KiÅŸisel verileri iÅŸlemenin sadece açık rıza ÅŸartına istinaden gerçekleÅŸtiÄŸi hallerde ilgili kiÅŸinin açık rızasını geri alması, durumlarında, AKSANTAÅž AKÅžEHÄ°R A.Åž.  tarafından ilgili kiÅŸinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

B- KİŞİSEL VERÄ°LERÄ°N Ä°MHA TÜRLERÄ° KiÅŸisel verilerin imhası, üç farklı ÅŸekilde saÄŸlanabilir. Bunlar verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. i. KiÅŸisel Verilerin Silinmesi KiÅŸisel verilerin silinmesi, kiÅŸisel verilerin ilgili kullanıcılar için hiçbir ÅŸekilde eriÅŸilemez ve tekrar kullanılamaz hale getirilmesi iÅŸlemidir. AKSANTAÅž AKÅžEHÄ°R A.Åž. , ilgili kanun hükümlerine uygun olarak iÅŸlenmiÅŸ olmasına raÄŸmen, iÅŸlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiÅŸ hallerin ortaya çıkması halinde kendi kararına istinaden veya kiÅŸisel veri sahibinin talebi üzerine kiÅŸisel verileri siler veya yok eder. ii. KiÅŸisel Verilerin Yok Edilmesi KiÅŸisel verilerin yok edilmesi, kiÅŸisel verilerin hiç kimse tarafından hiçbir ÅŸekilde eriÅŸilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi iÅŸlemidir. Yok etme iÅŸlemi, AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın verileri fiziksel kayıt ortamlarında iÅŸlediÄŸi durumlarda yapılacaktır. AKSANTAÅž AKÅžEHÄ°R A.Åž. bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. AKSANTAÅž AKÅžEHÄ°R A.Åž.  gerekli her türlü teknik ve idari tedbiri alacaktır. iii. KiÅŸisel Verilerin AnonimleÅŸtirilmesi Anonim hale getirme iÅŸlemi, AKSANTAÅž AKÅžEHÄ°R A.Åž. ’ın kiÅŸisel verileri tamamen veya otomatik yollarla iÅŸlediÄŸi durumlarda, bu verilerin baÅŸka verilerle eÅŸleÅŸtirilse dahi kimliÄŸi belirli veya belirlenebilir bir gerçek kiÅŸiyle iliÅŸkilendirilemeyecek hale getirilmesidir. Verilerin anonimleÅŸtirilmesi sırasında AKSANTAÅž AKÅžEHÄ°R A.Åž. , tek yönlü fonksiyonlar ile ÅŸifreleme gibi yöntemler kullanılabilir. AKSANTAÅž AKÅžEHÄ°R A.Åž. , kiÅŸisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbiri alacaktır.

9. POLÄ°TÄ°KA’NIN YAYINLANMASI/ SAKLANMASI, YÜRÜRLÜK TARÄ°HÄ° VE POLÄ°TÄ°KA’DA YAPILACAK GÜNCELLEMELER Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası ÅŸirket nezdinde dosyasında saklanır. Politika, ÅŸirketin internet sitesinde yayınlanmasının ardından yürürlüÄŸe girmiÅŸ kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları ÅŸirketin imzaya yetkili kiÅŸisi/kiÅŸileri tarafından iptal edilerek (iptal kaÅŸesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile ÅŸirket tarafından saklanır. Ä°lgili mevzuatta yapılacak deÄŸiÅŸikliÄŸin ardından veya gerekli görülmesi halinde Politika’da güncelleme yapılabilir.