X
Arama Search Icon
Ekspo Online Ekspo Online Icon
Bize Ulaşın

KVKK Politikası

KİŞİSEL VERİLERİN KORUNMASI, GİZLİLİĞİ, SAKLANMASI VE İMHASINA İLİŞKİN POLİTİKA

1. AMAÇ VE KAPSAM

İşbu politika, Şirket’in müşterilerinin ve müşterilerin kefillerinin, tedarikçilerinin, çalışanlarının, ziyaretçilerinin ve iş başvurusunda bulunmak suretiyle ya da diğer herhangi bir amaç veya kanal vesilesi ile ilişki tesis eden diğer gerçek kişilerin kişisel verilerinin hukuka uygun bir biçimde işlenmesi, güvenliğinin ve gizliliğinin sağlanması ile fiziksel ve dijital ortamlarında bulunan her türlü bilgi ve belgenin saklanması ve imha edilmesi ilkelerini kapsar.

2. TANIMLAR

Kişisel veri:

Kimliği belirli veya belirlenebilir her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik    kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar.

Özel nitelikli kişisel veri:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Açık rıza:

Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim hale getirme:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Kişisel verileri işleme:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri bu kapsama girmektedir.

Kişisel veri sahibi:

Kişisel verisi işlenen gerçek kişidir.

Veri kayıt sistemi:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

KVKK:

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’ de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.

Kurul:

Kişisel Verileri Koruma Kurulu’dur.

Kurum:

Kişisel Verileri Koruma Kurumu’dur.

İmha:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kayıt ortamı:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Kişisel veri işleme envanteri:

Şirketin, iş süreçlerine bağlı olarak gerçekleştirdiği kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlenme amacı için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir. 

Periyodik imha:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen zaman aralıklarında Şirket tarafından resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Sicil:

Veri Sorumluluları Sicili Hakkında 30.12.2017 tarih ve 30286 sayılı Resmi Gazete’de yayınlanan yönetmeliğe göre Kurul tarafından tutulan Veri Sorumluları Sicili’dir.

Politika:

Ekspo Faktoring Anonim Şirketi’nin Kişisel Verilerin Korunması, Gizliliği, Saklanması ve İmhasına ilişkin Politikası’dır.

Yönetmelik:

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında 28.10.2017 tarih ve 30224 sayılı Resmi Gazete’de yayınlanan yönetmeliktir.

KVKK Komitesi:

İç Kontrol Müdürü, Bilgi İşlem Yöneticisi ve Sorumlusu ve tüm iş birimleri Müdür veya Yönetmenlerinden oluşan çalışma grubudur.

3. KİŞİSEL VERİLERİN İŞLENMESİ VE GİZLİLİĞİ

3.1. Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler

Şirket, KVKK 4. maddesinin 2. fıkrası uyarınca ve işbu Politikanın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilmiş olan amaçlar kapsamında, aşağıdaki ilkelere uygun olarak kişisel veri işlemektedir:

  • Hukuka ve dürüstlük kurallarına uygun olma
  • Doğru ve gerektiğinde güncel olma
  • Belirli, açık ve meşru amaçlar için işleme
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

3.2. Şirket Tarafından İşlenen Veriler

Kişisel veriler, veri sahiplerinden alınan açık rıza veya KVKK’nın 5. ve 6. maddelerince açık rızaya tabi olmaksızın yürütülebilecek faaliyetler çerçevesinde işlenmekte olup bu veriler ancak işbu Politika’nın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde işlem görmektedir. Şirket ile veri sahibi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanallarına ve amaca bağlı olarak çeşitlenmekte ve farklılaşmakta olan ve işbu Politika’daki ilkelere uyumlu bir şekilde işlenen kişisel veri türleri aşağıdaki gibidir:

  • İsim, soy isim, meslek, unvan, çalışma bilgisi, eğitim durumu, cinsiyet, medeni durum, eş/çocuk bilgisi, vatandaşlık durumu, askerlik bilgisi, adli sicil bilgisi, vergi mükellefiyeti durumu ve sağlık raporu gibi veri sahibini tanıtıcı bilgiler,
  • Nüfus cüzdanı fotokopisi, nüfus sureti fotokopisi, pasaport ve sürücü belgesi gibi kimlik tespit belgelerinde bulunan doğum tarihi, doğum yeri, kimlik numarası, kan grubu, din ve fotoğraf gibi veriler,
  • Adres, elektronik posta, telefon ve faks numarası gibi iletişim bilgileri ile birlikte, telefon görüşmeleri ve elektronik posta yazışmaları kapsamındaki iletişim kayıtları diğer sesli veriler,
  • Vergi levhası, ticaret gazetesi, yetki belgesi, yeterlilik belgeleri, imza sirküleri ve faaliyet belgesi gibi tüzel kişilere yönelik belgelerdeki gerçek kişi bilgileri, imza beyannamesi,
  • Fiyatlandırma, mutabakat, tahsilat ve ödeme faaliyetlerine ilişkin detaylı finansal veriler.

3.3. Kişisel Verilerin İşlenme Amaçları

Kişisel veriler, Şirket tarafından aşağıdaki amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir:

  • Şirket tarafından sunulan ürün ve hizmetlerden müşterileri faydalandırmak için iş birimleri tarafından gerekli çalışmaların yapılması,
  • Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
  • Şirket’ın ve Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin sağlanması,
  • Şirket’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla ticari faaliyetlerin yürütülmesi.

3.4. Kişisel Verilerin Aktarılması

Şirket, işbu Politika’nın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde ve KVKK’nın 8 ve 9’uncu maddeleri uyarınca yurt içi ve yurt dışı veri aktarımı yapmaktadır ve kişisel veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir. Kişisel veriler, ilgili kişinin açık rızası olmadan aktarılamaz. Yapılan aktarımların niteliği ve paylaşım yapılan taraflar, veri sahibi ve Şirket arasındaki ilişki türüne ve niteliğine, aktarımın amacına ve ilgili yasal dayanağa bağlı olarak değişmekte olup, bu taraflar genel itibariyle aşağıdaki gibidir:

  • Hizmet alınan yurtiçi ve yurtdışındaki üçüncü kişiler,
  • Doğrudan ve dolaylı hissedarlar, iştirakler, bağlı kuruluşlar,
  • Hizmet ve/veya danışmanlık alınan kişi ve kurumlar,
  • Sözleşme imzalanan iş ortakları

3.5. Kişisel Verilerin Toplanması

Şirket tarafından işbu Politika’nın ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için KVKK’nın 5 ve 6’ncı maddelerinde öngörüler şartlar çerçevesinde direkt olarak çalışanlar ve müşterilerden, tedarikçilerden, iş ortaklarından, resmi kurumlardan ve diğer fiziki ortamlardan kişisel veri edinilebileceği gibi, internet siteleri, mobil uygulamalar, sosyal medya ve diğer kamuya açık mecralar veya düzenlenen eğitimler, organizasyonlar ve benzeri etkinlikler aracılığı ile de kişisel veri toplayabilmektedir.

3.6. Kişisel Verilerin Saklanma Süresi

Kişisel veriler Şirket bünyesinde ilgili yasal saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi sona eren kişisel veriler ise, KVKK’nın 7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

3.7. KVKK Çerçevesinde Veri Sahibinin Hakları

KVKK’nın 11’inci maddesi kapsamında kişisel verileri işlenen gerçek kişilerin hakları düzenlenmektedir ve bu madde uyarınca veri sahipleri Şirket üzerinde aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, bunların silinmesini veya yok edilmesini isteme,
  • Düzeltme ve silme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Yukarıdaki haklardan birinin kullanılması amaçlı olarak veri sahiplerinden gelecek talepler, Şirket tarafından en geç 30 gün içerisinde karşılanacaktır. Bu talepler Ekspo Faktoring A.Ş. Maslak Mahallesi Maslak Meydan Sokak No:5/B Spring Giz Plaza Sarıyer İstanbul adresine kimlik tespit edici belgeler ile bizzat elden teslim edilerek, noter kanalıyla aynı adrese gönderilerek veya ekspofaktoring@hs02.kep.tr adresine güvenli elektronik imzalı olarak iletebilecektir. Taleplerin ayrıca bir maliyet gerektirmesi durumunda Şirket ilgili mevzuat kapsamında belirlenen tutarlarda ücret talep edebilecektir.

3.8. Yurtdışına Veri Aktarımı

Kişisel veriler işlenme, depolanma, idare veya işbu Politika’da belirtilmiş başkaca bir kullanım amacıyla ‘Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için mevzuata uygun biçimde yurt dışına aktarılabilir. Bu aktarımlarda kişisel verilerin korunması için gerekli önlemler alınır.

3.9. Kişisel Verilerin Güvenliği

Şirket, kişisel verilerin gizliliğini ve güvenliğini korumaya önem verir. Bu doğrultuda, kişisel verileri yetkisiz erişim, zarar, kayıp veya ifşaya karşı korumak için gerekli teknik ve idari güvenlik önlemleri alınır. Bu doğrultuda gerekli sistemsel erişim kontrolleri, veri erişim kontrolleri, güvenli transfer kontrolleri, iş sürekliliği kontrolleri ve diğer gerekli kurumsal kontroller uygulanır.

4. ÇEREZLER VE BENZERİ TEKNOLOJİLER

4.1. Genel

Kullanılmakta olan internet tarayıcısı aracılığı ile internet ağ sunucusu tarafından kullanıcıların cihazlarına gönderilen küçük veri dosyaları çerez olarak anılmakta olup, internet siteleri bu çerezler vasıtası ile kullanıcıları tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak farklılaşmaktadır.

Bu çerezler, Şirket tarafından yönetilmekte olan sistemler aracılığıyla oluşturulmakla birlikte, aynı zamanda Şirket tarafından yetkilendirilen bazı hizmet sağlayıcılar kullanıcıların cihazlarına benzeri teknolojiler yerleştirerek IP adresi, benzersiz tanımlayıcı ve cihaz tanımlayıcı bilgileri edinebilmektedir. Ayrıca, Şirket sistemlerinde bulunan üçüncü taraflara ait linkler, bu üçüncü taraflara ait gizlilik politikalarına tabi olmakla birlikte, gizlilik uygulamalarına ait sorumluluk Şirket’e ait olmamaktadır ve bu bağlamda ilgili link kapsamındaki site ziyaret edildiğinde siteye ait gizlilik politikasının okunması önerilmektedir.

4.2. Çerez Türleri

Ana kullanım amacı kullanıcılara kolaylık sağlamak olan çerezler, temel olarak 4 ana grupta toplanmaktadır:

  • Oturum Çerezleri: İnternet sayfaları arasında bilgi taşınması ve kullanıcı tarafından girilen bilgilerin sistemsel olarak hatırlanması gibi çeşitli özelliklerden faydalanmaya olanak sağlayan çerezlerdir ve Şirket internet sitesine ait fonksiyonların düzgün bir şekilde işleyebilmesi için gereklidir.
  • Performans Çerezleri: Sayfaların ziyaret edilme frekansı, olası hata iletileri, kullanıcıların ilgili sayfada harcadıkları toplam zaman ile birlikte siteyi kullanım desenleri konularında bilgi toplayan çerezlerdir ve Şirket internet sitesinin performansını arttırma amacıyla kullanılmaktadır.
  • Fonksiyonel Çerezler: Kullanıcıya kolaylık sağlanması amacıyla önceden seçili olan seçeneklerin hatırlatılmasını sağlayan çerezlerdir ve Şirket internet sitesi kapsamında kullanıcılara gelişmiş internet özellikleri sağlanmasını hedeflemektedir.
  • Reklam Ve Üçüncü Taraf Çerezleri: Üçüncü parti tedarikçilere ait çerezlerdir ve Şirket internet sitesindeki bazı fonksiyonların kullanımına ve reklam takibinin yapılmasına olanak sağlamaktadır.

4.3 Çerezlerin Kullanım Amaçları

Şirket tarafından kullanılmakta olan çerezlere ait kullanım amaçları aşağıdaki gibidir:

  • Operasyonel amaçlı kullanımlar: Şirket, sistemlerinin idaresi ve güvenliğinin sağlanması amacıyla, bu sitedeki fonksiyonlardan yararlanmayı sağlayan veya düzensiz davranışları tespit eden çerezler kullanabilmektedir.
  • İşlevselliğe yönelik kullanımlar: Şirket, sistemlerinin kullanımını kolaylaştırmak ve kullanıcı özelinde kullanım özellikleri sağlamak amacıyla, kullanıcıların bilgilerini ve geçmiş seçimlerini hatırlatan çerezler kullanabilmektedir.
  • Performansa yönelik kullanımlar: Şirket, sistemlerinin performansının artırılması ve ölçülmesi amacıyla, gönderilen iletilerle olan etkileşimi ve kullanıcı davranışlarını değerlendiren ve analiz eden çerezler kullanabilmektedir.
  • Reklam amaçlı kullanımlar: Şirket, kendine veya üçüncü taraflara ait sistemlerin üzerinden kullanıcıların ilgi alanları kapsamında reklam ve benzeri içeriklerin iletilmesi amacıyla, bu reklamların etkinliğini ölçen veya tıklanma durumunu analiz eden çerezler kullanabilmektedir.

4.4 Çerezleri Devre Dışı Bırakmak

Çerez kullanımı birçok tarayıcıda önceden tanımlı bir şekilde seçili olarak bulunmaktadır ve kullanıcılar bu seçim durumunu tarayıcı ayarlarından değiştirebilmekte ve dolayısıyla da mevcut çerezleri silip ileriki çerez kullanımlarını da reddedebilmektedir; ancak çerez kullanımının iptal edilmesi halinde Şirket sistemlerindeki bir takım özelliklerden faydalanılamaması söz konusu olabilmektedir. Çerez kullanım seçiminin değiştirilmesine ait yöntem, tarayıcı tipine bağlı olarak değişmekte olup, ilgili hizmet sağlayıcıdan istendiği zaman öğrenilebilmektedir.

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

5.1.Kişisel verilerin saklanması ve imhasında aşağıdaki ilkeler geçerli olacaktır:

a) KVKK’nın 4 üncü maddesindeki genel ilkelere uyulacaktır.

b) Şirket, işbu Politika’yı hazırlamış olmanın tek başına kişisel verilerin Kanun, Yönetmelik ve ilgili mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir.

c) Şirket, kişisel verileri saklarken yahut silerken, yok ederken veya anonim hale getirirken, KVKK’nın 12’inci maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kurul’un alacağı kararlara ve işbu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder.

d) Şirket, bünyesinde bulundurduğu ve tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin imhası sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

e) Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.

f) Şirket, kişisel verileri saklama ve imha süreçlerinde yer alacakların unvan, birim ve görev tanımlarını belirler. 

5.2. Kayıt Ortamları

Şirket,  işbu Politika ile kişisel veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri işbu Politika’nın kapsamına dâhil etmeyi kabul eder.

a) Şirket adına kullanılan bilgisayarlar/sunucular

b) Ağ cihazları,

c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı / paylaşımsız disk sürücüleri,

d) Mobil telefonlar içerisindeki tüm saklama alanları,

e) Kâğıt,

f) Mikrofiş,

g) Yazıcı, parmak izi okuyucu gibi çevre birimler,

h) Manyetik bantlar,

i) Optik diskler,

j) Flash hafızalar.

5.3. Kişisel Verilerin İmhasını Gerektiren Durumlar

Aşağıda belirtilen kapsamda bir ihlâl olması durumunda potansiyel güvenlik ihlâl durumu olabileceği kabul edilerek bunlara ilişkin rapor ve bildirimler gerekli görülen durumlarda Şirket yönetimi, Kurul ve ilgili kişisel veri sahipleri nezdinde paylaşılacaktır.

Şirket, kişisel verileri Kanun’da belirtilen şekle aykırı olarak işlemeyeceğini taahhüt eder. Şirket, KVKK’nın 5 ve 6’ıncı maddelerindeki kişisel verilerin işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;

a) KVKK’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin kişisel verilerini saklamayacaktır.

b) İstisna kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan kalkması ve/veya yasal saklama sürelerinin dolması halinde Şirket bu kişisel verileri saklamayacak ve imha edecektir.

5.4. Kişisel Veri İşleme Şartlarının Ortadan Kalkması

Şirket, veri işleme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu kişisel veri işleyen ilgili tüm çalışanları ile paylaşır.

Çalışanlar, veri işleme şartlarının ortadan kalktığı durumlarda veri işlemeye devam etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi üzerine KVKK Komitesi tarafından yapılır ve işbu Politika’ya uygun şekilde imha işlemi gerçekleştirilir.

Şirket aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işleme şartlarının ortadan kalktığını kabul eder:

a) İlgili mevzuatın kişisel verileri işlemeye esas teşkil eden hükümlerinin değiştirilmesi veya yürürlükten kaldırılması;

b) Taraflar arasında sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,

c) Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,

d) Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,

e) İlgili kişinin, KVKK’nın 11’inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı usule uygun başvurunun Şirket tarafından kabulü,

f) Şirket’in, ilgili kişi tarafından kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g) Kişisel verilerin saklanmasını gerektiren azami süre geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

6. KİŞİSEL VERİLERİN İMHASI

Kişisel verilerin imhası, aşağıda detaylıca açıklanan silinmesi, yok etme veya anonim hale getirme şeklinde üç farklı yöntemle yapılabilir. Şirket bünyesinde ilgili iş birimleri, söz konusu kişisel verilerin bulunduğu bilgi sistemleri ve uygulama sahipleri, KVKK Komitesi’ne ve konuyla ilgili olabilecek diğer kişi ya da birimler kişisel verilerin imhası için uygulanacak yönteme, bu imhanın nedenine bağlı olarak yazılı karar verir. Bu yazılı karar gereğince işbu Politika’da açıklanan imha yöntemlerinden biri Kurul’un yayınladığı Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır. Kişisel verilerin imhasının takibi Şirket içerisindeki ilgili veri sahibi iş biriminin sorumluluğundadır. Veri sahibi iş birimi, verilerin imhası için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı birimlerinden destek alır.

6.1. Kişisel Verilerin Silinmesi

Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin silinmesi; söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak kişisel veriler belirlenir. Şirket, kişisel verilere erişim ve yetkilendirme anlamında Şirket’in mevcut durumda bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki matrisleri dâhilinde güncellemelerini yapar ve ilgili kullanıcıları tespit eder.  İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri bu kapsamda tespit edilir. Şirket, kişisel verileri sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Şirket, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder.

6.2. Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiç bir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok etme işlemi, Şirket ‘in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Kâğıt ve mikrofiş ortamları için bu işlem gerçekleştirilirken ortam, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir.  Ayrıca, Şirket bu kapsamda üçüncü taraflardan imha hizmeti alabilir.

6.3. Kişisel Verilerin Anonimleştirilmesi

Anonim hale getirme işlemi, Şirket’in kişisel verileri tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak ya da değiştirerek ve ilgili kişinin kimliğinin saptanabilmesini engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar. Verilerin anonimleştirilmesi sırasında Şirket, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir.

7. KİŞİSEL VERİLERİN İMHA YÖNTEMLERİ VE SÜRECİ

Kişisel verilerin imhası için Şirket, imha sırasında kullanılabilecek tüm yöntemleri işbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür. Kişisel verilerin imhası sırasında Şirket vereceği yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek imhayı gerçekleştirir:

7.1. Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 7 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.

7.2. Manyetize Etme

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.

7.3. Fiziksel Yok Etme

Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.

7.4. Bulut İmhası

Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

7.5. Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken imha işlemidir. Bu tip imhaların, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur.

8. GÖREV VE SORUMLULUKLAR

8.1. Çalışanlar

  • Veri saklama ve imha politikasına uyumlu davranmak,
  • Görev ve sorumluluklarını veri saklama ve imha politikasında yer alan talimatlara uygun olarak yerine getirmek,
  • Gerekli gördüğü yerlerde politika hakkında ilgili kişilere geri bildirimlerde bulunmak ile sorumludurlar.

8.2. Üst Yönetim

  • Kendilerine bağlı bölümdeki tüm yöneticilerin politikaya uygun hareket etmesini sağlamak,
  • Çalışanları veri saklama ve imha politikasındaki ihlâlleri bildirmek için açık olmaya teşvik etmek,
  • Tüm çalışanların veri imha ve silme politikaları konusundaki eğitimlere katılımını sağlamak,
  • Yürürlükteki kanun ve düzenlemelere uygun bir veri saklama ve imha planının oluşturulmasını, onaylanmasını
  • ve uygulanmasını sağlamak,
  • Yürürlükteki kanun ve düzenlemelere dayanarak, hangi verilerin tutulup, hangilerinin yok edilmesi gerektiğini
  • ve ne zaman imha edileceğini ilgili birim müdürleri ve/veya süreç sahipleri ile birlikte belirlemek,
  • Veri sahibi iş birimlerini belirlemek suretiyle veri saklama ve imha konusundaki sorumluluğunu delege etmek,

8.3. KVKK Komitesi

  • Kişisel Verilerin Korunması, Gizliliği, Saklanması ve İmhasına ilişkin Politikayı güncellemek,
  • Bu politikaya göre saklama ve imha süreçlerini tasarlanmak ve süreçlerin uygulanmasını ilgili iş birimleriyle

koordine etmek,

  • Veri saklama ve imha politikaları konusunda üst yönetimi ve ilgili iş birimlerini bilgilendirmek,
  • Çalışanlara işbu Politika kapsamında oluşturulan süreçlerin uygulanması için destek olmak,
  • İşbu Politika’ya ve veri saklama ve imhasına ilişkin mevzuata yönelik ihlâlleri altı ayda bir üst yönetime

raporlamakla sorumludur.

9. GENEL İLKE ve KURALLAR

Veriler, gerekli özen gösterilerek hukuka uygun, meşru bir amaca yönelik olarak elde edilir, işlenir ve güvenli bir şekilde muhafaza edilir. Veriler, verinin işlenme amacı ortadan kalktığında ya da amaç nihayete erdiğinde, işbu Politika ile bağdaşır nitelikte uygun bir yöntemle silinir, yok edilir veya anonim hale getirilir.

Gizlilik

Şirket dâhilindeki verilerin işlenme süreçlerinin tam bir gizlilik içerisinde yürütülmesi esastır. Bu kapsamda Şirket, verilere her türlü yetkisiz erişimi olanaklar elverdiği ölçüde engeller, mümkün olan her türlü teknik ve idari tedbiri bünyesinde uygular ve buna ilişkin denetimleri periyodik olarak gerçekleştirir.

Hukuka ve Dürüstlük Kurallarına Uygun Olma

Şirket, verileri kanunlara öngörülen sınırlar çerçevesinde hukuka ve dürüstlük kurallarına uygun olarak elde eder ve işler.

Doğru ve Gerektiğinde Güncel Olma

Veriler, tam ve doğru bir şekilde muhafaza edilir ve gerektiğinde güncellenir. Şirket, verilerin doğru veya güncel olmaması halinde söz konusu verilerin düzeltilmesi, değiştirilmesi, güncellenmesi veya silinmesi için gerekli düzenlemeleri yapar.

10. UYUM İÇİN GEREKLİLİKLER

10.1. Veri Envanteri

Şirket, işbu envanter içerisinde, iş süreçlerine bağlı olarak gerçekleştirmekte olduğu veri işleme faaliyetlerini; veri işleme amaçlarını, kullandığı veri kategorilerini, verileri aktardığı alıcı grubunu ve veri konusu kişi grubunu ilişkilendirmiş ve verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yurt dışına aktarımı öngörülen verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırmıştır. Şirket, politika içerisindeki ilkeler dâhilinde bu envanteri güncel tutacağını taahhüt eder.

10.2. Azami Saklama Süreleri

Şirket, iş süreçlerine bağlı olarak işlemekte olduğu veri kategorilerini ve veri kategorilerinin yasal gereksinimler ve iş amaçları doğrultusunda azami 10 yıl saklanması gerektiğini belirlemiştir. Şirket, Politika içerisindeki ilkeler dâhilinde veri saklama sürelerine uygun verileri işleyeceğini ve saklama sürelerinin tamamlanması ile birlikte bu politikanın “Periyodik İmha” bölümünde belirtilen aralıklarla verileri imha edeceğini taahhüt eder. Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

10.3. Verilerin Güvenli Saklanmasına ve İmhasına İlişkin Alınan Önlemler

Şirket, verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi, verilerin hukuka uygun olarak imha edilmesi için teknik ve idari tedbirleri almakta yükümlü olmakla birlikte bu tedbirleri ilgili kişilere duyurmak ve uygulanmasını sağlanmakla yükümlüdür.

Alınan İdari Tedbirler

  • Kişisel Verilerin Korunması, Gizliliği, Saklanması ve İmhasına İlişkin Politika’nın Şirket’in internet sayfasında yayınlanması,
  • Şirket içerisinde veri koruma, saklama ve silme ile ilgili farkındalık eğitimlerinin gerçekleştirilmesi,
  • Şirket içerisindeki aktivite ve süreçlerin analizlerinin yapılması ve yasaya uyum adına alınacak aksiyonların
  • belirlenmesi,
  • Veri Envanteri’nin oluşturulmasıdır.

Alınan Teknik Tedbirler

  • Veri ambarı için erişim kontrol sistemlerinin oluşturulması,
  • Verilere yetkisiz erişimin önüne geçilmesi için kurumsal erişim kontrol ve yetki yönetimi çözümlerinin devreye

alınması,

  • Veri Envanteri’nin güncel tutulması ve uygulanması.

10.4. Periyodik İmha

Şirket, dijital ve fiziksel ortamlarda tuttuğu verileri yılın ilk günü itibariyle her 6 ayda bir kontrol edeceğini ve işleme amacı sona erdiğinde söz konusu verileri tekrar eden aralıklarla resen sileceğini, yok edeceğini veya anonim hale getireceğini taahhüt eder.

KİŞİSEL VERİ AKTARIM POLİTİKASI

POLİTİKA İHLÂLİ

Bu politikanın ihlâl edilmesi durumunda KVKK Komitesi durumdan derhal haberdar edilmelidir. Şirket, kendi takdirine bağlı olarak, Politika‘yı ihlâl eden ve verilerin korunması, saklanması ve imhası ile ilgili diğer gereklilikleri yerine getirmeyen kişiler için disiplin cezası uygulama, iş akitlerini feshetme, askıya alma veya yargı yoluna başvurma hakkını saklı tutar.

11. AMAÇ

İşbu Kişisel Veri Aktarım Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8 ve 9’uncu maddeleri sonucu ve uyarınca oluşturulacak olan “ilgili yönetmelik” içerisinde yer alan kişisel verilerin yurt içi ve yurt dışı aktarımından sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirleyecektir.

12. KAPSAM

İşbu Politika; Şirket’in tüm birimlerini ve çalışanlarını kapsamaktadır. Politika, Şirket birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerini kapsar. Düzenlenecek mevzuat ve değişikliklere göre Şirket Politika’yı güncelleyerek mevzuat gerekliliklerine uyacaktır. İşbu Politika’nın Şirket tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Şirket uygulayacağı adımları, gerek görülmesi durumunda Kurul’a da danışarak, yeniden belirleyecektir.

13. TANIMLAR

 İşbu Politika’da ve ilgili yönetmelikte geçen tanımlar şu şekilde açıklanmaktadır:

Kişisel veri:

Kimliği belirli veya belirlenebilir her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi, sigorta numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar.

Özel nitelikli kişisel veri:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Açık rıza:              

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim hale getirme:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Kişisel verileri işleme:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. Verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türleri bu kapsama girmektedir.

Kişisel veri sahibi:

Kişisel verisi işlenen gerçek kişidir.

Veri kayıt sistemi:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri sorumlusu:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri işleyen:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.

Alıcı:

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişilerdir.

Kurul:

Kişisel Verileri Koruma Kurulu’dur.

Kurum:

Kişisel Verileri Koruma Kurumu’dur.

Politika:

Ekspo Faktoring A.Ş.’nin Kişisel Veri Aktarım Politikası’dır.

Yönetmelik:

 

KVKK Komitesi:      

Kişisel Verilerin Aktarımı Hakkında yayınlanması beklenen ve yurt dışı aktarımda güvenli ülkeleri belirleyecek olan Yönetmelik’tir.   

İç Kontrol Kontrol Müdürü, Bilgi İşlem Yöneticisi ve Sorumlusu ve tüm iş birimleri Müdür veya Yönetmenlerinden oluşan çalışma grubudur.

14. KİŞİSEL VERİLERİN FİZİKSEL ORTAMDA AKTARILMASI

Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır. İşbu Kişisel Veri Aktarım Politikası’nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Komitesi’ne bildirmekle yükümlüdür. Fiziksel ortamda veri aktarımı yapan çalışan veya iş birimi, aktarılacak olan kişisel veriler alınırken kişinin açık rızası alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarım yapan kişi veya iş birimi aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca KVKK’nın 8’inci maddesinin 2’inci fıkrasında belirtilen istisnaların sağlandığı durumlarda geçerlidir. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Komitesi’ne danışarak aktarım yapmalıdır.

Kişisel veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri, aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım, dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVKK Komitesi’nin bilgisi ve onayı dâhilinde yapılabilir. Gönderen taraf, beklenen aktarım süresi sonunda Alıcı taraf ile iletişim kurarak kişisel verilerin ulaştığını teyit etmekle yükümlüdür. Alıcı taraf ise, gönderen tarafı kişisel verilerin transfer sırasında işlenmediği (mührünü koruduğu) konusunda bilgilendirir ve aksini düşündüğü durumlarda gönderen tarafa ve KVKK Komitesi’ne durumu aktarır. Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunda direkt olarak göndericiden Alıcı’ya şeklinde gerçekleştirilmelidir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmelidir. Fiziki ortamdaki kişisel verilerin yurt dışına aktarımı yalnızca Yönetmelik’te belirtilecek olan güvenli ülkelere yapılabilir. Aktarım yapılacak ülke Yönetmelik’te güvenli ülke olarak belirlenmemiş ise aktarım öncesinde KVKK Komitesi’nin bilgisine başvurulacaktır.

15. KİŞİSEL VERİLERİN ELEKTRONİK ORTAMDA AKTARILMASI

Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır. İşbu Politika’nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Şirket çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa işbu Politika’ya bağlı kalmak zorundadır.

Çalışanın aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVKK Komitesi’ne bildirmekle

yükümlüdür. Elektronik ortamda veri aktarımı yapan çalışan veya birim, aktarılacak olan kişisel veriler alınırken kişinin açık rızasının alındığını ispatlayabilir olmalıdır. Açık rıza alınmadan aktarılan kişisel verilerde, sorumluluk yalnızca veriyi elde edende sayılamaz. Aktarımı yapan kişi veya birim aktardıkları kişisel veriler üzerinde, veri işleyen ile ayrı tutulamaz derecede bir sorumluluk derecesine sahiptir. Açık rıza alınmadan verilerin aktarılması yalnızca KVKK’nın 8’inci maddesinin 2’inci fıkrasında belirtilen istisnaların sağlandığı durumlarda geçerlidir. Kişi istisnanın geçerliliğinden emin olamıyorsa KVKK Komitesi’ne danışarak aktarım yapmalıdır. Kişisel veriler elektronik ortamda aktarılmadan önce, Alıcı’nın veriyi işlemeye yetkisi olduğundan emin olunmalıdır. Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVKK Komitesi bilgilendirilmelidir.

a. Elektronik Posta

Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemine tabi tutulan kişisel verinin sahibi iş biriminin yöneticisi elektronik postanın alıcıları arasında yer almalıdır. Konu, Birim yöneticisinin bilgisi dâhilinde olsa dahi kendisi elektronik postanın alıcısı olmadığı durumlarda, çalışan Politika’ya aykırı davranmış sayılacaktır. Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile Alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda ilgili çalışan, birim yöneticisine, birim yöneticisi ise KVKK Komitesi’ne bilgi vererek onay almalıdır.

b. Taşınabilir Medya

Taşınabilir medya; sabit diskler, CD, DVD, USB bellekler, USB sabit diskler, hafıza kartları ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır. Taşınabilir medya ile kişisel veri aktarılırken mutlaka şifreleme yapılmalıdır. Şifresiz olarak taşınabilir medyalar ile kişisel veriler transfer edilemez. Şifre, gönderici tarafından Alıcı’ya farklı bir iletişim kanalı kullanarak iletilir. Veri aktarımını yapan çalışan, sonrasında taşınabilir medyanın içerisindeki verinin imhasından da sorumludur. Taşınabilir medya içerisindeki kişisel veriler imha edilmeden, medya herhangi başka bir işlem için kullanılamaz. Taşınabilir medyanın fiziksel transferi göndericiden Alıcı’ya direkt olarak yapılmalıdır. Direkt olarak bu aktarımın yapılamadığı durumlarda minimum aracı kullanılarak transfer gerçekleştirilmelidir. Aktarım sırasında Şirketin anlaşmalı olduğu kargo hizmeti kullanılmalıdır.

c.  Bulut Paylaşımı (Cloud)

Bulut paylaşımı, kişisel verilerin gönderici tarafından on-line bir depolama alanına yüklendiği, Alıcı’nın ise verileri buradan temin ettiği paylaşımların tamamını kapsamaktadır. Bulut paylaşım ile kişisel veri aktarılması durumunda çalışan, her bir aktarım öncesinde en güvenli yöntem konusunda Bilgi İşlem Birimi ve kişisel veri sahibi birim yöneticisi bilgi paylaşımında bulunmalıdır. Bulut paylaşım ile kişisel veri paylaşılacağı tüm durumlarda Bilgi İşlem Birimi’nin bilgilendirilmesi zorunludur. Bulut paylaşım ile ilgili en güvenli yöntem her aktarımdan önce tekrar kontrol edilmelidir. Bulut paylaşım yöntemi ile paylaşılan veri şifrelenmiş olmalıdır. Şifre, gönderici tarafından Alıcı’ya başka bir iletişim kanalı kullanılarak iletilir. Bulut paylaşımı yalnızca Şirket donanımları ve ağı kullanılarak yapılabilir, çalışanın bulut paylaşımını Şirket donanımları ve ağını kullanmadan yapmasına izin verilmez.

d. Ağ Üzerinden Paylaşım

Kişisel veriler, Şirket’in ortak alanları kullanılarak iş birimleri içerisinde ve/veya birimler arasında paylaşılabilir. Ağ üzerinden yapılacak paylaşımlarda, kişisel veriler yalnızca şifreli olarak transfer edilebilir ve transfer sırasında kriptografik protokoller uygulanır. Şifre, farklı bir iletişim kanalı kullanılarak göndericiden Alıcı’ya iletilir. Kişisel verilerin transferi işleminin, şifrelenmeye veya kriptografi protokollerinin uygulanmasına uygun olmadığına çalışan tarafından kanaat getiriliyorsa, ilgili birim yöneticisinin bilgisi dâhilinde KVKK Komitesi’ne bilgi verilir ve yalnızca KVKK Komitesi’nin onayı olduğu durumlarda aktarım gerçekleştirilir. Ağ üzerinde paylaşım yapılırken, kullanılan alanın yalnızca Alıcı iş birimi ve/veya çalışanın erişimi olması gerekmektedir ve bu kontrol göndericinin sorumluluğundadır. Paylaşımın tamamlanmasının ardından, Alıcı kişisel verileri ağ üzerinden imha ederek göndericiye bilgi vermelidir. Bilgiyi alan gönderici, ağ üzerindeki ortak alanda kişisel verilerin artık bulunmadığını kontrol etmeli ve bulunmadığından emin olmalıdır.

16. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

Yönetmelik’in Kurul tarafından oluşturulmasının ardından Şirket bu Politika’da değişiklik yapacaktır. Yönetmelik’te yapılacak her türlü resmi değişikliğin ardından bu değişiklerle uyumlu olacak şekilde Şirket tarafından işbu Politika’da değişiklik yapılabilir. Şirket, Politika üzerinde yaptığı değişikliklere dikkat çekerek güncellenen Politika’yı elektronik posta yolu ile çalışanlarıyla paylaşacak ve aşağıdaki web adresi üzerinden çalışanlarının erişimine sunacaktır.

İlgili web adresi: http://www.ekspofaktoring.com    

17. GÖREV VE SORUMLULUKLAR

17.1. Çalışanlar

  • Veri aktarım politikasına uyumlu davranmak,
  • Görev ve sorumluluklarını veri aktarım politikasında yer alan talimatlara uygun olarak yerine getirmek,
  • Gerekli gördüğü yerlerde politika hakkında ilgili kişilere geri bildirimlerde bulunmak ile sorumludurlar.

17.2. Üst Yönetim

  • Kendilerine bağlı bölümdeki tüm yöneticilerin politikaya uygun hareket etmesini sağlamak,
  • Çalışanları veri aktarım politikasındaki ihlâlleri bildirmek için açık olmaya teşvik etmek,
  • Tüm çalışanların veri aktarım politikası konusundaki eğitimlere katılımını sağlamak,
  • Yürürlükteki kanun ve düzenlemelere uygun bir veri aktarım planının oluşturulmasını, onaylanmasını

ve uygulanmasını sağlamak,

17.3. KVKK Komitesi

  • Kişisel Veri Aktarım Politikası’nı güncellemek,
  • Bu politikaya göre aktarım süreçlerini tasarlanmak ve süreçlerin uygulanmasını ilgili iş birimleriyle

koordine etmek,

  • Veri aktarımı konusunda üst yönetimi ve veri sahibi iş birimlerini bilgilendirmek,
  • Çalışanlara işbu Politika kapsamında oluşturulan süreçlerin uygulanması için destek olmak,