KVKK (Kişisel Verilerin Korunması)
I.GİRİŞ
6698 Sayılı Kişisel Verilerin
Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun
ile kişisel verinin tanımı yapılarak, bunların korunmasına ilişkin ilkeler ve
bu verilerin işlenmesinde veri sorumlusu sıfatı taşıyanların uyacakları
şartlara yer verilmiştir. Kanun’a göre kişisel veri, “kimliği belirli veya
belirlenebilir gerçek kişi”lere ilişkin her türlü bilgidir. Kişisel verilerin
işlenmesi ise “kişisel verilerin otomatik olan ya da herhangi bir veri kayıt
sisteminin bir parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, değiştirilmesi, üçüncü kişilerle paylaşılması ve
yurtdışına transfer edilmesi dahil kişisel veriler üzerinde gerçekleştirilen
her türlü işlemi” ifade etmektedir. Ifastin (“ifastin.com”)
Kanun’a uygunluğun sağlanması amacıyla, ilgili mevzuatta yer alan kişisel
verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek gerekli idari
ve teknik tedbirleri almaktadır. İşbu Kişisel Verilerin Korunması ve İşlenmesi
Politikası (“Politika”) kapsamı için bkz. VI. VERİ SAHİBİ VE KİŞİSEL VERİ
KATEGORİZASYONU.
Kişisel verilerin işlenmesi
ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli
olarak uygulanacaktır. Yürürlükte bulunan mevzuat ve Politika arasında
uyumsuzluk bulunması durumunda, ifastin.com yürürlükteki mevzuatın uygulama alanı bulacağını
kabul etmektedir. Politika ifastin.com’un internet sitesinde (www.ifastin.com) yayımlanarak
kişisel veri sahiplerinin erişimine sunulmaktadır. Değişen şartlara ve mevzuata
uyum sağlamak amacıyla Politika’da değişiklik ve güncellemeler yapılabilecek
olup ilgili internet sitesi üzerinden kişisel veri sahiplerine
sunulabilecektir.
- KİŞİSEL VERİLERİN
İŞLENMESİ
II.I. KİŞİSEL VERİLERİN
İŞLENMESİNE İLİŞKİN İLKELER
Anayasa’nın m. 20/III kişisel
verilerin ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla
işlenebileceği belirtilerek kişisel verilerin korunması güvence altına
alınmıştır. Kişisel veri sahiplerine tanınan bu hak doğrultusunda ifastin.com kişisel verileri ilgili
mevzuatta belirtilen ilkeler doğrultusunda veya kişinin açık rızasının
bulunduğu durumlarda aşağıdaki ilkelere uygun işlemektedir: - Hukuka ve
Dürüstlük Kuralına Uygun İşleme - Kişisel Verilerin Doğru ve Gerektiğinde
Güncel Olmasını Sağlama - Belirli, Açık ve Meşru Amaçlarla İşleme -
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma - İlgili Mevzuatta
Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
II.II. KİŞİSEL VERİLERİN
İŞLENME ŞARTLARI VE AMAÇLARI
Kişisel veriler, prensip
olarak ancak kişisel veri sahibinin açık rızası bulunan hallerde
işlenebilmektedir. Kanun’un 5. maddesinde kişisel veriler ile 6. maddesinde
özel nitelikli kişisel verilerin işlenmesine ilişkin şartlara yer verilmiştir.
Kanun, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski taşıyan kişisel verileri “özel nitelikli kişisel veri”
olarak belirlemiştir. Kanun’un 6. maddesinde özel nitelikli kişisel veriler
sınırlı bir şekilde sayılmıştır.
Yukarıda politika kapsamında
belirtilen şekilde müşteri/kullanıcı vb. özel nitelikli kişisel verilerini
işlememekteyiz. Veri sahibinin açık rızası belirli bir konuya ilişkin,
bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Aşağıda
anılan şartlardan biri veya birden fazlasının varlığı halinde kişisel veriler,
sahibinin açık rızası alınmaksızın işlenebilecektir. ifastin.com kişisel verileri her halde
Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak aşağıda
belirtilen amaç ve koşullar doğrultusunda işlemektedir. Genel nitelikli kişisel
veriler ile ilgili olarak;
- Kişisel verilerinizin
işlenmesine ilişkin ifastin.com’un ilgili faaliyette bulunmasının Kanunlarda
açıkça öngörülmesi
- com tarafından kişisel
veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve
bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik
nedeniyle rızasını açıklayamayacak durumda bulunması
- Kişisel verilerinizin ifastin.com tarafından işlenmesinin bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
- Kişisel verilerinizin
işlenmesinin ifastin.com’un hukuki yükümlülüğünü yerine getirebilmesi
için zorunlu olması
- Kişisel verilerinizin
sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme
amacıyla sınırlı bir şekilde ifastin.com tarafından işlenmesi
- Kişisel verilerinizin ifastin.com tarafından işlenmesinin ifastin.com veya sizlerin veya üçüncü kişilerin haklarının
tesisi, kullanılması veya korunması için zorunlu olması
- Sizlerin temel hak ve
özgürlüklerine zarar vermemek kaydıyla ifastin.com’un meşru menfaatleri için kişisel veri işleme
faaliyetinde bulunulmasının zorunlu olması bu kapsamda kişisel veriler ifastin.com tarafından aşağıdaki amaçlarla işlemektedir:
- Bilgi güvenliği
süreçlerinin planlanması, denetimi ve icrası
- Bilgi teknolojileri alt
yapısının oluşturulması ve yönetilmesi
- Çalışanların kullanıcı
bilgiye erişim yetkilerinin planlanması ve icrası
- Finans ve/veya muhasebe
işlerinin takibi
- Hukuk işlerinin takibi
- İş faaliyetlerinin
etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi
faaliyetlerinin planlanması ve/veya icrası
- İş faaliyetlerinin
planlanması ve icrası
- İş ortakları ve/veya tedarikçilerin
bilgiye erişim yetkilerinin planlanması ve icrası
- İş ortakları ve/veya
tedarikçilerle olan ilişkilerin yönetimi
- İş sürekliliğinin
sağlanması faaliyetlerinin planlanması ve/veya icrası
- Kurumsal iletişim
faaliyetlerinin planlanması ve icrası
- Müşteri/kullanıcı
ilişkileri yönetimi süreçlerinin planlanması ve icrası
- Müşteri/kullanıcı
memnuniyeti aktivitelerinin planlanması ve/veya icrası
- Müşteri/kullanıcı talep
ve/veya şikayetlerinin takibi
- Şirket denetim
faaliyetlerinin planlanması ve icrası
- Şirket faaliyetlerinin
şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin
temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası
- Şirket operasyonlarının
güvenliğinin temini
- Şirketin sunduğu ürün
veya hizmetlerden en yüksek faydanın elde edilmesi için ilgili süreçlerin
planlanması ve icrası
- Sözleşme süreçlerinin
ve/veya hukuki taleplerin takibi
- Stratejik planlama
faaliyetlerinin icrası
- Üretim ve/veya operasyon
süreçlerinin planlanması ve icrası
- Ürün ve hizmetlerin
satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve
icrası
- Ürün ve/veya hizmetlerin
pazarlama süreçlerinin planlanması ve icrası
- Ürün ve/veya hizmetlerin
satış süreçlerinin planlanması ve icrası
- Verilerin doğru ve
güncel olmasının sağlanması
- Yetkili kuruluşlara
mevzuattan kaynaklı bilgi verilmesi
III. KİŞİSEL VERİLERİN
AKTARILMASI
III.I. KİŞİSEL VERİLERİN
AKTARILMASINA İLİŞKİN GENEL İLKELER
Kanun’un 8. ve 9. maddesinde
kişisel verilerin yurt içinde ve yurt dışına aktarılmasına ilişkin hususlara
yer verilmiştir. ifastin.com, hukuka uygun olarak elde
etmiş olduğu kişisel verileri veri işleme amaçları doğrultusunda gerekli
güvenlik önlemlerini alarak veri sahibinin kişisel verilerini/ özel nitelikli kişisel
verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda ifastin.com kişisel verileri Bölüm II’de belirtilen işleme
şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü
kişilere aktarabilecektir:
- Kişisel veri sahibinin
açık rızası var ise,
- Kanunlarda kişisel
verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin
veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise
ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin
taraflarına ait kişisel verinin aktarılması gerekli ise,
- com’un hukuki
yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel
veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı
bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
III.II. KİŞİSEL VERİLERİN
YURTDIŞINA AKTARILMASI
ifastin.com meşru ve hukuka uygun
kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin kişisel
verilerini aşağıdaki hallerde yurtdışına aktarabilecektir:
- Veri sahibinin açık
rızasının bulunması halinde veya
- Veri sahibinin açık
rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya
birkaçının bulunması halinde;
- (i) Verilerin
aktarıldığı ülkede yeterli koruma bulunması ve (ii) Verilerin aktarıldığı
ülkede yeterli koruma bulunmaması durumunda ifastin.com’un ilgili yabancı ülkedeki veri sorumlusu ile
birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve KVK Kurulu’nun
izninin alınması kaydı ile
III.III. KİŞİSEL VERİLERİN
AKTARILDIĞI ÜÇÜNCÜ TARAFLAR
ifastin.com yukarıda belirtilen şartlar
doğrultusunda ve Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile
yönetilen veri sahiplerinin kişisel verilerini aşağıda belirtilen taraflara
aktarabilir:
- İş ortaklığının kurulma
amaçlarının yerine getirilmesini temin etme amacıyla anonim olarak iş
ortaklarına, (başkaca veri aktarımının gerekmesi halinde ayrıca açık rıza
alınmaktadır.)
- com’un tedarikçiden dış
kaynaklı olarak temin ettiği ve ifastin.com’un ticari faaliyetlerini yerine getirmek için
gerekli hizmetlerin ifastin.com’a sunulmasını sağlamak amacıyla sınırlı olarak
tedarikçilere,
- com iştiraklerinin de
katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle
sınırlı olarak iştiraklere,
- com’un ticari
faaliyetlerine ilişkin stratejilerin tasarlanması, şirket prosedürlerine
uygun bilgilendirmelerin yapılması ile ilgili mevzuat hükümlerine uygun
şekilde denetim amaçlarıyla sınırlı olarak hissedarlara,
- Hukuki yetkileri
dahilinde talep ettikleri amaçla sınırlı olarak ilgili kamu kurum ve
kuruluşları ile özel hukuk kişilerine
- KİŞİSEL VERİLERİN
KORUNMASI
ifastin.com, işlediği kişisel verilerin
güvenliğini sağlamak için ilgili mevzuat uyarınca öngörülen ve KVK Kurulu
tarafından bildirilecek olan diğer idari ve teknik önlemleri alarak kişisel
verilerin hukuka uygun olarak işlenmesini ve korunmasını temin etmektedir. Bu
kapsamda ifastin.com, kişisel verilerin hukuka
uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri
ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak
gerçekleşen veri kayıplarının önlenmesi, verilere kasıtlı olarak zarar
verilmesi ile silinmesinin önlenmesi için teknolojik imkânlar ve uygulama
maliyetinin de ele alındığı makul derecedeki teknik ve idari önlemleri
almaktadır.
Şöyle ki;
- com’un kişisel veri
işleme faaliyetlerinin kurulan teknik sistemlerle denetlenmesi,
- Alınan teknik önlemlere
ilişkin olarak periyodik raporlamaların yapılması,
- com nezdinde kişisel
veri işleyen çalışanların, kişisel verilerin korunması hukuku ve kişisel
verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmesi ve
eğitilmesi,
- İş birimi bazında
belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş
birimleri özelinde farkındalık yaratılarak ve uygulama kurallarının
belirlenmesi, bu hususların denetimi ve sürdürülebilirliğini sağlamak için
şirket içi politikalar ve eğitimlerin düzenlenmesi,
- com ile çalışanlar
arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, ifastin.com talimatları
ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa
etmeme ve kullanmama yükümlülüğü getiren kayıtların ve bu konuda
çalışanların farkındalığının oluşturulması,
- İş birimi bazında
belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve
yetkilendirmelerin yapılması ve buna uygun olarak erişim yetkilerinin
sınırlandırılması,
- Virüs koruma sistemleri
ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması ve
işletilmesi,
- com ’un kişisel
verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan
bir hizmet aldığı taraflar dahil olmak üzere kişisel verilerin hukuka
uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel
verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla
gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu
tedbirlere uyulmasını sağlayacağına ilişkin hükümlerin eklenmesi,
- Hukuka uygun yedekleme
programlarının kullanılarak saklanma alanlarına yönelik teknik güvenlik
sistemlerin kurulması, ifastin.com, Kanun’un 12. maddesine uygun olarak işlenen
kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde
edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve
KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu
tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet
sitesinde veya başka bir yöntemle ilan edilebilecektir.
- KİŞİSEL VERİ SAHİBİNİN
AYDINLATILMASI, HAKLARI VE BİLGİLENDİRİLMESİ
V.I. KİŞİSEL VERİ SAHİBİNİN
AYDINLATILMASI
Kanun’un 10. maddesinde
kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerinin
aydınlatılması gerektiği belirtilmiştir. ifastin.com, bu doğrultuda ilgili mevzuatta belirtilen diğer
kişisel veri işleme faaliyeti genel ilkelerine uygun olarak kişisel veri
sahiplerini kişisel verilerinin elde edilmesi sırasında; (i) varsa
temsilcisinin kimliği, (ii) kişisel verilerin hangi amaçla işleneceği, (iii) kimlere
ve hangi amaçla aktarılabileceği, (iv) kişisel veri toplamanın yöntemi ve
hukuki sebebi, (v) kişisel veri sahibinin sahip olduğu haklara ilişkin olarak
bilgilendirmektedir.
V.II. KİŞİSEL VERİ
SAHİPLERİNİN HAKLARI
Kanun’un 11. maddesinde ise
kişisel veri sahibinin sahip olduğu haklar sayılmıştır. Şöyle ki veri sahibi;
- Kişisel verilerinin
işlenip işlenmediğini öğrenme,
- Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
- Yurt içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik
veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
- Kanun ve ilgili diğer
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin
münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin
kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme, haklarına sahiptir.
Ancak Kanun’un 28. maddesi
uyarınca aşağıdaki durumlarda yukarıda sayılan haklar ileri sürülemez:
- Kişisel verilerin resmi
istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik
güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek
ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel
amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik
güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu
kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı
faaliyetler kapsamında işlenmesi.
- Kişisel verilerin
soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak
yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28/2 maddesi
uyarınca; aşağıda belirtilen durumlarda kişisel veri sahipleri zararın
giderilmesini talep etme hakkı hariç olmak üzere, yukarıda belirtilen diğer
haklarını ileri süremezler:
- Kişisel veri işlemenin
suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel veri sahibi
tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi.
- Kişisel veri işlemenin
kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve
kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme
veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
- Kişisel veri işlemenin
bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali
çıkarlarının korunması için gerekli olması.
V.III. KİŞİSEL VERİ
SAHİPLERİNİN BİLGİLENDİRİLMESİ
Kişisel veri sahipleri,
Anayasa’nın 20. maddesi uyarınca kendileriyle ilgili kişisel veriler hakkında
bilgi sahibi olma ile yukarıda belirtilen haklar arasında sayılan “bilgi talep
etme” hakkı doğrultusunda yapmış oldukları bilgi talepleri ifastin.com tarafından Kanun’a uygun
olarak karşılanmaktadır. ifastin.com, kişisel veri sahiplerine
gereken bilgilendirmelerin yapılması amacıyla Kanun’un 13. Maddesine uygun
olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri
yürütmektedir. Bu doğrultuda kişisel veri sahipleri yukarıda belirtilen
haklarına ilişkin taleplerini ifastin.com’a iletmeleri durumunda talebin niteliğine göre talebe
karşılık gerekçeli olumlu/olumsuz yanıtını en geç otuz gün içinde ücretsiz
olarak bildirmektedir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde,
ifastin.com, KVK Kurulunca belirlenen
tarifedeki ücreti alabilecektir. Kişisel veri sahipleri yukarıda belirtilen
haklarına ilişkin taleplerini Ek’te yer alan “Ifastin Başvuru Formu”
üzerinden ifastin.com’a iletebileceklerdir.
Kişisel veri sahipleri tarafından yapılacak olan başvurular, kişisel veri
sahibinin kimliğini tespit edecek belgelerle birlikte aşağıdaki yöntemlerden
biri ile gerçekleştirilecektir:
- Formun doldurularak
ıslak imzalı kopyasının elden, noter aracılığı ile veya iadeli taahhütlü
mektupla Kartal / İstanbul adresine iletilmesi,
- [email protected] e posta
adresine talep gönderilmesi, (Bu durumda başvurucunun başvuruda bulunduğu
kanaldan başvurucunun gerçekten hak sahibi olan kişisel veri sahibi olup
olmadığının tespit edilebilmesi için; kimliğini tanımlamak ve talep
sahibinin gerçekten bu başvuruyu yapıp yapmadığını belirlemek üzere ilgili
kişiyle kayıtlı telefon üzerinden iletişim kurulacaktır.)
- Kişisel Verileri Koruma
Kurulu tarafından öngörülen bir yöntemin izlenmesi.
Kişisel veri sahipleri adına
üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından
başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname
bulunmalıdır. ifastin.com, başvuruda bulunan kişinin
kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi
talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri
sahibine başvurusu ile ilgili soru yöneltebilir. Kişisel veri sahibi Kanun’un
14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz
bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ifastin.com yanıtını öğrendiği tarihten
itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK
Kurulu’na başvuruda bulunabilir.
- VERİ SAHİBİ VE KİŞİSEL
VERİ KATEGORİZASYONU
VI.I. VERİ SAHİBİ
KATEGORİZASYONU
ifastin.com, kendi bünyesinde işlediği
kişisel verilerin sahiplerini aşağıdaki şekilde kategorize etmiştir. İşbu
Politika kapsamında oluşturulan veri sahibi kategorizasyonu aşağıdaki kişisel
veri sahipleri ile ilişkilendirilmektedir. Bu kapsam dışında kalan veri sahipleri
de Politika doğrultusunda taleplerini ifastin.com’a yöneltebileceklerdir.
Kişisel Veri Sahibi
Kategorisi
Müşteri/Kullanıcı: ifastin.com ile herhangi bir sözleşmesel ilişkisi olup olmadığına
bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya
kullanmış olan gerçek kişiler
Potansiyel Müşteri: Ürün ve
hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip
olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak
değerlendirilmiş gerçek kişiler Kurumsal
Müşteri Hissedarı, Yetkilisi,
Çalışanı: ifastin.com ile herhangi bir sözleşmesel ilişkisi olup olmadığına
bakılmaksızın ifastin.com’un sunmuş olduğu ürün ve
hizmetleri kullanan veya kullanmış olan tüzel kişi müşterilerin çalışanları,
hissedarları ve yetkilisi olan gerçek kişiler
Üçüncü Kişiler: Bu Politika
ve ifastin.com Çalışanları Kişisel Verilerin Korunması ve İşlenmesi
Politikası kapsamına girmeyen diğer gerçek kişiler
İş Ortağı: ifastin.com ile arasında sözleşmesel
ilişki bulunan kullanıcılara bilgi iletiminde bulunan firmalar
İş Ortağı Hissedarı,
Yetkilisi, Çalışanı: ifastin.com’un her türlü iş ilişkisi
içerisinde bulunduğu kurumlarda çalışanlar, bu kurumların hissedarları ve
yetkilileri dahil olmak üzere, gerçek kişiler
Tedarikçi Hissedarı,
Yetkilisi, Çalışanı: ifastin.com’un ürün veya hizmet temin
ettiği ve iş ilişkisi içerisinde bulunduğu kurumlarda çalışanlar, bu kurumların
hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler
İş Ortağı Adayı: ifastin.com’un herhangi bir iş ilişkisi kurmayı öngördüğü gerçek
kişiler veya tüzel kişilerin çalışanları, hissedarları ve yetkilileri olan
gerçek kişiler, Ziyaretçi ifastin.com’un sahip olduğu fiziksel
yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret
eden gerçek kişiler
VI.II. KİŞİSEL VERİ
KATEGORİZASYONU
İşbu Politika kapsamında, ifastin.com tarafından işlenen kişisel
veriler kategorize edilmiştir. Yukarıda belirtilen veri sahibi kategorilerinde
yer alan kişisel veri sahiplerinin kişisel verileri aşağıda belirtilen kişisel
veri kategorileri ile ilişkilendirilmiştir.
Kişisel Veri Kategorizasyonu
Kimlik Bilgisi: Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu veriler
İletişim Bilgisi: Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası,
IP adresi gibi bilgiler
Lokasyon Verisi: Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; kişisel veri sahibinin ifastin.com iş birimleri tarafından yürütülen
operasyonlar çerçevesinde, ifastin.com’un işbirliği içerisinde
olduğumuz kurumların çalışanlarının ifastin.com araçlarını kullanırken bulunduğu yerin konumunu
tespit eden bilgiler
Müşteri Bilgisi: Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri
kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik
kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan
talimatları ve talepleri gibi bilgiler Müşteri İşlem Bilgisi: Kimliği belirli
veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt
sistemi içerisinde yer alan; ürün ve hizmetlerimizin kullanımına yönelik
kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan
talimatları ve talepleri gibi bilgiler
Aile Bireyleri ve Yakın
Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; ifastin.com iş birimleri tarafından
yürütülen operasyonlar çerçevesinde, ifastin.com’un ve kişisel veri sahibinin hukuki ve diğer
menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri, yakınları
ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Fiziksel Mekan Güvenlik
Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte,
fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere
ilişkin kişisel veriler
İşlem Güvenliği Bilgisi:
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve
veri kayıt sistemi içerisinde yer alan; ticari faaliyetlerimizi yürütürken
teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen IP
adresi, (sistem giriş bilgileri) log in credentials, tedarikçilerin destek
hizmeti verirken eriştikleri kaynakların loglanması gibi kişisel veriler
Olay Yönetimi Bilgisi:
Kişisel veri sahibiyle ilişkilendirilen ve şirketimizin -
çalışanlarının-hissedarlarının etkileme potansiyeli olan olaylarla ilgili
toplanan bilgiler ve değerlendirmeler (örn. Kamuoyuna yansıyan bir ceza
davasında sanık olarak yargılanan bir kişiyle şirketimizin ticari
faaliyetlerinin haber yapılması ve bu yönde şirketimizin hakkında negatif
iletişimde bulunulmasını önlemek bu kişiyle ve ceza soruşturmasının kapsamıyla
ilgili araştırma yapılması ve bu yönde gelişecek kamuoyunun doğru yönetilmesine
ilişkin toplanan bilgiler
Finansal Bilgi: Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya
tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik
olmayan şekilde işlenen; ifastin.com’un kişisel veri sahibi ile
kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu
gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka
hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı
verisi, gelir bilgisi gibi veriler
Görsel ve İşitsel Veri:
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan;
fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren
kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası
niteliğindeki belgelerde yer alan veriler
Hukuki İşlem ve Uyum Bilgisi:
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve
veri kayıt sistemi içerisinde yer alan; hukuki alacak ve haklarımızın tespiti,
takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin
politikalarına uyum kapsamında işlenen kişisel veriler
Denetim ve Teftiş Bilgisi:
Kişisel veri sahibiyle ilişkilendirilen denetim ve teftiş kayıtları, raporları
ve bu kapsamda yapılan incelemeler ve toplanan bilgilere ve yorumlara ilişkin
bilgiler
Pazarlama Bilgisi: Kimliği
belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri
kayıt sistemi içerisinde yer alan; ürün ve hizmetlerimizin kişisel veri
sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda
özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve
bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler
İtibar Yönetimi Bilgisi:
Kişiyle ilişkilendirilen ve şirketimizin ticari itibarını korumak maksatlı
toplanan bilgiler (örneğin Şikayet sitelerinden gelen bilgiler, Twitter,
Facebook vb sosyal medya araçları üzerinden şirketimiz, üst düzey
yöneticilerimiz ve hissedarlarımız aleyhine yapılan paylaşımlarla ilgili
toplanan bilgiler, buna ilişkin oluşturulan değerlendirme raporları ve buna
ilişkin alınan aksiyonlarla ilgili bilgiler)
Talep/Şikayet Yönetimi
Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık
olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir
parçası olarak otomatik olmayan şekilde işlenen; ifastin.com’a yöneltilmiş olan her türlü talep veya şikayetin
alınması ve değerlendirilmesine ilişkin kişisel veriler.
VII. KİŞİSEL VERİLERİN
SAKLANMA SÜRELERİNE İLİŞKİN İLKELER
Kişisel veriler, ifastin.com tarafından ilgili mevzuatta öngörülen süreler boyunca
ve hukuki yükümlülükleri doğrultusunda saklanmaktadır. Kişisel verilerin ne
kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre
düzenlenmemişse, kişisel veriler ifastin.com’un o veriyi işlerken yürüttüğü faaliyet ile
bağlantılı olarak ifastin.com’un uygulamaları ile ticari
teamüller doğrultusunda işlenmesini gerektiren süre kadar işlenmekte daha sonra
silinmekte, yok edilmekte veya anonim hale getirilmektedir. İşlenme amacı sona
ermiş kişisel veriler ile kişisel veri sahipleri tarafından
silinmesi/anonimleştirilmesi talep edilmiş olan kişisel veriler, ilgili mevzuat
ve ifastin.com’un belirlediği saklama
sürelerinin de sonuna gelinmişse; yalnızca olası hukuki uyuşmazlıklarda delil
teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya
savunmanın tesis edilmesi amacıyla saklanabilmektedir. ifastin.com kişisel verilerin saklanma
sürelerini belirlerken ilgili mevzuatta öngörülen zamanaşımı sürelerini esas
almaktadır. Bu amaç doğrultusunda saklanan kişisel verilere yalnızca ilgili
hukuki uyuşmazlıkta kullanılması gerektiği zaman sınırlı kişiler tarafından
erişilmekte olup bu amaç dışında başka bir amaçla erişilmemektedir. Bu sürenin
sonunda da kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.
VIII. KİŞİSEL VERİLERİN
SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138.
maddesinde ve Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması halinde ifastin.com’un kararına istinaden veya kişisel veri sahibinin
talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
- ifastin.com KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ İLE
İLGİLİ YÖNETİM YAPISI
ifastin.com bünyesinde işbu Politika,
ilişkili politikalar ile diğer çıktıların yönetilmesi, Kanun’a uyumluluk
sürecinin takibi ve sürekliliğinin sağlanması amacıyla şirket içerisinde bir
Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur. Bu Komite’nin
görevleri;
- Kişisel verilerin
korunması ve işlenmesi ile ilgili temel politikaları oluşturmak,
güncellemek, yürürlüğe koymak.
- Kişisel verilerin korunması
ve işlenmesine ilişkin politikaların uygulanması ve denetimine ilişkin
aksiyonları almak, bununla ilgili şirket içi görevlendirmeler yaparak
koordinasyonu sağlamak.
- Kanun ve ilgili mevzuata
uyumun sağlanması ile kişisel verilerin korunması ve işlenmesi ile ilgili
gelişmeleri takip ederek bu çerçevede gerekli aksiyonların alınmasını
sağlamak.
- Kişisel verilerin
korunması ve işlenmesi konusunda ifastin.com içerisinde ve ifastin.com’un işbirliği içerisinde olduğu kurumlar nezdinde
farkındalığı arttırmak.
- Kişisel veri
sahiplerinin başvurularını değerlendirmek ve hukuka uygun bir şekilde
çözüme ulaştırmak.
- com’un kişisel veri
işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli
önlemlerin alınmasını sağlamak.
- KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek.