İZİBİZ BİLİŞİM TEKNOLOJİLERİ A.Ş.

KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI

1.GİRİŞ

1.1. Politikanın Amacı

Kişisel Verilerin İşlenmesi, Saklaması ve İmhası Politikası (“Politika”), İZİBİZ BİLİŞİM TEKNOLOJİLERİ A.Ş.’nin (İZİBİZ/ŞİRKET) veri sorumlusu sıfatıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamındaki kişisel verilerin işlenmesi, aktarılması, korunması, saklaması ve imhasına ilişkin iş ve işlemlerle ilgili uygulanacak usul ve esaslar ile tüm idari ve teknik tedbirleri belirlemek, bu hususta ilgilileri ve kamuyu bilgilendirmek amacıyla hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, iş ortaklarımızın, tedarikçilerimizin, ziyaretçilerimizin vs. herhangi bir nedenle ŞİRKET nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri; T.C. Anayasası, Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuatlara uygun olarak işbu “Kişisel Verilerin İşlenmesi, Saklaması ve İmhası Politikası” çerçevesinde yönetilmektedir.

1.2. Politikanın Kapsamı ve Kişisel Veri Sahipleri

Bu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Çalışan, Çalışan Adayı, Stajyer (öğrenci), Müşteri, Potansiyel Müşteri, İş Ortağı, Bayii, Tedarikçiler, Ziyaretçi, İnternet Sitesi Ziyaretçileri başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen tüm gerçek kişiler için hazırlanmış olup, kişisel verilerin işlenmesine yönelik faaliyetlerde kullanılacaktır.

Bu Politika, hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmamaktır.

Şirketimiz bu Politikayı internet sitesinde ve başkaca mecralarda yayımlamak suretiyle bahse konu Kişisel Veri Sahiplerini uygulanacak usul ve esaslar hakkında bilgilendirmektedir.

1.3.Tanımlar

İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim Hale Getirme : Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Başvuru Formu : Veri Sahibi’nin Kişisel Verilerin Korunması Hakkında Kanun’un 11. Maddesi uyarınca sahip olduğu hakları kullanması ve bu amaçla İzibiz’e başvurabilmesi adına yasal mevzuatta belirlenmiş şartlara göre İzibiz tarafından hazırlanmış ve bir örneği Ek-1’inde yer alan formu ifade eder.

Doğrudan tanımlayıcılar : Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları.

Dolaylı tanımlayıcılar  : Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları.

İlgili Kişi / Kişisel Veri Sahibi : Çalışan, Çalışan Adayı, Stajyer (öğrenci), Müşteri, Potansiyel Müşteri, İş Ortağı, bayii, Tedarikçiler, Ziyaretçi, İnternet Sitesi Ziyaretçileri başta olmak üzere kişisel verisi Şirketimiz tarafından işlenen gerçek kişilerdir.

İmha   : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini.

Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel Verilerin İşlenmesi : Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,  açıklanması,  aktarılması,  devralınması,  elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel veri işleme envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri.

Kişisel verilerin silinmesi    : Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi : Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi : Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kurul : Kişisel Verileri Koruma Kurulu’dur.

Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini.

Politika : İzibiz Bilişim Teknolojileri A.Ş. tarafından hazırlanmış olan işbu “Kişisel Verilerin İşlenmesi, Saklaması ve İmhası Politikasını” ifade eder.

Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini ifade eder.

Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.

Yönetmelik               : 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini.

 2.KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

2.1. Kişisel Verilerin İşlenmesinde Uygulanan Genel İlkeler

Kanunun 4. Maddesi uyarınca Kişisel Veriler ancak Kanunda veya diğer kanunlarda öngörülen usul ve esaslara uygun belirtilen ilkelere göre işlenebilecektir.

İzibiz tarafından da Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. İzibiz, Kişisel Verileri işlerken aşağıdaki ilkelere göre hareket eder.

• Kişisel Veriler, hukuka ve dürüstlük kurallarına uygun olarak işlenir. Şirketimiz, kişisel verileri, kanunlarla ve diğer hukuki düzenlemelerle getirilen kurallara ve ilkelere uygun olarak işlediği gibi veriler işlenirken ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır.
• Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır. Kişisel Veri Sahibi’nin başvurusu üzerine veya tespit halinde resen verilerin düzeltilmesini temin eder.
• Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Şirketimiz, kişisel verilerin işlenme amacı ve kapsamını politika ve aydınlatma metinleriyle açıklamaktadır. Şirketimiz kişisel verileri, yaptığı işlerle ilgili faaliyetler ve/veya sunmuş olduğu hizmetle bağlantılı olarak, meşru amaçlar için işlemektedir.
• Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar.
• Kişisel Veriler, İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir.  Şirketimiz toplamış olduğu kişisel verileri, ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uygun olarak, aksi durumda ise kişisel verileri, işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verinin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

2.2. Kişisel Verilerin İşlenme Şartları

Şirket Kişisel Verileri veri sahibinin açık rızası olmaksızın işlemez. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın Kişisel Veriler işlenebilmektedir.

1. a) Kanunlarda açıkça öngörülmesi.Kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir. Örnek olarak; İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması,
2. b) Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. Örnek olarak; Dağda mahsur kalan bir kişinin kurtarılması amacıyla, cep telefonu sinyali, GPS ve mobil trafik verisinin işlenerek yerinin belirlenmesi.
3. c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Örnek olarak; Bir bankanın, maaş müşterisi ile imzaladığı sözleşme kapsamında müşterinin kimlik numarası, elektronik posta, adres, imza, cep telefon numarası gibi kişisel verilerini işlemesi. Bir satıcının müşterisine sattığı bir malı teslim etmek amacıyla müşterisinin isim, adres ve iletişim bilgisini kaydetmesi.

ç) Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek olarak; şirketimiz çalışana maaş ödenebilmesi için, çalışanın banka ve hesap bilgilerinin alınıp işlenmesi. Yine çalışanın AGİ işlemlerinde kullanılmak üzere evlilikle ilgili, çocuklarıyla ilgili verilerin işlenmesi.

1. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir. Örnek olarak; İkinci el araç satışı yapılan internet sitesinde aracını satmak isteyen ilgili kişinin iletişim bilgilerinin, araç alım satımı amacıyla kullanılması.
2. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örnek olarak; Bir şirketin kendi çalışanı tarafından açılan bir davada, ispat için bazı verileri kullanması bu kapsamda değerlendirilir.
3. f)Şirketimizin meşru menfaati için veri işlemenin zorunlu olması. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması halinde veri işlenebilecektir. Örnek olarak; Bir işletmenin satılması, devralınması gibi bir durumun varlığı halinde, şirketi satın alacak kişinin personelin kişisel verilerinin dâhil olduğu bir takım bilgileri incelemesi.

2.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlemez.

Ancak sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. 

Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir.

Şirket, Özel Nitelikteki Kişisel Verilerin işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir. 

2.4. Kişisel Verilerin Aktarılma Şartları

2.4.1 Kişisel Verilerin Yurt İçine Aktarılması

Şirketimiz; Kişisel Verileri işleme amaçları doğrultusunda gerekli idari ve teknik tedbirleri alarak, kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini, kanunda öngörülen şartlar dahilinde üçüncü kişilere aktarabilir.

Şirketimiz meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan ve Kanunun 5.  maddesinde belirtilen;

• Kişisel Veri sahibinin açık rızası bulunması,
• Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme bulunması,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli olması,
• Şirketimizin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımının zorunlu olması,
• Kişisel Verilerin, kişisel veri sahibi tarafından alenileştirilmiş olması,
• Kişisel Veri aktarımının bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Kişisel Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için kişisel veri aktarımı zorunlu olması,

şartlarından bir veya birkaçına dayalı ve sınırlı olarak Kişisel Verileri üçüncü kişilere aktarılabilecektir.

2.4.2. Kişisel Verilerin Yurt Dışına Aktarılması

Şirket, Kişisel verileri, ilgili kişinin açık rızası olmaksızın yurtdışına aktarmaz. Ancak, Kişisel veriler, kanunun 5. maddesinin ikinci fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

• Yeterli korumanın bulunması,
• Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Şirketimiz, kişisel veri işleme amaçları doğrultusunda gerekli idari ve teknik tedbirleri alarak, kanunun öngördüğü şartlarla kişisel veri sahiplerinin kişisel verilerini yurt dışındaki üçüncü kişilere aktarabilir.

2.5. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

2.5.1. Özel Nitelikli Kişisel Verilerin Yurtiçine Aktarılması

Şirket Özel Nitelikli Kişisel verileri, ilgili kişinin açık rızası olmaksızın yurtdışına aktarmaz. Ancak, Şirket, gerekli özeni göstererek, gerekli idari ve teknik tedbirleri alarak ve Kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda Kişisel Veri Sahibinin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

1. Kişisel Veri Sahibinin açık rızası olması halinde veya
2. Aşağıdaki şartların varlığı halinde Kişisel Veri Sahibinin açık rızası aranmaksızın;

• Kişisel Veri Sahibinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
• Kişisel Veri Sahibinin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

2.5.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Şirket, Özel Nitelikli Kişisel verileri, ilgili kişinin açık rızası olmaksızın yurtdışına aktarmaz. Ancak, Özel Nitelikli Kişisel veriler, kanunun 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

1. a) Yeterli korumanın bulunması,
2. b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

Şirketimiz, kişisel veri işleme amaçları doğrultusunda gerekli idari ve teknik tedbirleri alarak, kanunun öngördüğü şartlarla kişisel veri sahiplerinin kişisel verilerini yurt dışındaki üçüncü kişilere aktarabilir.

2.6. Kişisel Verilerin Aktarılacağı Kişiler

Şirketimiz, işlemiş olduğu kişisel verileri, bu politikanın 3. maddesinde sayılan amaçların gerçekleştirilebilmesi için ve Kanun’un 8. ve 9. maddelerine uygun olarak yurtiçinde veya yurtdışında mukim “İş Ortaklarımız, Tedarikçiler, Müşteriler, Danışmanlar (Mali müşavir, avukat vb.), Denetim Firmaları, Hizmet Alınan Firmalar, İşbirliği Yapılan Firmalar, Pay Sahipleri, Tedarikçiler, Teknopark Yönetimi (Yönetici Şirket), Bankalar ve Finans Kuruluşları, Yargısal Merciler ve Kamu Otoriterleri, Gelir İdaresi Başkanlığı, Vergi Denetçileri, Site/Bina Yönetimi gerçek kişiler veya özel hukuk tüzel kişileri ile kanunen Yetkili Kamu Kurum ve Kuruluşlarına” aktarılabilmektedir.

Bunların haricinde hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle verilerin paylaşılmak zorunda kalınması, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel Verileriniz yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere aktarılabilecektir.

3.KİŞİSEL VERİLERİN İŞLENME VE SAKLANMA AMAÇLARI

Şirketimiz, kişisel verileri kanunun öngördüğü şartlarla aşağıdaki amaçlar doğrultusunda işlemekte ve saklamaktadır. 

• Sözleşmelerin müzakeresi, akdedilmesi ve ifası,
• Ürün / Hizmetlerin Satış ve Pazarlama Süreçlerinin Yürütülmesi, Sunulan ürün ve hizmetlerin taleplere uygun olarak özelleştirilmesi; müşteri ihtiyaçları, yasal ve teknik gelişmeler sebebiyle güncellenmesi, geliştirilmesi, Sunulan ürün ve hizmetler özelinde, sistemlere kullanıcı tanımlamalarının yapılması,
• Risk Yönetimi Süreçlerinin Yürütülmesi, Performans Değerlendirme Süreçlerinin Yürütülmesi, Ürün / Hizmet Satın Alım Süreçlerinin Yürütülmesi,
• Ürün, hizmet ve servis bedellerinin ödenmesi, tahsil edilmesi, tahsilat yönteminin seçilmesi,
• Yeni veya mevcut ürün, hizmet ve kampanyaların duyurulması,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi, İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
• Pazarlama, Analiz ve Raporlama Çalışmalarının Yürütülmesi, Şirketin ticari stratejilerinin geliştirilmesi ve planlarının yapılması, İstatistik oluşturulması ve kullanımların analiz edilmesi,
• Adli/idari süreçlerin yönetimi, kamu kurum kuruşlarından gelen taleplere cevap verilmesi, yasal düzenlemelere bağlı olarak hukuki yükümlülüklerin yerine getirilmesi, hukuki uyuşmazlıkların çözümlenmesinde delil olarak ispat.
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi, Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi, Çalışanlara kullanıcı hesabı açılması, şirket içi kimlik ve yemek kartı verilmesi, Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi, Şirket çalışanlarının ulaşım organizasyonunun sağlanması, şirket havuz araçlarının takibi,
• Eğitim Faaliyetlerinin Yürütülmesi, Şirket adına bir organizasyona katılım olması durumunda, katılımcı kaydının oluşturulması, katılım ve sertifika kayıtlarının oluşturulması,
• Şirket tarafından düzenlenen etkinliklerde/eğitimlerde katılımcı kaydının oluşturulması, sertifikaların/katılım belgelerinin düzenlenmesi, ödül/hediye sahiplerinin belirlenmesi ve ödül/hediyelerin teslimi,
• Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
• Şirketle iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
• İnsan Kaynakları Süreçlerinin Planlanması
• Çağrı merkezi ve uzaktan destek hizmetlerinin sağlanması, çağrı sayısı ve içerik takibi,
• Şirketin içi ve çevresinde can ve mal güvenliğinin temini,
• Web Sitesi ile diğer yazılım ve uygulamaların güvenliğinin sağlanması ve Web Sitesi kullanım analizi yapılması.
• Kişisel veri envanterinin oluşturulması,
• Kişisel verilere ilişkin olanlar dahil, yazılı, sözlü veya elektronik olarak iletilen tüm soru, talep, öneri, şikayet ve başvuruların değerlendirilmesi, bunlara cevap verilmesi.
• Ziyaretçi kayıtlarının oluşturulması ve takibi,

4.KİŞİSEL VERİLERİN TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

İzibiz olarak, kişisel verileri her türlü sözlü, yazılı, elektronik ortamda; teknik ve sair yöntemlerle, satış noktaları, çağrı merkezi, Şirket internet sitesi gibi muhtelif yollardan, iş bu politikada yer verilen amaçların gerçekleştirilmesi amacıyla iş bu politikada ( 2.2 ve 2.3 ) yer verilen hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Şirket veya Şirket tarafından görevlendirilen veri işleyenler tarafından işlenir.

5.KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a ve işbu Kişisel Veri İşleme, Saklama ve İmha Politikası’na uygun olarak işlemekte ve saklamaktadır.

Fiziksel Ortamlar                 : Verilerin kağıt, karton ya da mikrofilmler üzerine yazılması ve baskılanması şeklinde tutulduğu ortamlardır.

Yerel Dijital Ortamlar         : Şirket bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler, bilgisayarlar, Ağ cihazları, flash tabanlı ortamlar, manyetik bant, manyetik disk, mobil cihazlar, optik disk, yazıcı, tarayıcı, fotokopi makinası, kapı geçiş/güvenlik sistemi gibi sair dijital ortamlardır.

Bulut Ortamlar                    : Şirket bünyesinde yer almamakla birlikte, Şirketin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır. Portal ortamları, e-posta ortamları, web tarayıcı ortamları vs.

6.KİŞİSEL VERİLERİN GİZLİLİĞİ VE GÜVENLİĞİNE DAİR HUSUSLAR

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

6.1. Kişisel Verilerin Güvenliğinin Sağlanması

6.1.1. İdari Tedbirler

Şirket tarafından, kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin güvenli ortamlarda saklanması için alınan idari tedbirler;

• Kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi amacıyla, kişisel verilere erişmeye yetkili kişilerin bu yetki kapsamları ve süreleri belirlenmekte, yetki süresi bitenlerden yetkileri derhal kaldırılmakta ve bu kapsamda kendilerine tahsis edilen envanterin iade alınması sağlanmaktadır.
• Çalışanların niteliği ve teknik bilgi/ becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması amacıyla iletişim teknikleri, kişisel verilerin korunması hukuku ve ilgili mevzuat hakkında çalışanlara eğitimler verilmektedir.
• Personel sözleşmelerinde, Kişisel verilerin korunması ve Gizliliğe ilişkin hükümlere yer verilmekte, bu kapsamda çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara veri güvenliği konularında düzenli eğitimler verilmekte, bu verilerin işlendiği ve saklandığı ortamların güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmekte, kağıt ortamında aktarımı gerekiyorsa evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
• Şirket tarafından Kişisel Verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, Kişisel Verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
• Şirket tarafından Kişisel Verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
• Kişisel verilerin imhası konusunda Şirketimiz ile geri dönüşüm şirketi arasında akdedilen sözleşmelere, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına, kişisel verileri derhal imha etmesi gerektiğine, kişisel verileri hiçbir suretle 3. kişilere aktarmaması gerektiğine ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
• Şirketimiz yerleşkesinde tutulan özel nitelikli kişisel veri içeren sağlık bilgilerine dair belgelerin kilitli özel dolaplarda muhafaza edilmesi ve bu dolaba işyeri hekimi dışındaki çalışanların erişiminin engellenmesi sağlanmaktadır.
• Kişisel verilerin e-posta yoluyla aktarılması halinde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarımı yapılmaktadır.

6.1.2. Teknik Tedbirler

Şirket tarafından, kişisel verilerin hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin güvenli ortamlarda saklanması için alınan Teknik tedbirler;

• Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmaktadır.
• Sızma (penetrasyon) testleri ile kurumumuz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
• Yetki matrisi uygulanmaktadır.
• Erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
• Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
• Veri ihlalinin tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
• Bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmakta ve elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş / çıkışlar kontrol altında tutulmaktadır.

6.1.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

6.1.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

Şirket, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili Kişisel Veri Sahibine (İlgili Kişi) ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

6.2. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım Kişisel Verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun’da “özel nitelikli kişisel veri” olarak belirlenen ve hukuka uygun olarak işlenen Özel Nitelikli Kişisel Verilerin korunmasına Şirket tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.

7.KİŞİSEL VERİLERİN İMHASINA İLİŞKİN HUSUSLAR

7.1. İmha Nedenleri :

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
• Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

7.2. İmha Yöntemleri :

Şirket, Kanuna ve sair mevzuat ile Kişisel Veri İşleme, Saklama ve İmha Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

Şirket tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda yer almaktadır:

7.2.1. Silme Yöntemleri :

1. Fiziksel ortamda tutulan kişisel veriler için silme yöntemleri :

Fiziksel ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak çizilmesi/boyanması veya silinmesi ile görünemez hale getirilmesi şeklinde yapılır.

1. Yerel dijital ortamda ve bulut ortamda tutulan kişisel veriler için silme yöntemleri :

Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarını kaldırma, yazılım aracılığıyla silme, veri tabanı komutuyla silme ve dijital komutla silinme şeklinde yapılır. Bu şekilde silinen verilere tekrar ulaşılamaz.

7.2.2. Yok Etme Yöntemleri :

1. Fiziksel ortamda tutulan kişisel veriler için yok etme yöntemleri :

Fiziksel ortamda tutulan belgeler, kağıt kırpma makinasıyla veya geri dönüşüm firması vasıtasıyla tekrar bir araya getirilemeyecek şekilde yok edilir.

1. Yerel dijital ortamda tutulan kişisel veriler için yok etme yöntemleri :

Fiziksel yok etme : Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

De-manyetize etme (degauss) : Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Üzerine yazma : Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

iii. Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri :

Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz.

7.2.3. Anonimleştirme Yöntemleri :

Şirket, kişisel verilerin anonim hale getirilmesi için ilgili verinin niteliğine göre aşağıda sayılan anonimleştirme yöntemlerinden bir ya da birkaçını kullanır.

Değişkenleri çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir.

Bölgesel gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.

Genelleştirme : Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.

Alt ve üst sınır kodlama/Global kodlama: Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.

Mikro birleştirilme : Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.

Veri karma ve bozma : Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

8.SAKLAMA VE İMHA SÜRELERİ :

8.1. Kişisel Verilerin Saklanma Süresi

İzizbiz, Kişisel Verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Şirket’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirket’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.

Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

Gerekmesi halinde burada bahsi geçen saklama süreleride, şirket tarafından güncellemeler yapılır ve politikaya işlenir. Saklama süresi sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

8.2. Kişisel Verilerin İmha Süreleri :

Şirket, Kanun, ilgili mevzuat ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden Şirket’e başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini talep ettiğinde;

1-  Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  Şirketin talebi almış sayılması için ilgili kişinin talebini ekte yer alan “KVKK İlgili Kişi Başvuru Formuna” uygun olarak yapmış olması gerekir. Şirket, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.

2- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

8.3. Periyodik İmha :

Yönetmeliğin 11 inci maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, şirket her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket, işlemiş olduğu kişisel verileri periyodik imha döneminde siler, yok eder veya anonim hale getirir.

9. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞU İÇİN ALINAN TEDBİRLER

Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.

Şirket, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla gerekli idari ve teknik tedbirler almaktadır.

9.1. Teknik Tedbirler :

• Şirket, işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
• Şirket, imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
• Şirket, imha işlemini yapan kişilerin erişim kayıtlarını tutar.
• Şirket, imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

9.2. İdari Tedbirler :

• Şirket, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
• Şirket, bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
• Şirket, teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
• Şirket, imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
• Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri tutanak altına alır.

• Kişisel verilerin imhası konusunda Şirketimiz ile geri dönüşüm şirketi arasında akdedilen sözleşmelere, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına, kişisel verileri derhal imha etmesi gerektiğine, kişisel verileri hiçbir suretle 3. kişilere aktarmaması gerektiğine, ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

10. KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI

10.1. Kişisel Veri Sahibinin Aydınlatılması

Şirket, Kanun’un 10. maddesine uygun olarak, Kişisel Verilerin işlenmesinden önce Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda Veri Sorumlusu olarak Şirketin kimliği, Kişisel Verilerin hangi amaçla işleneceği, işlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ( Kanunun 5. ve 6. maddesinde yer alan işleme şartlarından hangisine dayanıldığı açıkça belirtilmektedir) ve Kişisel Veri sahibinin (İlgili kişinin) Kanunun 11 inci maddesinde sayılan diğer hakları konusunda aydınlatma yapmaktadır.

10.2. Kişisel Veri Sahibinin Kanun Uyarınca Hakları

Kişisel veri sahipleri KVKK m.11 uyarınca;

1. a) Kişisel veri işlenip işlenmediğini öğrenme,
2. b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6. e) Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
7. f) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
8. g) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

10.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri kanunda ve politikada sayılan haklarına ilişkin taleplerini ekte yer alan “KVKK Başvuru Formunu” doldurarak veya “Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğe” uygun dilekçe düzenleyerek, İzibiz’in “Altayçeşme Mahallesi, Çamlı Sok. No:16 DAP Royal Center A Blok Kat:15 D:67, 34843 Maltepe/İstanbul” adresine bizzat başvurarak veya posta yoluyla fiziki olarak gönderebileceğiniz gibi; kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle “info@izibiz.com.tr” adresine elektronik ortamda da gönderebilirsiniz.

Kimliğini tevsik edici belgelerin, varsa talebi destekleyici belgelerin, Veri Sahibinin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, bu konuda özel yetkiyi içeren vekaletname suretinin formun ekinde iletilmesi zorunludur.

10.4. Şirketimizin Başvurulara Cevap Vermesi

Kişisel veri sahibinin, talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak cevaplandırılacaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

Başvuruda; bilgilerin eksik veya yanlış paylaşılması, talebin açık ve anlaşılır bir şekilde dile getirilmemiş olması, talebi destekleyici nitelikteki belgelerin hiç veya gereği gibi iletilmemesi, vekil

suretiyle yapılan başvurularda vekaletname suretinin eklenmemesi gibi durumlarda Şirket, talepleri karşılamakta güçlük yaşayabilecek ve araştırma sürecinde gecikmeler yaşanabilecektir. Bu nedenle Kanun’un 11. Maddesinde belirtilen hakları kullanımında bu hususlara riayet edilmesi önem arz etmektedir. Aksi durumda yaşanacak gecikmelerden Şirketimiz sorumlu tutulamayacaktır.

Hatalı, gerçeğe/hukuka aykırı ve/veya kötüniyetli başvurular karşısında şirketimizin yasal hakları saklıdır.

11. KİŞİSEL VERİ KOMİTESİ :

Şirket, bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, kanuna ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi bir yönetici, bir idari uzman ve bir teknik uzman olmak üzere üç kişiden oluşur. Kişisel Veri Komitesinde görevli Şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

Kişisel Veri Komitesi Yöneticisi ( Unvanı ) : Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi, Saklanması ve İmhası Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.

Kişisel Veri Komitesi İdari Uzmanı ( Unvanı ) : İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; işleme, saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; işleme, saklama ve imha süreçlerinin yürütülmesinden sorumludur.

Kişisel Veri Komitesi Teknik Uzmanı ( Unvanı ) : İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; işleme, saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; işleme, saklama ve imha süreçlerinin yürütülmesinden sorumludur.

12. GÜNCELLEME VE UYUM :

Şirket, mevzuatta yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verilerin İşlenmesi, Saklanması ve İmhası Politikasında değişiklik yapma hakkını saklı tutar.

İşbu Kişisel Verilerin İşlenmesi, Saklanması ve İmhası Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

İşbu Politika İZİBİZ BİLİŞİM TEKNOLOJİLERİ A.Ş. tarafından hazırlanmış olup, İZİBİZ BİLİŞİM TEKNOLOJİLERİ A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.

EK

VERİ SAHİBİ BAŞVURU FORMU

İZİBİZ BİLİŞİM TEKNOLOJİLERİ A.Ş. (İZİBİZ/ŞİRKET)

Altayçeşme Mahallesi, Çamlı Sok. No:16 DAP Royal Center A Blok Kat:15 D:67

34843 Maltepe/İstanbul

“info@izibiz.com.tr”

1. Başvuru yapan kişinin kimlik ve iletişim bilgileri:

Ad – Soyad                 :

TC Kimlik No            :

Telefon No                 :

E-posta                       : 

Adres                          :

1. Lütfen İzibiz ile olan ilişkinizi belirtiniz. (Müşteri, eski çalışan, üçüncü taraf firma çalışanı gibi)

☐ Müşteri                  ☐ Tedarikçi              ☐ İş ortağı                 ☐ Ziyaretçi   

Şirketimiz içerisinde iletişimde olduğunuz birim/kişi ve konu : ……………………………. ………………………………………………………………………………………………..

☐ Mevcut Çalışan;   

☐ Eski Çalışan; Çalıştığı Yıllar : ……………………………………………………………

☐ Çalışan adayı; İş Başvurusu Tarih : …………………………………………………..……

☐ Üçüncü Kişi Firma ilgilisi; Firma ismi ve pozisyon bilgisi : …………….……………….

………………………………………………………………………………………………..

☐ Diğer: …………………………………………………………………………………….. ……………………………………………………………………………………………….. ………………………………………………………………………………………….……

1. Lütfen Kişisel Verilerin Korunması Kanunu kapsamındaki talebinizi detaylı olarak belirtiniz.……………………………………….……………………………….……………………………….……………………………….……………………………………………………….……………………….…………………………………………

.………………………………………………….………………………………………………………………….…………………………………………………………………………… …

1. Lütfen başvurunuz ile ilgili yanıtı hangi yolla almak istediğinizi belirtiniz.

☐Yazılı Olarak Posta yoluyla                                  ☐E-Posta Yoluyla

Açıklama                   :

• Başvuru formu, İzibizle olan ilişkinizin tespit edilmesi, İzibiz tarafından işlenen kişisel verileriniz varsa, başvurunuzu doğru ve kanuni süresi içerisinde yanıtlayabilmemiz için hazırlanmıştır.
• Kişisel Verilerin Korunması Kanunu kapsamındaki taleplerinizin yazılı olarak veya Kişisel Verilerin Korunması Kurulu tarafından belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir.
• Bu itibarla; yazılılık koşulu kapsamında, işbu başvuru formunu tamamlayarak, imzalı bir örneğini Şirketimizin “Altayçeşme Mahallesi, Çamlı Sok. No:16 DAP Royal Center A Blok Kat:15 D:67, 34843 Maltepe/İstanbul” adresine bizzat başvurarak veya posta yoluyla fiziki olarak gönderebileceğiniz gibi, kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle “info@izibiz.com.tr” adresine elektronik ortamda da gönderebilirsiniz.
• Hukuki ve cezai riskleri önlemek için Şirketimizin kimlik ve yetki tespiti yapabilmesi için ek bilgi/belge talep hakkı saklıdır.
• Lütfen işbu form kapsamında tarafımıza ilettiğiniz taleplerinizin doğru ve güncel olmasına dikkat ediniz. Zira iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Şirketimiz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı herhangi bir sorumluluk kabul etmemektedir.
• Tarafımıza iletilmiş olan başvurularınız KVK Kanunu’nun 13’üncü maddesinin 2’inci fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren 30 (otuz) gün içinde sonuçlandırılacaktır. Yanıtlarımız ilgili KVK Kanunu’nun 13’üncü maddesi hükmü gereğince yazılı veya elektronik ortamdan tarafınıza ulaştırılacaktır. Talebinizi yazılı veya elektronik ortamda cevaplamamız seçiminize göre yapılacaktır. Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ uyarınca Yazılı cevap talep etmeniz durumunda, cevabın 10 sayfayı geçmesi halinde, 10 sayfayı geçen her sayfa başına 1 TL, elektronik cevap verilmesi durumunda cevap verilen kayıt ortamının ücreti tarafınızdan tahsil edilebilir.

Başvuru Sahibi (Kişisel Veri Sahibi)

Adı Soyadı                 :

Başvuru Tarihi           :

İmza                           :