Pİ GROUP BİLİŞİM TEKNOLOJİLERİ SAN.VE TİÇ.LTD.ŞTİ.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

İÇİNDEKİLER

1. AMAÇ VE KAPSAM………………………………………………………………………………………………… 2
2. HEDEF………………………………………………………………………………………………………………….. 2
3. TANIMLAR…………………………………………………………………………………………………………….. 3
4. UYGULAMA VE YÜRÜRLÜK…………………………………………………………………………………….. 3
5. VERİ GÜVENLİĞİ……………………………………………………………………………………………………. 3
6. KİŞİSEL VERİLERİN İŞLENMESİ YÖNTEMİ……………………………………………………………….. 4
7. KİŞİSEL VERİLERİN İŞLENMESİNDE ESAS ALINAN TEMEL İLKELER…………………………. 4
8. Pİ GROUP TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI……………………. 6
9. KİŞİSEL VERİLERİ İŞLEME AMAÇLARIMIZ……………………………………………………………….. 7
10. KİŞİSEL VERİLERİN AKTARILMASI………………………………………………………………………….. 8
11. KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI…………………………. 8
12. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ……………………………………………………………. 9
13. KİŞİLER VERİLERİN KATEGORİZASYONU…………………………………………………………….. 10
14. İLGİLİ KİŞİLERİN KATEGORİZASYONU ………………………………………………………………….. 10
15. ŞİRKETİMİZ OSİLERİNDE ZİYARETCİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI 11
16. KİŞİSEL VERİLERİN SİLİNMESİ YOKEDİLMESİ VE ANONİMLEŞTİRİLMESİ ………………… 12
17. Pİ GROUP TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI     12
18. Pİ GROUP TARAFINDAN VERİLERİN GÜVENLİĞİ VE GİZLİLİĞİNİN SAĞLANMASI………. 13
19. VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ …………………………………… 14
20. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ ….. 15
21. POLİTİKANIN DİĞER ŞİRKET BELGELERİ İLE OLAN İLİŞKİSİ …………………………………… 15

EK – 1 KISALTMALAR………………………………………………………………………………………………….. 16

1. AMAÇ VE KAPSAM

Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti. (“Şirket”) olarak kişisel verilerin korunmasına büyük önem vermekteyiz. Bu kapsamda şirketimiz çalışanları, ziyaretçileri, iş ortakları, yetkilileri, stajyerlerine, tedarikçileriyle sınırlı olmamak kaydıyla verilerini  işlediğimiz tüm İlgili Kişilere ait kişisel verilerin hukuka uygun bir şekilde işlenmesine ve korunmasına özen gösteriyoruz.

Pi Group Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), Şirketimizin faaliyetlerini yürütürken işleyeceği kişisel verilerin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere diğer ilgili mevzuat hükümlerine ve hukuka uygun olarak işlenmesi amacıyla hazırlanmıştır. Bunun yanında Politika, kişisel verilerin hukuka uygun olarak işlenmesinin bir politika haline getirilmesi ve İlgili Kişiler’i Şirketimizin işlediği kişisel veriler hakkında bilgilendirerek şeffaflığın sağlanması amaçlanmıştır.

Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti.. KVKK Politika, İlgili Kişiler’e ilişkin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri kapsar. Kişisel verilerin Şirketimiz tarafından başlıca işlenme yöntemleri, basılı evrak, telefon, internet sitesi, online hizmetler, e- mail, sosyal medya ve benzeri vasıtalar ile sözlü, yazılı ya da elektronik platformlardır.

2. HEDEF

Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti. Politikası ile, Pi Group bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda Pi Group KVKK Politikası, KVKK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme ve kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlama amacı taşımaktadır.

3. TANIMLAR

   Pi Group KVKK Politikası’nda kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:

Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hale Getirme : Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ:  10 Mart 2018 tarihli ve 30356 sayılı Resmi Gazete ’de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.

Çalışan(lar): Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti. çalışan(lar)ı.

Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik: 20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete ‘de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.

Kişisel Sağlık Verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgi.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 KVKK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ‘de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. KVK Kurulu: Kişisel Verileri Koruma Kurulu.

KVKK Kurumu: Kişisel Verileri Koruma Kurumu.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

Pi Group / Şirket: Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti.

Pi Group Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Pi Group tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti.. Kişisel Veri Saklama ve İmha Politikası”.

Pi Group KVKK Politikası: Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti. Kişisel Verilerin Korunması ve İşlenmesi Politikası.

  Pi GroupTedarikçileri: Sözleşme temelli olarak Pi Group hizmet sunan taraflar.

Pi Group Veri Sahibi Başvuru Formu: Veri sahiplerinin, KVKK Kanunu’nun 11. maddesinde yer alan haklarına ilişkin başvurularını kullanırken yararlanacakları başvuru formu.

Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.

Veri Sorumluları Sicili : KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ : 10 Mart 2018 tarihli ve 30356 sayılı  Resmi Gazete ‘de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliği

4. UYGULAMA VE YÜRÜRLÜK

Kişisel verilerin işlenmesi ve korunması öncelikle KVKK ve yürürlükte bulunan yasal mevzuatlara  göre  düzenlenecektir. Yasal mevzuatlar değişikliğe uğrayabildiği için şirketimiz belli aralıklarla gözden geçirilerek, Politika’yı  güncelleyebilir.

5. VERİ GÜVENLİĞİ

Şirketimiz, KVKK’nın 12. Maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, verilerin hukuka uygun bir şekilde korunmasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

Kişisel verilerin hukuka aykırı işlenmesini, bu verilere hukuka aykırı erişimi önlemek ve kişisel verilerin hukuka uygun muhafazasını sağlamak için alınan başlıca teknik ve idari tedbirler aşağıda sıralanmaktadır:

• Kişisel verilerin güvenliğini sağlamak için yapılacak teknolojik yatırımlar bu yatırımların maliyetleri belirlenerek planlanmıştır.
• Teknik konularda bilgili personel istihdam
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için uygun yedekleme programları kullanılmaktadır.
• Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi ve kişisel verilere hukuka aykırı erişimi engellemek için alınacak tedbirler konularında bilgilendirilmekte ve eğitilmektedir.
• Şirketimizin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmiş, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler detaylı ve süreç bazlı bir kişisel veri envanterine yansıtılmıştır.
• Söz konusu envanter çerçevesinde hukuki yükümlülüklerimizin yerine getirilmesi için Şirket genelinde çalışmalar başlatılmış, Şirket belgeleri KVKK açısından incelenerek bu belgeler üzerinde gerekli değişiklikler yapılmış ve eksik olan belgeler hazırlanmıştır.
• Envanterde yer alan hukuki gerekliliklere uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
• Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler

6. KİŞİSEL VERİLERİN İŞLENMESİ YÖNTEMİ

Kişisel veriler, Şirketimizin internet sitesi ve diğer online sistemler yapılan yazılı/dijital başvurular, telefon görüşmeleri, e-mail yazışmaları, organizasyonlar dahil olmak üzere destek hizmeti kuruluşları gibi Şirketimiz veya Şirketimizin temsil yetkisi bulunan kuruluş ve kişilerin ilgili kişilerle iletişime geçtiği veya ileride iletişime geçebileceği kanallar aracılığıyla ilgili mevzuatın ve yapılan anlaşmaların izin verdiği ölçüde ve çizdiği sınırlar dahilinde, hukuken zorunlu olduğu durumlarda ilgili kişilerin onayı da alınarak toplanmaktadır.

Bu yöntemlerle toplanan kişisel veriler, KVKK’nın 5. ve 6. Maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında Politika’nın bu maddesinde belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir.

Ayrıca, Şirketimizin internet sitesinde (www.ritzyteknikservis.com) kullanılan çerezler (cookie) ile de  kişisel veriler Çerez Politikamıza uygun olarak işlenebilmektedir. Çerezlerin kullanılması, tarayıcı ayarlarının buna uygun biçimde değiştirilmesi ile önlenebilir. Ancak bu işlem, internet sitesini tam kapsamıyla kullanamamanıza neden olabilir.

Şirketimiz, KVKK’nın 10. Maddesine ve Aydınlatma Tebliği hükümlerine uygun olarak, kişisel verilerin elde edilmesi sırasında İlgili Kişiler’i aydınlatmaktadır. Bu kapsamda Şirketimiz ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişiler’in KVKK’nın 11. Maddesi kapsamında sahip olduğu hakları konusunda aydınlatma yapmaktadır. Şirketimiz, KVKK’nın 10. Maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi İlgili Kişi gruplarının kişisel verilerini işlediğini, İlgili Kişi’nin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini İlgili Kişiler’e bildirmektedir.

Kişisel verilerin işlenme şartlarından bir diğeri ise İlgili Kişi’nin açık rızasıdır. Şirketimiz, açık rıza alınması gereken durumlarda İlgili Kişi’ye açık rızasını belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklama fırsatı sunmaktadır.

Şirketimiz, kural olarak kişisel verilerin işlenmesi için İlgili Kişiler’in açık rızalarını yazılı olarak almaktadır. Ancak KVKK’nın 5/2. veya 6/3. Maddelerinde belirtilen kişisel veri işleme şartlarından herhangi birinin varlığı durumunda İlgili Kişiler’in açık rızası aranmamaktadır.

7. KİŞİSEL VERİLERİN İŞLENMESİNDE ESAS ALINAN TEMEL İLKELER

Şirketimiz, kişisel verileri KVKK’nın 4. Maddesinde düzenlenen aşağıdaki Mevzuat ilkeler çerçevesinde işlemektedir.

Pi Group veri işleme faaliyetlerini yürütürken

1. Genel ilkelere
2. Kişisel veri işleme şartlarına

• Özel nitelikli kişisel veri işleme şartlarına

uygun hareket etmektedir.

7.1. Kişisel Verilerin Genel İlkelere Uygun olarak İşlenmesi

1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Pi Group kişisel verilerin işlenmesinde yasal düzenlemelerle getirilen genel güven ve dürüstlük ilkesine uygun hareket etmektedir. Şirketimiz faaliyetlerinde kişisel verilerin işlenmesi dürüstlük ve hukuk kurallarına uygun ve şeffaf olarak yürütülmektedir.

1. Kişisel Verilerim Doğru ve Güncel olmasını Sağlama

Pi Group; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel tutulmasını sağlamak için çabayı sarfetmektedir. Şirketimiz bu konuda gerekli idari ve teknik tedbirleri almakta ve kişisel veri sahiplerinin kişisel verilerini düzeltme ve teyit etmelerine yönelik imkanları sağlamaktadır.

1. Kişisel Verileri, Belirli, Açık ve Meşru Amaçlarla İşleme

Pi Group; kişisel veri işleme amacını açık ve kesin olarak belirlemekte ve veri işleme faaliyetlerini meşru ve hukuka uygun olarak yürütmektedir.

1. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, yalnızca belirli ve geçerli bir amaç ile kişisel veri işlemekte, hiçbir şekilde kişisel verilerin işlenmesi esnasında mevcut olmayan fakat ilerde gerçekleşebileceği düşünülen amaçlarla kişisel veri işlememektedir. Örneğin, satış amacıyla işlediği kişisel verileri daha sonra pazarlama amacı için kullanmamakta, farklı amaçlar için kişisel veri işlenecekse İlgili Kişiler’e farklı bilgilendirmeler yapmaktadır. Bunun yanında amacın dışına çıkan kişisel veriler işlenmemektedir.

1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza

Etme

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtilen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmektedir. Böyle bir süre belirlenmişse Şirketimiz bu süreye uygun davranmakta; belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Sonradan ihtiyaç doğabileceği ihtimali ile kişisel veri saklanmamaktadır.

7.2. Kişisel Verilerin Genel İlkelere Uygun olarak İşlenmesi

1. Açık Rızanın Alınması

Kişinin kişisel verileri kanun gereği ilgili kişinin açık rızası olmadan işlenemez Veri sahibinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak onay vermesi halinde, Pi Group tarafından kişisel veri işleme faaliyeti yürütülür.

1. Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmüş Olması

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Pi Group tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veri işleme faaliyeti yürütülebilecektir.

1. Fiili İmkânsızlık Nedeniyle Veri Sahibinin Açık Rızasının Elde Edilememesi ve Kişisel Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin rızasını açıklayamadığı veya rızasına geçerlilik tanınmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için kişisel verilerin işlenmesi zorunlu ise, Pi Group tarafından bu kapsamda veri işleme faaliyeti yürütülür.

1. Kişisel Veri İşleme Faaliyetinin Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olan hallerde, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerekli ise Pi Group tarafından veri işleme faaliyeti yürütülür.

 e.Pi Group’in Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması

Hukuka uygunluk konusunda gerekli hassasiyeti göstermeyi Şirket politikası olarak benimsemiş olan Pi Group hukuki yükümlülüğünün söz konusu olması durumunda, hukuki yükümlülüğün yerine getirilmesi için kişisel veri işleme faaliyeti yürütülür.

1. Veri Sahibinin Kişisel Verisini Alenileştirmesi

Pi Group tarafından, ilgili kişinin kendisi tarafından alenileştirilen (herhangi bir şekilde kamuya açıklanan) kişisel veriler alenileştirilme amacına uygun olarak işlenir.

1. Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Kişisel verilerin işlenmesinin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması durumunda, Pi Group tarafından bu zorunluluk ile paralel olarak kişisel veri işleme faaliyet yürütülür.

1. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin Pi Group’in Meşru Menfaatleri için Zorunlu Olması

Pi Group’in meşru menfaatleri için, kişisel veri işlemenin zorunlu olması durumunda, veri sahibinin temel hak ve özgürlüklerine zarar verilmeyecek ise veri işleme faaliyeti yürütülebilecektir.

7.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına Uygun Olarak İşlenmesi

Özel nitelikli kişisel veriler, yalnızca ilgili kişinin açık rızasının bulunması şartıyla işlenebilmektedir. Ancak cinsel hayat ve kişisel sağlık verileri dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza almaksızın işlenebilir. Dolayısıyla KVKK uyarınca aksi öngörülene dek kişisel sağlık verileri yalnızca açık rıza kapsamında veya sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilir.

Pi Group, özel nitelikli kişisel verilerin işlenmesi ve korunmasına ilişkin belirlenen önlemleri almaktadır. Pi Group, özel nitelikli kişisel verilerin korunması ve güvenliği hususuna azami hassasiyet göstermekte olup özel nitelikli kişisel verilerin korunmasına ilişkin alınan teknik ve idari önlemleri özenle uygulanmakta ve Pi Group bünyesinde gerekli denetimler yapılmaktadır.

7.4 Kişisel Veri Aktarım Şartlarına Uygunluk

Pi Group tarafından gerçekleştirilecek kişisel veri aktarımlarında KVKK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.

1. Kişisel Verilerin Yurtiçinde Aktarılması

Pi Group tarafından, KVKK Kanunu’nun 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına (Pi Group KVKK Politikası) uygun olarak hareket edilmektedir.

1. Kişisel Verilerin Yurtdışına Aktarılması

  Pi Group tarafından, KVKK Kanunu’nun 9. maddesi gereğince kişisel veriler;

• Kişisel veri işleme şartlarına (Bkz. Pi Group KVKK Politikası) uygun olarak ve

(ii) aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkelerden olması   veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVKK Kurulunun izninin bulunması

ile yurtdışına aktarılabilmektedir.

1. c. Pi Group Tarafından Kişisel Verilerin Aktarıldığı Kişi Grupları

Pi Group, KVKK Kanunu’nun 8. ve 9. maddelerine uygun olarak Pi Group KVKK Politikası kapsamı dahilinde olan veri sahiplerinin (Bkz. Pi Group KVKK Politikası) kişisel verilerini aşağıda sıralanan kişi gruplarına belirtilen amaçlarla aktarabilir:

• Pi Group İş Ortaklarına, iş ortaklığının kurulması ve sürdürülmesinin temini amacıyla sınırlı

olarak,

(ii)  Pi Group Tedarikçileri ‘ne, tedarikçiden temin edilen ve Pi Group’in ticari faaliyetlerini yerine getirmek amacıyla sınırlı olarak,

  (iii) Yetkili kamu kurum ve kuruluşları ile yetkili özel hukuk kişilerine, ilgili kişilerinin hukuki yetkisi 

  dahilinde talep ettiği amaçla sınırlı olarak,

  (iv) Üçüncü kişilere kişisel veri aktarım şartlarına uygun olarak.

8. Pİ GROUP TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

Pi Group, KVKK Kanunu’nun 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin  elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda

Pi Group tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:

  (1) Şirketimizin unvanı,

  (2) Pi Group tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği,

  (3) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

  (4) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

  (5) Veri sahibinin hakları

9. KİŞİSEL VERİ İŞLEME AMAÇLARIMIZ

Şirketimiz, kişisel verileri; yürüttüğümüz faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi; Şirketimiz ve Şirketimizle iş ilişkisi içerisinde olan İlgili Kişiler’in hukuki, teknik ve ticari-iş güvenliğinin temini; Şirket’in ticaret ve/veya iş stratejilerinin planlanması ve icrası; Şirketimiz tarafından sunulan hizmetlerden İlgili Kişiler’i faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi; insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi kapsamında aşağıdaki amaçlarla (ancak bunlarla sınırlı olmamak üzere) işlemektedir.

1. Şirket faaliyetlerinin yürütülmesi
2. Kurumsal iletişimin planlanması ve icrası,
3. İnsan Kaynakları ve iş sağlığı ve güvenliği süreçlerinin planlanması ve icrası,
4. Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
5. Şirket yenilikleri ve faaliyetlerinden ilgili kişileri haberdar edebilmek,
6. İnternet sitemizde yer alan e-posta adreslerimiz üzerinden gönderilen bilgiler üzerinden ilgili kişilerle iletişime geçilmesi,
7. Hizmetlerimiz karşılığı faturalandırma ve diğer muhasebe işlemlerinin yürütülmesi,
8. İş süreçlerinde güvenliğin ve planlı periyodik iç kontrol ve denetim faaliyeti gibi gerekli görülen kontrol ve denetimlerin sağlanması,
9. Şirket merkezinin bina güvenliğinin sağlanması,
10. Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
11. Talep ettiğiniz hizmetin sunulması,
12. Sözleşmesel süreçlerin yönetilmesi ve sözleşmesel yükümlülüklerin ifa edilmesi,
13. İşyeri kurallarının uygulanması, iç kontrolü ve denetimi,
14. Hizmetlerimize ilişkin teklif sunulması,
15. Hizmetlerimizden duyduğunuz memnuniyetin ölçülmesi ve bu doğrultuda hizmetlerimizin geliştirilmesi, risk yönetimi Kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası; iş sürekliliğin sağlanması,
16. Finans, iletişim, pazar araştırması ve satın alma operasyonlarımızın yürütülmesi,
17. Şirket içi sistem ve uygulama yönetimi operasyonlarının sürdürülmesi,
18. Sponsorlarımız, tedarikçilerimiz ve diğer iş ortaklarımız ile ilişkilerin yönetilmesi,
19. Organizasyonlarda fotoğraf ve video çekimi yapılması, pazarlama faaliyetlerinin yönetilmesi, internet sitesi üzerinden yürütülen pazarlama faaliyetlerinin ilgili tedarikçiler ile birlikte yürütülmesi, organizasyon katılımcılarının kayıtlarının oluşturulması,
20. Mevzuattan kaynaklanan yasal yükümlülüklerin yerine getirilmesi,
21. Türkiye’de bulunan Pi Group Şirketleri ile iletişimin sağlanması, gerekli faaliyetlerin ve raporlama aktivitelerinin yürütülmesi,
22. Mal ve numunelerin sevkiyatının sağlanması,
23. Sosyal Güvenlik Kurumu gibi kamu kurum ve kuruluşları nezdindeki süreçlerin yönetilmesi,
24. Suistimal ve yetkisiz işlemlerin izlenmesi ve

Yukarıdaki amaçlar doğrultusunda, Şirketimizce yürütülen faaliyetlerin ve süreçlerin büyük bir bölümünün KVKK 5/2. ve 6/3. Maddeler kapsamına girdiği ve dolayısıyla İlgili Kişiler’in açık rızasını gerektirmediği görülmektedir. Ancak yürütülen faaliyetlerin ya da süreçlerin bu kapsama girmemesi halinde İlgili Kişiler’in açık rızası alınmaktadır.

10. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, yukarıda belirtilen amaçların gerçekleştirilebilmesi ve kanundan doğan yükümlülüklerin yerine getirilmesi için gerektiği ölçüde ve bu amaçlarla sınırlı olmak kaydıyla; Şirketimizin sunduğu hizmetin ifası için işbirliği içinde olduğumuz ve hizmet aldığımız tedarikçilerimizle, sponsorlarımızla, iş ortaklarımızla, özel sigorta Şirketleri, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, ilgili diğer resmi kurum ve kuruluşlar, mahkemeler, yetki vermiş olduğunuz temsilcileriniz ve/veya çalışmakta olduğunuz kurumlar dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar ve resmi merciler, Şirketimizin bağlı bulunduğu faaliyet ortakları ile paylaşılabilecektir.

Kişisel veriler, depolanıp muhafaza edilebilecek, pazar araştırması, finansal ve operasyonel süreçler ile pazarlama faaliyetleri gereği sınıflandırılabilecek, değişik periyotlarda güncellenebilecek ve mevzuatın elverdiği ölçüde, yasalar çerçevesinde ve gizlilik esasları kapsamında hizmetin gerektirdiği 3. Kişiler ve/veya tedarikçiler ve/veya hizmet sağlayıcıları, iş ortakları, bağlı olduğumuz politikalar uyarınca ve diğer otoritelerce öngörülen nedenlerle bilgi aktarılabilecek, depolanabilecek, raporlamak suretiyle işlenebilecek elektronik veya kağıt ortamında işleme dayanak olacak şekilde kayıt ve belge düzenlenebilecek, KVKK’nın kişisel verilerin aktarılmasına ilişkin 8. Maddesi ve kişisel verilerin yurt dışına aktarılmasına ilişkin 9. Maddesinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

Şirketimiz, KVKK’nın 5/2. ve 6/3. Maddelerinde yer alan şartların sağlanması halinde, KVK Kurulu tarafından öngörülen yeterli önlemleri alarak kişisel verileri ve özel nitelikli kişisel verileri İlgili Kişi’nin açık rızası olmaksızın aktarabilmektedir.

Kişisel bilgileriniz her zaman gizlilik içinde işlenecek ve verilerin paylaşılmasına yazılı ya da elektronik olarak rıza göstermediğiniz veya KVKK 5/2. Madde altında yer alan sebepler mevcut olmadığı ya da yasal olarak zorunluluğumuz bulunmadığı sürece adımıza hareket etmeyen üçüncü taraflarla paylaşılmayacaktır.

  Aynı zamanda yukarıda belirtilen amaçlar dahilinde kişisel bilgiler, ağımızdaki diğer global şirketlerle      

  paylaşılabilir ve bu kapsamda bulut bilişim teknolojileri gibi hizmetlerin en verimli şekilde sunulabilmesi  

  için mevcut teknolojik ürünlerden yararlanılabilecektir.

 11.KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI

  Şirketimiz, KVKK’nın 10. Maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını İlgili Kişi’ye 

  bildirmektedir. Aktarımda bulunulan kişiler,bu kişilerin kapsamı ve veri aktarım amaçları aşağıda 

  belirtilmektedir.

12. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Şirketimiz kişisel verileri ve özel nitelikli kişisel verileri KVKK ve ilgili diğer mevzuatta öngörülen sürelerle sınırlı olarak saklamaktadır. Yukarıda belirtilen kişisel veriler, Şirketimize ve/veya tedarikçilerimize ait fiziki arşivler ve bilişim sistemlerine nakledilerek, hem dijital hem de fiziki ortamda muhafaza altında tutulabilecektir.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre belirtilmemişse kişisel veriler aşağıdaki kriterler göz önüne alınarak belirlenen süre boyunca saklanmakta ve bu sürenin ardından imha edilmektedir:

1. İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
2. İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
3. İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
4. İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
5. Belirlenecek azami     sürenin     ilgili     veri     kategorisinin doğru ve  gerektiğinde güncel tutulmasına elverişli olup olmadığı,
6. Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
7. Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Şirketin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirketimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

,

13. KİŞİSEL VERİLERİN KATEGORİZASYONU

Şirketimizde kişisel veriler aşağıdaki tabloda gösterilen kategoriler altında işlenmektedir.

Kimlik Bilgisi             :  Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği, Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler

İletişim Bilgisi            : Telefon numarası, adres, e-posta gibi bilgiler

Müşteri Bilgisi           : Hizmetlerimiz çerçevesinde iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler

Aile Bireyleri ve Yakın Bilgisi: Çalışanların hukuki menfaatlerini korumak amacıyla İlgili Kişi’nin aile bireyleri ve yakınları hakkındaki bilgiler, ziyaretçi çocukların aileleri ya da yakınlarına ilişkin bilgiler

İşlem Güvenliği Bilgisi          : Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz

Risk Yönetimi Bilgisi             : Teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler

Ücretlendirme, Bordrolama, Özlük Bilgisi: Çalışanlarımızın veya Şirketimizle çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri

Çalışan Adayı Bilgisi : Şirketimizin çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Şirketimizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler

Ücret, Yan Haklar ve Menfaatler Bilgisi : Çalışanlara veya Şirketimizle çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız ücret, yan haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi için işlenen kişisel verileriniz

Hukuki İşlem ve Uyum Bilgisi : Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz

Denetim ve Teftiş Bilgisi : Şirketimizin kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel verileriniz

Özel Nitelikli Kişisel Veri : KVKK’nın 6. Maddesinde belirtilen veriler

Talep Şikayet Yönetimi Bilgisi : Şirketimize yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler

Olay Yönetim Bilgisi : Şirketimizin, çalışanlarının, hissedarlarının etkileme potansiyeli olan olaylarla ilgili toplanan bilgiler ve değerlendirmeler

Görsel/İşitsel Veri : Fotoğraf ve kamera kayıtları, ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler

14. İLGİLİ KİŞİLERİN KATEGORİZASYONU

Şirketimiz tarafından, aşağıda sıralanan İlgili Kişi kategorilerinin kişisel verileri işlenmekle birlikte, Politika’nın uygulama kapsamı İlgili Kişiler ile sınırlıdır. Bu kişilere ilişkin açıklamalar aşağıdaki tabloda yer almaktadır.

Şirketimiz tarafından İlgili Kişiler’in kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de KVKK kapsamında Şirketimize taleplerini yöneltebilecek olup; bu kişilerin talepleri de Politika kapsamında değerlendirmeye alınacaktır.

Müşteri                      : Şirketimizden hizmet alan gerçek kişiler ya da park içinde faaliyet gösteren anlaşmalı sponsorlarımız

Potansiyel Müşteri     : Hizmetlerimizden yararlanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler

Ziyaretçi                    : Şirketimizin sahip olduğu veya bir organizasyon gerçekleştirdiği fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler

Üçüncü Kişi               : Şirketimizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. kefil, refakatçi, aile bireyleri ve yakınlar) veya Politika kapsamında açıkça belirtilmese de Şirketimizin kişisel verilerini belirli bir amaçla işlemek durumunda olduğu tüm gerçek kişiler

Çalışan Adayı : Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler

Şirket Yetkilisi           : Şirketimizin yönetim kurulu üyesi ve Şirketimizce yetkilendirilen diğer gerçek kişiler

15. ŞİRKETİMİZ OFİSLERİNDE ZİYARETÇİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI

Şirketimiz tarafından güvenliğin sağlanması ve Politika’da belirtilen amaçlarla; bina ve şirketlerimiz içerisinde kalınan süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu kanuna göre düzenlenmiş olan mevzuatın emredici hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşlar tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirketimiz çalışanı erişilebilmektedir. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır.

16. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
17. Şirketimizin kişisel verileri silme, yok etme ve anonimleştirme yükümlülüğü

Türk Ceza Kanunu’nun 138., KVKK’nın 7. ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. Maddesi uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya İlgili Kişi’nin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Politika’da silme, yok etme ve anonim hale getirme kavramları, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’te yer alan tanımlar çerçevesinde kullanılmaktadır. Bu kapsamda Kişisel Verileri Saklama ve İmha Politikası hazırlanmıştır.

Şirketimizin KVKK’nın 5/2. Maddesi uyarınca kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan hallerde İlgili Kişi’nin imha talebini yerine getirmeme hakkı saklıdır.

1. Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi teknikleri

• Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

Şirketimiz tarafından kişisel verilerin silinmesi ve yok edilmesi teknikleri usul ve esasları aşağıda sayılmıştır:

• Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
• Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
• Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok

• Karartma: Kişisel verilerin fiziksel olarak okunamayacak hale

Yukarıda sayılan durumlar gerçekleşmesi sırasında Şirketimiz; KVKK, ikincil mevzuat ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.

• Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVKK’nın 28. Maddesi uyarınca; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tarz işlemeler KVKK kapsamı dışında olup bu kişisel veriler için İlgili Kişi’nin açık rızası aranmayacaktır.

17. Pİ GROUP TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI

Veri sahiplerinin kişisel verilerine ilişkin taleplerini Şirketimize yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Pi Group veri sorumlusu sıfatıyla KVKK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir. Pi Group, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Şirketimiz ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

Veri sahibinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, Pi Group tarafından gerekçesi açıklanarak talep reddedilebilecektir.

17.1.  Kişisel Veri Sahiplerinin Hakları

KVKK Kanunu’nun 11. maddesi uyarınca, Şirketimize başvurarak aşağıda yer alan konularda talepte bulunabilirsiniz:

 ⎯ Kişisel verilerinizin işlenip işlenmediğini öğrenmek,

 ⎯ Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etmek,

 ⎯ Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,

 ⎯ Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenmek,

 ⎯ Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve bu  kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,

 ⎯ KVKK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini istemek,

⎯ İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etmek,

⎯ Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etmek.

 17.2. Mevzuat Gereği Kişisel Veri Sahiplerinin Hakları Dışında Kalan Haller

KVKK Kanunu’nun 28. maddesi gereğince aşağıdaki hallerin KVKK Kanunu’nun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:

 ⎯ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

 ⎯ Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

 ⎯ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

 ⎯ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. KVKK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:

⎯  Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. ⎯ Kişisel veri sahibi (kendisi) tarafından alenileştirilmiş kişisel verilerin işlenmesi.

 ⎯ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

 ⎯ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

17.3. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

 Kişisel veri sahibi KVKK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Pi Group

’in cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikayette bulunabilir.

18. Pİ GROUP TARAFINDAN KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN

SAĞLANMASI

Pi Group tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

Bu kapsamda Pi Group tarafından gerekli her türlü (i) idari ve (ii) teknik tedbirler alınmakta, (iii) şirket bünyesinde denetim sistemi kurulmakta ve (iv) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVKK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.

1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Pi Group Tarafından Alınan İdari Tedbirler

⎯ Pi Group, kişisel verilerin korunması hakkındaki mevzuata ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.

 ⎯ Pi Group tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu ticari faaliyetler özelinde kişisel veri işleme faaliyetleri ortaya konulur. Bu kapsamda, KVKK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğun sağlanması için atılması gereken adımlar tespit edilir.

⎯ Pi Group, KVKK Kanunu’na uyumun sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.

⎯ Pi Group ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Pi Group’in talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir.

⎯ Kişisel verilerin aktarıma konu olduğu durumlarda, Pi Group tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi sağlanır.

 ⎯ İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanır ve uygulanır.

⎯ Çalışanlar, öğrendikleri kişisel verileri KVKK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilir ve bu doğrultuda kendilerinden gerekli taahhütler alınır.

1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Pi Group Tarafından Alınan Teknik Tedbirler

 ⎯ Pi Group tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkan verdiği ölçüde teknik önlemler alınır ve alınan önlemler gelişmelere paralel olarak güncellenir ve iyileştirilir.

⎯ Teknik konularda, uzman personel istihdam edilir.

⎯ Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.

⎯ Güvenliği temin edecek yazılım ve sistemler kurulur.

⎯ Pi Group bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır, yetkiler düzenli olarak gözden geçirilir.

⎯ İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınır.

⎯ Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulur.

⎯ Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilir. Bulunan açıkların kapatılması sağlanır.

  ⎯ Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanır, risk teşkil    

  eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilir.

1. Pi Group Tarafından Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütülmesi

Pi Group tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik tedbirlerin, idari tedbirlerin ve uygulamaların ilgili mevzuata, politika, prosedür ve talimatlara uyumu, işleyişi ve etkinliği üst yönetimin atadığı (alternative birim) tarafından denetlenir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, Pi Group Genel Müdürü’e raporlanır. Denetim sonuçlarına ilişkin planlanan aksiyonların düzenli olarak takibi süreç sahiplerinin sorumluluğundadır

1. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

Pi Group tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.

  19.VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ

Pi Group veri işlemeye başlamadan önce Kurul tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ne kayıt olmakla yükümlüdür. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):

1. Veri sorumlusu olarak Şirketin ve varsa temsilcisinin kimlik ve adres bilgileri,
2. Kişisel verilerin hangi amaçla işleneceği,
3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki

 açıklamalar,

1. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
2. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
3. Kişisel veri güvenliğine ilişkin alınan tedbirler, Pi Group tarafından, kişisel verilerin

 korunması mevzuatına uygunluğun sağlanması,

1. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

20. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİNDEN SORUMLU BİRİMİN TESPİTİ

 Kişisel verilerin muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu Veri Temsilcisi sağlayacaktır. Veri Temsilcisi Pi Group birimleri ve departmanları arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur. Bu kapsamda Veri Temsilcisi olarak atanacak kişi tarafından aşağıda sıralanan asgari aksiyonlar alınmalıdır:

1. Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,
2. Belirlenen temel politika ve aksiyon adımlarını üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
3. Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların ne şekilde uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, üst yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,
4. Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını sunmak,
5. Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,
6. Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
7. Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,
8. Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,
9. Kurum ve Kurul ile olan ilişkileri yönetmek

21. POLİTİKANIN DİĞER ŞİRKET BELGELERİ İLE OLAN İLİŞKİSİ

Politika, Şirketimize ait kişisel verilerin işlenmesine ilişkin temel nitelikteki düzenlemedir. Politika, Şirketimizin benzer amaçlarla oluşturduğu diğer politika, prosedür ve süreçlerle uyum içinde uygulanmak üzere hazırlanmıştır. Şirketimizin benzer amaçlarla hazırladığı başka politika ya da prosedür metinleri arasında herhangi bir çelişki olması halinde kişisel verilerin işlenmesi ile ilgili konularda Politika hükümleri dikkate alınacaktır.

Bu Politika dokümanı, Pi Group üst yönetimi  tarafından onaylandığı andan itibaren yürürlüğe girer. İşbu Politika’nın yürürlükten kaldırılması hususu hariç olmak üzere Politika içerisinde yapılacak değişiklikler ve ne şekilde yürürlüğe konacağı konusunda da Pi Group üst yönetimi tarafından belirlenir Üst Yönetim onayıyla işbu Politika içerisinde değişiklik yapılabilecek ve yürürlüğe konabilecektir.

Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile Pi Group KVKK Politikası arasında çelişki bulunması halinde, Pi Group yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir. Pi Group  KVKK Politikası, Pi Group internet sitesinde https://www.ritzyteknikservis.com yayımlanır ve kişisel veri sahiplerinin erişimine açıktır. İlgili mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, Pi Group KVKK Politikası’nda gerçekleştirilecek değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde veri sahiplerinin erişimine açılacaktır

Veri Sorumlusu:

Pi Group Bilişim Teknolojileri San.ve Tiç.Ltd.Şti.

Fenerbahçe Mah. Itridere Sok. No: 16 A  Kadıköy /İstanbul

Tel: 850 800 18 96

E-Mail : www.ritzyteknikservis.com

EK – 1 KISALTMALAR