Kişisel Verilerin Korunması ve İşlenmesi Politikası

ÖMER BAYRAM

İNŞAAT TAAHHÜT YAPI MALZEMELERİ ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. BÖLÜM

1-AMAÇ, KAPSAM, KISALTMA VE TANIMLAR İLE KISALTMALAR

1.1 AMAÇ:

MADDE-1)

Bu Politika’nın ve Kanun’un amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

Kişisel verilerin korunması Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi’nin (”İşveren, Şirket, İşyeri, Ö.B.A.Ş., Firma”) en önemli öncelikleri arasında olup, Şirket’imiz bu hususta yürürlükte bulunan tüm mevzuatlara uygun davranmak için azami gayreti göstermektedir. Bu konunun Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi, Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirket’imiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirket’imizin veri işleme faaliyetlerinin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirket’imiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz bu Politika kapsamında işlenmekte ve korunmaktadır. Şirket’imizin Faaliyetlerini ve Yükümlülüklerini yerine getirirken Politika’larımızın; 6698 Sayılı Kişisel Verileri Koruma Kanunu ve 28 Ekim 2017 Tarihli Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında “Yönetmelik” ile faaliyetlerimize yönelik iş ve işlemlerin yürütülmesi süreçleri ile diğer kanunların ve mevzuatların şartlarının usul, esas ve uyumunu sağlamak amaçlanmaktadır.

Ö.B.A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politika’sı, Ö.B.A.Ş. Kişisel Verilerin Saklanması ve İmha Politika’sı, Ö.B.A.Ş. Disiplin Yönergesi, Ö.B.A.Ş. Veri İşleme Envanteri, Ö.B.A.Ş. İşveren ile İşçi Arası Kişisel Verilerin Korunması Sözleşmesi, Ömer Bayram İnş. Taah. Yapı Malz. A.Ş. İş Sağlığı ve İş Güvenliği İç Yönetmeliği ve Diğer Sözleşme ve Yönergeler birbirini tamamlayıcı nitelikte olup ayrı ayrı düşünülemez.

1.2 KAPSAM:

MADDE-2)

Bu Politika ve Kanun hükümleri, kişisel verileri işleyen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kişisel Verilerin Korunması ve İşlenmesi Politikası, Şirket’imiz Çalışanları ve haricindeki kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere bu Politika’nın EK-1 (“EK-1 Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.

Çalışanlar’ımızın kişisel verilerinin korunmasına ilişkin Şirket’imizin yürüttüğü faaliyetler ise, bu Politika’daki esaslarla paralel olarak ele alınan Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.

Şirket’imizin yükümlülüklerini/faaliyetlerini yerine getirmek ve veri sahiplerini kişisel verilerinin işlendikleri amaç için gerekli olan kişisel verilerin korunması ve işlenmesi politikası, azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi tarafından; Şirket’imiz Hissedarları, Çalışanları, Tedarikçileri, Müşterileri, Katılımcıları, Eğitmenleri, İş Ortakları, Çalışan Adayları, Hizmet Sağlayıcıları, Ziyaretçileri ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, T.C. Kanunları, Ulusal/Uluslararası sözleşmeler, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili yönetmeliklere/mevzuatlara uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirleyerek, tüm kayıt ortamlarında kişisel verilerin işlenmesi ve korunmasına ilişkin bu Politika uygulanır.

1.3 KISALTMA VE TANIMLAR İLE TERİMLER:

MADDE-3) Bu Politika’ların ve Kanun’un uygulanmasında kısaltmalar ve tanımlar ile terimler aşağıdaki gibidir:

AGİ= Asgari Geçim İndirimi

Açık Rıza= Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.

Açık Rızanın Geri Alınması= İlgili kişinin, veri sorumlusuna belirli bir konuda, bilgilendirmeye dayanarak ve özgür iradesi ile verdiği rızasını ileriye etkili olmak üzere geri çekmesi.

Aktarım= Veri sorumlusu tarafından elde edilen kişisel verilerin yurt içindeki veya yurt dışındaki bir gerçek veya tüzel kişiye, kamu kurum ve kuruluşlarına veya diğer organlara açıklanması.

Aktif Rıza Yöntemi= İlgili kişinin aktif bir hareketini gerektiren ve hareketsiz kalmanın rıza gösterilmediği anlamına gelen rıza yöntemi.

Alenileştirme= Kişisel verilerin ilgili kişi tarafından bilerek ve isteyerek herhangi bir şekilde açıklanması.

Alıcı / Alıcı Grubu= Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Anonim Hale Getirme / Anonimleştirme= Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Aydınlatma= Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme.

Bağlayıcı Şirket Taahhüdü= Çok uluslu grup Şirket’lerde veya Şirket’ler topluluğunda, yeterli korumanın bulunmadığı ülkelerde kurulu Şirket’lere yapılacak kişisel verilerin aktarımında yeterli bir korumanın yazılı olarak taahhüt edilmesinde kullanılan veri koruma politikaları.

Başvuru Hakkı= İlgili kişinin, 6698 Sayılı Kanun’un uygulanmasıyla ilgili taleplerini yazılı olarak veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile düzenlenen diğer yöntemlerle veri sorumlusuna iletme hakkı.

Battaniye Rıza= Belirli bir konu ile sınırlandırılmayan ve ilgili işlemle sınırlı olmayan genel nitelikteki rıza.

Biyometrik Veri= Yüz görüntüleri veya daktiloskopik veriler gibi benzersiz tanıtıcılarla bir gerçek kişinin özgün bir şekilde teşhis ve teyit edilmesini sağlayan, bireyin fiziksel, fizyolojik ve davranışsal özelliklerine ilişkin spesifik (özel) teknik işlemlerden kaynaklanan kişisel veriler.

Bulut Bilişim= Düşük seviyede yönetim çabası ya da hizmet sağlayıcı etkileşimi ile hızlı bir şekilde sağlanıp serbest bırakılabilen bilgisayar ağları, sunucular, depolama, uygulamalar ve servisler gibi ayarlanabilir bilişim kaynaklarının müşterek havuzuna her yerden elverişli bir şekilde istenildiğinde ağa erişim sağlayan bir model.

Çalışan= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi’ne bağlı olarak çalışan gerçek kişi. (İşçi, Personel, Görevli, Çalışan)

De-Manyetize Etme= Manyetik medyanın (materyalin) özel bir cihazdan geçirilerek çok yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki kişisel verilerin okunamaz biçimde bozulması işlemi.

Denetim= Veri sorumlusunun Kanun hükümlerinin uygulanmasını sağlamak amacıyla kendi kurum veya kuruluşunda yapacağı veya yaptıracağı denetim.

Denge Testi= Birden fazla hak ve menfaatin yarıştığı durumlarda hangi hak ve menfaatin daha üstün geldiğini değerlendirmek için kullanılan test.

Doğrudan Tanımlayıcılar= Tek başlarına ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar.

Dolaylı Tanımlayıcılar= Diğer betimleyiciler ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar.

Düzeltme Hakkı= İlgili kişinin, eksik veya yanlış işlenmiş olan kişisel verilerinin düzeltilmesini veri sorumlusundan talep etme hakkı.

EBYS= Elektronik Belge Yönetim Sistemi

Elektronik Ortam= Kişisel Verilerin elektronik aygıtlar ile (sayısallaştırılarak) işlenmesi, saklanması ve iletilmesinin sağlandığı ortam.

Elektronik Olmayan Ortam= Elektronik ortamların dışında kalan tüm yazılı, görsel, basılı vb. diğer ortamlar.

Fiziksel Yok Etme= Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle kişisel verilerin fiziksel olarak erişilmez kılınması.

Genetik Veri= Bir gerçek kişinin fizyolojisi veya sağlığı ile ilgili benzersiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden elde edilen, kişinin kalıtım yoluyla veya sonradan edindiği özelliklerine ilişkin veriler

Gereklilik Testi= İlgili kişinin kişisel verilerinin, veri sorumlusu tarafından veri işleme şartlarının açık rıza dışında kalan diğer hukuki dayanakları çerçevesinde işlenmesinin gerekip gerekmediği hususunun değerlendirilmesi için kullanılan test.

Hassas Veri= Özel Nitelikli Kişisel Veri

Hizmet Sağlayıcı= Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek kişidir.

İlgili Kişi= Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı= Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi.

İmha= Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İşleme Şartı= Veri sorumlusunun kişisel verileri işleme faaliyetine dayanak yaptığı, 6698 Sayılı Kanun’da belirtilen durumlar.

Kanun= 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Karartma= Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler.

Katmanlı Bilgilendirme= Veri sorumlusu tarafından ilgili kişiye, kişisel verilerinin işlenmesine ilişkin olarak yapılacak bilgilendirmenin, çoklu kanallardan ve mecralardan istifade edilerek gerçekleştirilmesi.

Kayıt Ortamı= Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin üzerine kaydedilip saklandığı her türlü ortam.

Kayıt Yükümlülüğü= Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülük.

Kişisel İrtibat= Türkiye’de yerleşik olan tüzel kişi veri sorumluları ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcilerinin 6698 Sayılı Kanun ve bu Kanun’a dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Veri Sorumluları Siciline kayıt esnasında bildirilen gerçek kişi.

Kişisel Sağlık Verisi= Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisi.

Kişisel Veri= Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri İşleme Envanteri (Dökümü)= Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter(döküm).

Kişisel Verilerin İşlenmesi= Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Veri Saklama Süresi= 6698 Sayılı Kanun ve diğer kanun hükümlerine uygun olarak işlenmiş kişisel verilerin muhafaza edilebileceği ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami süre.

Kişisel Veri Saklama ve İmha Politikası= Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.

Kurul= Kişisel Verileri Koruma Kurulu veya Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu

KVKK= Kişisel Verileri Koruma Kurumu

KVKKK= Kişisel Verileri Koruma Kurumu Kurulu

Log= Bilişim sistemlerinin ürettiği olay kayıtlarının zaman damgalı olarak tutulması.

Matris= Süreçlere ait yetki ve rollerin belirlenmesi, görevlerin tanımlanması, sorumlulukların belirlenmesi, bilgi akışının tanımlanmasıdır.

Maskeleme= Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstünün çizilmesi, boyanması ve yıldızlanması gibi işlemler.

Meşru Menfaat= İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla gerçekleştirecek işleme faaliyetinde, veri sorumlusunun elde edeceği faydanın meşru, etkin, belirli ve mevcut bir menfaatine ilişkin olması.

Otomatik Yolla İşleme= İnsan müdahalesini ve çabasını en aza indirgeyerek, kişisel verilerin, dijital ortamda elektronik veya bilişim sistemleriyle belirli ölçütlere göre yapılandırılmasıyla gerçekleştirilen işleme.

Ö.B.A.Ş.= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi

Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu= Ö.B.A.Ş. Yönetim Kurulu ve Şirket’imiz adına, Şirket’imizi Temsil ve İlzama Yetkili gerçek ve/veya tüzel kişilerdir.

Ölçülülük= İşlenen kişisel verinin, veri işleme amacının gerçekleştirilmesi için gerekli olanla sınırlı tutulması, işlenen veri ile veri işleme amacı arasında makul bir dengenin bulunması.

Özel Nitelikli Kişisel Veri= Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Pasif Rıza Yöntemi= Özel olarak belirtilmesi halinde kişisel verilerin işlenmeyeceği, aksi halde ilgili kişinin aktif bir hareketi gerekmeksizin kişisel verilerin işlenebildiği rıza yöntemi.

Periyodik İmha= Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika= Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Kişisel Verileri Saklama ve İmha Politikası

Profilleme= Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla işlemek suretiyle, ilgili kişinin işteki performansı, ekonomik durumu, sağlığı, kişisel tercihleri, ilgi alanları, güvenilirliği, davranışları, konumu veya hareketlerine ilişkin hususların analiz edilmesi veya tahmin edilmesi başta olmak üzere söz konusu kişiye ilişkin belirli kişisel özelliklerin değerlendirilmesi şeklindeki kişisel veri işleme biçimi.

Sır Saklama Yükümlülüğü= Veri sorumlusu veya veri işleyenin öğrendikleri kişisel verileri 6698 Sayılı Kanun hükümlerine aykırı olarak başkalarına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü.

Silme= Kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Şantiye Departmanı= Mimar, Mühendis ve diğer teknik kişiler

Şikâyet= İlgili kişinin; veri sorumlusuna yaptığı başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, veri sorumlusunun cevabını öğrendiği tarihten itibaren Kişisel Verileri Koruma Kurumu Kurulu’na (KVKKK) ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’na yapacağı başvuru.

Şirket= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi

Üst Yönetim= Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Yönetim Kurulu ve/veya Yönetim Kurulu Başkanı

Üzerine Yazma= Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemi.

Veri Güvenliği= Kişisel verilerin hukuka aykırı olarak işlenmesini önleme, kişisel verilere hukuka aykırı olarak erişilmesini engelleme ve kişisel verilerin muhafazasını sağlamaya yönelik her türlü teknik ve idari tedbirlerle kişisel verilerin korunması.

Veri İşleyen= Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri İhlal Bildirimi= Veri sorumlusu tarafından işlenen kişisel verilerin, kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine, KVKKK’na ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’na bildirmesi.

Veri Kategorisi= Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfı.

Veri Kayıt Kategorisi (Sistemi)= Kişisel verilerin belirli kriterlere (kıstas) göre yapılandırılarak işlendiği kayıt sistemi.

Veri Konusu Kişi Grubu= Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisi.

Veri Minimizasyonu= Veri sorumlusunun Kanun’da belirtilen işleme şartları ve bu şartları gerçekleştirmeye yönelik amaçlarıyla sınırlı, ölçülü ve bağlantılı olarak veri toplaması ve işlemesi.

Veri Sahibi= İlgili Kişi (Verisi işlenen kişi)

Veri Sızıntısı= Kişisel verilerin, elektronik veya fiziksel yöntemlerle, bir organizasyonun içinden harici bir hedefe veya alıcıya izinsiz olarak aktarılması.

Veri Sorumlusu= Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Veri Sorumluları Sicili= Kanun’a göre veri sorumlularının kaydolmak zorunda olduğu, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından ve Kurul’un (KVKK) gözetiminde kamuya açık olarak tutulması öngörülen kayıt sistemi.

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi)= Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemi.

Veri Sorumlusu Temsilcisi= Türkiye’de yerleşik olmayan veri sorumlularını Veri Sorumluları Sicili hakkında Yönetmeliğin 11. maddesinde belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişi.

Veri Süjesi= İlgili Kişi (Verisi işlenen kişi)

Yeterli Önlem= Özel nitelikli kişisel verilerin işlenebilmesi için veri sorumlusu tarafından alınması gereken ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemler.

Yok Etme= Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Yönetmelik= 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

2. BÖLÜM

2 – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

MADDE-4)

(1) Kişisel veriler, ancak bu Kanun’da ve diğer Kanun’larda öngörülen usul ve esaslara uygun olarak işlenir.

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

(2-a) Hukuka ve dürüstlük kurallarına uygun olma.

(2-b) Doğru ve gerektiğinde güncel olma.

(2-c) Belirli, açık ve meşru amaçlar için işlenme.

(2-ç) İşlendikleri amaçla bağıntılı, sınırlı ve ölçülü olma.

(2-d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

2.1 Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

2.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Hukuka uygunluk, veri işleme faaliyetinin, Kanun’a ve ilgili diğer yasal düzenlemelere aykırı olmamasıdır.

Dürüstlük, ilgili kişinin haberi olmadan hiçbir şekilde kişisel verisinin toplanmaması ve işlenmemesi, kişisel verilerin ilgili kişi bakımından bir haksızlığa yol açacak şekilde kullanılmaması, makul beklentisinin karşılanması ve toplanma amacının aşılmamasıdır.

Hukuka ve dürüstlük kuralına uygun olma ilkesi, diğer ilkeleri de kapsayıcı bir özelliğe sahiptir. Hukuka uygunluk, genel olarak hukuk normlarına ve evrensel hukuk ilkelerine uygunluktur. Bu ilke kişisel veriler işlenirken, hakkın kötüye kullanılmamasına ilişkin yasağa riayet edilmesini gerektirmektedir. Dürüstlük kuralı, kişilerin haklarını kullanırken güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranılmasını ifade eder. Dürüstlük kuralının sınırları, her somut olayda objektif bir kimseden beklenecek davranışa göre belirlenir, kişilerin sübjektif durumu göz önüne alınmaz. Dürüstlük kuralına aykırılığın söz konusu olduğu durumlarda kişi hakkını kullanmakta ve bu hakkın sınırları içinde davranmakta, ancak hakkın amacına aykırı şekilde hareket etmektedir. Kişisel verilerin korunması açısından ise dürüstlük kuralı, kişilerin kendilerine veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirir. Veri sorumlularının, ilgili kişilerin çıkarlarını ve makul beklentilerini göz önüne almaları dürüstlük kuralının gereğidir. Haklı bir gerekçe olmaksızın ilgili kişinin özel hayatının gizliliğini, onurunu ihlal edecek şekilde veri işlenmesi şüphesiz bu ilkeye aykırılık teşkil edecektir. Dürüstlük kuralı, veri korumanın diğer ilkeleri aracılığı ile somutlaştırılmıştır. Bu ilkelere riayet edilmeksizin veri işlenmesi dürüstlük kuralına dolayısıyla hukuka uygun veri işlenmesine aykırı olacaktır

Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirket’imizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Veri sorumlusu her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmalıdır. Kişilerin, güncel olmayan veya yanlış tutulan kişisel verileri nedeniyle maddi ve manevi zarar görmesi mümkündür. Veri sorumlusunun sisteminde kayıtlı bir telefon numarasının doğru olmaması ya da artık ilgili kişi tarafından kullanılmıyor olması o kişiye ilişkin gerçek bir veriyi yansıtmadığından hatalı sonuçların ortaya çıkmasına neden olabilmektedir. Adres bilgisi yanlış kaydedilen bir kişinin kendisine ait tebligatları zamanında alamaması veya tebligatın yanlış kişiye yapılması durumlarında ilgili kişi maddi ve manevi zarar görebilmektedir. Bu ilke ile hem ilgili kişinin haklarının hem de veri sorumlusunun menfaatinin korunması gözetilmektedir. Kişisel verilerin doğru ve güncel tutulabilmesini temin etmekle; kişisel verilerin elde edildiği kaynaklar belirli olmalı, kişisel verilerin toplandığı kaynağın doğruluğu test edilmeli, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.

Şirket’imiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanması için periyodik olarak bu bilgiler kontrol edilip güncellenmektedir.

2.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Veri sorumlusunun, veri işleme amacının açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, belirtilen amaçlar dışında veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması; veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

Kişisel verilerin işlenme amaçlarının belirli, açık ve meşru olması ilkesi;

a-Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,

b-Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,

c-Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayların ortaya konulmasını sağlamaktadır.

Kişisel verileri işleme amaçlarının sadece veri sorumlusu tarafından bilinmesi ya da tahmin edilebilir olması bu ilkeye aykırıdır. Kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline başvuru gibi) belirlilik ve açıklık ilkesine uyumda hassasiyet gösterilmeli, teknik ve hukuki terminoloji kullanımından kaçınılmalıdır. Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.

Şirket’imiz, Kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.

2.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

İşlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlenebilmesi için, kişisel verilerin işlenme şartlarının ayrıca sağlanmış olması gerekecektir. Yine işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutulacaktır. Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.

Şirket’imiz Kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

İlgili mevzuatta verilerin saklanması için öngörülen bir süre varsa veri sorumluları bu süreye uyacak, böyle bir düzenleme yoksa veri sorumluları verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edebilecektir. Bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, veri sorumlusu söz konusu veriyi silecek, yok edecek veya anonim hale getirilecektir. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.

Veri sorumlusu, Kanun’un 16. maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi bildirmek zorundadır. Kişisel verilerin “Amaçla Sınırlılık İlkesi”nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür. Kanun’un 12. maddesinde de belirtildiği gibi veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bununla ilgili olarak veri sorumlusu, kişisel veri saklama ve imha politikası ve esaslarını oluşturmak, saklama süreleri ve muhafazada uygulamaya alınacak teknik ve idari tedbirleri belirlemek ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamakla yükümlüdür.

Şirket’imiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket’imiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

MADDE-5)

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

(2-a) Kanun’larda açıkça öngörülmesi.

(2-b) Fiili imkânsızlık nedeniyle rızasını açıklamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

(2-c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

(2-ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

(2-d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

(2-e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

(2-f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanun’un 5. maddesi ile kişisel verilerin işlenme şartları düzenlenmektedir. Bu düzenleme gereğince, kural olarak kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaklanmıştır. 5. Maddenin iki (2) numaralı fıkrasında ise ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebileceği durumlar öngörülmektedir. Buna göre;

a-Kanun’larda açıkça öngörülmesi,

b-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

c-Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

ç-Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

d-İlgili kişinin kendisi tarafından alenileştirilmiş olması,

e-Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

f-İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında,

İlgili kişinin açık rızası gerekmeksizin kişisel verilerin işlenmesi mümkündür. Kanun’larda açıkça öngörülen hallerde açık rıza aranmaksızın kişisel veri işlenebilecektir. Rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için zorunlu olması şartıyla kişisel verilerin işlenebileceği öngörülmektedir. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla kişisel veri işlenebilecektir. Veri sorumlusu, hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan verileri, ilgili kişinin rızası olmasa dahi işleyebilecektir. Örneğin bir şirketin çalışanına maaş ödeyebilmesi için banka hesap numarası, evli olup olmadığı, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verileri işlemesi bu kapsamda değerlendirilecektir. İlgili kişinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verilerin açık rıza bulunmaksızın işlenebilmesi mümkündür. Burada, korunması gereken hukuki yararın ortadan kalktığı kabul edilmektedir. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda da açık rıza bulunmaksızın kişisel veriler işlenebilecektir. Bu bağlamda, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması veya kısıtlı bir kişinin haklarının korunması amacıyla vasinin veya kayyımın, kısıtlının mali bilgilerini tutması hukuka uygun sayılacaktır. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda yine açık rıza aranmaksızın kişisel veriler işlenebilecektir. Buna göre, örneğin bir şirket sahibi çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, çalışanların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesi gibi amaçlarla kişisel verileri işleyebilecektir. Bu durumda, kişisel verilerin korunmasına ilişkin temel ilkelere uyulması ve veri sorumlusu ile ilgili kişinin menfaat dengesinin gözetilmesi gerekmektedir.

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesi olup, aşağıda yer alan şartlardan birinin varlığı durumunda kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirket’imiz tarafından işlenmektedir.

Açık rıza haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, bu Politika’nın “Özel Nitelikli Kişisel Verilerin İşlenmesi” içerisinde yer alan şartlar uygulanacaktır.

2.2.1 Kanunlarda Açıkça Öngörülmesi

Kanun’da açıkça öngörülmekte ise diğer bir ifade ile ilgili Kanun’da kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin kişisel verileri, Şirket’imiz tarafından mevzuatta öngörülen çerçevede işlenebilecektir.

2.2.2 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.2.3 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Veri Sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde bu şart yerine getirilmiş sayılabilecektir.

2.2.4 Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi

Şirket’imizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.2.5 Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri Sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

2.2.6 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.2.7 Şirket’imizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’imizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.3 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

MADDE-6)

(6-1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(6-2)Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(6-3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(6-4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kanun’un 6. maddesinin 1 (Bir) numaralı fıkrasında; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak düzenlenmektedir. Burada, sayılan kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları dikkate alınmakta ve bu sebeple bu türden veriler özel nitelikli (hassas) veri olarak kabul edilmektedir. Kanun’un 6. maddesinin 2 (İki) numaralı fıkrası gereğince kural olarak özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Kanun’un 6. maddesinin 3 (Üç) numaralı fıkrası gereğince, sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler, Kanun’larda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Buna göre, ilgili kişinin rızası olmasa bile, Kanun’larda açıkça öngörülen hallerde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Kanun’un 6. maddesinin 4 (Dört) numaralı fıkrası gereğince, her halde, özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul [KVKKK ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu] tarafından belirlenen yeterli önlemlerin alınması şarttır. Bu kapsamda, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun (Kişisel Verileri Koruma Kurumu Kurulu/KVKKK) 31.01.2018 tarihli ve 2018/10 Sayılı kararı 07.03.2018 tarihli ve 30353 Sayılı Resmi Gazetede yayımlanmıştır.

Kanun kapsamında hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler Şirket’imiz tarafından, bu Politika’da belirtilen ilkelere uygun olarak ve KVKKK ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’nun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

(a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanun’larda açıkça öngörülmesi diğer bir ifade ile ilgili kanun’da kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

(b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

2.4 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

MADDE-7)

(7-1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

(7-2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(7-3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kanun’un 7. maddesi ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi düzenlenmektedir. Buna göre, 6698 Sayılı Kanun ve ilgili diğer Kanun/Yönetmelik hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebepler ortadan kalkmışsa, söz konusu kişisel veriler resen veya ilgili kişinin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir. Kanun’un 7. maddenin 2 (İki) numaralı fıkrası gereğince, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanun’larda yer alan hükümler saklıdır. Kanun’un 7. maddenin 3 (Üç) numaralı fıkrasında kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esasların Yönetmelik’le düzenleneceği belirtilmiştir. Bu kapsamda, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 tarih ve 30224 Sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiştir. Yönetmeliğin 8. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yönetmeliğin 9. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Son olarak Yönetmeliğin 10. maddesinin 1 (Bir) numaralı fıkrasına göre kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Şirket’imiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirket’imiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Şirket’imizin tüm birimleri ve çalışanları, sorumlu birimlerce bu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda verilmiştir.

Saklama ve imha süreçleri görev dağılımı tablosu:

Sıra No	Unvanı	Birimi	Görev
1	Ö.B.A.Ş. Yönetim Kurulu (Üst Yönetim)	Ö.B.A.Ş. Yönetim Kurulu	Şirket’in ve çalışanların Politika’ya uygun hareket etmesinden sorumludur.
2	Ö.B.A.Ş. Yönetim Kurulu Başkanı (Üst Yönetim)	Ö.B.A.Ş. Yönetim Kurulu	Şirket’in ve çalışanların Politika’ya uygun hareket etmesinden sorumludur.
3	Şirket’imizi Temsil ve İlzama Yetkililer	Ö.B.A.Ş. Yönetim Kurulu	Şirket’in ve çalışanların Politika’ya uygun hareket etmesinden sorumludur.
4	Veri Sorumlusu Yöneticisi	Ö.B.A.Ş. Yönetim Kurulu	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, uygulanması, ilgili ortamlarda yayınlanması, güncellenmesi, idari ve teknik çözümlerin bulunup yapılmasından sorumludur.
5	Muhasebe/Finans Departmanı, Şantiye (Mühendis-Mimar-Teknik Kadro) Departmanı	Diğer Birimler	Politika’nın uygulanması, yürütülmesi ve çözümlerin bulunmasından sorumludur.

Kişisel Veriler, Şirket’imiz tarafından aşağıdaki belirtilen ortam veya ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır:

Elektronik Ortamlar		Elektronik Olmayan Ortamlar
1	Yazılımlar (Muhasebe, Ofis, Portal vb.)	1	Kâğıt, Fatura, Fiş vb.
2	Telefon, Tablet, Dizüstü Bilgisayar vb. mobil cihazlar	2	Ziyaretçi Giriş Defteri, Anket, Form vb. gibi Manuel Veri Kayıt Sistemleri
3	Fotokopi Makinesi, Yazıcı, Tarayıcı vb. cihazlar.	3	Katalog, Dergi vb. gibi Yazılı ve Basılı Görsel Ortamlar
4	USB, Hafıza Kartları vb. çıkartılabilir bellekler.
5	CD, DVD, Blu Ray vb. optik diskler.
6	Masaüstü Bilgisayar, Dizüstü vb. Kişisel ve Kurumsal Bilgisayarlar.
7	Antivirüs vb. gibi Bilgi Güvenliği Cihazları ve Programları
8	E-posta, Veri tabanları, Web, Dosya Paylaşımı, Etki Alanlı Yedekleme vb. Sunucular

Şirket’imiz tarafından; çalışanlar, çalışan adayları, iş ortakları, hissedarlar, ziyaretçiler, tedarikçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, Şirket’lerin, çalışanların, hissedarların, iş ortaklarının, tedarikçilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanun’a uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin olarak, Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirket’imiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta ve Kanun’larda öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Şirket’imizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili Kanun/Yönetmelik ve mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler; T.C. Anayasası, Kişisel Verilerin Korunması Kanunu, Türk Borçlar Kanunu, Türk Ticaret Kanunu, Kabahatler Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İş Sağlığı ve Güvenliği Kanunu, Bilgi Edinme Kanunu, Vergi Kanunu, İş Kanunu, Sosyal Hizmetler Kanunu, Yapı Denetimi Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelikler ve Bu Kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır ve de Kişisel Verileri Koruma Kurumu’na (KVKK) ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’na bildirilmiştir.

2.5 İşlenen Kişisel Veri Kategorileri Ve İşlenme Amaçları

Şirket’imiz tarafından Kanun’a ve ilgili diğer mevzuat hükümlerine uygun olarak bu Politika’da belirtilen amaçlar ve şartlar çerçevesinde işlenen kişisel veri kategorilerine ve bu kategoriler hakkında detaylı bilgilere bu Politika’nın EK-2 (“Kişisel Veri Kategorileri”) dokümanından ulaşılması mümkündür.

Kanun ve ilgili diğer mevzuatlara uygun şekilde bu Politika’da detaylandırılan kişisel veriler ve özel nitelikli kişisel verilerin işlenme şartları kapsamında Şirket’imizin kişisel veri işleme amaçları aşağıdaki gibidir:

1.Şirket’imizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesi,

2.Şirket’imizin ve Şirket’imizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası,

3.Şirket’imiz tarafından ve/veya Şirket’imiz nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası,

4.Şirket’imiz tarafından ve/veya Şirket’imiz nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi,

5.Şirket’imiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,

6.Şirket’imizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası. Söz konusu kişisel veri işleme amaçlarına ilişkin detaylı bilgilere bu Politika’nın EK-3 (“EK 3- Kişisel Veri İşleme Amaçları”) dokümanından ulaşılması mümkündür.

2.6 KİŞİSEL VERİLERİN AKTARILMASI

MADDE-8)

(8-1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.

(8-2) Kişisel veriler;

(8-2-a) 5 inci maddenin ikinci fıkrasında,

(8-2-b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,

belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

(8-3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kanun’un 8. maddesi ile kişisel verilerin, üçüncü kişilere aktarılması düzenlenmektedir. Kanun’un 3. maddesinin 1 (Bir) numaralı fıkrasının d bendinde tanımlanan genel nitelikteki kişisel veriler ile 6. maddesinin 1 (Bir) numaralı fıkrasında sayılan özel nitelikli (hassas) kişisel veriler bu madde kapsamında aktarılabilecek verilerdir. Kanun’un 9. madde başlığı “kişisel verilerin yurtdışına aktarılması” olarak düzenlendiğinden 8. maddede belirtilen üçüncü kişiler yurtiçindeki kişiler olarak, yapılacak aktarım ise yurtiçinde gerçekleşecek veri aktarımı olarak anlaşılmalıdır. Kanun’un 8. maddesinin 1 (Bir) numaralı fıkrasında, kural olarak kişisel verilerin ilgilinin açık rızası olmaksızın üçüncü kişilere aktarılamayacağı düzenlenmiştir. Kanun’un 8. maddesinin 2 (İki) numaralı fıkrasında, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılabileceği durumlar düzenlenmiştir. Buna göre; a) Kanun’un 5. maddesinin 2 (İki) numaralı fıkrasında sayılan işleme şartlarından en az birinin bulunması, b) Yeterli önlemler alınmak kaydıyla Kanun’un 6. maddesinin 3 (Üç) numaralı fıkrasında belirtilen şartlardan birinin bulunması;

a)Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanun’larda öngörülmesi,

b)Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi hâlinde,

İlgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması mümkündür.

Kanun’un 3. maddesinin 1 (Bir) numaralı fıkrasının e bendi ile kişisel verilerin aktarılması veya devralınması eylemleri veri işleme faaliyeti olarak tanımlandığından, burada da kişisel verilerin işlenmesi için ya Kanun’un 5. maddesinin 1 (Bir) numaralı fıkrası gereğince ilgili kişinin açık rızasının bulunması ya da Kanun’un 5. maddesinin 2 (İki) numaralı fıkrası ve 6. maddesinin 3 (Üç) numaralı fıkrasında düzenlenen veri işleme şartlarından en az birinin bulunması ve özel nitelikli veriler bakımından yeterli önlemlerin alınması gerekmektedir. Kanun’un 6. maddenin 3 (Üç) numaralı fıkrası gereğince, kişisel verilerin aktarılmasına ilişkin diğer kanun’larda yer alan hükümler saklıdır.

Şirket’imiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirket’imiz bu doğrultuda Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın EK 4 (“EK 4- Şirket’imiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları” ile Ö.B.A.Ş. KİŞİSEL VERİ İŞLEME ENVANTER’i) dokümanlarından ulaşılması mümkündür.

Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi, Kanun’un 8. ve 9. maddelerinde belirtilen ve Kişisel Verileri Koruma Kurulu tarafından belirlenmiş olan ilave düzenlemelere uygun olarak, kişisel verilerin aktarılması şartlarının bulunması halinde kişisel verileri yurt içinde ve/veya yurt dışına aktarabilmektedir. Ö.B.A.Ş. Kanun’un 5. ve 6. Maddelerinde yer alan ve bu Politika’nın veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartı ile kişisel verileriniz yurt içerisinde ve yurt dışında İş Ortaklarımıza, Tedarikçilerimize, Kanunen Yetkili Kamu Kurum ve Kuruluşlarına, Hissedarlar, Kanunen Yetkili Özel Kurumlara aktarılabilmektedir. Yurt dışına aktarımın yapılacağı ülkenin Kişisel Verileri Koruma Kurulu tarafından ilan edilen/edilecek güvenli ülkelerden olmaması halinde, Şirket’imiz ve ilgili ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi üzerine, Kanun’un 5. ve 6. maddelerinde yer alan veri işleme şartlarından en az birinin olması halinde yurt dışında üçüncü taraflara aktarım yapılabilecektir. Kanun’un 8. ve 9. maddeleri kişisel verilerin aktarılmasını düzenlemiştir. Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirket’imiz tarafından gerekli özen gösterilerek ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

1- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanun’larda açıkça öngörülmesi,

2- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

3- Kişisel verilerin aktarılmasının Şirket’imizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

4- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket’imiz tarafından aktarılması,

5- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,

6- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,

7-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Şirket’imiz tarafından, bu Politika’da belirtilen ilkelere uygun olarak ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’nun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Kanun’larda açıkça öngörülmesi diğer bir ifade ile ilgili Kanun’da kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Eğer özel nitelikli kişisel veriler yurt dışına aktarılacak ise yukarıda yer alan şartlara ek olarak Yeterli Korumaya Sahip Yabancı Ülkeler’e veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkeler’e özel nitelikli kişisel veriler aktarılır.

2.7 KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

MADDE-9)

(9-1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(9-2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

(9-2-a) Yeterli korumanın bulunması,

(9-2-b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(9-3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(9-4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

(9-4-a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

(9-4-b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

(9-4-c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

(9-4-ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

(9-4-d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(9-5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(9-6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel veriler yurtdışına aktarılacak ise yukarıda yer alan şartlara ek olarak Şirket’imiz tarafından kişisel veriler, KVKK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVKK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılır. Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke bu aktarımın olabilmesi için kesin şart olarak Şirket’imizin ve/veya İlgili veri sahibinin açık rızası olmadan ülke dışına aktarılamaz. (BAKINIZ:“EK 4- Şirket’imiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları” ile Ö.B.A.Ş. KİŞİSEL VERİ İŞLEME ENVANTER’i.)

3. BÖLÜM

3 – HAK VE YÜKÜMLÜLÜKLER

3.1 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

MADDE-10)

(10-1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

(10-1-a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

(10-1-b) Kişisel verilerin hangi amaçla işleneceği,

(10-1-c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

(10-1-ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

(10-1-d) 11 inci maddede sayılan diğer hakları,

konusunda bilgi vermekle yükümlüdür.

Kanun’un 10. maddesi veri sorumlusunun aydınlatma yükümlülüğünü düzenlemektedir. Buna göre; veri sorumlusu veya yetkilendirdiği kişi, aydınlatma yükümlülüğü kapsamında veri sorumlusunun ve varsa temsilcisinin kimliği, veri işleme amacı, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile Kanun’un 11. maddesinde sayılan diğer hakları konusunda ilgili kişiyi bilgilendirecektir. Bu madde uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemek üzere hazırlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ 10.03.2018 tarihli ve 30356 Sayılı Resmi Gazetede yayımlanmıştır.

Şirket’imiz, Kanun’un 10’uncu maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.

3.2 İLGİLİ KİŞİNİN HAKLARI

MADDE-11)

(11-1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

(11-1-a) Kişisel veri işlenip işlenmediğini öğrenme,

(11-1-b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

(11-1-c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(11-1-ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(11-1-d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

(11-1-e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

(11-1-f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(11-1-g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(11-1-ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Kanun’un 11. maddesinde kişisel verisi işlenen kişinin Kanun’un ifadesiyle ilgili kişinin hakları sayılmaktadır. Buna göre, herkes veri sorumlusuna başvurarak kendisiyle ilgili;

1-Kişisel veri işlenip işlenmediğini öğrenme,

2-Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3-Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

4-Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5-Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

6-Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

7-İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

8-Kişisel verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

Kişisel veri sahipleri bölüm 3-2’de (“Kişisel Veri Sahibinin Hakları”) (Madde-11) sayılmış haklarına ilişkin taleplerini Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu’nun belirlemiş olduğu yöntemlerle Şirket’imize iletebileceklerdir. Bu doğrultuda www.omerbayram.com adresinden ve/veya muhasebe departmanından ulaşılabilecek “Veri Sahibi Başvuru Formu”ndan yararlanabileceklerdir

3.3 VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

MADDE-12)

(12-1) Veri sorumlusu;

(12-1-a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

(12-1-b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

(12-1-c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(12-2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

(12-3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

(12-4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(12-5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Veri Güvenliğine (Korunmasına) İlişkin Yükümlülükler Kanun’un 12. maddesi ile veri sorumlusunun, veri güvenliğinin sağlanmasına ilişkin yükümlülükleri düzenlenmektedir. Maddenin 1 (Bir) numaralı fıkrası gereğince veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almakla yükümlü tutulmaktadır. Maddenin 2 (İki) numaralı fıkrasında; kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi durumunda, veri sorumlusunun maddenin 1 (Bir) numaralı fıkrasında belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacağı düzenlenmektedir. Buna göre, veri sorumlusunun şirketine ilişkin kayıtların bir muhasebe şirketi tarafından tutulması örneğinde, 1 (Bir) numaralı fıkrada sayılan kişisel verilerin işlenmesine ilişkin tedbirlerin alınması hususunda veri sorumlusu, muhasebe şirketiyle birlikte müştereken sorumlu olacaktır. Maddenin 3 (Üç) numaralı fıkrasında, Kanun hükümlerinin uygulanmasını sağlama ve kişisel verilerin Kanun’da öngörülen usul ve esaslara uygun olarak işlenmesi amacıyla veri sorumlusunun kendi kurum veya kuruluşunda gerekli denetimleri yapma veya yaptırma yükümlülüğü düzenlenmektedir. Maddenin 4 (Dört) numaralı fıkrasında, veri sorumlusu ve veri işleyenin sır saklama yükümlülüğü düzenlenmektedir. Buna göre, veri sorumlusu ile veri işleyenler, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamayacak veya şahsi çıkarları için kullanamayacaklardır. Bu yükümlülük, söz konusu kişilerin görevlerinden ayrılmalarından sonra da devam edecektir. Maddenin 5 (Beş) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusunun bu durumu en kısa sürede Şirket Yetkilisine (ilgilisine) ve Kişisel Verileri Koruma Kurumu (KVKK) Kurulu’na bildireceği düzenlenmektedir. Kişisel Verileri Koruma Kurumu (KVKK) ve Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yolla ilan edebilecektir. Bu fıkra kapsamında yapılacak veri ihlal bildirimine ilişkin olarak, kişisel veri ihlali bildirim usul ve esaslarına ilişkin 24.01.2019 tarih ve 2019/10 Sayılı KVKK Kurul kararı, KVKK’un (Kurum’un) internet sitesinde ve de Şirket’in internet sitesinde mevcuttur.

Şirket’imiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirket’imiz Kişisel Verileri Koruma Kurulu tarafından yayımlanmış olan Politika’lara, Yönerge’lere ve rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır. Bu kapsamda, Şirket’imiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirket’imiz bünyesinde gerekli denetimler sağlanmaktadır.

İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının arttırılması ve Denetimi:

Şirket’imiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır. Şirket’imiz mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirket’imiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.

4. BÖLÜM

4 – BAŞVURU, ŞİKÂYET

4.1 VERİ SORUMLUSUNA BAŞVURU

MADDE-13)

(13-1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

(13-2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

(13-3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

ŞİRKETİMİZİN BAŞVURULARA CEVAP VERMESİ

Şirket’imiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri sahibinin, bölüm 3-2.1’de (“Kişisel Veri Sahibinin Hakları”) (Madde 11) yer alan haklara ilişkin talebini usule uygun olarak Şirket’imize iletmesi durumunda, Şirket’imiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu (Şirket’imiz) tarafından belirlenen tarife uyarınca ücret alınabilecektir.

4.2 KURULA ŞİKÂYET

MADDE-14)

(14-1) Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

(14-2) 13 üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

(14-3) Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

5. BÖLÜM

5-ÖMER BAYRAM İNŞAAT TAAHHÜT YAPI MALZEMELERİ ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENME POLİTİKASI’NIN DİĞER POLİTİKA’LARLA OLAN İLİŞKİSİ

Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi (”İşveren, Şirket, İşyeri, Ö.B.A.Ş., Firma”), Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile ortaya koymuş olduğu kişisel verilerin korunması ve işlenmesi konusunda, Şirket içi kullanıma yönelik olarak Alt Politika’ların oluşturulmasına yardımcı olmayı sağlamaktır.

Şirket içi Politika’larının esasları, ilgili olduğu ölçüde kamuoyuna açık Politika’lara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi’nin yürütmekte olduğu kişisel verileri işleme faaliyetleri hakkında hesap verebilirliğinin sağlanması ve şeffaflık hedeflenmiştir.

6. BÖLÜM

Onay, Yürürlük, Yürütme ve Güncelleme

6-1-ONAYLAYAN:

Ö.B.A.Ş. Yönetim Kurulu adına, Şirket’imizi Temsil ve İlzama Yetkili’ler (“Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu”/Ö.B.A.Ş. Yönetim Kurulu/”Disiplin Kurulu Başkanı”) tarafından onaylanmıştır.

6-2-YÜRÜRLÜK TARİHİ:

Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Kişisel Verilerin Koruması ve İşlenmesi Politikası’nın yürürlük tarihi 30.09.2020’dir. Bu Politika, Şirket’imizin internet sitesi olan www.omerbayram.com adresinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur, ayrıca ayrıntılarına Şirket’imizin Muhasebe Departmanından ulaşılabilir ve öğrenilebilir.

6-3-YÜRÜTME:

Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Kişisel Verilerin Koruması ve İşlenmesi Politikası’nı yürütme organı Ö.B.A.Ş. Yönetim Kurulu adına Şirket’imizi Temsil ve İlzama Yetkili/Yetkililer (“Ö.B.A.Ş. Kişisel Verileri Koruma Kurulu”/”Ö.B.A.Ş. Yönetim Kurulu”/”Disiplin Kurulu Başkanı”) tarafından yürütülür.

6-4-POLİTİKA’NIN GÜNCELLENME PERİYODU

Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi, Kişisel Verilerin Korunması ve İşlenmesi Politikası; ihtiyaç duyuldukça gözden geçirilir ve gerekli durumlarda gerekli olan bölüm ve/veya bölümler güncellenir. Şirket’imizin www.omerbayram.com internet adresinde yayınlanır. Ayrıca muhasebe departmanında hazır halde bulundurulur. Veri sorumlusunun gözetiminde bilgiler güncellenir.

EK-1 KİŞİSEL VERİ SAHİPLERİ

Çalışanlar, Çalışan Yakınları, Eğitmenler, Hizmet Alan Kişiler, Hizmet Veren Kişiler, Müşteriler, Hissedarlar, Katılımcılar, Tedarikçi ve/veya Çalışanı, Ziyaretçi, İş Ortağı ve/veya Çalışanı, Etkinlik Katılımcısı, Talep/Şikâyet/Öneri Sahipleri, Eski Çalışan, Stajyer, Diğer Üçüncü Kişiler vb.

KİŞİSEL VERİ SAHİBİ KATEGORİSİ	AÇIKLAMA
Çalışan/Stajyer Adayı	Şirket’imize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’imizin incelemesine açmış olan gerçek kişi.
Eski Çalışan	Şirket’imiz ile arasındaki iş sözleşmesi herhangi bir nedenle (işten ayrılma, işten çıkarılma, emeklilik, vb.) son bulmuş gerçek kişidir.
Müşteri	Şirket’imizin sunmuş olduğu ürün ve hizmetleri kullanan, kullanmış olan veya kullanmak amacıyla başvuran veya başvuru değerlendirme aşamasında olan veya gerçek kişiler veya tüzel kişilerin çalışanı, yetkilisi veya hissedarı olan kişidir.
Ziyaretçi	Şirket’imiz yerleşkelerini, internet sitelerini ziyaret eden veya Şirket’imizin misafir internet ağına katılmış gerçek kişidir.
Potansiyel Müşteri	Ürün ve hizmetlerimizi kullanma talebinde veya ilgisinde bulunmamış olup, bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek veya tüzel kişilerin çalışanları, yetkilisi veya hissedarı olan gerçek kişidir.
Tedarikçi Çalışanı/Yetkilisi /Hissedarı	Şirket’imiz ile arasındaki mevcut ve/veya ileride kurulması muhtemel sözleşmeye istinaden Şirket’imize mal ve/veya hizmet sağlayan Şirket’lerin çalışanları, hissedarları veya yetkilileri olan gerçek kişidir.
Kampanya/ Yarışma Katılımcısı	Şirket’imizin düzenlemiş olduğu kampanyalara ve yarışmalara katılım sağlayan gerçek kişidir.
Veri Sahibi Yakınları	Şirket’imiz ürün ve/veya hizmetlerinden yararlanan kişilerin ve/veya çalışanlarımızın aile üyeleri ve yakınları olan kişilerdir.
Etkinlik Katılımcısı	Şirket’imizin düzenlemiş olduğu etkinliklere, organizasyonlara vb. faaliyetlere katılım sağlayan gerçek kişidir.
Görüş/ Şikâyet/Öneri ve Bilgi Talebi Sahipleri	Şirket’imiz ürün ve hizmetlerinden yararlanmış olsun veya olmasın görüşlerini/şikâyetlerini/önerilerini veya bilgi ve diğer taleplerini Şirket’imize ileten gerçek kişidir.
İş Ortağı Çalışanı/Yetkilisi /Hissedarı	Şirket’imizin ticari faaliyetlerini yürütürken Şirket’imizin ürün ve hizmetlerinin satışı, pazarlanması, satış sonrası desteği, tanıtımı gibi amaçlarla iş ortaklığı kurduğu Şirket’lerin hissedarları, çalışanları ve yetkilileri olan gerçek kişilerdir.
Eğitmenler	Şirketimizin ve çalışanlarımızın faaliyetlerini ve yükümlülüklerini yerine getirirken hizmet içi ve/veya hizmet dışı eğitim faaliyeti verenler.
Diğer 3. Kişiler	Bu Politika kapsamına dâhil olup Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen gerçek kişiler ve diğer 3. (üçüncü) kişilerdir.

EK-2 KİŞİSEL VERİ KATEGORİLERİ

Şirket’imizin Faaliyetleri ve Meşru Menfaatleriyle Alakalı Kişisel Veriler: Ad, Soyad, T.C.K.No, Baba ve Anne Adı, Bakmakla Yükümlü Olduğu Kişilerin Adı ve Soyadı ile Diğer Bilgileri, Cinsiyet, Finansal Bilgiler, Uyruk, Kimlik Seri No, Resim, Fotoğraf, Video Kayıt, İmza Beyanı/ Sirküleri, E-Posta, Adres vb. gibi. (Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi)

KİŞİSEL VERİ KATEGORİLERİ	AÇIKLAMA
Kimlik Bilgisi	Kişinin kimliğine dair bilgilerin bulunduğu verilerdir (Adı-Soyadı, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet, fotoğraf gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası vb.)
İletişim Bilgisi	Telefon numarası, adres, e-posta, faks, IP adresi vb. iletişim bilgileridir.
Finansal Bilgi	Şirket’imizin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile İBAN numarası, banka hesap numarası, mal varlığı, kredi kartı bilgisi, gelir bilgisi, borç-alacak bilgisi, finansal profili gibi verilerdir.
Müşteri Bilgisi	Şirket’imizin ticari faaliyetlerimizin gerçekleştirilmesi esnasında mimarlık, mühendislik, tedarik ve inşaat hizmetlerimizden faydalanan müşterilere ilişkin verilerdir.
Müşteri İşlem Bilgisi	Ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterilerimizin ürün ve hizmetlerimizin kullanımına yönelik talimatları ve talepleri gibi bilgiler anlamına gelmektedir.
İşlem Güvenliği Bilgisi	Ticari faaliyetlerimizi yürütürken idari, teknik, ticari ve hukuki güvenliğimizi sağlamamız için işlenen kişisel verilerdir.(Şifre, parola, anahtar, log kayıtları vb. gibi)
Hukuki İşlem ve Uyum Bilgisi	Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirket’imizin Politikalarına uyum kapsamında işlenen kişisel verilerdir.
Talep/Şikâyet Yönetimi Bilgisi	Şirket’imize yöneltilmiş olan her türlü talep ve/veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel verilerdir.
Görsel ve İşitsel Veri	Fotoğraf, video, afiş, kamera/ses kayıtları gibi görsel veya işitsel niteliğe haiz verilerdir.
Fiziksel Mekân Güvenlik Bilgisi	Fiziksel mekâna girişte, fiziksel mekânın içerisinde, kalış sırasında alınan kayıtlar ve belgelere ilişkin video, kamera kayıtları, ziyaretçi kayıtları vb. kişisel verilerdir.
Denetim ve Teftiş Bilgisi	Şirket’imizin kanuni yükümlülükleri ve Şirket’imizin Politikalarına uyumu kapsamında iç veya dış deneti faaliyetleri sırasında işlenen kişisel verilerdir.
Çalışan Adayı Bilgisi	Şirket’imize herhangi bir yolla iş başvurusunda bulunmuş veya çalışan ve/veya stajyer adaylarının mülakat, özgeçmişi (CV) gibi kişisel verileridir.
Araç Bilgisi	Veri sahibi ile ilişkilendirilen araçlar ile ilgili marka, plaka vb. verilerdir.
Lokasyon Verisi	Çalışanlarımız ile iş birliği içerisinde olduğumuz kurumların çalışanlarının Şirket’imizin araçlarını kullanırken bulunduğu yerin konumunu tespit eden GPS lokasyonu, adres, haritası, seyahat verileri gibi kişisel verilerdir.
Aile Bireyleri ve Yakın Bilgisi	Şirket’imizin iş birimleri tarafından yürütülen operasyonlar çerçevesinde Şirket’imizin ve veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri yakınlar (anne, baba, eş, çocuk vs.) ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki kişisel verilerdir.
Pazarlama Bilgisi	Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlanmasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler anlamına gelmektedir.
Özel Nitelikli Kişisel Veri	Kanun’un 6. Maddesinde belirtilen (sağlık verileri, cinsel hayatı, kılık-kıyafeti, biyometrik veriler, din, üye oldukları vakıf ve dernekler vb.) verilerdir.

EK-3 KİŞİSEL VERİ İŞLEME AMAÇLARI

ANA AMAÇLAR (BİRİNCİL)					ALT AMAÇLAR (İKİNCİL)
1	Şirket’imizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesi		Çalışanların performans/yetenek değerlendirme süreçlerinin planlanması ve/veya icrası. Çalışan adaylarının başvuru, seçme ve değerlendirme süreçlerinin planlaması ve/veya yürütülmesi. Çalışanların iş faaliyetlerinin takibi ve/veya denetimi. Çalışanlara yönelik yan haklar ve/veya menfaatlerin planlanması ve/veya icrası. Alt işveren çalışanlarının özlük kayıtlarının oluşturulması, denetimi ve/veya takibi faaliyetlerinin planlanması ve/veya icrası. Disiplin/etik süreçleri ile ilgili gerekli operasyonel faaliyetlerin planlanması ve/veya icrası. *Şirket içi/dışı eğitim faaliyetlerinin planlanması ve/veya icrası.
2	Şirket’imizin ve Şirket’imizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası	Şirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve/veya icrası. Şirket’ler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası. Hukuk işlerinin takibi. Resmi kurum ve/veya kuruluşlardan talep edilen bilgi veya belge ile taleplerin sağlanması ve kayıt altına alınması faaliyetlerinin planlanması ve/veya icrası. Acil durum ve/veya olay yönetimi süreçlerinin planlanması ve/veya icrası. Şirket operasyonlarının güvenliğinin temini. Suç gelirlerinin aklanması, terörizmin finansmanı ile mücadele, müşterini tanı (KYC) ve benzeri yasal ve ticari risklerin tespiti faaliyetlerinin planlanması ve/veya icrası. Bilgi güvenliği süreçlerinin planlanması, denetimi ve/veya icrası. Bilgi teknolojileri alt yapısının oluşturulması ve/veya yönetilmesi. Şirket’imizin iç/dış denetim, teftiş, soruşturma ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası. Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi. Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini. Şirket yerleşkeleri, şantiyeleri ve/veya tesislerinin güvenliğinin temini. Ziyaretçi kayıtlarının oluşturulması ve/veya takibi.
3	Şirket’imiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi			Ürün/hizmet tanıtımı amaçlı davetlerin ve/veya organizasyonların planlanması ve/veya icrası. İş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası. Finans ve/veya muhasebe işlerinin takibi. Kurumsal yönetim faaliyetlerinin planlanması ve/veya icrası. İş sürekliliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası. Şirket’imiz ürünlerinin stok ve/veya sevkiyat işlemlerinin planlanması ve/veya icrası. Satın alma süreçlerinin planlanması ve/veya icrası. Kurumsal iletişim faaliyetlerinin planlanması ve/veya icrası. Tedarik zinciri yönetimi süreçlerinin planlanması ve/veya icrası. İş faaliyetlerinin planlanması ve/veya icrası. Sponsorluk faaliyetlerinin planlanması ve/veya icrası. Sosyal sorumluluk ve/veya sivil toplum aktivitelerinin planlanması ve/veya icrası. Operasyon ve/veya verimlilik süreçlerinin planlanması ve/veya icrası. Çalışanlarımızın ve Şirket dışındaki kişilerin bilgiye erişim yetkisinin tanımlanması ve/veya denetimi. *Şirket içi/dışı raporlama faaliyetlerinin planlanması ve/veya icrası.
4	Şirket’imizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası					İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi. Bütçe çalışmalarının yapılması ve/veya icrası. Şirket’in finansal risk süreçlerinin planlanması ve/veya icrası. Potansiyel iş ortağı/tedarikçi/alt yüklenici seçimi için risk değerlendirme faaliyetlerinin ve/veya fizibilite çalışmalarının planlanması ve/veya icrası.
5	Şirket’imiz tarafından ve/veya Şirket’imiz nam ve hesabına sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi						Ürün ve/veya hizmetlere başvuru ve/veya satış süreçlerinin oluşturulması ve/veya takibi. Müşteri memnuniyeti ve/veya tecrübesine yönelik aktivitelerin planlanması ve/veya icrası. Dijital ve/veya diğer mecralarda toplanan müşteri talep ve/veya şikâyetlerinin değerlendirilmesi. Ürünlerin iadesine/yenilenmesine/tamirine ilişkin faaliyetlerin planlanması ve/veya icrası. *Ürün ve hizmetlerle ilgili güvenlik tedbirlerinin alınmasına yönelik faaliyetlerin planlanması ve/veya icrası.
6	Şirket tarafından ve/veya Şirket’imiz nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası							*Ürün ve hizmetlerin satış ve/veya pazarlaması için pazar araştırması faaliyetlerinin planlanması ve/veya icrası.

EK-4 KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARMA AMAÇLARI

Ömer Bayram İnşaat Taahhüt Yapı Malzemeleri Anonim Şirketi, Kişisel Verileri Koruma Kanunu’nun 8. ve 9. maddelerine uygun olarak bu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kategorilerine aktarabilir, aktarımda bulunulan ve aşağıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

Veri Aktarımı Yapılabilecek Kişiler/Kurumlar	Tanımı	Veri Aktarım Amacı
İş Ortakları	Ticari faaliyetlerini yürütürken Şirket’imizin ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş birliği içerisinde bulunduğu taraflardır.	İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak kişisel veriler aktarılmaktadır.
Tedarikçiler	Şirket’imizin ticari faaliyetlerinin yürütülmesi kapsamında Şirket’imizin veri işleme amaçları ve talimatları doğrultusunda Şirket’imize hizmet sunan taraflardır.	Şirket’imizin tedarikçiden alıcı olarak temin ettiği ve Şirket'imizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak kişisel veriler aktarılmaktadır
Hissedarlar	İlgili mevzuat hükümlerine göre Şirket’imizin ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan gerçek ve tüzel kişi hissedarlardır.	İlgili mevzuat hükümlerine göre Şirket’imizin ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak kişisel veriler aktarılmaktadır.
Kanunen Yetkili Kamu Kurum ve Kuruluşları	İlgili mevzuat hükümlerine göre Şirket’imizden bilgi/ belge talep etmeye yetkili mahkemeler, vergi dairleri vb. kamu kurum ve kuruluşlarıdır.	İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak kişisel veriler aktarılmaktadır
Kanunen Yetkili Özel Kurumlar	İlgili mevzuat hükümleri uyarınca kanunen belirlenmiş belirli şartlara uygun olarak kurulmuş ve yine kanun’un belirlediği çerçevede faaliyetlerini devam ettiren kurum veya kuruluşlardır	İlgili özel kurum ve kuruluşların yürütmekte olduğu faaliyetler kapsamına giren konular ile ilgili sınırlı olarak kişisel veriler paylaşılmaktadır.