Expert İnsan Kaynakları Danışmanlığı Limited Şirketi
Kişisel Verilerin Korunma Politikası ve Açıklama Metni

Başta T.C Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (kısaca “KVKK”) ve 5237 Türk Ceza Kanunu olmak üzere kişisel verilerin korunmasına ilişkin yasal düzenlemelere uyumun sağlanması Şirketimizin öncelikleri arasında yer alır. İşbu sebeple EXPERT İnsan Kaynakları Danışmanlığı Limited Şirketi (Kısaca “EXPERT” veya “Şirket”) tarafından, kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerini hukuka uygun olarak yerine getirmesinde rehber niteliği taşıyan EXPERT İnsan Kaynakları Danışmanlığı Limited Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ilgililerin erişimine sunulmuştur.

Bütün ilgililerin dikkatine sunulan bu Politika ile KVKK uyarınca EXPERT olarak, Veri Sorumlusu sıfatıyla, kanunlara ve mvzuata uygun olarak elde edilen kişisel verilerinizin işlenme ve toplanma amaçları, toplama yöntemi, hukuki sebebi, korunması, aktarılması, kullanılması, saklanması, silinmesi ve anonimleştirilmesi hususları, bunlar için alınan idari ve teknik tedbirler ve veri sahibinin hakları ayrıntılı olarak belirtilecektir.

EXPERT olarak işbu Politika ve Aydınlatma Metni aracılığıyla kişisel verilerin korunması ve işlenmesine yönelik her türlü hukuki zemini ve süreci oluşturarak ve iş ilişkisi içinde olduğumuz tüm kişiler ve Şirketler kapsamında bu hususta Kanun’a uyum sağlamayı amaçlamaktayız.

İşbu Politika, EXPERT tarafından tutulan ve çalışanlarına, müşterilerine, tedarikçilerine ve diğer tüm bireylere ait kişisel verilerin hukuka uygun bir biçimde işlendiğinden, Kanun ve buna ait değişiklikler kapsamında öngörülen gereklilikler de dâhil olmak üzere, ilgili tüm yasal gerekliliklere uyulduğundan emin olmak için gerekli tüm adımların atılması amacıyla hazırlanmıştır.

Politika ile amaçlanan, EXPERT tarafından Kanun’a uyum için gerekli düzenlemelerin her bir EXPERT bünyesinde benimsenmesinin sağlanmasıdır. Bu Politika ile EXPERT’in Kanun ve ilgili mevzuat kapsamında gerekli idari yapı, süreç ve prosedürlerin oluşturulup, Kişisel Verilerin güvenliği ve korunması hususunda gerekli teknik ve idari önlemlerin alınması sağlanarak, tüm mevzuata uyumlu şekilde işlenmesinin ve tutulmasının içselleştirilmesi, çalışanlar ve tüm iş ortakları kapsamında Kanun’a uyum sağlaması amaçlanmaktadır.

TANIMLAR

6698 sayılı Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

iradeyle açıklanan rıza

EXPERT

EXPERT İnsan Kaynakları Danışmanlığı Limited Şirketi

Veri

Elektronik olarak bilgisayarda ya da bir takım kâğıt bazlı dosyalama sistemlerinde saklanan bilgiler

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi

Kişisel veriler üzerinde gerçekleştirilen her türlü işlem

Özel Nitelikli Kişisel Veri

İşlenilmesi halinde ilgililerinin mağduriyetine sebep olabilecek nitelikte olan ırk, etnik köken, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık veya cinsel hayata ilişkin veriler, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin veriler ile biyometrik ve genetik veriler

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

Müşteri

EXPERT’in sunduğu ürün ve hizmetlerden yararlanan ve halihazırda hizmet verdiğimiz kişiler

Çalışan Adayı

EXPERT ile hizmet akdi bulunmayan ancak özgeçmiş göndererek veya başka yöntemlerle iş başvurusu yapan kişiler

Çalışan

EXPERT çalışanı olan gerçek kişiler

İş birliği İçinde Olduğumuz / Hizmet Verdiğimiz Şirketlerin Çalışanları,

Hissedarları Ve Yetkilileri

İş ortakları, hizmet verdiğimiz Şirketler ve tedarikçiler gibi EXPERT’in ticari iş ilişkisi içerisinde bulunduğu kurumlarda çalışanlar, bu kurumların hissedarları ve yetkilileri olan gerçek kişiler

Politika

EXPERT İnsan Kaynakları Danışmanlığı Limited Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası

Potansiyel Müşteri

EXPERT’in sunduğu ürün ve hizmetleri kullanma ilgisini gösteren, bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş veya ürün ve hizmet talebinde bulunmuş gerçek ve/veya tüzel kişiler

EXPERT Yetkilisi

EXPERT Genel Müdürü veya diğer yetkili gerçek kişiler

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sahibi

Kişisel verisi işlenen gerçek kişi

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Ziyaretçi

EXPERT yerleşkelerini veya internet sitesini ziyaret eden gerçek kişiler

EXPERT’İN VERI SAHIPLERINI AYDINLATMA YÜKÜMLÜLÜĞÜ

6698 sayılı Kanun’un 10. maddesi gereğince EXPERT tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda veri sahiplerinin aydınlatılmasını sağlamak üzere EXPERT içi gerekli yapı oluşturulmuştur. EXPERT veri sahiplerini aydınlatma yükümlülüğünü en geç kişisel verilerin elde edilmesi sırasında yerine getirmektedir. EXPERT, aydınlatma yükümlülüğü kapsamında;

Kendisi ve varsa temsilcisinin kimliği,
Kişisel verilerin işlenme amacı,
Kişisel verilerin aktarıldığı taraflar ve aktarım amacı,
Kişisel verilerin toplama yöntemi ve hukuki sebebi ve
Veri sahibinin 6698 sayılı Kanun’da sıralanan hakları konusunda veri sahibini bilgilendirir.

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

EXPERT, Kanun’a uygun olarak toplamış olduğu kişisel verilerin korunması ve işlenmesi konusunda Kanun ve ilgili sair mevzuatta belirlenen genel ilkeler ile öngörülen usul ve esaslar dahilinde hareket eder. EXPERT, işbu verilerin korunması ve işlenmesi sırasında Kanun’un 4. Maddesine uygun olarak aşağıdaki ilkelere uygun davranacağını beyan ve taahhüt etmektedir:

EXPERT, her türlü kişisel veri işleme sürecinde hukuka ve dürüstlük kurallarına uygun davranacak ve orantılılık ilkesinin gereklerini gözetecektir. Bu ilkenin amacı Kişisel Verilerin işlenmesinin dürüstlük kurallarına ve hukuka uygun, Veri İlgisinin haklarını olumsuz şekilde etkilemeyecek şekilde yapıldığından emin olmaktır. Veri Sahibine, Veri Sorumlusunun kim olduğu, verinin EXPERT tarafından hangi amaçla işleneceği, verinin açıklanabileceği veya aktarılabileceği kişilerin kimliği ve bu veri sahibinin hakları söylenmelidir.

Kişisel Verinin hukuka uygun olarak işlenebilmesi için bir takım şartların sağlanması gerekir. Bunlar, diğer şartların varlığının yanı sıra Veri Sahibinin Kişisel Verilerinin işlenmesine rıza göstermiş olması ya da işlemenin Veri Sorumlusunun veya verinin açıklandığı üçüncü kişinin meşru menfaati kapsamında gerekli olması gibi gereklilikleri içerebilir. Bazı durumlarda Veri Sahibinin ilgili verinin işlenmesine ilişkin açık onay vermesi gerekebilir.

Kişisel Veriler, Veri Sahibinin açık rızası halinde işleme hariç olarak, ancak işlemenin kanunlarda açıkça öngörülmüş olması; fiili imkansızlık nedeniyle rızasını açıklayamayacak durumunda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; işlenen verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması; işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işlemenin veri sorumlusunun meşru menfaatleri için zorunlu olması hallerinden birinin varlığı halinde işlenecektir.

Özel nitelikli kişisel verilerin işlenme şartları KVKK 6. Maddesine göre şu şekildedir: Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler olan; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ancak kanunlarda öngörülen hallerde veya veri sahihinin açık rızasının bulunması halinde işlemektedir.

Veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, EXPERT bünyesinde sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmektedir.

EXPERT, veri sorumlusu sıfatıyla işlediği her türlü kişisel verinin doğru ve güncel olmasını sağlayacak, bu doğrultuda gerekli tüm tedbirleri alacaktır.
EXPERT, veri sorumlusu olarak veri işleme faaliyetlerini ancak belirli, açık ve meşru amaçlarla sınırlı tutacaktır. Kişisel Veri, verinin ilk toplandığı sırada Veri Sahibine bildirilen belirli amaçlar çerçevesinde ya da Kanun tarafından özellikle izin verilen herhangi başka bir amaçla işlenebilir. Bu, Kişisel Verinin belirli bir amaç için toplanıp, sonradan başka bir amaç için kullanılamayacağı anlamına gelir. Eğer Kişisel Verinin işlenme amacının değiştirilmesi zorunlu hale gelirse, Kişisel Veri işlenmeden önce veri sahibinin söz konusu yeni işleme amacından haberdar edilmesi gerekir.
EXPERT, veri sorumlusu olarak elde ettiği kişisel verileri ancak işlendiği amaçla bağlantılı, sınırlı ve ölçülü şekilde işleyebilecektir. Bu kapsamda kişisel veriler, ancak belirlenen amaçların gerçekleştirilebilmesi için elverişli olduğu takdirde işlenebilecek ve bu amaçlar sonradan ortaya çıkması muhtemel ihtiyaçların karşılanması için genişletilemeyecektir.
EXPERT, veri sorumlusu olarak işlediği her türlü kişisel veriyi ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan süre ile sınırlı olmak kaydıyla muhafaza edebilecektir. Buna ilişkin olarak EXPERT, Türk Ceza Kanunu’nun 138inci maddesine ve KVKK’nın 4üncü ve 7inci maddelerine uygun şekilde hareket edecektir.

KIŞISEL VERILERIN IŞLENME AMAÇLARI VE HUKUKI SEBEPLERI:

Kişisel Verileriniz hukuka ve iyi niyete uygun olarak belirli, açık ve meşru amaçlar için sınırlı, ölçülü ve amaç için gerekli şekilde işlenmektedir. Kişisel Verilerin yurtiçindeki üçüncü kişilere aktarılabilmesi, Kişisel Verilerin işlenme amaçları ile Veri Sahipleri ile akdedilen sözleşmelerin ifası için zorunlu olması ve EXPERTin meşru menfaatleri gerektirdiği ölçüde Kanun’un öngördüğü şartlara uygun olarak gerçekleştirilmektedir. Kişisel Verilerin işlenme amaçları dışında başka bir amaçla veri aktarımı yapılmamaktadır. Ancak her ne kadar İşlemenin, rıza alınmasını gerektiren istisnaları kapsamında değerlendirilse de elde edilecek olan yeni Veri Sahiplerinin Kişisel Verilerinin EXPERT’in kendi aralarında ve EXPERT’in gerektirdiği güvenlik önlemlerini alan iş ortaklarına aktarılması için ilgili Veri Sahibinin açık rızasının alınması sağlanacaktır. EXPERT, iş ortaklarının seçiminde kişisel verilerin gizliliğine ilişkin hususlarda ön inceleme yapacak ve onlarla yapacağı sözleşmelerde Kişisel Verilerin güvenliği ve gizliliğine ilişkin Kanun’un gerekliliklerini tatmin edecek hükümlere yer verilmesini sağlayacaktır.

Veri sahiplerinden alınan kişisel veriler aşağıda yer alan amaçlarla toplanmakta ve işlenmektedir:

Müşteriler ve hali hazırda hizmet verdiğimiz firmalar ile imzalamış olduğumuz sözleşmeler kapsamında, hizmetin ifası ile ilgili olarak hizmet verilebilmesi amacıyla, gerekli personel istihdamının sağlanması, operasyonel yürütüm ve takip, EXPERT faaliyet konularına uygun olarak uyumlu olması zorunlu olan kanunlar kapsamında gerekli denetim ve bildirimler, hizmetler ile ilgili gerekli olan tüm işlemlerin icrası ve takibi, risk değerlendirmesi yapılması ve raporlamaları, sözleşme süreçlerinin yürütülmesi, velhasıl hizmetleri ile ilgili operasyonel süreçlerin planlanması ve icrası,
Sözleşmenin ifasından kaynaklı yükümlülüklerin yerine getirilmesi,
Sözleşmeden kaynaklı verilen hizmete yönelik faturalandırma faaliyetleri dahil olmak üzere mali, muhasebe ve finansal işlemlerin yürütülmesi,
Müşterilere verilecek hizmet ile ilgili olarak yasal sınırlar içerisinde değerlendirme, analiz ve risk yönetim çalışmalarının yapılabilmesi,
Müşteri ve EXPERT çalışanları ile ilişkilerin yürütülmesi ve kurumsal yönetim faaliyetlerinin takibi,
Müşteri, EXPERT çalışanları ve 3. kişi talep ve şikayetlerinin yönetimi ve takibi,
EXPERT tarafından sunulan hizmetlerin iyileştirilmesi ve geliştirilmesi, ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
İş ve operasyonların sürdürülmesi, EXPERT faaliyetlerinin ve prosedürlerinin yürütülebilmesi,
Risk yönetiminin yapılması, iş sürekliliğinin sağlanması, sözleşme süreçlerinin veya hukuki taleplerin takibi,
Bilgi güvenliği süreçlerinin planlanması, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi,
EXPERT tarafından sunulan ürün ve hizmetler ile Şirketler ve iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
İş ortakları, müşteriler veya tedarikçilerle yürütülen işlerin planlanması ve takibi,
Hukuki süreçlerin ve resmi kurumlarla iletişim süreçlerinin takibi ve icrası,
Müşterilere yönelik yapılacak etkinliklerin organizasyonu ve takibi,
Gerek hizmet akitlerinin gerekse iş akitlerinin kurulabilmesi amacı ile potansiyel Müşterilerden ve çalışan adaylarından alınan bilgiler,
EXPERT çalışanları açısından, kurulan iş akdi kapsamında çalışma ve performans değerlendirme süreçlerinin ve iş faaliyetlerinin planlanması, ilgili kurum ve kuruluşlara gerekli bildirimlerin yapılabilmesi, EXPERTin kanuni yükümlülüklerini yerine getirebilmesi,

Çalışanlar İçin Yan Haklar ve Menfaatlerin Planlanması ve İcrası,

İnsan Kaynakları Planlanması ve İcrası, İşe Giriş ve Özlük Süreçlerinin Yürütülmesi ve Takibi

Çalışanlara Yönelik Kurumsal İletişim Faaliyetlerinin veya Çalışanların Katılım Sağladığı Kurumsal Sosyal Sorumluluk veya Sivil Toplum Kuruluşları Faaliyetlerinin Planlanması veya İcrası.
Yetenek - Kariyer Gelişimi Faaliyetlerinin Planlanması ve İcrası
EXPERT Çalışanları İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

EXPERT İçi Oryantasyon ve İç Eğitim Faaliyetlerinin Planlanması ve/veya İcrası

Personel Çıkış İşlemlerinin Planlanması ve İcrası

Ücret Yönetimi ve Ücret Artış ( Terfi, birim değişikliği vs.) Planlamasının Yapılması
Çalışanların Performans Değerlendirme Süreçlerinin Planlanması ve Takibi
Çalışanların İş Faaliyetlerinin veya Çalışma Sürelerinin Takibi ve/veya Denetimi
Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası

Çalışanlara İlişkin Disiplin Uygulamalarının Yerine Getirilmesi ve Takibi
Kanunen Yetkili Kamu Kurumlarına Çalışanlara İlişkin Bilgi Verilmesi
Çalışanların Şikayet, Talep veya Önerilerinin Toplanması ve Değerlendirilmesi

Üretim ve Organizasyon İçin Gerekli Olan İnsan Kaynakları İhtiyaçlarının Belirlenmesi ve Karşılanması
EXPERT Denetim Faaliyetlerinin Planlanması ve İcrası,
İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası,
EXPERTin Operasyonel Risk Süreçlerinin ve iş sürekliğinin Planlanması ve/veya İcrası,
EXPERT Yerleşkeleri ve/veya Tesislerinin Güvenliğinin Temini,
İştiraklerle Olan İlişkilerin Yönetimi ve/veya Denetimi
EXPERT Operasyonlarının Güvenliğinin Temini,
EXPERT Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini,
EXPERTin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası, finans ve muhasebe süreçlerinin takibi
EXPERT Faaliyetlerinin EXPERT Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası,
Verilerin Doğru ve Güncel Olmasının Sağlanması.
Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası
Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi
Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası,
Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi,
İş Ortakları ve Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası,
Etkinlik Yönetimi,
İş Faaliyetlerinin Planlanması ve İcrası,
Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası,
İş Faaliyetlerinin Etkinlik/Verimlilik ve Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve İcrası,
Kurumsal Sürdürülebilirlik Faaliyetlerinin Planlanması ve İcrası

Gibi amaçlarla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

Kişisel verilerinizin bazı spesifik amaçlarla işlenebilmesi için ise 6698 Sayılı Kanun kapsamında açık rıza verilmiş olma şartı aranmaktadır.

Herhangi bir platformda açık rızanın verilmiş olması halinde, verilerin işlenebileceği amaçlar ise aşağıda sayılmaktadır:

EXPERT çalışanları ile ilgili olarak acil bir durum gelişmesi halinde irtibata geçebilmek adına yakınlarına ilişkin bilgiler,
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf yada sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler gibi özel nitelikli veri kapsamına giren bilgiler,
Şirket içi eğitimler, faaliyetler, organizasyonlar gibi amaçlarla seyahat, konaklama ve transfer işlemleri için alınan bilgiler;
Şirket içi eğitimler kapsamında alınan bilgiler,
Çalışan Portalı üyelikleri açısından alınan bilgiler,
Şirket içi işlemlerin yürütülebilmesi amacıyla alınan ve Şirket Sistemlerine kayıt edilen bilgiler

EXPERT, tüm Veri İlgililerine bu duruma ilişkin aydınlatma yükümlülüğünü yerine getirecek ve veri aktarımına ilişkin Veri İlgililerinin yazılı rızalarını alacaktır.

EXPERT tarafından Kişisel Veriler, yurtdışına aktarılmamaktadır. Arşivleme amacı ile Kişisel Verilerin tutulduğu, üçüncü kişilerin mülkiyetindeki serverlar dahi Türkiye’de yer almakta ve güncel durumda verilerin yurtdışına aktarımı söz konusu olmamaktadır. Ancak, EXPERT politikaları gereği Kişisel Verilerin yurtdışına aktarılması veya yurtdışındaki serverlarda tutulmasının kararlaştırılması halinde, alınmamış ise Veri İlgilisinin ilgili EXPERT EXPERTi tarafından açık rızası alınacak ve veri, kural olarak, Kurul’un belirleyeceği yeterli korumanın bulunduğu ülkelerden dışında bir ülkeye aktarılmayacaktır. Kişisel Veriler, uygulanabilir olması durumunda, ancak EXPERT ve ilgili ülkede veri sorumlusu olacak gerçek ve/veya tüzel kişi tarafından yeterli korumanın bulunduğu yazılı olarak taahhüt edilmek ve Kurul’un veri transferine izni alınmak kaydıyla yeterli korumanın olmadığı yabancı ülkelere de aktarılabilecektir.

KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

6698 sayılı Kanun’un 12. maddesinden doğan yükümlülükleri bakımından veri sorumlusu konumunda bulunan EXPERT, kişisel verilerin hukuka aykırı olarak işlenmesini önleme, işlenen verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlama amacıyla gerekli her türlü teknik ve idari tedbiri almaktadır.

Kişisel verilerin güvenliğinin sağlanması amacıyla EXPERT bünyesinde gerekli denetimler periyodik olarak yapılmakta ve yaptırılmaktadır. Ayrıca, veri ihlali durumunda en kısa sürede Kurul’a bildirimde bulunmak üzere teknik ve idari yapı kurgulanmıştır.

Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek için Alınan Teknik ve İdari Tedbirler

Teknik Tedbirler

Şirketin veri sorumlusu sıfatıyla hareket ettiği kişisel veri işleme faaliyetlerinin denetlenmesi için teknik sistemler kurulması
Alınan teknik önlemlerin uygulamasının belirli aralıklarla denetim sürecine tabi olması ve denetim sonuçlarının ilgili birimlere rapor edilmesi
Şirketi bünyesinde teknik konularda uzman personel istihdam edilmesi/hizmet alınması
Bilgi İşlem Departmanı tarafından işlenme amacına uygun olarak kişisel verilere erişim sınırlandırması yapılması

İdari Tedbirler

İş birimlerimizce yürütülen kişisel veri işleme faaliyetlerinin tespiti, hukuka uygunluk analizi ve bu doğrultuda iş birimlerinin yükümlülüklerinin ortaya konulması
İş birimlerinin mevcut çalışanlarının ve iş birimi bünyesine yeni dâhil olmuş çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için eğitim düzenlenmesi, eğitim sonuçlarının değerlendirilmesi ve gerektiğinde bu eğitimlerin tekrarlanması veya iş birimine özgü eğitim programlarının kurgulanması
Şirketimiz ile çalışanlar arasında akdedilen sözleşmelere, Şirketimizin talimatları ve kanunlarla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulması

Kişisel Verilere Hukuka Aykırı Olarak Erişilmesini Önlemek İçin Alınan Teknik ve İdari Tedbirler

Teknik Tedbirler

Teknolojideki gelişmelere uygun teknik önlemler alınması ve bu önlemlerin gerektiği takdirde güncellenmesi
Teknik önlemlerin periyodik olarak iç denetime tabi tutulması, riskli görülen durumların yeniden değerlendirilerek yeni çözümler aranması
İş birimlerimiz bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim yetkilendirmeleri yapılması
Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımların ve donanımların kullanılması
Şirketimiz bünyesinde teknik konularda uzman personel istihdam edilmesi

İdari Tedbirler

Çalışanların kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmesi
Çalışanların öğrendikleri kişisel verileri 6698 sayılı Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmesi ve bu doğrultuda kendilerinden gerekli taahhütlerin alınması
İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak EXPERT içinde kişisel verilere erişimin işlenme amaçları da göz önüne alınarak sınırlandırılması
Kişisel verilerin aktarımı halinde, kişisel verilerin aktarıldığı kişiler ile EXPERTimiz arasında akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi

Kişisel Verilerin Muhafazasına Yönelik Olarak Alınan Teknik ve İdari Tedbirler

Teknik Tedbirler

Teknik konularda uzman personel istihdam edilmesi / hizzmet alınması
Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun güvenlik sistemleri kullanılması
Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulması, alınan teknik önlemlerin periyodik olarak iç denetim mekanizmasına tabi olması, risk teşkil eden hususların yeniden değerlendirilerek gerekli teknolojik çözümlerin belirlenmesi
Hukuka uygun bir biçimde işleyen yedekleme programları kullanılması

İdari Tedbirler

Çalışanların, kişisel verilerin güvenli bir ortamda muhafazası konusunda eğitilmeleri, söz konusu eğitimin belirli aralıklarla tekrarlanması, iş birimleri özelinde güncellenmesi ve Şirketimize yeni katılan personel için de eğitime yönelik aksiyon alınması
Şirketimiz tarafından kişisel verilerin saklanması bakımından teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin aktarılacağı ilgili firmalar ile akdedilen sözleşmelere; işbu firmaların kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler ilave edilmesi

EXPERT’in halihazırdaki uygulamalarına uyumlu olarak her bir iş biriminin erişim yetkileri, ilgili iş birimi bakımından gerektiği ölçüde sınırlandırılacaktır. İlgili sınırlandırmalar, EXPERT nezdinde halihazırda uygulanmaktadır ve bu sınırlandırmalar düzenli aralıklarla gözden geçirilecek ve Kişisel Verilere erişim yalnızca zorunlu olduğu ölçüde söz konusu olabilecektir. EXPERT’in tüm çalışanları, veri güvenliğine ilişkin belirlenecek prosedürler çerçevesinde bilgilendirilecek ve eğitilecektir. Bu kapsamda, Kişisel Verilere erişmek üzerine şifre ile giriş yapılan sistemlere ilişkin şifreler, herhangi bir üçüncü kişiye veya yetkisiz çalışana açıklanmayacaktır. Kişisel Verilere erişme yetkisi verilen kullanıcılar, uygulanabilir olması durumunda, bireysel ekranlarının yakınından geçenlere gizli bilgilerin gösterilmediğinden ve ekranlarının başında olmadıkları zaman bilgisayar oturumlarını kapattıklarından emin olacaktır.

Tüm EXPERT çalışanları, işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ve/veya Kişisel Verilerin güvenliğine ilişkin herhangi bir riskin söz konusu olması hâlinde derhal , gereken önlemlerin koordinasyonu ve uygulanabilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine ve Kurula bildirilmesi için [EXPERT KVK Komitesi] birimine bilgi verecektir.

Uygulanabilir olması halinde, Kişisel Verilerin hukuka uygun olarak aktarıldığı mevcut üçüncü kişiler ile yapılan sözleşmeler, halihazırdaki gizlilik yükümlülüklerine ek olarak, Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağını ve kendi işletmelerinde / kurumlarında / kuruluşlarında bu tedbirlere uyulmasını sağlayacağını temin etmek üzere değiştirilmektedir. EXPERT’in gerektirdiği güvenlik önlemlerini sağlamayan ve verilerin gizliliği, bütünlüğü ve erişimine ilişkin Kanun’un gerekliliklerini yerine getirmeyen üçüncü kişilere hiçbir surette Kişisel Veri aktarılmayacaktır.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ PROSEDÜRLERİ VE SAKLAMA VE İMHA SÜRELERİ

KVKK 7. maddesi uyarınca kanunlara uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler, resen veya veri sahibinin talebi üzerine EXPERT tarafından silinir, yok edilir veya anonim hâle getirilir.

KVKK 5. ve 6. maddelerinde sayılan ve yukarıda incelenen kişisel verilerin işlenme şartlarının tamamen ortadan kalkması halinde, EXPERT kişisel verileri ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirmek suretiyle silmektedir.

Kişisel verilerin yok edilmesi için kişisel verileri hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirmektedir.

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirmektedir.

EXPERT, Kişisel Verilerin saklanmasına ilişkin prosedürlerine ve veri işleme amaçlarına ilişkin aydınlatma yükümlülüğüne uygun davranmak zorundadır. İlgili kanun ve mevzuat uyarınca saklanması için asgari sürelerin söz konusu olduğu verilere ilişkin bu sürelerin geçmesinden önce Veri İlgililerinden gelecek silme, yok etme veya anonim hale getirmeye ilişkin talepler, ilgili yasal zorunluluklar açıklanmak kaydıyla reddedilecektir. Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler EXPERT’in veri işleme amacı uyarınca belirleyeceği, mevcut iş yapış, prosedür ve uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte; daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı, ilgili mevzuat ve EXPERT EXPERT’in belirlediği süreler sona erse dahi, kişisel veriler olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla (güncellikleri teyit ve temin edilmeden) yeniden olağan işlenmeleri söz konusu olmamak kaydıyla arşivlenebilecektir.

Arşivleme sürelerinin tespitinde zamanaşımı süreleri dikkate alınmakla beraber, EXPERT’in kendi tecrübeleri ve benzer veri gruplarına ilişkin önceki talepler ışığında zamanaşımı sürelerini aşan süreler belirlenmesi mümkün olabilecektir. Bu durumlarda, kişisel verilere (güncellikleri ve işlenmelerine ilişkin yeni bir açık rızanın alınması teyit ve temin edilmeden) hukuki uyuşmazlığın çözümü dışında herhangi bir başka amaçla erişilmeyecektir. Arşivleme için belirlenecek süreler sonunda, arşivlenmesine karar verilen veriler dahi silinecek, yok edilecek ve anonim hale getirilecektir.

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; EXPERT işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 01.05.2020 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

BELGELER / SAKLAMA SÜRESİ / İMHA SÜRESİ

Vekaletnameler, imza sirküleri, genel kurul kararları, aziller gibi genel EXPERT kararlarına ilişkin belgeler

İlk kaydın yapıldığı tarihten itibaren 10 yıl