ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI VE İMHASINA İLİŞKİN POLİTİKA
AloTech,
https://alotech.com.tr/ozel-nitelikli-kisisel-veri-politikasi adresinde yayımlanan işbu Özel Nitelikli Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatıyla sorumlu olduğunu ilan etmektedir.
AloTech, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel verilerinizin kanun ve ilgili sair mevzuata uygun olarak işlenerek muhafaza edilmesine büyük önem vermektedir. AloTech, bu bilinçle, yasal yükümlülüklerini ve iştigal konusuyla uygun olan faaliyetlerini gerçekleştirebilmek amacıyla kişisel verileri mevzuata uygun olarak işlemekte ve muhafaza etmektedir.
Tanımlar ve Kısaltmalar
| KISALTMA |
TANIMLAR |
| Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
| Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. |
| Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
| İlgili Kişi |
Kişisel verisi işlenen gerçek kişiyi ifade eder. |
| Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. |
| Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. |
| Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder. |
| Kurul |
Kişisel Verileri Koruma Kurulu’nu ifade eder. |
| Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
| Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. |
| Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder. |
| Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder. |
| İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
| Periyodik İmha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder. |
| Kanun |
6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
| Yönetmelik |
28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini ifade eder. |
1. AMAÇ VE KAPSAM
İşbu Politika’nın amacı, AloTech tarafından özel nitelikli kişisel verilerin Kanun’a uygun olarak işlenmesi ve korunması ile Yönetmelik’e uygun olarak saklanması ve imhasını sağlamak amacıyla benimsenen ilkeleri ve bu kapsamda izlenecek olan yöntemleri açıklamaktır.
İşbu Politika, Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika’nın ayrılmaz bir parçası olup Politika’da yer almayan tüm hususlar için
https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi adresinden ulaşabileceğiniz Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika’yı incelemenizi öneririz.
İşbu Politika, AloTech’in ve AloTech’in bağlı bulunduğu grup veya grupların, diğer şirketlerinin, doğrudan ve dolaylı bağlı ortaklık ve iştirakleri de dâhil olmak üzere yurtiçi ve yurtdışındaki iş ve çözüm ortaklarının yetkililerine, çalışanlarına, eski çalışanlarına, çalışan adaylarına, stajyerlerine, ziyaretçilerine, işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlara ve yetkililerine, iştigal konusuyla ilgili olarak hizmet tedarik ettiği veya hizmet temin ettiği üçüncü kişilere ait kişisel veriler başta olmak üzere AloTech tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin işlenmesi, korunması, saklanması ve imhası kapsamında AloTech tarafından yönetilen tüm faaliyetlerde uygulanmaktadır.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE VE AKTARILMASINA İLİŞKİN ESASLAR
2.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ SIRASINDA ESAS ALINAN İLKELER
AloTech, Kanun’un 4. maddesi uyarınca işbu Politika kapsamındaki özel nitelikli kişisel verileri aşağıdaki genel ilkeler doğrultusunda işlemektedir.
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işleme
- İşlendikleri amaçla sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
AloTech, özel nitelikli kişisel verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Ancak, ilgili kişinin ırkını, etnik kökenini, siyasi düşüncesini, felsefi inancını, dinini, mezhebini veya diğer inançlarını, kılık ve kıyafetini, dernek, vakıf ya da sendika üyeliğini, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kanunlarda öngörülen hâllerde ilgili kişinin açık rızası olmaksızın da işleyebilmesi mümkündür.
2.3. KİŞİSEL VERİLERİN AKTARILMASI
2.3.1. Özel Nitelikli Verilerin Yurtiçine Aktarılması
AloTech, özel nitelikli kişisel verileri ilgili kişinin açık rızası olması koşuluyla, veri işleme amaçları doğrultusunda ve mevzuat uyarınca gerekli teknik ve idari tedbirleri alarak yurt içindeki üçüncü kişilere aktarabilmektedir. Özel nitelikli kişisel veriler kural olarak İlgili Kişinin açık rızası olmaksızın yurt içindeki üçüncü kişilere aktarılamaz.
Ancak sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda açıkça öngörülmesi halinde, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda özel nitelikli kişisel verilerin işlenmesine/aktarılmasına ilişkin açık bir hüküm olması halinde İlgili Kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise yeterli ve gerekli önlemler alınarak ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarından herhangi birinin bulunması halinde İlgili Kişinin açık rızası aranmaksızın aktarılabilir.
AloTech, özel nitelikli kişisel verilerin aktarılması sürecinde, verilerin hukuka aykırı olarak kullanılmasını önlemek ve muhafazasını sağlamak için mevzuat uyarınca uygun güvenlik düzeyini sağlamak için gerekli tüm tedbirleri almaktadır.
2.3.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
AloTech, gerekli özeni göstererek, mevzuatın öngördüğü idari ve teknik tedbirler ile Kurul tarafından gerekli görülen önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda özel nitelikli kişisel verileri yurt dışına aktarabilmektedir. Özel nitelikli kişisel veriler kural olarak İlgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
Ancak sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda açıkça öngörülmesi halinde, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda özel nitelikli kişisel verilerin yurt dışına aktarılmasına ilişkin açık bir hüküm olması halinde İlgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise yeterli ve gerekli önlemler alınarak ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarından herhangi birinin bulunması halinde de ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir.
3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI ADINA ALINMIŞ OLAN TEDBİRLER
AloTech, Kanun’un 6. Maddesine uygun şekilde, özel nitelikli kişisel verilerin işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde çalışanlara yönelik tedbirler;
- İlgili mevzuat ile özel nitelikli kişisel verilerin işlenmesi, güvenliği, korunması, saklanması vb. veri güvenliği konularında çalışanlara eğitimler verilmektedir.
- Çalışanlarla gizlilik sözleşmeleri yapılmakta ve disiplin prosedürleri uygulanmaktadır.
- Özel nitelikli kişisel verilere erişim yetkisine sahip çalışanların, yetki kapsamları ve süreleri tanımlanmaktadır.
- Periyodik olarak yetki kontrolleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, varsa çalışana tahsis edilen envanter geri alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara ilişkin tedbirler;
- Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
- Veriler üzerinde gerçekleştirilen hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlara ilişkin tedbirler;
- Özel nitelikli kişisel verilerin bulunduğu fiziksel ortamlar (dolap, arşiv vs.) kilitlenmektedir.
- Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel verilerin aktarılmasına ilişkin tedbirler;
- Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa, bu veriler şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır. Söz konusu dosyanın şifre bilgisine posta içeriğinde yer verilmemektedir.
- Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa, bu veriler kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
- Özel nitelikli kişisel verilerin aktarımı farklı fiziksel ortamlardaki sunucular arasında gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
- Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa, bu verilerin aktarıldığı evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
Yukarıda belirtilen önlemlerin yanı sıra
https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi adresinden ulaşılabilecek Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika’da belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
4. POLİTİKA’NIN UYGULANMASI VE SÜRECİN TAKİBİ
AloTech’in, işbu Politika uyarınca ilgili kişilerin verilerinin Kanun ve Yönetmelik’e uygun olarak işlenmesi, saklanması ve imhasına yönelik gerekli işlemleri yapmak/yaptırmak ve süreçleri yönetmek üzere görevlendirdiği kişiler aşağıdaki gibidir.
| Birim / Ünvan |
Sorumlu |
Görev Tanımı |
| İnsan Kaynakları Müdürü |
Eda Şahin |
Çalışanların Politikaya uygun hareket etmesinden sorumludur. |
| İnsan Kaynakları Uzman Yard. |
Simge Akkılıç |
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
| İnsan Kaynakları Uzmanı |
Ufuk Delice |
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
5. İLGİLİ KİŞİNİN HAKLARI
İlgili kişi, Kanun’un 11. maddesi uyarınca AloTech’e başvurarak;
- a. Kişisel verilerinin işlenip işlenmediğini öğrenme,
- b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- c. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- d. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
- e. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- f. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,
- g. Kişisel verilerinin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- h. İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme
- i. Kişisel verilerinin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
AloTech nezdinde tutulan kişisel verilerin güncellenmesi, düzeltilmesi ve kişisel veriler ile ilgili diğer her türlü soru, talep ve görüşler için
https://alotech.com.tr/basvuru-formu adresinde yer alan AloTech İlgili Kişi Başvuru Formu’nda düzenlenen yöntemlerle AloTech’e her zaman ulaşılabilmektedir. Başvurular, AloTech’e iletilmesinin akabinde en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, AloTech’in Kurul tarafından belirlenen tarife üzerinden ücret talep etme hakkı saklıdır.
Policy on the Processing, Storage, and Destruction of Special Categories of Personal Data
AloTech, with this Policy on the Processing, Storage, and Destruction of Special Categories of Personal Data (“Policy”) published at
https://alotech.com.tr/ozel-nitelikli-kisisel-veri-politikasi, declares that it is responsible as a data controller under the Law on the Protection of Personal Data No. 6698. AloTech places great importance on the processing and preservation of your special categories of personal data in accordance with the law and other relevant legislation under the Law on the Protection of Personal Data No. 6698. With this awareness, AloTech processes and preserves personal data in compliance with the legislation to fulfill its legal obligations and carry out activities consistent with its field of business.
Definitions and Abbreviations
| ABBREVIATION |
DEFINITIONS |
| Explicit Consent |
Refers to consent that is based on information regarding a specific subject and declared with free will. |
| Personal Data |
Refers to any information relating to an identified or identifiable natural person. |
| Special Categories of Personal Data |
Refers to data concerning individuals’ race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and dress, membership in associations, foundations or unions, health, sexual life, criminal convictions and security measures, as well as biometric and genetic data. |
| Data Subject |
Refers to the natural person whose personal data is processed. |
| Data Controller |
Refers to the natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data recording system. |
| Data Processor |
Refers to the natural or legal person who processes personal data on behalf of the data controller based on the authority granted by the controller. |
| Recipient Group |
Refers to the category of natural or legal persons to whom personal data is transferred by the data controller. |
| Board |
Refers to the Personal Data Protection Board. |
| Processing of Personal Data |
Refers to any operation performed upon personal data such as collection, recording, storage, retention, alteration, re-organization, disclosure, transferring, taking over, making retrievable, classification or preventing the use thereof, wholly or partially by automated means or otherwise than by automated means which form part of a data recording system. |
| Anonymization of Personal Data |
Refers to rendering personal data impossible to be associated with an identified or identifiable natural person, even by matching with other data. |
| Deletion of Personal Data |
Refers to the process of making personal data inaccessible and non-reusable in any way for the Relevant Users. |
| Destruction of Personal Data |
Refers to the process of making personal data inaccessible, irretrievable, and non-reusable by anyone in any way. |
| Destruction |
Refers to the deletion, destruction, or anonymization of personal data. |
| Periodic Destruction |
Refers to the process of deletion, destruction, or anonymization to be carried out ex officio at recurring intervals specified in the data retention and destruction policy, in the event that all of the conditions for processing personal data listed in the Law cease to exist. |
| Law |
Refers to the Law on the Protection of Personal Data No. 6698. |
| Regulation |
Refers to the Regulation on the Deletion, Destruction, or Anonymization of Personal Data published in the Official Gazette dated 28.10.2017 and numbered 30224. |
1. PURPOSE AND SCOPE
The purpose of this Policy is to explain the principles adopted by AloTech for the processing and protection of special categories of personal data in accordance with the Law, and its storage and destruction in accordance with the Regulation, and the methods to be followed in this context.
This Policy is an integral part of the Policy on the Processing, Storage, and Destruction of Personal Data. For all matters not included in this Policy, we recommend you review the Policy on the Processing, Storage, and Destruction of Personal Data, which can be accessed at
https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi.
This Policy applies to all activities managed by AloTech regarding the processing, protection, storage, and destruction of all personal data processed by AloTech through fully or partially automated means or non-automated means provided that they are part of a data recording system. This includes, but is not limited to, personal data belonging to officials, employees, former employees, employee candidates, interns, visitors of AloTech and its affiliated group(s), other companies, direct and indirect subsidiaries and affiliates, as well as officials and employees of collaborating institutions and organizations, and third parties from whom services are procured or to whom services are provided in relation to its field of business, both domestically and internationally.
2. PRINCIPLES REGARDING THE PROCESSING AND TRANSFER OF SPECIAL CATEGORIES OF PERSONAL DATA
2.1. PRINCIPLES UNDERLYING THE PROCESSING OF SPECIAL CATEGORIES OF PERSONAL DATA
AloTech processes special categories of personal data within the scope of this Policy in accordance with the following general principles, pursuant to Article 4 of the Law.
- Compliance with the law and principles of fairness
- Being accurate and up-to-date when necessary
- Processing for specific, explicit, and legitimate purposes
- Being relevant, limited, and proportionate to the purposes for which they are processed
- Being retained for the period stipulated by relevant legislation or required for the purpose for which they are processed
2.2. CONDITIONS FOR PROCESSING SPECIAL CATEGORIES OF PERSONAL DATA
AloTech does not process special categories of personal data without the explicit consent of the data subject. However, it is possible to process the data subject’s race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, appearance and dress, membership in associations, foundations or unions, criminal convictions and security measures, as well as biometric and genetic data without the explicit consent of the data subject in cases prescribed by law.
2.3. TRANSFER OF PERSONAL DATA
2.3.1. Domestic Transfer of Special Categories of Data
AloTech may transfer special categories of personal data to third parties within the country, provided there is explicit consent from the data subject, in line with data processing purposes, and by taking the necessary technical and administrative measures as required by legislation. As a rule, special categories of personal data cannot be transferred to third parties within the country without the explicit consent of the Data Subject.
However, personal data other than health and sexual life data may be transferred without seeking the explicit consent of the Data Subject if it is explicitly stipulated in the laws, in other words, if there is a clear provision in the law governing the relevant activity regarding the processing/transfer of special categories of personal data. Personal data related to health and sexual life may be transferred without seeking the explicit consent of the Data Subject only for the purposes of protecting public health, preventive medicine, medical diagnosis, treatment and care services, planning and management of health services and financing, provided that adequate and necessary measures are taken.
During the transfer of special categories of personal data, AloTech takes all necessary measures to ensure an appropriate level of security in accordance with the legislation to prevent the unlawful use of data and to ensure its preservation.
2.3.2. International Transfer of Special Categories of Personal Data
AloTech may transfer special categories of personal data abroad for legitimate and lawful personal data processing purposes by showing due diligence, taking the administrative and technical measures stipulated by the legislation, and the precautions deemed necessary by the Board. As a rule, special categories of personal data cannot be transferred abroad without the explicit consent of the Data Subject.
However, personal data other than health and sexual life data may be transferred abroad without seeking the explicit consent of the Data Subject if it is explicitly stipulated in the laws, in other words, if there is a clear provision in the law governing the relevant activity regarding the international transfer of special categories of personal data. Personal data related to health and sexual life may also be transferred abroad without seeking the explicit consent of the data subject only for the purposes of protecting public health, preventive medicine, medical diagnosis, treatment and care services, planning and management of health services and financing, provided that adequate and necessary measures are taken.
3. MEASURES TAKEN FOR THE STORAGE OF SPECIAL CATEGORIES OF PERSONAL DATA
In the processing of special categories of personal data, AloTech, as the data controller, takes the following measures in accordance with Article 6 of the Law and the Board’s decision dated 31.01.2018 and numbered 2018/10:
Measures for employees involved in the processing of special categories of personal data;
- Employees are provided with training on relevant legislation and data security topics such as the processing, security, protection, and storage of special categories of personal data.
- Confidentiality agreements are signed with employees, and disciplinary procedures are applied.
- The scope and duration of authorization for employees who have access to special categories of personal data are defined.
- Authority checks are conducted periodically.
- The authorizations of employees who change roles or leave their jobs are immediately revoked. In this context, any inventory assigned to the employee is reclaimed.
Measures for electronic environments where special categories of personal data are processed, stored, and/or accessed;
- Data is stored using cryptographic methods.
- Cryptographic keys are kept in secure and separate environments.
- Transaction records of all movements performed on the data are securely logged.
- Security updates for the environments where data is located are continuously monitored, security tests are regularly conducted/commissioned, and test results are recorded.
- If data is accessed through software, user authorizations for this software are made, security tests for these applications are regularly conducted/commissioned, and test results are recorded.
- If remote access to data is required, at least a two-factor authentication system is implemented.
Measures for physical environments where special categories of personal data are processed, stored, and/or accessed;
- Physical environments (cabinets, archives, etc.) containing special categories of personal data are locked.
- Adequate security measures (against electrical leakage, fire, flood, theft, etc.) are taken according to the nature of the environment where special categories of personal data are located.
- The physical security of these environments is ensured, and unauthorized entry and exit are prevented.
Measures regarding the transfer of special categories of personal data;
- If special categories of personal data need to be transferred via e-mail, this data is transferred in an encrypted format using a corporate e-mail address or a Registered Electronic Mail (KEP) account. The password for the file is not included in the body of the e-mail.
- If special categories of personal data need to be transferred via portable media such as flash drives, CDs, or DVDs, this data is encrypted using cryptographic methods, and the cryptographic key is kept in a separate medium.
- If the transfer of special categories of personal data is carried out between servers in different physical environments, the data transfer is performed by establishing a VPN between the servers or by using the SFTP method.
- If special categories of personal data need to be transferred in paper format, necessary precautions are taken against risks such as the document being stolen, lost, or seen by unauthorized persons, and the document is sent in a “classified documents” format.
In addition to the measures mentioned above, the technical and administrative measures aimed at ensuring the appropriate level of security specified in the Policy on the Processing, Storage, and Destruction of Personal Data, which can be accessed at
https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi, should also be taken into consideration.
4. IMPLEMENTATION OF THE POLICY AND PROCESS MONITORING
The individuals assigned by AloTech to carry out the necessary actions and manage the processes for the processing, storage, and destruction of data subjects’ data in accordance with the Law and the Regulation under this Policy are as follows.
| Unit / Title |
Responsible |
Job Description |
| Human Resources Manager |
Eda Şahin |
Responsible for ensuring employees act in accordance with the Policy. |
| Human Resources Specialist Asst. |
Simge Akkılıç |
Responsible for the preparation, development, execution, publication in relevant environments, and updating of the Policy. |
| Human Resources Specialist |
Ufuk Delice |
Responsible for providing the technical solutions needed for the implementation of the Policy. |
5. RIGHTS OF THE DATA SUBJECT
In accordance with Article 11 of the Law, the data subject has the right to apply to AloTech to;
- a. Learn whether their personal data is being processed,
- b. Request information if their personal data has been processed,
- c. Learn the purpose of the processing of their personal data and whether they are used in line with this purpose,
- d. Know the third parties to whom their personal data is transferred, both domestically and abroad,
- e. Request the correction of their personal data if it is incomplete or incorrectly processed,
- f. Request the deletion or destruction of their personal data in the event that the reasons requiring its processing cease to exist, to be evaluated within the principles of purpose, duration, and legitimacy,
- g. Request notification of the operations carried out upon their request for correction, deletion, or destruction of their personal data to third parties to whom the personal data has been transferred,
- h. Object to the emergence of a result against them by analyzing the processed data exclusively through automated systems,
- i. Request compensation for damages in case of suffering damages due to the unlawful processing of their personal data.
For updating, correcting personal data held by AloTech, and for any other questions, requests, and opinions regarding personal data, AloTech can always be reached through the methods set out in the AloTech Data Subject Application Form available at
https://alotech.com.tr/basvuru-formu. Applications are evaluated and concluded as soon as possible and within 30 (thirty) days at the latest after being communicated to AloTech. However, if the transaction requires an additional cost, AloTech reserves the right to charge a fee based on the tariff determined by the Board.
