Gizlilik Politikası ve Kişisel Veri Güvenliği

Özel Nitelikli Kişisel Veri Politikası

Özel Nitelikli Kişisel Verilerin İşlenmesi, Saklanması Ve İmhasına İlişkin Politika

AloTech, https://alotech.com.tr/ozel-nitelikli-kisisel-veri-politikasi adresinde yayımlanan işbu Özel Nitelikli Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatıyla sorumlu olduğunu ilan etmektedir. AloTech, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında özel nitelikli kişisel verilerinizin kanun ve ilgili sair mevzuata uygun olarak işlenerek muhafaza edilmesine büyük önem vermektedir. AloTech, bu bilinçle, yasal yükümlülüklerini ve iştigal konusuyla uygun olan faaliyetlerini gerçekleştirebilmek amacıyla kişisel verileri mevzuata uygun olarak işlemekte ve muhafaza etmektedir.

Tanımlar ve Kısaltmalar

KISALTMA	TANIMLAR
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
İlgili Kişi	Kişisel verisi işlenen gerçek kişiyi ifade eder.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
Kurul	Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Yönetmelik	28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini ifade eder.

1.AMAÇ VE KAPSAM

İşbu Politika’nın amacı, AloTech tarafından özel nitelikli kişisel verilerin Kanun’a uygun olarak işlenmesi ve korunması ile Yönetmelik’e uygun olarak saklanması ve imhasını sağlamak amacıyla benimsenen ilkeleri ve bu kapsamda izlenecek olan yöntemleri açıklamaktır.

İşbu Politika, Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika’nınayrılmaz bir parçası olup Politika’da yer almayan tüm hususlar için https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi adresinden ulaşabileceğiniz Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika’yı incelemenizi öneririz.

İşbu Politika, AloTech’in ve AloTech’in bağlı bulunduğu grup veya grupların, diğer şirketlerinin, doğrudan ve dolaylı bağlı ortaklık ve iştirakleri de dâhil olmak üzere yurtiçi ve yurtdışındaki iş ve çözüm ortaklarının yetkililerine, çalışanlarına, eski çalışanlarına, çalışan adaylarına, stajyerlerine, ziyaretçilerine, işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlara ve yetkililerine, iştigal konusuyla ilgili olarak hizmet tedarik ettiği veya hizmet temin ettiği üçüncü kişilere ait kişisel veriler başta olmak üzere AloTech tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin işlenmesi, korunması, saklanması ve imhası kapsamında AloTech tarafından yönetilen tüm faaliyetlerde uygulanmaktadır.

2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE VE AKTARILMASINA İLİŞKİN ESASLAR

2.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ SIRASINDA ESAS ALINAN İLKELER

AloTech, Kanun’un 4. maddesi uyarınca işbu Politika kapsamındaki özel nitelikli kişisel verileri aşağıdaki genel ilkeler doğrultusunda işlemektedir.

✓ Hukuka ve dürüstlük kurallarına uygun olma

✓ Doğru ve gerektiğinde güncel olma

✓ Belirli, açık ve meşru amaçlar için işleme

✓ İşlendikleri amaçla sınırlı ve ölçülü olma

✓ İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

AloTech, özel nitelikli kişisel verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Ancak, ilgili kişinin ırkını, etnik kökenini, siyasi düşüncesini, felsefi inancını, dinini, mezhebini veya diğer inançlarını, kılık ve kıyafetini, dernek, vakıf ya da sendika üyeliğini, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini kanunlarda öngörülen hâllerde ilgili kişinin açık rızası olmaksızın da işleyebilmesi mümkündür.

2.3. KİŞİSEL VERİLERİN AKTARILMASI

2.3.1. Özel Nitelikli Verilerin Yurtiçine Aktarılması

AloTech, özel nitelikli kişisel verileri ilgili kişinin açık rızası olması koşuluyla, veri işleme amaçları doğrultusunda ve mevzuat uyarınca gerekli teknik ve idari tedbirleri alarak yurt içindeki üçüncü kişilere aktarabilmektedir. Özel nitelikli kişisel veriler kural olarak İlgili Kişinin açık rızası olmaksızın yurt içindeki üçüncü kişilere aktarılamaz.

Ancak sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda açıkça öngörülmesi halinde, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda özel nitelikli kişisel verilerin işlenmesine/aktarılmasına ilişkin açık bir hüküm olması halinde İlgili Kişinin açık rızası aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise yeterli ve gerekli önlemler alınarak ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarından herhangi birinin bulunması halinde İlgili Kişinin açık rızası aranmaksızın aktarılabilir.

AloTech, özel nitelikli kişisel verilerin aktarılması sürecinde, verilerin hukuka aykırı olarak kullanılmasını önlemek ve muhafazasını sağlamak için mevzuat uyarınca uygun güvenlik düzeyini sağlamak için gerekli tüm tedbirleri almaktadır.

2.3.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

AloTech, gerekli özeni göstererek, mevzuatın öngördüğü idari ve teknik tedbirler ile Kurul tarafından gerekli görülen önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda özel nitelikli kişisel verileri yurt dışına aktarabilmektedir. Özel nitelikli kişisel veriler kural olarak İlgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

Ancak sağlık ve cinsel hayat dışındaki kişisel veriler kanunlarda açıkça öngörülmesi halinde, diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda özel nitelikli kişisel verilerin yurt dışına aktarılmasına ilişkin açık bir hüküm olması halinde İlgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise yeterli ve gerekli önlemler alınarak ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarından herhangi birinin bulunması halinde de ilgili kişinin açık rızası aranmaksızın yurtdışına aktarılabilir.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI ADINA ALINMIŞ OLAN TEDBİRLER

AloTech, Kanun’un 6. Maddesine uygun şekilde, özel nitelikli kişisel verilerin işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde çalışanlara yönelik tedbirler;

– İlgili mevzuat ile özel nitelikli kişisel verilerin işlenmesi, güvenliği, korunması, saklanması vb. veri güvenliği konularında çalışanlara eğitimler verilmektedir.

– Çalışanlarla gizlilik sözleşmeleri yapılmakta ve disiplin prosedürleri uygulanmaktadır.

– Özel nitelikli kişisel verilere erişim yetkisine sahip çalışanların, yetki kapsamları ve süreleri tanımlanmaktadır.

– Periyodik olarak yetki kontrolleri yapılmaktadır.

– Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, varsa çalışana tahsis edilen envanter geri alınmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara ilişkin tedbirler;

– Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.

– Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.

– Veriler üzerinde gerçekleştirilen hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.

– Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.

– Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır.

– Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi uygulanmaktadır.

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlara ilişkin tedbirler;

– Özel nitelikli kişisel verilerin bulunduğu fiziksel ortamlar (dolap, arşiv vs.) kilitlenmektedir.

– Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.

– Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

Özel nitelikli kişisel verilerin aktarılmasına ilişkin tedbirler;

– Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa, bu veriler şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır. Söz konusu dosyanın şifre bilgisine posta içeriğinde yer verilmemektedir.

– Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa, bu veriler kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.

– Özel nitelikli kişisel verilerin aktarımı farklı fiziksel ortamlardaki sunucular arasında gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.

– Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa, bu verilerin aktarıldığı evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

Yukarıda belirtilen önlemlerin yanı sıra https://alotech.com.tr/kisisel-verilerin-islenmesi-politikasi adresinden ulaşılabilecek Kişisel Verilerin İşlenmesi, Saklanması ve İmhasına İlişkin Politika’da belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

4.POLİTİKA’NIN UYGULANMASI VE SÜRECİN TAKİBİ

AloTech’in, işbu Politika uyarınca ilgili kişilerin verilerinin Kanun ve Yönetmelik’e uygun olarak işlenmesi, saklanması ve imhasına yönelik gerekli işlemleri yapmak/yaptırmak ve süreçleri yönetmek üzere görevlendirdiği kişiler aşağıdaki gibidir.

Birim / Ünvan	Sorumlu	Görev Tanımı
İnsan Kaynakları Müdürü	Eda Şahin	Çalışanların Politikaya uygun hareket etmesinden sorumludur.
İnsan Kaynakları Uzman Yard.	Simge Akkılıç	Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
İnsan Kaynakları Uzmanı	Ufuk Delice	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

5. İLGİLİ KİŞİNİN HAKLARI

İlgili kişi, Kanun’nun 11. maddesi uyarınca AloTech’e başvurarak;

a. Kişisel verilerinin işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

e. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,

g. Kişisel verilerinin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

h. İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme

i. Kişisel verilerinin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğramasıhâlinde zararın giderilmesini talep etme

haklarına sahiptir.

AloTech nezdinde tutulan kişisel verilerin güncellenmesi, düzeltilmesi ve kişisel veriler ile ilgili diğer her türlü soru, talep ve görüşler için https://alotech.com.tr/basvuru-formu adresinde yer alan AloTech İlgili Kişi Başvuru Formu’nda düzenlenen yöntemlerle AloTech’e her zaman ulaşılabilmektedir. Başvurular, AloTech’e iletilmesinin akabinde en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, AloTech’in Kurul tarafından belirlenen tarife üzerinden ücret talep etme hakkı saklıdır.