BAŞKENT ELEKTRİK DAĞITIM A.Ş. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. AMAÇ
2. KAPSAM
3. DAYANAK
4. TANIMLAR
5. KİŞİSEL VERİLERİN İŞLENMESİ
   1. 1. Kişisel Verilerin Hukuka Ve Dürüstlük Kurallarına Uygun Olarak

İşlenmesi

1. 1. 2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması
      3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmes
      4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
      5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç

İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi

5. 2. Kişisel Verilerin İşlenme Şartları
      1. İlgili Kişinin Açık Rızasının Bulunması ..........
      2. İlgili Kişinin Açık Rızası Aranmaksızın Kişisel Verilerin İşlenmesi
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
   1. Kişisel Sağlık Verilerinin İşlenmesi
   2. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin

İşlenmesi

7. KİŞİSEL VERİLERİN AKTARILMASI
8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİMLEŞTİRİLMESİ
9. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI
11. KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI
12. GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN

HALLER

13. KİŞİSEL VERİLERİN KORUNMASINA VE GÜVENLİĞİNE İLİŞKİN HUSUSLAR
14. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE VERİ İŞLEME FAALİYETİNE

KONU OLAN KİŞİSEL VERİ GRUPLARI

14. 1. Kişisel Veri Kategorileri
    2. Kişisel Verilerinin İşlenme Amaçları
15. POLİTİKANIN YAYIMLANMASI VE SAKLANMASI
16. POLİTİKA’DA YAPILAN DEĞİŞİKLİKLER KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

1. AMAÇ  

İşbu Kişisel Verilerin İşlenmesi Ve Korunması Politikası (“Politika”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ve ikincil mevzuat uyarınca Başkent Elektrik Dağıtım A.Ş. (“Şirket”) tarafından ilgili kişilere ait kişisel verilerin KVK Kanunu’na uyumlu bir şekilde işlenmesini ve korunmasını sağlamak adına uygulama kurallarını ve yükümlülükleri tanımlamak, Şirketimiz tarafından gerçekleştirilen kişisel verileri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ile bu faaliyetlerin KVK Kanunu’nda yer alan düzenlemelere uyumu bakımından benimsenen temel prensipleri belirlemek üzere hazırlanmıştır. 

2. KAPSAM

Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirketimiz tarafından kişisel verileri işlenen çalışanlarını, çalışan adaylarını, tüketicileri, ziyaretçileri ve diğer üçüncü kişileri kapsamaktadır.   

Politika; Şirketimizin sadece kişisel veriler üzerinde uygulayacağı tüm işleme ve koruma faaliyetlerini kapsamaktadır.                   

         3. DAYANAK                                                                                                       

Politika 07.04.2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuata dayanılarak hazırlanmıştır.                                                 

4.TANIMLAR

Çerez (Cookies)                Kullanıcıların bilgisayarlarına veya mobil cihazlarına kaydedilen

ve ziyaret ettikleri sayfalardaki tercihleri ve diğer bilgileri depolamaya yardımcı olan küçük metin dosyalarını,

İlgili Kişi/ Kişisel Veri     Kişisel verisi işlenen gerçek kişiyi, Sahibi

İmha                                Kişisel verilerin silinmesi, yok edilmesi veya anonim hale

getirilmesini,

Kanun                                   6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kişisel Verilerin                Kişisel verilerin, ilgili kullanıcılar için hiçbir şekilde erişilemez ve

Silinmesi                              tekrar kullanılamaz hale getirilmesini,  

Veri Kayıt Sistemi         Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

ifade eder.

5. KİŞİSEL VERİLERİN İŞLENMESİ

5.1.     Kişisel Verilerin İşlenmesine Dair Temel İlkeler  

Şirketimiz, kişisel verilerin işlenmesi faaliyetlerini yürütürken, KVK Kanunu’nun (i) 4. maddesinde yer verilen temel ilkelere, (ii) 5. maddesinde yer alan kişisel veri işleme şartlarına ve (iii) 6. maddesinde yer alan özel nitelikli kişisel veri işleme şartlarına uygun hareket etmektedir.

5.1.1. Kişisel Verilerin Hukuka Ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi 

Şirketimiz, kişisel verilerin işlenmesi sırasında kanunların ve diğer hukuki düzenlemelerin öngördüğü ilkeler ile hukuka ve dürüstlük kuralına uygun şekilde hareket etmektedir.    

5.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması

Şirketimiz, faaliyetleri kapsamında uymak zorunda olduğu diğer mevzuat hükümleri ile birlikte KVK Kanunu kapsamında ilgili kişilerin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır.

5.1.3.  Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amaçlarını açık ve kesin olarak belirlemektedir. Bu kapsamda kişisel veriler, Şirketimiz tarafından sunulan ve/veya sunulacak hizmetler ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

5.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, kişisel verileri gerekli olduğu ölçüde işlemektedir. Bu kapsamda orantılık ilkesini dikkate alınmakta ve kişisel verileri amacı dışında kullanmamaktadır. Ayrıca amaca ulaşmayı sağlayacak ölçü aşılarak ihtiyaç olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. 

 

5.1.5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin

Gerekli Olan Süre Kadar Muhafaza Edilmesi   

Şirketimiz, kişisel verileri, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Kişisel verilere ilişkin mevzuatta herhangi bir süre belirlenmediği takdirde ise veri kullanım amacı ve Şirketimizin politika ve prosedürleri göz önünde tutularak uygun saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı olarak saklanmaktadır. Mevzuatta öngörülen sürenin bitmesi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. 

5.2.     Kişisel Verilerin İşlenme Şartları  

Şirketimiz, kişisel verileri KVK Kanunu’nun 5 inci maddesinde belirtilen işleme şartlarına ve özel nitelikli kişisel verileri ise KVK Kanunu’nun 6 ncı maddesindeki işleme şartlarına uygun olarak işlemektedir. Bu doğrultuda, yürütülen kişisel veri işleme faaliyetleri aşağıda sıralanan kişisel veri işleme şartlarının varlığı halinde gerçekleştirilmektedir:

5.2.1. İlgili Kişinin Açık Rızasının Bulunması  

Şirketimiz tarafından işlenen kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası Şirketimiz tarafından belirli bir konuya ilişkin, aydınlatma ve bilgilendirilmeye dayalı olarak ve özgür iradeyle alınmaktadır. 

5.2.2. İlgili Kişinin Açık Rızası Aranmaksızın Kişisel Verilerin İşlenmesi           

5.2.2.1.          Kişisel Veri İşleme Faaliyetinin Kanunlarda Açıkça Öngörülmesi 

Kişisel veri işleme faaliyetine ilişkin kanunlarda açıkça düzenleme bulunması durumunda, Şirketimiz tarafından ilgili kanuni düzenleme ile sınırlı olarak kişisel veriler işlenebilecektir.

5.2.2.2. Fiili İmkânsızlık Sebebiyle Kişisel Veri Sahibinin Açık Rızasının Alınamaması ve Kişisel Veri İşlemenin Zorunlu Olması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan ilgili kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde, Şirketimiz tarafından kişisel veriler işlenebilmektedir.  

5.2.2.3. Kişisel Veri İşleme Faaliyetinin Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması 

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde, Şirketimiz tarafından kişisel veriler işlenebilmektedir. 

 

5.2.2.4. Şirketimizin Hukuki Yükümlülüğünü Yerine Getirmesi için Kişisel Veri İşleme Faaliyeti Yürütülmesinin Zorunlu Olması 

Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde kişisel veriler işlenebilmektedir.  

 

5.2.2.5.Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi 

İlgili kişinin, kişisel verisini kendisi alenileştirmiş olması halinde, Şirketimiz tarafından alenileştirilme amacına uygun olarak kişisel veriler işlenebilmektedir.  

 

5.2.2.6.  Bir Hakkın Tesisi, Kullanılması veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde, Şirketimiz tarafından kişisel veriler işlenebilmektedir.  

5.2.2.7. Veri Sahibinin Temel Hak ve Özgürlüklerine Zarar Vermemek Şartıyla Kişisel Veri İşleme Faaliyetinin Yürütülmesinin Şirketimizin Meşru Menfaatleri İçin Zorunlu Olması 

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde, kişisel veriler işlenebilmektedir. Bu kapsamda, söz konusu şartın varlığının tespiti için, Şirketimiz tarafından temel düzenlemede kabul gören “denge testi” uygulaması yürütülür.                      

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Şirketimiz, KVK Kanunu ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, mevzuatta ve Kurul kararlarında öngörülen düzenlemelere hassasiyetle uygun davranmaktadır. Özel nitelikli kişisel veriler, Şirketimiz tarafından KVK Kanunu’na uygun bir biçimde ve Kurul’un 31.01.2018 tarih ve 2018/10 Sayılı Kararı doğrultusunda yeterli teknik ve idari tedbirler alınmak suretiyle işlenmektedir.

6.1.Kişisel Sağlık Verilerinin İşlenmesi

Şirketimiz tarafından kişisel sağlık verileri, aşağıda sıralanan şartlardan birinin varlığı halinde işlenebilmektedir: 

1. Kişisel veri sahibin yazılı açık rızasının varlığı,
2. Kamu sağlığının korunması,
3. Koruyucu hekimlik,
4. Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
5. Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

6.2. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirketimiz tarafından, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, veri sahibinin açık rıza vermesi veya kanunlarda öngörülen hallerde işlenebilmektedir.

7.  KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz tarafından gerçekleştirilecek kişisel veri aktarımlarında KVK Kanunu’nun 8 inci ve 9 uncu maddelerinde düzenlenen kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.

7.1. Kişisel Verilerin Yurtiçinde Aktarılması

Şirketimiz, KVK Kanunu’nun 8 inci maddesi gereğince, yurtiçinde yürütülecek ve Şirketimizin kişisel veri işleme envanterinde belirtilen alıcı gruplarına veri aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. Politika md.5) uygun olarak hareket edilmektedir. Kişisel verilerin ve/veya özel nitelikli kişisel verilerin aktarılmasına dair yukarıda veri işleme şartlarının mevcut olmaması halinde, Şirketimiz tarafından ilgili kişinin açık rızasına başvurulmaktadır.

7.2. Kişisel Verilerin Yurt Dışına Aktarılması

Şirketimiz tarafından, KVK Kanunu’nun 9 uncu maddesi gereğince kişisel veriler; kişisel veri işleme şartlarına (Bkz. Politika md.5) uygun olarak KVK Kanunu’nun 5/2 ve 6/3 maddesinde düzenlenen koşulların sağlandığına emin olduktan sonra ayrıca aşağıda belirtilen hususlara da riayet edilerek yurtdışına aktarılabilmektedir.

1. Kişisel verilerin ve özel nitelikli kişisel verilerin aktarılacağı ülkenin kurulca yayınlanan güvenli ülkeler listesinde yer alması,
2. Kişisel verilerin ve özel nitelikli kişisel verilerin aktarılacağı ülkenin kurulca yayınlanan güvenli ülkeler listesinde yer almaması durumunda Türkiye’deki veri sorumlusu (Şirket) ve ilgili yabancı ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması,

kaydıyla kişisel veri aktarımı yapılabilir.

Kişisel verilerin ve/veya özel nitelikli kişisel verilerin aktarılmasına dair yukarıda yer verilen şartların mevcut olmaması halinde, Şirketimiz tarafından ilgili kişinin açık rızasına başvurulabilmektedir.

8.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİMLEŞTİRİLMESİ

Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler re’sen

veya ilgili kişinin talebi üzerine Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.                

KVK Kanunu’nun 7 nci maddesinin 3 üncü fıkrası ile 22 nci maddesinin 1 inci fıkrasının (e) bendine istinaden Kurul tarafından hazırlanmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e dayanılarak kişisel verilerin saklanması ve imha edilmesi hakkında uyulması gereken esaslar Şirketimiz tarafından prosedür ile düzenlenmiştir.

9.  KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

Şirketimiz, KVK Kanunu’nun 10 uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için aydınlatma yükümlülüğünü yerine getirmektedir. Bu kapsamda, Şirketimiz tarafından aydınlatma metinlerinde;  

1. Veri sorumlusu Şirketimizin kimliği,
2. Kişisel verilerin hangi amaçla işleneceği,
3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5. İlgili kişinin 11 inci maddede sayılan diğer hakları,

konusunda bilgi verilmektedir. 

10. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

Kişisel veri sahipleri, KVK Kanunu’nun 11 inci maddesi kapsamında veri sorumlusu olan Şirketimize başvurarak kendisiyle ilgili;

1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6. Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
7. Düzeltme, silme ve/veya yok etmeye ilişkin yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
1. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

11.KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI

İlgili kişiler Kanun’un 11 inci maddesinde sayılı haklara ilişkin taleplerini, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilmiş olan hakları kapsamında veri sorumlusu Şirketimize, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da Şirketimize bildirilen ve Şirketimizin sisteminde kayıtlı elektronik posta adresini kullanmak suretiyle başvuruda bulunarak bilgi talep etme hakkında sahiptir.

Bu kapsamda, yapılan başvurularda, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5’ inci maddesinin 2’ nci fıkrasında belirtilen;

1. Ad, soy ad ve başvuru yazılı ise imza,
2. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
3. Tebligata esas yerleşim yeri veya iş yeri adresi,
4. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ve
5. Talep konusunun, 

bulunması zorunludur. 

İlgili kişi başvurusu, internet sitemizde KVKK sekmesi altında yer alan “İlgili Kişi Başvuru Formu” doldurularak ve yukarıda sayılan yöntemlerden biriyle ya da aynı sekme altında yer alan “Online İlgili Kişi Başvurusu” yöntemleri kullanılarak da Şirketimize iletebilecektir.

Başvurular, Şirketimizce yapılacak olan kimlik doğrulamasını takiben en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak veya Kurul tarafından ücrete ilişkin yayınlanan tarifedeki koşulların oluşması durumunda tarifedeki ücreti karşılığında yanıtlanacaktır. Şirketimiz, ilgili kişinin başvurusunda yer alan hususları netleştirmek adına, ilgili kişiye başvurusu ile ilgili soru yöneltebilecektir.  

İlgili kişi tarafından yapılan talepler veri sorumlusu tarafından kabul edilir veya gerekçesi açıklanarak reddedilir ve yazılı veya elektronik ortamda cevap bildirilir. Başvurunun kabul edilmesi halinde Şirketimiz tarafından gereği yerine getirilir.  

Başvurunun Şirketimiz tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; ilgili kişinin cevabı öğrendiği tarihten itibaren 30 gün ve her halde başvuru tarihinden itibaren 60 gün içinde Kurul’a şikâyette bulunma hakkı bulunmaktadır.

12. MEVZUAT GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN

HALLER

KVK Kanunu’nun 28 inci maddesinde tamamen veya kısmen Kanun’un kapsamı dışında olan haller düzenlenmiştir.  

KVK Kanunu’nun 28 inci maddesinin 1. fıkrasında, Kanun kapsamına girmeyen haller tek tek sayılmıştır. Bunlar:  

1. Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,  
2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,  
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,  
4. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi, 
5. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesidir.

KVK Kanunu’nun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmamaktadır:

1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
2. İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

13. KİŞİSEL VERİLERİN KORUNMASINA VE GÜVENLİĞİNE İLİŞKİN HUSUSLAR

Şirketimiz tarafından, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVK Kanunu’nun 12’ nci maddesiyle KVK Kanunu’nun 6’ ncı maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen ve Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Hakkındaki Politika ve Prosedür’de belirlenmiş yeterli önlemler çerçevesinde ilgili teknik ve idari tedbirler alınmaktadır. 

Şirketimiz, Kurul tarafından yayımlanmış kurul kararları ve rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmakta, kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket etmektedir.  

Şirketimiz, kişisel verilerin yetkisiz bir şekilde ifşasının engellenmesine yönelik tedbirler almakta ve buna ilişkin prosedürlerini oluşturmaktadır. Buna ek olarak, söz konusu durumlarda Şirketimiz, veri sorumlusu olarak, kişisel verileri yetkisiz bir şekilde ifşa edilen kişileri ve Kurulu bilgilendirmekle yükümlüdür.             

Şirketimiz, verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişileri kişisel verilerin hukuka uygun bir şekilde korunmasına ilişkin bilgi vermekte ve farkındalık yaratmakta; aynı zamanda bu kişilerle akdedilen sözleşmeler çerçevesinde kişisel verilerinin hukuka uygun şekilde korunmasına yönelik hükümler belirlemektedir.                         

Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin korunmasını sağlamaya yönelik farkındalığın arttırılması için iş birimlerine gerekli eğitimler vermektedir.  

Şirketimizde kişisel verilerin korunması mevzuatına uyum kapsamında periyodik ve/veya aperiyodik denetimler yapılmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.                

Şirketimiz, kurumsal internet siteleri kullanıcılarının erişimi esnasında kullanılmakta olan çerezler hakkında bilgi vermek, kurumsal internet sitelerine hangi amaçlarla hangi tür çerezleri kullanıldığını ve bu çerezleri nasıl kontrol edebileceğini açıklamak amacıyla uyulması gereken esaslara, hazırladığı Çerez Kullanım Prosedüründe yer vermiştir.                                                     

Şirketimiz her türlü yöntemle topladığı ve işlediği, kendine ve paydaşlarına ait tüm bilgileri kritik varlıklar olarak kabul eder ve korunması için azami özen ve önem göstermektedir. Bu doğrultuda ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardı referans alınarak, Şirketimiz bünyesinde etkin bir şekilde Kurumsal Bilgi Güvenliği Yönetim Sistemi uygulanmaktadır.  

Şirketimizde Kurul tarafından hazırlanan Veri Güvenliği Rehberi dokümanında belirtilen teknik tedbirler (sistemlere izinsiz erişim, güvenlik duvarı ve ağ geçidi kurulması, yedekleme, şifreleme, sızma testleri uygulanması, veri sızıntısı önleme sistemleri, verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama), elektronik ortamlarda bulunan kişisel veriler özelinde tedbirler alınması vb.) ile ilgili veri güvenliği önlemleri alınmaktadır. Uygulama sıkılaştırma çalışmaları kapsamında Veri Güvenliği Rehberi dokümanında yer alan teknik tedbirler doğrultusunda analizler yapılmış olup gerekli teknik tedbirler ile ilgili ihtiyaçlar belirlenmiş ve sürekli gözden geçirme faaliyetleri çerçevesinde aksiyonlar alınmaktadır.  

Şirketimiz bünyesinde veri sızıntısının önlenmesine (Data Leakage Prevention – DLP) yönelik süreci tanımlamak ve olası bir veri ihlalinde adımları belirlemek amacıyla gereken esaslara ilişkin Prosedür oluşturulmuştur.      

Şirketimiz, kritik altyapı kuruluşu vasfıyla, 6.7.2019 tarih ve 30823 sayılı Resmî Gazete’de yayımlanan Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Genelge ile bu genelgeye istinaden Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından düzenlenen Temmuz 2020 tarihli Bilgi ve İletişim Güvenliği Rehberi’nde belirlenen usul ve esaslara uygun hareket etmektedir. 

14. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE VERİ İŞLEME FAALİYETİNE

KONU OLAN KİŞİSEL VERİ GRUPLARI 

14.1. Kişisel Veri Kategorileri

Şirketimiz, kişisel verileri, https://www.baskentedas.com.tr/sayfa/kisisel-verilerinislenmesine-iliskin-aydinlatma-metni linki üzerinden ulaşabileceğiniz Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’nin 2 nolu başlığında belirtilen veri kategorileri bazında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlemektedir.

14.2. Kişisel Verilerinin İşlenme Amaçları

Şirketimiz, kişisel verileri, veri işleme şartlarına ve ilkelerine uygun olarak, https://www.baskentedas.com.tr/sayfa/kisisel-verilerin-islenmesine-iliskin-aydinlatmametni linki üzerinden ulaşabileceğiniz Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’nin 3 nolu başlığında belirtilen amaçlarla işlemektedir.

14.3. Kişisel Verilerinizin Aktarılacağı Kişi ya da Kuruluşlar ve Aktarılma Amaçları  Şirketimiz, KVK Kanunu’nda yer alan ilkelere ve özellikle, KVK Kanunu’nun 8 ve 9 uncu maddelerine uygun olarak kişisel verileri https://www.baskentedas.com.tr/sayfa/kisiselverilerin-islenmesine-iliskin-aydinlatma-metni linki üzerinden ulaşabileceğiniz Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metni’nin 4 nolu başlığında belirtilen taraflara, yine ilgili Aydınlatma Metninde belirtilen amaçlarla aktarmaktadır.  

15.POLİTİKANIN YAYIMLANMASI VE SAKLANMASI

Politika, yayımlandığı tarihte yürürlüğe girer, KVKK kapsamındaki aydınlatma yükümlülüğü ile birlikte kişisel verileri bulunan ilgili kişilere bildirilir ve Şirketimizin kurumsal internet sitesinde yayımlanır. 

16.POLİTİKA’DA YAPILAN DEĞİŞİKLİKLER                                                          

KVK Kanunu, yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, Şirketimiz, Politikayı güncel mevzuat ile uyumlu olacak şekilde güncelleyerek değiştirecektir.