Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmhası Politikası

AKKAŞ & PARTNERS HUKUK BÜROSU / AV. MUHAMMET EMRE AKKAŞ

KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI

1. GİRİŞ

1.1. Politikanın Amacı

Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ hükümleri uyarınca Akkaş & Partners Hukuk Bürosu / Av. Muhammet Emre Akkaş (“Akkaş & Partners”) tarafından elde edilen kişisel verilerin işlenmesi, veri sahiplerinin (müvekkil, potansiyel müvekkil, müvekkil / potansiyel müvekkil yakını, dosyayla ilişkili üçüncü kişi, ziyaretçi, çalışan adayı, eski çalışan, iş ortağı, üçüncü kişi firma çalışanı vb.) başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel verilerin korunması, işlenmesi, saklanması ve gerektiğinde imha edilmesine dair esasların belirlenmesi bu Politika’nın amacını oluşturmaktadır.

1.2. Politikanın Kapsamı

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak  tarafından veri sorumlusu sıfatıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin veri işleme faaliyeti olarak kabul edildiğinden hareketle Akkaş & Partners tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu Politika’nın kapsamını belirlemektedir.

1.3. Politikanın ve İlgili Mevzuatın Uygulanması

İşbu Politika, yürürlükte bulunan yürürlükte bulunan 6098 sayılı Türk Borçlar Kanunu, 1136 Sayılı Avukatlık Kanunu, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik, 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği başta olmak üzere, ilgili mevzuata ve Kurul tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun hazırlanmıştır.

Akkaş & Partners tarafından Politika’nın yayım tarihinden sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Akkaş & Partners tarafından takip edilmekte, Politika ile öngörülen kurallar güncel tutulmaktadır.

1.4. Politikanın Yürürlüğü

Politika, Akkaş & Partners’a ait www.akkaspartners.com internet sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.

1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

2.1. Kişisel Verilerin Güvenliğinin Sağlanması

6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.

Açıklanan nedenlerle Akkaş & Partners, kişisel verilerin hukuka aykırı olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER kısmında yer almaktadır.

2.2. Özel Nitelikli Kişisel Verilerin Korunması

Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında özel nitelikli kişisel veri olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Özel nitelikli kişisel verilerin işlenmesi kural olarak yasak olup kanunla sınırlı hallerde işlenebilir.

Akkaş & Partners tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm tedbirler alınmakta olup, bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.

III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:

• Hukuka ve dürüstlük kuralına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işleme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

3.2. Kişisel Verilerin İşlenme Şartları

Akkaş & Partners tarafından elde edilen kişisel veriler, Kanun’da öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel verileriniz aşağıda gösterilen hallerde açık rıza olmaksızın işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

3.3. Açık Rıza Alınması Yükümlülüğünün İstisnaları

1. a) Kanunlarda açıkça öngörülmesi

Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir. Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.

1. b) Fiili imkânsızlık

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın işlenebilmektedir.

1. c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması

Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi gündeme gelebilmektedir.

1. d) Akkaş & Partners’ın hukuki yükümlülüğünü yerine getirmesi

Veri sorumlusu sıfatıyla Akkaş & Partners’ın yerine getirmesi gereken hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.

1. e) İlgili kişi tarafından alenileştirilmiş olması

Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma konu olamaz.

1. f) Bir hakkın tesisi, kullanılması ve korunması için zorunlu olması

Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel verilerinin açık rızası olmaksızın da işlenmesi mümkündür.

1. g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması

Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel veriler işlenebilir.

Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işleme sonucunda elde edeceği çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.

3.4. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin işlenmesi Kanun’un 6. maddesine tabidir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Bu kapsamda yer alan veriler sınırlı sayıda olup yorum yoluyla genişletilemez. Özelliği gereği özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin ayrımcılığa ve mağduriyete uğramasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.

Özel nitelikli kişisel veriler; ilgili kişinin açık rızasının olması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde işlenebilir. Ayrıca özel nitelikli kişisel verilerin işlenmesinde, KVKK tarafından belirlenen yeterli önlemlerin alınması şarttır.

3.5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

Kişisel verilerin elde edilmesi sırasında Akkaş & Partners’ın veri sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme yapılmaktadır. Yapılan bilgilendirmeye dair usul ve esaslar Akkaş & Partners tarafından yayımlanan ilgili kişisel verilerin işlenmesine ilişkin aydınlatma metinlerinde belirtilmiş olup bilgilendirme özetle aşağıdaki unsurları içermektedir:

• Veri sorumlusu ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’un 11. maddesinde gösterildiği üzere ilgili kişinin hakları.

1. a) Veri sorumlusu ve temsilcisinin kimliği

Kanun’un 10. maddesine göre veri sahiplerinden (müvekkil, potansiyel müvekkil, müvekkil / potansiyel müvekkil yakını, dosyayla ilişkili üçüncü kişi, ziyaretçi, çalışan adayı, eski çalışan, iş ortağı, üçüncü kişi firma çalışanı vb.) elde edilen kişisel veriler veri sorumlusu sıfatıyla Akkaş & Partners tarafından işlenmekte olup, www.akkaspartners.com adresinde yer alan iletişim kanallarıyla sağlanabilir.

1. b) Kişisel verilerin işlenme amaçları

Kişisel verilerin işlenmesi belirli, açık ve meşru amaçlarla gerçekleştirilmekte olup veri sahiplerinin bilgilendirilmesi esasına dayanmaktadır. Elde edilen verilerinizin hangi amaçlarla işlendiği Politika’nın V. AKKAŞ & PARTNERS TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLEME AMAÇLARI kısmında yer almaktadır.

1. c) Kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları

Veri sorumlusunun, veri sahibini aydınlatma yükümlülüğü çerçevesinde kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları açıkça belirtilmelidir. Kişisel veriler, veri sahibinin açık rızası olmaksızın 3.kişilere aktarılamamaktadır. Akkaş & Partners tarafından kişisel verilerin aktarıldığı alıcı grupları ve aktarılma amaçları IV. KİŞİSEL VERİLERİN AKTARILMASI kısmında gösterilmiştir.

1. d) Kişisel veri toplamanın yöntemi ve hukuki sebebi

Kanun’un 5 ve 6. maddesine uygun olarak, kişisel veri işleme şartlarından hangisine dayanılarak işlendiğinin veri sorumlusu tarafından açıkça belirtilmesi gerekir. Veri toplama yöntemi ve aracılığı, veri sorumlusunca belirlenmektedir. Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda (m.5-6) sınırlı sayıda sayılmış olup, bu şartlar genişletilememektedir.

Veri sorumlusu Akkaş & Partners tarafından kişisel veri işleme faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp dayanmadığı değerlendirmesi yapılmakta, eğer bu amaç Kanunda belirtilen açık rıza dışındaki şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmektedir.

1. KİŞİSEL VERİLERİN AKTARILMASI

4.1. Yurt İçi Aktarım

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak 5’inci maddenin ikinci fıkrasında ve yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.

Akkaş & Partners tarafından işlenen kişisel verilerinizin aktarıldığı alıcı gruplarına dair bilgiler bu Politika’nın EK 4 – Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları kısmında yer almaktadır.

4.2. Yurt Dışı Aktarım

Kişisel veriler, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde yurt dışına aktarılabilir.

1. AKKAŞ & PARTNERS TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI

Veri sahibi ilgili kişiler tarafından Akkaş & Partners tarafından elde edilen veri kategorizasyonu ve kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında gösterilmiştir.

1. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve kişisel verilere erişilmesinin önlenmesi için Akkaş & Partners tarafından idari ve teknik tedbirler alınmaktadır.

Kişisel veriler Kanun’un 4. maddesinin 2. fıkrası (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. Bu kapsamda işlenen veriler, veri işleme faaliyetinde gözetilmesi gereken ilke ve kurallara uygun olarak işlenmekte, işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Akkaş & Partners tarafından işlenen kişisel verilerin saklama ve imha prosedürüne ve saklama sürelerine ilişkin bilgiler işbu Politika’nın VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI ve EK–4: Kişisel Verileri Saklama Süreleri kısımlarında gösterilmiştir.

Kişisel veri güvenliğinin sağlanması için Akkaş & Partners tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının belirlenmesi yoluna gidilmekte; bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı (1), mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği (2), güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği (3) dikkate alınmaktadır.

Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.

6.1. İdari Tedbirler

Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda büyük önem taşımaktadır. Bu nedenle veri sorumlusu sıfatıyla iç organizasyonumuzdaki farkındalık ve bilgilendirme çalışmaları gerçekleştirilmektedir.

Çalışanlara, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında gerekli eğitimin verilmesi, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması; veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmaktadır. Öte yandan çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci yürütülmektedir. Kişisel veri güvenliğine ilişkin uygulanan politika ve prosedürlerde herhangi bir değişiklik olması halinde değişikliğin çalışanlara bildirilmesi ve açıklanması amacıyla eğitimler yapılarak veri güvenliği ve güvenliğe ilişkin tehditler hakkındaki bilgilendirmeler güncel tutulmaktadır.

Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin özeti verilmiştir:

6.2. Teknik Tedbirler

Kişisel veri içeren bilgi teknoloji sistemlerimin internet üzerinden 3. kişilerin yetkisiz erişim ve tehditlerine karşı korunması amacıyla alınan tedbirler arasından güvenlik duvarı ve ağ geçitleri kullanılmaktadır. Ayrıca yazılım ve donanımların düzgün biçimde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığına ilişkin düzenli kontroller sağlanmaktadır. Kişisel veri içeren sistemlere erişim sınırlandırılmış olup bu kapsamda çalışanlara yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta, kullanıcı adı ve şifre kullanmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifreler oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizilerinden mümkün olduğunca kaçınılmaktadır.

Veri sorumlusu organizasyonu içinde erişim yetki ve kontrol matrisleri oluşturulmakta, kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmaktadır.

Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan teknik önlemlerin özeti verilmiştir:

VII. BİNA GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETİ 

Bina Girişlerinde ve İçerisinde Kamera ile İzleme Faaliyeti

Akkaş & Partners girişi, çalışma alanları, ortak alanlar ve çevresinde güvenliğin sağlanması, Akkaş & Partners’ın ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerin korunması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Kamera ile izleme faaliyeti Kanun ile uyumlu olarak yürütülmekte olup gerek Kanun’da gerekse de işbu Politika’da sayılan veri işleme şartları kapsamında gerçekleştirilmektedir.

VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

8.1. Akkaş & Partners nezdinde tutulan kişisel verileriniz, veri işleme faaliyetinin gerekli olduğu süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinmekte, yok edilmekte veya anonim hale getirilmektedir. kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4.maddesinde gösterilen genel ilkeler ile 12. maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.

Periyodik imhanın gerçekleştirileceği zaman aralığı azami 1 yıl ile sınırlı tutulmuştur. Akkaş & Partners tarafından kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 3 yıl süreyle muhafaza edilmektedir.

Akkaş & Partners tarafından işlenen kişisel verilerin saklama süreleri EK–4’te gösterilmiştir.

Verilerin saklanması ve imhasına ilişkin Akkaş & Partners tarafından görevlendirilen kişisel veriler uzmanı kişi, kişisel verilerin saklanması ve imhası politikasının yürütülmesi ve gözetiminden sorumlu kişidir.

8.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü

Akkaş & Partners tarafından işlenmiş kişisel veriler, Kanun’un 7. maddesi ile Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

1. Kişisel verilerin silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Silinen kişisel verilerin erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınmaktadır.

1. Kişisel verilerin yok edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi için her türlü teknik ve idari tedbir alınmaktadır.

1. Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerinizin anonim hale getirilmesi için her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve imha politikamıza uygun yöntemler uygulanarak anonim hale getirilmektedir.

7.3. Kişisel Veri Kayıt Ortamları

Kişisel veri kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade etmektedir.

Veri sahibi ilgili kişilere ilişkin kişisel veriler, Akkaş & Partners tarafından, 6098 Sayılı KVKK hükümleri başta olmak üzere, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde aşağıda belirtilen veri kayıt ortalarında saklanmaktadır:

1. a) Teknik kayıt ortamları: Bilgisayar ortamı, merkezi sunucular, çıkartılabilir bellekler (USB, Hafıza Kart vb.), bilgi güvenliği cihaz ve yazılımları.
2. b) Teknik olmayan veri kayıt ortamları: Kâğıtlar, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar.

7.4. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler

Akkaş & Partners tarafından veri sahibi ilgili kişilere ilişkin kişisel veriler, bunlarla sınırlı olmamak üzere başta;

• Kanun’un 4. maddesinde yer alan genel ilkeler,
• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Veri sahibi ilgili kişinin kişisel verilerin imha edilmesine ilişkin talepte bulunması,
• Kişisel verilerin saklanmasına ilişkin yasal yükümlülüklerin sona ermesi,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve saklamaya devam edilmesinin gerektiren haklı bir nedenin olmaması

gibi amaç ve sebeplerle imha edilmektedir.

7.5. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri

Akkaş & Partners tarafından işlenmiş kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin gerçekleştirilmesi esnasında; çalışanların bilgi güvenliği ve imha süreçlerine ilişkin bilgilendirilmesi, kişisel verilerin tutulduğu veri kayıt ortamının niteliğine göre en uygun yöntemin tercih edilmesi, veri güvenliğine ilişkin düzenli ve periyodik bakım ve takip çalışmalarının yapılması, teknolojik ve teknik açıdan gerekli en güncel imha sistemlerinin kullanılması, otomatik silme komutlarının verilmesi, silinen verilere erişim ve silinen verileri tekrar kullanma ve geri getirme yetkisinin kaldırılması gibi gerekli idari ve teknik tedbirler alınmaktadır.

Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden kişisel verilerin belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili çalışanların tespit edilmesi (2), ilgili çalışanların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi (3), ilgili çalışanların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.

1. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE HAKLARIN KULLANILMASI

9.1. Kişisel Veri Sahibinin Hakları

6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
• maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
• Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep etme

haklarınız bulunmaktadır.

9.2. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi ilgili kişi başvuru prosedüründe düzenlenen yöntemlerle internet adresinde yayınlanan Veri Sahibi Başvuru Formu’nu doldurmak veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen, ad, soyadı ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, mevcut ise bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusunu yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Akkaş & Partners’a daha önce bildirilen ve Akkaş & Partners’ın sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle kimliğiniz teyit edilebilir bir biçimde Akkaş & Partners’a ait Kuruçeşme Mah. Öksüz Çocuk Sok. No:6 Beşiktaş/İstanbul adresine veyahut akkas@akkaspartners.com irtibat adresine iletmeniz durumunda Akkaş & Partners, talebin niteliğine göre talebi en kısa sürede ve tebliğden itibaren en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Akkaş & Partners tarafından Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.  

9.3. Şirketimizin Başvurulara Cevap Vermesi

Başvuru talebinin niteliğine göre en kısa sürede Akkaş & Partners tarafından sonuçlandırılmaktadır. Bu süre başvurunuzun Akkaş & Partners’a tebliğinden itibaren 30 günü aşamaz. Başvurunuzda yer alan eksiklikler, açık olmayan anlatımlar sebebiyle ek bilgi talep edilmesi halinde ilgili ek bilgi ve belgeler tarafımıza tebliğ olana dek cevap süresi işlemez. İşlemin herhangi bir maliyeti gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.

EK – 1: Tanımlar

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,

Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,

İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Verilerin Korunması Kanunu (“KVKK”): 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişiyi, 

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder. 

EK – 2: Kişisel Veri Sahipleri (İlgili Kişiler)

EK – 3: Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları  

EK – 4: Kişisel Verileri Saklama Süreleri