KVKK

KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

1. AMAÇ

Bu Politikanın temel amacı 6698 Sayılı Kişisel Verilerilerin Korunması Kanunu (“Kanun”) ve alt düzenlemeleri çerçevesinde Armoni Havuz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti neticesinde Armoni Havuz nezdinde işlenen kişisel verilerin saklanması, kontrol edilmesi, kanun ve alt düzenlemelerine uygun şekilde silme, yok etme ve anonim hale getirilmesi sureti ile imha edilmesi ve anılan süreçlere ilişkin çalışma yöntemlerinin belirlenerek tanımlanmasına yönelik olarak hazırlanmıştır.

2. KAPSAM:

Bu Politika; Armoni Havuz tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerin saklanma usulleri ile silme, yok etme ve anonim hale getirilmesi sureti ile imha edilmesi süreçlerine ilişkindir.

Bu Politika, Armoni Havuz ve Armoni Havuz ‘a hizmet veren tedarikçi, ortaklık ve/veya iştirakleri de kapsamaktadır.

Bu Politika, Armoni Havuz müşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, hissedarları, ziyaretçileri, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine uygulanmaktadır.

3. REFERANSLAR

• Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu

4. TANIMLAR

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Kişisel Veri Sahibi / İlgili Kişi: Kişisel verisi işlenen Müşteri olmayan potansiyel müşteriler, çalışanlar, çalışan adayları, hissedarlar, ziyaretçiler, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale ettirilmesini,

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik bilgileri,

Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması, ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İş/ Hizmet Ortakları: Armoni Havuz ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunduğu kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi, ifade eder

5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Armoni Havuz kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

5.1.1 Kişisel Veri Muhafaza Ortamları

5.1.1. Teknik Tedbirler

Armoni Havuz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

• Armoni Havuz bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri, kurulan teknik sistemlerle denetlenmektedir.
• Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
• Teknik konularda departmanlar kurulmuş olup bu konuda bilgili personel istihdam edilmektedir.

5.1.1.1 Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

• Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
• Teknik konularda uzman personel istihdam edilmektedir.
• Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler üretilmektedir.
• Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
• Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz
• Erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.
• Armoni Havuz sunucuları periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta,
• Risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm
• Müşteri, çalışan ve tedarikçi çalışanı kaynaklı kişisel veriler, sözleşmeli hizmet sağlayıcı veri merkezlerinde ve/veya Armoni Havuz sunucularında bulunabilmektedir. Bu uygulamaların tam listesi Veri Envanteri içerisinde güncel biçimde tutulmaktadır.

5.1.2. İdari Tedbirler

Armoni Havuz tarafından kişisel verilerin hukuka uygun işlenmesi için alınan idari tedbirler: • Armoni Havuz çalışanları, bayi ve yetkili servis çalışanları kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
• Armoni Havuz’un yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
• Armoni Havuz bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’ nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, Armoni Havuz tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
• Armoni Havuz bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Bilgi Güvenliği Komiteleri tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
• Armoni Havuz ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır.
• Armoni Havuz KVK Kanunu’nun 12. Maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
Armoni Havuz tarafından aşağıdaki durumlarda aşağıdaki şekilde Gizlilik Etki Analizi değerlendirmesini yapmaktadır:

• Kişisel veri içeren yeni projelerde, iş süreçlerinde
• Kişisel veri aktarılan tedarikçi seçiminden önce
• Pazarlama faaliyetleri kapsamında yapılacak aktiviteler öncesinde
• Yukarıda belirtilen faaliyetlerdeki herhangi bir değişiklik söz konusu olduğunda

Gizlilik Etki Analizi, Armoni Havuz Veri Koruma Sorumlusu onayına tabidir

5.1.3 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Armoni Havuz bünyesinde Kişisel Veri Gizlilik Yöneticisi bulunmaktadır. Kişisel Veri Gizlilik Yöneticisi, veri sorumlusu olan Armoni Havuz adına, Kanunun 12. Maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır.

Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar Bilgi Güvenliği Yönetim Temsilcisi’ne bildirilmekte ve Bilgi Güvenliği Yönetim Temsilcisi, bu hususlar nezdinde gereken tedbirleri aldırmaktadır. Armoni Havuz tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır.

6. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE TALEPLERİ

Armoni Havuz, KVK Kanunun 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru ve Yanıt Prosedürü ve kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. Armoni Havuz bünyesinde bu prosedürün uygulanmasını sağlayacak sistemsel altyapı mevcuttur.

Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Armoni Havuz’a daha önce bildirilen ve Armoni Havuz’un sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla Armoni Havuz’a kimlikleri teyit edilebilir bir biçimde iletmeleri durumunda Armoni Havuz, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Bu hususta detaylı açıklama aşağıda, bu politikanın 20. Maddesinde yapılmıştır.

Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil kanunun ilgili maddesindeki tüm hakları talep edebileceklerdir.

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Armoni Havuz ‘a iletmeleri durumunda Armoni Havuz talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır.

Kişisel veri sahipleri;

• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

7.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

KVK Kanunu ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Armoni Havuz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Armoni Havuz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Armoni Havuz bünyesinde gerekli denetimler sağlanmaktadır.

Bu kapsamda, Armoni Havuz bünyesinde çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır. Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitlidir.

8. KİŞİSEL VERİ KATEGORİZASYONU

Kimlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler

İletişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler.

Fiziksel Mekan Güvenlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte,fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları v.b.

Finansal Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Koç Holding’in kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi veriler

Görsel/İşitsel Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan;fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), sunucularda ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler

Özlük Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Armoni Havuz ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri.

9. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Armoni Havuz, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel veriler Armoni Havuz’un o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak, Armoni Havuz’un uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta, daha sonra verinin niteliği uyarınca Armoni Havuz tarafından oluşturulmuş ilgili politika uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Türk Ceza Kanunu’nun 138. Maddesinde ve KVK Kanunu’nun 7. Maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Armoni Havuz’un kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Armoni Havuz’un belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Armoni Havuz’a yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

10.KİŞİSEL VERİLERİN İŞLENMESİ

Bina ve Çalışma Alanlarında; Armoni Havuz tarafından güvenliğin sağlanması amacıyla, ofis ve çalışma alanlarında binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Armoni Havuz Tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir ve kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Armoni Havuz faaliyetleri kapsamında satıştan kaynaklanan sözleşme ilişkisi içine girmekte İşin yürütülebilmesi amacıyla bu veriler yalnızca Armoni Havuz tarafından işlenmektedir.

Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması

Armoni Havuz tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Armoni Havuz içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.

11.KİŞİSEL VERİLERİN AKTARILMASI

Armoni Havuz, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini resmi kurumlara aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
• Armoni Havuz’un hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Armoni Havuz’un meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

12.KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Armoni Havuz; KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Armoni Havuz, veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu haklar konusunda veri sahibinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda Bayi , müşteri, çalışan ve ilgili taraf sözleşmelerine aydınlatma maddeleri eklenmiştir. Armoni Havuz web sitesinde bu politika ile birlikte müşteri aydınlatma metni, başvuru formu da yayınlanmıştır.

13.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

Türk Ceza Kanunu’nun 138. Maddesinde, KVK Kanunu’nun 7. Maddesinde ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Armoni Havuz’nın kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Armoni Havuz bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır. Bu yönetmelik uyarınca Armoni Havuz tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.

Armoni Havuz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

• Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
• Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

14.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI

Armoni Havuz, KVK Kanunu’nun 10. Maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, ve 11. Maddede düzenlenen bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Armoni Havuz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. Maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

14.1 Veri Sahibinin Hakları ve Bu Haklarını Kullanması

• Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

14.2 Veri Sahibinin Bu Haklarını Kullanması

Kişisel veri sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Armoni Havuz’a ücretsiz olarak iletebileceklerdir.

www.dakart havuz.com adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya yazılı olarak iadeli taahhütlü posta aracılığı ile 1920 Cd. No:31 Beysu Villakent Sitesi 06800Beysukent – ANKARA adresine iletilmesi veya şahsen başvuru,

Yukarıda sayılan başvurunun geçerli bir başvuru olarak kabul edilebilmesi için, Veri Sorumlusuna Başvuru Usulleri Hakkında Tebliğ uyarınca başvuruda, ilgili kişinin;

• Ad, soyad ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusu,

bilgilerini belirtmesi zorunludur. Aksi halde başvuru geçerli bir başvuru olarak değerlendirilmeyecektir. Başvuru formu doldurmadan yapılacak başvurularda burada sayılan hususların eksiksiz olarak Armoni Havuz’ a iletilmesi gerekmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

14.4 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda 20.1.1.’de sayılan haklarını ileri süremezler:

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
• KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 20.1.1.’de sayılan diğer haklarını ileri süremezler:
• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

15. ARMONİ HAVUZ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

Armoni Havuz, işbu belge ile ortaya koyulan esasları, Armoni Havuz bünyesindeki diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.

16. ARMONİ HAVUZ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

Armoni Havuz tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Politikasının yürürlüğünü sağlamak için yönetim yapısı kurulmuştur.

Armoni Havuz bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Bilgi Güvenliği Komitesi, Şirket üst yönetiminin kararı gereğince görevlendirilmiştir.

Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:

• Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve üst yönetiminin onayına sunmak,
• Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını üst yönetimin onayına sunmak,
• KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak,
• Kişisel verilerin korunması ve işlenmesi konusunda Armoni Havuz içerisinde ve Armoni Havuz’un işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
• Armoni Havuz’un kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek, iyileştirme önerilerini üst yönetimin onayına sunmak,
• Kişisel verilerin korunması ve politikaların uygulanması ve yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak,
• Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
• Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, bu gelişmelere ve düzenlemelere uygun olarak Armoni Havuz içinde yapılması gerekenler konusundaki önerilerini almak,
• KVK Kurulu ve Kurumu ile olan ilişkileri yürütmek,
• Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmek.