APEAS GRUP
(APEAS MÜH. İNŞ. TAAH. VE DIŞ TİC. A.Ş. - ALTINEL TASARİM SAN. TİC. LTD .ŞTİ.)
ZİYARETÇİ VE MÜŞTERİ KİŞİSEL VERİLERİN İŞLENMESİ VE İMHA POLİTİKASI

Doküman İsmi: APEAS GRUP Kişisel Verilerin İşlenmesi ve İmha Politikası ( ZİYARETÇİ VE MÜŞTERİ )
Hedef Kitle: APEAS GRUP tarafından kişisel verileri işlenen APEAS GRUP ’un çalışanları dışındaki tüm gerçek kişiler
Hazırlayan: APEAS GRUP Kişisel Verilerin Korunması Komitesi : Feyyaz DUMAN / Murat EVİREN / Didem ÖZKAN / Ersin ÖZEN / İsmail SARIKAYA
Onaylayan: Murat CANLI
Versiyon: 1.0
Yürürlük Tarihi: 15-08-2020
  1. BÖLÜM – GİRİŞ
    1. Giriş
    2. Amaç
    3. Kapsam
    4. Politika ’nın ve İlgili Mevzuatın Uygulanması
    5. Tanımlar
  2. BÖLÜM 2 – KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
    1. Kişisel Verilerin Güvenliğinin Sağlanması
    2. Özel Nitelikli Kişisel Verilerin Korunması
    3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
  3. BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
    1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
      1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
      2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
      3. Belirli, Açık ve Meşru Amaçlarla İşleme
      4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
      5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi
    2. Kişisel Verilerin İşlenme Şartları
    3. Özel Nitelikli Kişisel Verilerin İşlenmesi
    4. Kişisel Veri Sahibinin Aydınlatılması
    5. Kişisel Verilerin Aktarılması
      1. Kişisel Verilerin Aktarılması
      2. Özel Nitelikli Kişisel Verilerin Aktarılması
  4. BÖLÜM – ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
  5. BÖLÜM –ORTAMLAR VE GÜVENLİK TEDBİRLERİ
    1. Kişisel Verilerin Saklanma Ortamları
    2. Ortamların Güvenliğinin Sağlanması
      1. Teknik Tedbirler
      2. İdari Tedbirler
      3. Şirketçi Denetim
  6. BÖLÜM-VERİ SORUMLULARI SİCİLİNE KAYDOLMA
  7. BÖLÜM KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME
    1. Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri
    2. Kişisel Verileri Anonim Hale Getirme Teknikleri
  8. BÖLÜM – KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
    1. Kişisel Veri Sahibinin Hakları Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
    2. Kişisel Veri Sahibinin Haklarını Kullanması
    3. Şirketimizin Başvurulara Cevap Vermesi
  9. BÖLÜM – KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
    1. Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri
    2. APEAS GRUP Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri
  10. BÖLÜM – APEAS GRUP KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
  11. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ VE YÜKÜMLÜLÜKLER
    1. Komitenin Görevleri
      1. EK 1 KİŞİSEL VERİ İŞLEME AMAÇLARI
      2. EK 2 KİŞİSEL VERİ SAHİPLERİ
      3. EK 3 KİŞİSEL VERİ KATEGORİLERİ
      4. EK 4 KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI
      5. EK 5 KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ
 
1. BÖLÜM – GİRİŞ

1.1 Giriş

Kişisel verilerin korunması, APEAS  en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İşbu APEAS  Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

1.2 Amaç

İşbu Politika’ da APEAS şirket çalışanları haricindeki APEAS müşterilerinin potansiyel müşterilerinin, tedarikçi yetkililerinin, sözleşme vasıtasıyla ilişkiye girilen gerçek kişilerin, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerinin, işbirliği içinde olunan kuruluş çalışanlarının, kuruluş hissedarları ve yetkililerinin ve ilişki içinde bulunulan üçüncü kişilerin kişisel verileri işlenirken APEAS GRUP’ un hangi kurallara uyması gerektiği düzenlenmektedir. Dolayısıyla işbu Politika’ nın amacı, kişisel verilerin hukuka uygun şekilde işlenmesinin sağlanmasıdır.

1.3 Kapsam

Bu Politika; Şirketimiz çalışanları haricindeki kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri sahiplerine ilişkin detaylı bilgilere işbu Politika’ nın EK 2 (“EK 2- Kişisel Veri Sahipleri”) dokümanından ulaşılması mümkündür.

Çalışanlarımızın kişisel verilerinin korunmasına ilişkin APEAS’ ın yürüttüğü faaliyetler ise, bu Politika’ daki esaslarla paralel olarak kaleme alınan APEAS çalışan adayları ve Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.

1.4 Politika’ nın ve İlgili Mevzuatın Uygulanması

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Şirket uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

1.5 Tanımlar

Alıcı Grubu:Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza:Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan APEAS GRUP çalışanları
İlgili kişi:Kişisel verisi işlenen gerçek kişiyi,
İmha:Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun:07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu,
Yönetmelik:28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini
Kurum Kişisel Verileri Koruma Kurumunu
Kurul:Kişisel Verileri Koruma Kurulunu
Kayıt ortamı:Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel veri:Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi
İlgili kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri
Kişisel Verilerin İşlenmesi ve Korunması Politikası:“www.apeas.net adresinden ulaşılabilecek, APEAS GRUP elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı,
Veri kayıt sistemi:Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri işleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi
Sicil Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini;
Politika Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;
 
2. BÖLÜM – KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

2.1. Kişisel Verilerin Güvenliğinin Sağlanması

Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

2.2. Özel Nitelikli Kişisel Verilerin Korunması

Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

APEAS GRUP tarafından Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve şirket bünyesinde gerekli denetimler sağlanmaktadır.

Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 3.3. (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) bölümünde yer verilmiştir.

2.3. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi

APEAS GRUP , kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

 
BÖLÜM 3 – KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

APEAS GRUP kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

APEAS GRUP, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.

3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

APEAS GRUP, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.

3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

APEAS GRUP, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

APEAS GRUP , kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

3.2. Kişisel Verilerin İşlenme Şartları

Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’ nın 3.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

    • Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.

    • Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.

    • Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

    • Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.

    • Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

    • Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

    • Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

    • Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

3.3 Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’ da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

    • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
    • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

3.4 Kişisel Veri Sahibinin Aydınlatılması

APEAS GRUP, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda APEAS GRUP, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

3.5 Kişisel Verilerin Aktarılması 

Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, resmi ve özel mercilere, üçüncü gerçek kişilere aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’ nın EK 4 (“EK 4- Şirketimiz Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları”) dokümanından ulaşılması mümkündür.

3.5.1 Kişisel Verilerin Aktarılması

Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

      • Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
      • Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
      • Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
      • Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
      • Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
      • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
      • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.

3.5.2 Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’ da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

    • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
    • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.

 
4. BÖLÜM – ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARIŞirketimiz nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Şirketimizin kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK 3(“EK 3- Kişisel Veri Kategorileri”)dokümanından ulaşılabilecektir. Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK 1’inde(“EK 1- Kişisel Veri İşleme Amaçları”)yer almaktadır.
 
5. BÖLÜM –ORTAMLAR VE GÜVENLİK TEDBİRLERİ

5.1 Kişisel Verilerin Saklanma Ortamları

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi ve Korunması Politikası’ na ve işbu Kişisel Veri Saklama ve İmha Politikası’ na uygun olarak işlemek ve korumaktadır.

a) Fiziksel Ortamlar:Verilerin kağıt üzerine basılarak tutulduğu ortamlardır. Birim Dolapları, Arşivde, Manuel veri kayıt sistemleri (Ziyaretçi giriş kayıt defteri vb.)
b) Elektronik ortamlar:APEAS bünyesinde yer alan sunucular,( etki alanı, yedekleme, e-posta veri tabanı, web, dosya paylaşımı vb.) , Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) , Kişisel bilgisayarlar (Masaüstü, dizüstü) , Mobil cihazlar (telefon, tablet vb.) , Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi

5.2 Ortamların Güvenliğinin Sağlanması

APEAS, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır.

İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

5.2.1 Teknik Tedbirler

APEAS, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:

      • Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
      • Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
      • Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
      • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
      • APEAS bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.

5.2.2 İdari Tedbirler

APEAS, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:

      • Kişisel Verilerin korunmasına ilişkin mevzuata etkin uyum sağlamak amacıyla nihai sorumluluk Yönetim Kurulu’nda olmak üzere Yönetim Kurulu tarafından Kişisel Veri Komitesinin kurulması sağlanmıştır.
      • Kişisel verilere erişimi olan tüm APEAS çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılması ve çalışanlara yönelik Kanun’a uyumun süreçlerinde dikkat edilmesi gereken hususlara yönelik eğitim verilmiştir.
      • Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
      • Veri minimizasyonu sağlanmıştır.
      • Veri saklama sürelerinin tespit edilmiştir.
      • APEAS’ ın iş ve operasyonel süreçlerinin Kanun’a uyumlu hale getirilmesi sağlanmıştır.

5.2.3 Şirket İçi Denetim

APEAS,  Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.

Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.

Denetim sırasında ya da sair bir şekilde APEAS sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, APEAS bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

 
6. VERİ SORUMLULARI SİCİLİNE KAYDOLUNMASIKişisel verilere erişim, işlenme amacı doğrultusunda görevli çalışanlarla sınırlandırılmalı, aynı zamanda çalışanların, görevlerinin gerektirmediği kişisel verilere erişimleri engellenmelidir. APEAS   Kurul tarafından ilan edilecek süre içinde, KVKK’ da sayılan başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili’ ne kayıt yükümlülüğünü yerine getirir. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):
  1. Veri sorumlusu olarak APEAS GRUP’a ait bilgiler,
  2. APEAS GRUP’un temsilcilerine ait Kimlik ve adres bilgileri
  3. Kişisel verilerin hangi amaçla işleneceği,
  4. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  5. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  6. Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  7. Kişisel veri güvenliğine ilişkin alınan tedbirler,
  8. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
 
7. BÖLÜM –KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRMEAPEAS, KVKK ve ilgili mevzuat hükümlerine uygun işlediği ve işbu Politika ’da detaylı kategorize etmiş olduğu kişisel verileri, bunların işlenmesini gerektiren sebeplerin ortadan kalkmasından itibaren Politika ’daki sürelere uygun olarak imha edecek veya anonimleştirecektir.  TCK m. 138 ve KVKK m. 7 hükümlerinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde APEAS’ ın kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir. Bu kapsamda, APEAS ilgili yükümlülüğünü yerine getirmek üzere APEAS bünyesinde Kişisel Veri Komitesi’ni oluşturmuş, gerekli teknik ve idari tedbirleri almıştır. Zaman içinde bu konuda gerekli güncellemeler ve işleyiş mekanizmaları geliştirilecek olup, bu yükümlüklerine uygun davranmak üzere ilgili iş birimleri devamlı eğitilmektedir. Yine farklı görevlendirmeler ve eğitimlerle APEAS bünyesinde kişisel veri kültürünün daha da yerleşmesi için iş birimlerinin farkındalıkları artırılmaktadır. İşbu Politika’ nın “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun olarak kişisel veriler tutulur. Bu sürelerin geçmesiyle birlikte kişisel veriler aşağıda açıklanan usullerle veya ikincil mevzuat ve KVK Kurulu’nun belirleyeceği diğer usullerle kademeli olarak imha edilir veya anonim hale getirilir. APEAS Kişisel Veri Komitesi silme, yok etme ve anonomileştirme ile ilgili gerekli görevlendirmeleri ve çalışmaları yürütür. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme sebeplerini ortadan kaldıran KVKK m. 5 ve 6. madde hükümleri ve bu hususta yayımlanacak Yönetmelik hükümleri doğrultusunda özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir:
  • Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • ilgili kişinin, Kanun’un 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
  • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’ da öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurula şikayette bulunulması ve bu talebin KVK Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • KVKK ’nın 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
Bu hallerde kişisel veriler, APEAS tarafından kanuni ve hukuki sorumlulukları doğrultusunda resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

7.1 Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri

APEAS, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiş hallerin ortaya çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler veya yok eder. APEAS tarafından kullanılabilecek silme veya yok etme tekniklerinin bir kısmı aşağıda sıralanmaktadır:

7.1.1 Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

7.1.2 Karartma Yöntemi ile Yok etme

Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanarak silecektir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

7.1.3 Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak/erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Merkezi sunucuda bulunan ofis dosyaları silinirken, dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. APEAS anılan işlemi gerçekleştirirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edecektir.

7.1.4 Uzman Tarafından Güvenli Olarak Silme

APEAS, bazı durumlarda kendi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak/erişilemeyecek biçimde güvenli olarak silinir ve yok edilir.

7.2 Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. APEAS hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

KVKK 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVKK kapsamı dışında olacağından işbu Politika ’da düzenlenen haklar bu veriler için geçerli olmayacaktır. APEAS tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

7.2.1 Maskeleme

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No, plaka vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkansız hale geldiği bir veri setine dönüştürülmesi.

7.2.2 Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

7.2.3 Genelleştirme

İlgili veriyi özel bir değerden, daha genel bir değere çevirme yöntemiyle kişisel verilerin anonimleştirilmesidir.  Örneğin, il bilgisinin önemli olduğu bir plaka bilgisinde rakam kısmının daha genel bir veri kümesi olan 0000’a taşınması genelleştirme yaklaşımıyla veri kümesi üzerinde anonimlik sağlanabilir.

7.2.4 Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

7.2.5 Veri Karması

Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.

 
8.BÖLÜM – KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

8.1 Kişisel Veri Sahibinin Hakları Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

    1. Kişisel veri işlenip işlenmediğini öğrenme,
    2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    6. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

8.2 Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel veri sahipleri, bölüm 7.1.’de (“Kişisel Veri Sahibinin Hakları”) sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebileceklerdir. Bu doğrultuda www.apeas.net adresinden ulaşılabilecek “APEAS GRUP Veri Sahibi Başvuru Formu”ndan yararlanabileceklerdir.

8.3 Şirketimizin Başvurulara Cevap Vermesi

Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.

Kişisel veri sahibinin, bölüm 7.1.’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

 
9. BÖLÜM – KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR

9.1 Bina, Tesis Girişleri ile Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri İle İnternet Sitesi Ziyaretçileri

APEAS GRUP tarafından güvenliğin sağlanması amacıyla, APEAS GRUP binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.

9.2 APEAS GRUP Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyetleri

APEAS GRUP tarafından bina ve tesislerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir. Şirket, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve Kanun’da sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

APEAS GRUP tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile kişisel veri sahibi aydınlatılmaktadır. APEAS GRUP, Kanun’un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

APEAS GRUP tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç işbu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda APEAS GRUP çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

 
10. BÖLÜM – APEAS GRUP KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİAPEAS GRUP, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt politikaları oluşturmaktadır. APEAS GRUP içi politikalarının esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara yansıtılarak, ilgililerinin bu çerçevede bilgilenmesi ve APEAS GRUP ‘un yürütmekte olduğu kişisel veri işleme faaliyetleri hakkında şeffaflık ve hesap verilebilirliğin sağlanması hedeflenmiştir.
 
12. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ VE YÜKÜMLÜLÜKLERAPEAS GRUP bünyesinde işbu Politika ve bu Politika ’ya bağlı ve ilişkili diğer politikaları, prosedürleri ve uygulama rehberlerini yönetmek üzere, Şirket üst yönetiminin kararı gereğince “Kişisel Veri Komitesi” oluşturulmuştur. Komite aşağıda unvanı, iş birimindeki görevi ve görev tanımı bulunan kişilerden oluşmakta olup, Komite’nin görevleri genel olarak aşağıdaki gibidir.
BİRİMSORUMLUGÖREV TANIMI
Komite Başkanı Feyyaz DumanKomitenin toplanması, politikaların uygulanması ve yürütülmesi, sekreterya hizmetlerinin gerçekleştirilmesi ve sürece ilişkin Yönetim Kurulunun Bilgilendirilmesi, Kişisel Verilerin Korunması Kurulu ile ilişkilerin takibi, Kurul Kararlarının takibi, uygulanması ve süreçlerin yönetimi. Şirketin Kurul nezdindeki temsili.
Bilgi İşlem (IT&S) Sorumlusu Murat EVİRENBilgi işlem sistemlerinin oluşturulması, takibi, uygulanması, imha ve anonim hale getirilmesi, yurt içinde ve yurt dışına aktarılması için gerekli mekanizmaların oluşturulması, verilerin güvenliğinin sağlanması, veri güvenliği sağlayan sistemler önermesi, uygulaması.
İnsan Kaynakları Sorumlusu Didem ÖZKANİnsan Kaynakları işlerinin yürütülmesi, planlanması
Komite Üyeleri İsmail SARIKAYA – Ersin ÖZENAşağıda belirtilmiştir.

11.1 Komitenin görevleri:

    1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak,
    2. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst Yönetim Kurulu’nun onayına sunmak
    3. APEAS GRUP kişisel veri koruma kültürünün daha da gelişmesi için çalışmalar yürütmek, Yönetim Kurulu’nun onayı doğrultusunda notlar, broşürler hazırlamak,
    4. KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
    5. Kişisel verilerin korunması ve işlenmesi konusunda APEAS GRUP içerisinde ve APEAS GRUP iş ortakları nezdinde farkındalığı arttırmak,
    6. APEAS GRUP ’nin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayına sunmak
    7. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip ederek APEAS GRUP için hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,
    8. Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek
    9. Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak
    10. Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek
    11. Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak APEAS GRUP içinde yapılması gerekenler konusunda Yönetim Kurulu’na tavsiyelerde bulunmak,
    12. KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
    13. APEAS GRUP Yönetim Kurulu’nun kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek.
EK 1  KİŞİSEL VERİ İŞLEME AMAÇLARI 
ANA AMAÇLARALT AMAÇLAR
Şirketimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesiPersonel Temin Süreçlerinin Yürütülmesi
Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrasıŞirket faaliyetlerinin Şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve/veya icrası
Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası
Hukuk işlerinin takibi
Çalışanlara sunulan yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin sağlanması ile çalışan memnuniyeti ve bağlılığı amacıyla yürütülen faaliyetler kapsamında işlenen kişisel veriler (sigorta bilgisi dahil).
Resmi kurum ve/veya kuruşlara mevzuattan kaynaklı yükümlülükler kapsamında bilgi verilmesi, talep edilen bilgi ve belgelerin sunulması ve/veya yanıtların kayıt altına alınması
Şirket operasyonlarının güvenliğinin temini
Şirketimizin iç/dış denetim, teftiş ve/veya kontrol faaliyetlerinin planlanması ve/veya icrası
Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi
Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini
Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini
Ziyaretçi kayıtlarının oluşturulması ve/veya takibi
Şirketimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesiHizmet tedarik edilmesine ilişkin süreçlerin planlanması ve/veya icrası
Şirketimizle iş ilişkisi içerisindeki 3. kişi şahıs çalışanlarının iş takibinin sağlanması faaliyetlerinin planlanması ve/veya icrası
Finans ve/veya Muhasebe İşlerinin Takibi
Şirket içi/dışı raporlama faaliyetlerinin planlanması ve/veya icrası
Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrasıİş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi
Bütçe çalışmalarının yapılması ve/veya icrası
Potansiyel iş ortağı/tedarikçi seçimi için risk değerlendirme faaliyetlerinin ve/veya fizibilite çalışmalarının planlanması ve/veya icrası
 EK 2 KİŞİSEL VERİ SAHİPLERİ
KİŞİSEL VERİ SAHİBİ KATEGORİSİAÇIKLAMASI
Şirket MüşterisiAPEAS GRUP  ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın APEAS GRUP iş birimlerinin yürüttüğü operasyonlar kapsamında APEAS GRUP  iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler
Ziyaretçi APEAS GRUP ‘un sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
Çalışan Adayı ve APEAS GRUP ÇalışanlarıAPEAS GRUP’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler ile APEAS GRUP çalışanları
Aile Bireyleri ve YakınlarıAPEAS GRUP tarafından yürütülen faaliyetler çerçevesinde bu Politika kapsamında kişisel verileri işlenen veri sahiplerinin eş, çocuk ve yakınları
Üçüncü KişiBu Politika ve APEAS GRUP Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına girmeyen diğer gerçek kişiler (Örn. kefil, refakatçi, eski çalışanlar)
APEAS GRUP TedarikçisiAPEAS GRUP İn ticari faaliyetlerini yürütürken APEAS GRUP ’un emir ve talimatlarına uygun olarak sözleşme temelli olarak APEAS GRUP ’a hizmet sunan taraf çalışanıi yetkilisi veya hissedarı olan gerçek kişiler .
Şirket HissedarıAPEAS GRUP Hissedarı gerçek kişiler
Şirket YetkilisiAPEAS GRUP ‘un yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
İş Birliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve YetkilileriAPEAS GRUP’un her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler
 EK 3 KİŞİSEL VERİ KATEGORİLERİ
KİŞİSEL VERİ KATEGORİSİAÇIKLAMA
Kimlik BilgisiKişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport gibi belgeler
İletişim BilgisiTelefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
İşlem Güvenliği BilgisiFaaliyetlerimizin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları, IP bilgisi, kimlik doğrulama bilgileri)
İşlem BilgisiAPEAS GRUP tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen anket bilgisi, beyan bilgisi, alışveriş bilgisi, çağrı merkezi kayıtları, üyelik bilgisi, cookie kayıtları gibi veriler
Aile Bireyleri ve Yakın BilgisiAPEAS GRUP tarafından yürütülen faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Şirketin ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
Fiziksel Mekan Güvenlik BilgisiFiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, araç bilgisi kayıtları ve güvenlik noktasında alınan kayıtlar vb.
Finansal BilgiAPEAS GRUP ’un kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi veriler
Görsel/İşitsel BilgiFotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç) ve ses kayıtları
Özel Nitelikli Kişisel VeriKişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verile
Hukuki İşlem ve Uyum BilgisiHukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler
Denetim ve Teftiş BilgisiŞirketimizin operasyonel, finansal, suistimal ve uyum denetimi faaliyetlerinin yürütülmesine ilişkin işlenen kişisel veriler
Talep/Şikayet Yönetimi BilgisiAPEAS GRUP’a yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler
 EK 4 KİŞİSEL VERİLERİN AKTARILDIĞI KİŞİLER VE AKTARIM AMAÇLARI
VERİ AKTARIMI YAPILACAK KİŞİLERTANIMIVERİ AKTARIM AMACI
İş OrtağıAPEAS GRUP ’un ticari faaliyetlerini yürütürken bizzat şirket ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. Bankalar, Sigorta şirketleri vb.İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
TedarikçiAPEAS GRUP ’un ticari faaliyetlerini yürütürken APEAS GRUP’ un emir ve talimatlarına uygun olarak sözleşme temelli olarak APEAS GRUP’a hizmet sunan tarafları tanımlamaktadır.APEAS GRUP ’un tedarikçiden dış kaynaklı olarak temin ettiği ve şirketin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin şirkete sunulmasını sağlamak amacıyla sınırlı olarak.
Kanunen Yetkili Kamu Kurum ve Kuruluşlarıİlgili mevzuat hükümlerine göre APEAS GRUP’tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarıİlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
Kanunen Yetkili Özel Hukuk Kişileriİlgili mevzuat hükümlerine göre APEAS GRUP’tan bilgi ve belge almaya yetkili özel hukuk kişileriİlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
 EK 5 KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ
SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ
Kira ilişkisinden kaynaklı işlenen kişisel verilerİş ilişkisinin sona ermesine müteakip  5 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Vergisel kayıtlar5 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Ziyaretçilerin kişisel verileri6 aySaklama süresinin bitimini takiben 180 gün içerisinde
İş sağlığı ve güvenliği uygulamalarıİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Kayıt/Takip/Log Sistemleri2 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Güvenlik kamera görüntüleriGörüntünün alındığı tarihten itibaren 1 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Ödeme işlemleriİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Personel Finansman Süreçleriİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazasıİş ilişkisinin sona ermesine müteakip 10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Talep / Şikâyet BilgileriKaydın alınmasından itibaren 5 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Kaza Raporlama10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Toplantı notlarının, katılımcılar ile paylaşılması10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Her türlü doküman dosyalanması10 yılSaklama süresinin bitimini takiben 180 gün içerisinde
Eğitim kayıtlarının dosyalanması10 yılSaklama süresinin bitimini takiben 180 gün içerisinde