Sözleşmeler

KİŞİSEL VERİLER PROSEDÜRÜ LUBECAFİLL

KİŞİSEL VERİLERİN İŞLENMESİ, SAKLANMASI, İMHA EDİLMESİ VE VERİ GÜVENLİĞİNE İLİŞKİN PROSEDÜR

KİŞİSEL VERİLER PROSEDÜRÜ

Bu prosedür veya bilgilendirme metni 6698 sayılı “Kişisel Verilerin Korunması Kanunu” çerçevesinde hazırlanmış olup, bu prosedürle çalışanlarımızın, müşterilerimizin ve potansiyel aday müşterilerin kişisel verilerinin işlenmesine ilişkin yöntem, amaç, hukuki sebepleri hakkında bilgilendirme yapılması amaçlanmıştır. Ayrıca, çalışanlarımızın, müşterilerimizin ve potansiyel aday müşterilerin bu prosedür hakkında özet olarak bilgi sahibi olmaları için prosedürün özeti internet sitemizde de yayınlanacaktır.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, yani LUBECAFİLL İLAÇ SAN. A.Ş..’yi

İrtibat kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi,

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu,

ifade eder.

Kişisel Verilerin Hangi Amaçla İşleneceği: Kişisel veriler; Sermaye Piyasası Kanunu ve diğer mevzuat kapsamında, yatırım hizmet ve faaliyetleri ile yan hizmetlerin verilebilmesi ve bunlara dair işlemlerin yerine getirilmesi, yürütülmesi ve geliştirilebilmesi, bu hizmetlere ve ürünlere yönelik tanıtım, pazarlama ve kampanya faaliyetlerinin yapılması, akdettiğiniz ve/veya akdettiğimiz sözleşmelerin gereğinin yerine getirilmesi, aldığınız/alacağınız ürün ve hizmete ilişkin iletişim kurulabilmesi, potansiyel müşteri tespiti, halka arz ve her türlü ihraç işlemlerinin gerçekleştirilmesi, istihbarat, bilgi araştırmaları, istatistik, müşteri memnuniyeti çalışmaları, kanunlarda açıkça öngörülmesi, karaparanın aklamasının önlenmesi mevzuatına ve yurtiçi ve uluslararası mevzuata uyum; SPK (Sermaye Piyasası Kurulu), BİST (Borsa İstanbul A.Ş.), MASAK (Mali Suçları Araştırma Kurulu), TSPB (Türkiye Sermaye Piyasaları Birliği), MKK (Merkezi Kayıt Kuruluşu A.Ş.), TAKASBANK (İstanbul Takas ve Saklama Bankası A.Ş.), GİB (Gelir İdaresi Başkanlığı), (SPL) Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., YTM (Yatırımcı Tazmin Merkezi), Hazine Müsteşarlığı, Maliye Bakanlığı, Sosyal Güvenlik Kurumu ve diğer tüm otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması, müşterilerine/çalışanlarına/potansiyel müşterilerine daha iyi ve güvenilir hizmet verilebilmesi ve bunun kesintisiz olarak sürdürebilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde LUBECAFİLL İLAÇ SAN. A.Ş. tarafından “Veri Sorumlusu” sıfatıyla; elde edebilecek, kaydedebilecek, muhafaza edebilecek, hizmetlerini devam ettirebilmek amacıyla güncelleyebilecek, değiştirebilecek, yeniden düzenleyebilecek, mevzuatın izin verdiği durumlarda ve ölçüde üçüncü kişilere açıklayabilecek, aktarabilecek, paylaşabilecek, sınıflandırabilecek, anonim hale getirebilecek ve kanunda sayılan diğer şekillerde işleyebilecektir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

Kanunlarda açıkça öngörülmesi,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusu sıfatıyla Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
İlgili kişi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusu olan Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği: Kişisel veriler yasal olarak aktarılması gereken idari ve resmi makamlara, Şirketimizin doğrudan ve dolaylı hissedarları ile yurt içi ve yurtdışı iştiraklerine ve bağlı ortaklıklarına, Şirketimiz çalışanlarına, iş ortaklarımıza, aracılık sıfatı ile faaliyetlerini yürüttüğü şirketlere, hukuk, mali ve vergi danışmanları, denetçileri, mevzuatın izin verdiği hallerde şirketimizce destek hizmeti veya hizmet alınan yurt içi üçüncü kişilere, bağımsız denetim şirketlerine, Sermaye Piyasası Kanunu uyarınca bilgi aktarımına izin verilen kuruluşlara, Sermaye Piyasası Kurulu, Borsa İstanbul A.Ş., Türkiye Sermaye Piyasaları Birliği, Merkezi Kayıt Kuruluşu A.Ş., Mali Suçları Araştırma Kurulu, Gelir İdaresi Başkanlığı, Maliye Bakanlığı, Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş., Hazine Müsteşarlığı, Sosyal Güvenlik Kurumu, Türkiye İş Kurumu, Takasbank, Yatırımcı Tazmin Merkezi, yurtdışındaki piyasalarda gerçekleştirilen sermaye piyasası faaliyetleri nedeniyle yurtdışındaki aracılara/fiyat sağlayıcılara ve diğer tüm otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uyulması dahil diğer üçüncü kişilere hukuki zorunluluklar nedeniyle ve yasal sınırlamalar çerçevesinde aktarılabilecektir. 6698 sayılı Kanun’un kişisel verilerin aktarılmasına ilişkin 8. maddesi ve kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddesinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir. Rıza Gerektirmeyen Haller, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinin 2. fıkrası uyarınca, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusu sıfatıyla Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusu olan Şirketimizin meşru menfaatleri için veri işlenmesinin zorunlu olması, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, Sermaye Piyasası Kanunu ve diğer ilgili mevzuatta yer alan istisna hallerinde Şirketimiz, açık rıza almaksızın kişisel verileri işleyebilme ve aktarmaya yetkilidir.

Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi: Kişisel veriler, LUBECAFİLL İLAÇ SAN. A.Ş.’nin Genel Müdürlük Birimleri ve varsa merkez dışı örgütleri, internet sitemiz, elektronik işlem platformları, sosyal medya, müşteri görüşmeleri, telefon kayıtları, adli kayıtların taranması, web sitelerine yapılan dijital başvurular, tüm mobil uygulamalarımız, direkt satış ekiplerine yapılan yazılı/dijital başvurular, anlaşmalı kuruluşlar ve dış hizmet kuruluşları vasıtasıyla ve benzeri diğer kanalları aracılığı ile otomatik ya da otomatik olmayan yollarla, yazılı, sözlü ya da elektronik ortamda toplanmakta ve ilgili mevzuat gereğince kanuni süreler içerisinde saklanmaktadır. Bu yöntemlerle toplanan kişisel verileriniz 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu prosedürün (1) ve (2) maddelerinde belirtilen amaçlarla da işlenebilmekte ve aktarılabilmektedir.

LUBECAFİLL İLAÇ SAN. A.Ş. Kanunun 4. maddesine uygun olarak, yürüttüğü faaliyetler ile bağlantılı kişisel verileri;

a. Hukuka ve dürüstlük kurallarına uygunluk,

b. Doğru ve gerektiğinde güncellik,

c. Belirli, açık ve meşru amaçlar için işlenme,

d. İşlendikleri amaçla bağlantılılık, sınırlılık ve ölçülülük,

e. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklama

ilkeleri çerçevesinde işler.

Kişisel Veri Sahibinin 6698 Sayılı Kanun’un 11. Maddesinde Sayılan Hakları: Müşterilerimiz/Personelimiz ve potansiyel müşteriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesi kapsamında Şirketimize başvurarak aşağıdaki haklarını kullanabilirler.

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
Yukarıda (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel Verilerin Saklanması ve İmhası, Kişisel Veri Güvenliği ve Özel Nitelikteki Kişisel Verilerin Güvenliği: Amaç, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektir. Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerekir. Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

Kişisel verilerin silinmesi: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Türk Ticaret Kanunu mevzuat hükümleri uyarınca Müşterilerimize/Çalışanlarımıza ait aşağıda tabloda belirtilen kişisel veriler LUBECAFİLL İLAÇ SAN. A.Ş. tarafından on (10) yıl süre ile saklanması yasal zorunluluktur. Ses kayıtları için bu süre üç (3) yıldır. Müşterilerin/Çalışanlarımızın kişisel verilerini silinmesini, yok edilmesini veya anonim hale getirilmesini talep etmesi halinde, söz konusu 10 yıllık (ses kayıtları için 3 yıllık) sürenin sonunda bu talepleri yerine getirilebilecektir. Bu sürenin dolmasıyla birlikte müşteriler/çalışanlar, Kişisel Verilerin Korunması Kanununun 7 nci maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kişisel Verileri Saklama Süreleri Tablosu
Kişisel Verinin Açıklaması	Saklama Süresi (Yıl)
Kimlik bilgilerini içeren her türlü belge (nüfus cüzdanı, ehliyet, pasaport vb.)	10
Adres ve iletişim bilgileri ile adres bilgisini teyit edici belgeler	10
Müşterilerin imzalamış oldukları çerçeve sözleşmeleri ve ekleri	10
Eğitim ve öğretim bilgileri (özgeçmiş, diploma ve vb.)	10
Mali bilgiler ve teminat bilgileri	10
Hesaplarında yapmış oldukları işlemlere ait rapor, ekstreler ve her türlü kayıtlar	10
Ses kayıtları	3
Görüntü Kayıtları	1(Ay)
İmza beyannameleri	10
IP numaraları	10
Sağlık bilgileri	10

Potansiyel müşterilerin kişisel bilgileri, müşterilerin rızası alınmak suretiyle 5 yıl saklanabilir. Müşterilerin rızası yok ise kişisel veriler sistemlerimizde tutulmayacak, söz konusu kişisel veriler silinir veya yok edilir.

Kişisel veriler, yukarıda belirtilen mevzuattaki saklama süresi dolduğunda, saklama süresinin bitimini takip eden 1 (bir) ay içerisinde Şirketimizce silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

Kişisel verileri saklama ve imha süreçlerinde aşağıdaki kilit çalışanlarımız yer alacaktır.

Bölüm Ünvanı Görev Tanımı

LUBECAFİLL İLAÇ SAN. A.Ş. (Şirket) müşterilere ait bilgilerin gizliliğini ve güvenliğini sağlama hususuna özel önem göstermekte ve ilgili mevzuat uyarınca da yasal bir yükümlülüktür. Yürütülen her türlü uygulama ve süreçte müşteri bilgilerinin korunması hususu önemle göz önünde bulundurulmakta ve tüm çalışanlarımızın bu konuda gereken hassasiyeti göstermesini sağlamaya çalışılmaktadır. Şirketimiz, destek hizmeti aldığı kuruluşların, Şirket gizlilik standartlarına ve şartlarına uymalarını sağlamak için hizmet sözleşmesine gizlilik hükümlerine yer verilmektedir.

Çalışanlarımıza ilişkin kişisel veriler, Şirketimizce yetkilendirilen ilgili bölüm personelince kilitli dolaplarda saklanarak ve böylece yetkisiz kişilerin ulaşmasını engelleyecektir.

Müşterilerin kişisel bilgileri, söz konusu bilgileri görmeye yetkili çalışanlarımız ( ………………………..) tarafından görüntülenebilecek ve ulaşılabilecektir. Müşterilerin kişisel bilgilerini içeren sözleşmeler, kimlik bilgileri ve diğer sözleşme eki olan bilgiler …………….. bölümü tarafından kapalı dolaplarda saklanacaktır. Müşterilerin kişisel bilgilerinin bulunduğu …………….. Muhasebe Programı, ………… Elektronik İşlem Platformu ve müşterilerin işlemlerine ait ses kayıtlarının tutulduğu programa ise sadece yetki verilmiş çalışanlarımız tarafından görülebilecek ve ulaşılabilecektir. ……….. Muhasebe Programı, …………… Elektronik İşlem Platformu ve ses kayıt programı yetki verilmiş çalışanlarımız tarafından kendilerine ait kullanıcı kodu ve şifre ile bağlanmaları mümkündür. Pazarlama personelinin yetkisi olmadığından bu bilgilere ulaşması mümkün olmayacaktır.

Şirketimiz Veri Sorumlusu olarak ve çalışanlarımız öğrendiği kişisel verileri Kanun hükümlerine aykırı olarak açıklayamaz ve işleme amacı dışında kullanamaz. Bu yükümlülükler görevden ayrıldıktan sonra da devam eder.

LUBECAFİLL İLAÇ SAN. A.Ş. farkındalık eğitimlerini periyodik olarak yapar; kişisel verilerin korunmasına ilişkin süreçleri merkezi olarak izler. Kişisel verilerin saklandığı tüm ortamların güvenliğini sağlar; bu kapsamdaki hukuki gereklilikleri yerine getirir.

Bilgi sistemleri, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur. Bilgi güvenliği ihlallerine karşı gerekli her tür idari ve teknik önlem alınır. Bilgi sistemlerine ilişkin risklerin yönetimi amacıyla tesis edilen süreç ve prosedürler, LUBECAFİLL İLAÇ SAN. A.Ş.. bünyesinde fiili olarak işleyecek şekilde yerleştirilir ve işlerliğine ilişkin gözetim ve takipler gerçekleştirilir.

Şirketimiz, kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik “B-Özel Nitelikli Kişisel Veriler” prosedürünün 2. maddesindeki tedbirleri uygular.

Şirketimiz, kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar elektronik ortam ise “B-Özel Nitelikli Kişisel Veriler” prosedürünün 3. maddesindeki tedbirleri uygular.

Şirketimiz, kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar, fiziksel ortam ise “B-Özel Nitelikli Kişisel Veriler” prosedürünün 4. maddesindeki tedbirleri uygular.

Şirketimiz, kişisel veriler aktarılacaksa “B-Özel Nitelikli Kişisel Veriler” prosedürünün 5. maddesindeki tedbirleri uygular.

Kişisel Veri İşleme Envanteri: Şirketin kişisel veri işleme envanteri aşağıda yer almaktadır.

Veri Adı	Veriyi Görenler	Veri Konusu	Veri Kategorisi	Veri Kaynağı	Veriyi İşleyen	Veri Saklamacısı	Veri Saklama Ortamı	Veri İşleme Amacı	Veri İşleme Süresi	Alıcı Grupları
Adı soyadı, TC kimlik no, kimlik numarası, anne-baba adı, doğum yeri ve tarihi, cilt/hane/sıra no, cinsiyet, uyruk, nüfusa kayıtlı olduğu il/ilçe/mahalle, vergi numarası	Operasyon, Muhasebe, Müşteri Temsilcileri, …………………………	Müşteri Personel	Kimlik bilgisi	Kurum içi	Operasyon, Pazarlama, İnsan Kaynakları ………………	Operasyon, İnsan Kaynakları, Bilgi İşlem……………………..	Fiziki ortam ve elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	MKK, Takasbank, SPK, BİST, TSPB, SGK, İŞKUR, YTM, SPL, Yurtdışı Takas Kurumu, Yurtdışı Borsalar, Adli Makamlar, Personel maaş anlaşması kapsamında anlaşmalı banka, Dış Hizmet Sağlayıcılar
Adres bilgisi, telefon bilgisi, e-mail adresi	Operasyon, İnsan Kaynakları, ……………………………………	Müşteri Personel	İletişim bilgisi	Kurum içi	Operasyon Pazarlama İnsan Kaynaklar…………………...	Operasyon, İnsan kaynakları, …………………………	Fiziki ortam ve elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	MKK, Takasbank, SPK, BİST, TSPB, SGK, YTM, SPL, Adli Makamlar, Personel maaş anlaşması kapsamında anlaşmalı banka, Dış Hizmet Sağlayıcılar
Müşteri hesap numarasına ait MKK sicil numarası	Operasyon, Muhasebe, …………….	Müşteri	Hesap bilgisi	Kurum içi	Muhasebe………..	Bilgi İşlem …………	Elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	MKK, Takasbank, SPK, BİST, Dış Hizmet Sağlayıcılar
Müşteri hesap numarası	Operasyon, Muhasebe, Müşteri Temsilcisi, ……………………….	Müşteri	Hesap bilgisi	Kurum içi	Operasyon ………….	Operasyon, Bilgi İşlem …………………	Fiziki ortam ve elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	MKK, Takasbank, SPK, BİST, TSPB, YTM, Dış Hizmet Sağlayıcılar
Çerçeve sözleşmeleri ve ekleri(iş/meslek bilgisi, uygunluk ve yerindelik testleri dahil)	Operasyon, Müşteri Temsilcileri, Pazarlama, ……………………….	Müşteri, Personel	Hesap bilgisi	Kurum içi	Operasyon, Pazarlama, Müşteri Temsilcileri ………………..	Operasyon, Bilgi İşlem ……………..	Fiziki ortam ve elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, BİST, TSPB, YTM, Dış Hizmet Sağlayıcılar
Mali bilgiler ve teminat bilgileri, overall bilgileri	Operasyon, Muhasebe, …………………………….	Müşteri, Personel	Hesap bilgisi	Kurum içi	Operasyon, Pazarlama, ……………………….	Operasyon, Bilgi İşlem ……………………..	Fiziki ortam ve elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, BİST, TSPB, YTM, Adli Makamlar, Dış Hizmet Sağlayıcılar
Deneme hesapları	Hazine, …………………….	Müşteri	Hesap bilgisi	Kurum içi	Hazine ………………….	Bilgi İşlem ………………………….	Elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, TSPB, Dış Hizmet Sağlayıcılar
IP numaraları, login bilgileri	Operasyon, Teftiş, …………………………	Müşteri	İşlem bilgisi	Kurum içi	Otomatik sistem	Bilgi İşlem ………………….	Elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, BİST, TSPB, Dış Hizmet Sağlayıcılar
Ses kayıtları	Operasyon, Teftiş, Bilgi İşlem, ……………………………	Müşteri, Personel	İşlem bilgisi	Kurum içi	Otomatik sistem	Bilgi İşlem ………………………	Elektronik ortam ve taşınabilir kayıt araçları	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, BİST, TSPB, Dış Hizmet Sağlayıcılar
Görüntü kayıtları	Teftiş, Bilgi İşlem, …………………………….	Müşteri, Personel	Güvenlik bilgisi	Kurum içi	Otomatik sistem	Bilgi İşlem …………………………..	Elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, BİST
Cv, okul ve eğitim bilgisi, iş deneyimi geçmişi, hobiler, tercihler, grup üyelikleri gibi özlük bilgileri	İnsan Kaynakları, ………………………………	Personel	Özel bilgiler	Kurum içi	İnsan Kaynakları ………………………	İnsan Kaynakları …………………..	Fiziki ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	SPK, SPL, Dış Hizmet Sağlayıcılar
Sağlık, vakıf yada sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleri, ırk ve etnik köken, siyasi düşünce, kılık ve kıyafet	İnsan Kaynakları, ………………………………..	Personel	Özel nitelikli kişisel bilgiler	Kurum içi	İnsan Kaynakları ……………………..	İnsan Kaynakları, …………………………	Fiziki ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	Sağlık Kurumları, İşyeri Hekimi
Personel hizmet sözleşmesi, Aile durum bilgisi, banka hesapları	İnsan Kaynakları, ………………………….	Personel	Özel bilgiler	Kurum içi	İnsan Kaynakları ……………………..	İnsan Kaynakları …………………….	Fiziki ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	Adli Makamlar, SPK, Dış Hizmet Sağlayıcılar
Şirket yetki durum bilgisi, Organizasyon şeması	…………………………..	Personel	KAP bildirimleri, Ticaret sicil gazetesinde yayımlanan bilgiler ve internet sitemizde yer alan bilgiler	Kurum içi	………………………….	…………………………………	Fiziki ortam ve elektronik ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	Tüm kamuya açık bilgi
Personel adayı (stajyer)	İnsan Kaynakları, ………………………….	Personel	Özel bilgiler	Kurum içi	İnsan Kaynakları ………………………	İnsan Kaynakları ……………………………..	Fiziki ortam	Kanunlarda ve mevzuatta öngörülmesi, hakkın tesisi ve korunması	Sözleşme süresince ve mevzuatta belirtilen süre	Adli Makamlar, Dış Hizmet Sağlayıcılar
Potansiyel müşteri	Pazarlama, Müşteri Temsilcileri, …………………………….	Potansiyel müşteri	Kişisel veri	Kurum içi	Pazarlama, Müşteri Temsilcileri …………………….	Bilgi İşlem ……………………………	Elektronik ortam	Yeni müşteri kazanım çalışmaları	Müşterinin rızası var ise 5 yıl, yok ise hemen silinir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLER PROSEDÜRÜ

- - Özel nitelikli kişisel verilerin işlenme şartları: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Yukarıda sayılan özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

- - Şirketimiz, özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik aşağıdaki tedbirleri sağlar.

Kanun ve buna bağlı yönetmelikler ile özel nitelikteki kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
Gizlilik sözleşmelerinin yapılması,
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve sürelerinin belirlenmesi,
Periyodik yetki kontrollerinin yapılması,
Görev değişikliği olan yada işten ayrılan çalışanlarımızın bu alandaki yetkilerinin derhal kaldırılması, veri sorumlusu tarafından kendisine verilen envanterin iade alınması.

- - Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar elektronik ortam ise aşağıdaki önlemler alınır.

Siber güvenlik önlemleri,
Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin takip edilmesi, gerekli güvenlik testlerinin yapılması/yaptırılması,
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenli testlerinin yapılması/yaptırılması, test sonuçlarının kayıt altına alınması.

- - Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar, fiziksel ortam ise aşağıdaki önlemler alınır.

Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (su baskını, yangın, hırsızlık vb. durumlara karşı) alındığından emin olunması,
Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi.

- - Özel nitelikli kişisel veriler aktarılacaksa aşağıdaki önlemler alınır.

Verilerin e-posta yoluyla aktarılması gerekiyorsa kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,
Taşınabilir bellek, CD, DVD bibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kullanılarak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması yada yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizli belge” formatında gönderilmesi.