top of page
GİZLİLİK POLİTİKASI

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA AYDINLATMA METNİ

Şirketimiz tarafından aşağıda belirtilen amaçlar ve yasal mevzuat kapsamında işlenen eğitim, unvan, diploma, sertifika, beceri, sağlık, ikametgâh, kimlik, ehliyet, adli sicil, askerlik, daha önce çalışılan firmalar ve fotoğraf bilgileri ile adres, telefon ve e-mail olmak üzere her türlü iletişim bilgisi dahil tüm kişisel verileriniz, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer yasal mevzuat kapsamında korunmaktadır. Paylaşmış olduğunuz kişisel verileriniz gerek İşvereniniz gerekse Veri Sorumlusu sıfatıyla, iş sözleşmeniz ve Kanun kapsamında işlenebilecek, kaydedilebilecek, muhafaza edilebilecek, güncellenebilecek, yeniden düzenlenebilecek, üçüncü kişilere açıklanabilecek, aktarılabilecek, paylaşılabilecek, anonim hale getirilebilecektir.

Şirketimizin sorumlulukları, kişisel verilerinizin hangi amaçla işlenebileceği, kimlere hangi amaçla aktarılabileceği, kişisel verilerinizin hangi yönetmelerle toplanabileceği ve yasal haklarınız aşağıda belirtilmiştir:

VERİ SORUMLUSU

6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Şirketimiz, veri sorumlusu olup kişisel verileriniz aşağıda açıklanan kapsamda toplanacak ve işlenebilecektir.

KİŞİSEL VERİLERİN İŞLENMESİNİN AMACI

İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile, diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek ve şirketin idaresi, işin yürütülmesi, şirket politikalarının uygulanması amacıyla,

  • iş sözleminizin kurulması ve uygulanması,

  • işe uygunluğunuzun tespiti,

  • uygun pozisyonda çalıştırılmanız,

  • Personel özlük dosyalarının oluşturulması

  • SGK bildirimleri, İŞKUR bildirimleri, teşvik ve yasal yükümlülük bilgilendirmesinin yapılması

  • Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması

  • İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması

  • İş kazasının yasal bildirimlerinin yapılması

  • İş sağlığı ve güvenliği işlemlerinin yapılması

  • Mevzuat, ilgili düzenleyici kurumlarca öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak

  • Bordro işlemlerinin yapılmasının sağlanması

  • Maaş ödemelerinin yapılması

  • Çalışan izinlerinin düzenlenmesi

  • Çalışma sürelerinin tespiti

  • İş yeri güveliğinin sağlanması,

  • Şirket'in istihdam ve insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi

  • Şirketin ve Şirketle iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi, hukuk işlerinin takibi

  • Finans veya muhasebe işlerinin takibi amaçlarıyla işlenebilmektedir

 

 

İŞLENEN KİŞİSEL VERİLERİN HANGİ AMAÇLA KİMLERE AKTARILABİLECEĞİ

Şirketimizin kanuni yükümlülüklerini ifa etmesi amacıyla kişisel verileriniz, İş Kanunu, İşçi Sağlığı ve İş Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kimlik Bildirme Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili kurum veya kuruluşlar; Kişisel Verileri Koruma Kurumu,  Çalışma ve Sosyal Güvenlik Bakanlığı, Sosyal Güvenlik Kurumu, Türkiye İş Kurumu (İş-Kur) gibi kamu tüzel kişilerine 6698 sayılı KVKK’nın 5. Ve 6. Maddeleri ile 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları ile sınırlı olarak aktarılabilecektir.

Ayrıca, Hukuki yükümlülüklerimizi yerine getirmek amacıyla avukatlarımıza ve hukuka ve usule uygun olması koşuluyla yargı organlarınca veya idari mercilerce talep edilmeleri halinde ilgili kurumlarla paylaşabiliyoruz.

KİŞİSEL VERİ TOPLAMANIN YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel verileriniz, işbu Kişisel Verilerin İşlenmesine İlişkin Aydınlatma Metninde belirtilen amaçlarla ve Kişisel Verilerin Korunması Kanununun 5. ve 6. Maddelerinde öngörüldüğü üzere gerektiğinde açık rızanız, iş sözleşmenizin kurulması ve uygulanması, hukuki yükümlülüklerimizin yerine getirilmesi şartlarıyla kullanılmak üzere elektronik ya da fiziki olarak doldurulan formlar, sözleşmeler, elektronik postalar dâhil her türlü yazılı, sözlü, elektronik ortamlardan otomatik olan ya da olmayan yöntemlerle toplanabilmektedir.

Şirket, elde ettiği kişisel verileri işlendikleri amaç için gerekli olan süre kadar muhafaza edecektir.

Buna ek olarak Şirket, herhangi bir uyuşmazlık durumunda uyuşmazlık kapsamında idari veya yargı süreçlerinin yürütülebilmesi amacıyla sınırlı olmak üzere ve ilgili mevzuat uyarınca belirlenen zamanaşımı süreleri boyunca kişisel verileri saklayabilecektir.

KİŞİSEL VERİ SAHİBİNİN YASAL SAYILAN HAKLARI

Kişisel veri sahipleri haklarına ilişkin taleplerini aşağıda belirtilen yöntemlerle Şirket’e iletebilir. Şirket, talebin niteliğine göre talebi en kısa sürede içinde sonuçlandıracaktır.

 

Bu kapsamda kişisel veri sahipleri;

  • Kişisel veri işlenip işlenmediğini öğrenme,

  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

 

Kişisel veri sahiplerinin,  söz konusu haklarına ilişkin taleplerini www.sumahan.com adresinde bulunan Kişisel Verileri Koruma – Başvuru Formunu kullanarak yazılı bir şekilde Kuleli Cad. No.43 Çengelköy/Üsküdar/İST. adresine, güvenli elektronik imza, mobil imza ile info@sumahan.com adresine ya da varsa Şirket’e daha önceden bildirilen ve Şirket sistemlerinde kayıtlı bulunan elektronik posta adresi aracılığı ile info@sumahan.com adresine iletmeleri halinde talepler en kısa süre içerisinde değerlendirilerek sonuçlandırılacaktır.

 

Veri sahibi tarafından iletilen taleplerde, veri sahibinin adı, soyadı, başvuru yazılı ise imzası, T.C. kimlik numarası ya da yabancı ise uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası ve talep konusu bulunması zorunludur. Taleplere ilişkin olarak yazılı şekilde yanıt verilecek olup başvuruya verilecek yanıtın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise Şirket, talepte bulunan veri sahibinden kayıt ortamının maliyeti tutarında ücret talep edebilir.

KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI

1. AMAÇ VE KAPSAM
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Şirketimizce gerçekleştirilmekte olan
saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek
amacıyla hazırlanmıştır. Şirketimizce kişisel verilerin saklanması ve imhasına ilişkin iş ve
işlemler, Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak
gerçekleştirilir.


2. KAYIT ORTAMLARI
Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir
şekilde saklanır.


Elektronik Ortamlar:

  • Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

  • Yazılımlar (ofis yazılımları, vb.)

  • Bilgi güvenliği cihazları (güvenlik duvarı, antivirüs vb. )

  • Kişisel bilgisayarlar (Masaüstü, dizüstü)

  • Mobil cihazlar (telefon, tablet vb.)

  • Optik diskler (CD, DVD vb.)

  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

  • Yazıcı, tarayıcı, fotokopi makinesi


Elektronik Olmayan Ortamlar:

  • Kağıt,

  • Manuel veri kayıt sistemleri,

  • Yazılı, basılı, görsel ortamlar


3. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından; müşterilerin, potansiyel müşterilerin, çalışanların, çalışan adaylarının, şirket
hissedarları ile şirket yetkililerinin, işbirliği içinde olunan kurum çalışanlarının, hissedarlarının,
yetkililerinin ve üçüncü kişilerin kişisel verileri Kanuna uygun olarak, mevzuatta öngörülen süre
kadar, mevzuatta bir süre öngörülmemiş ise işlendikleri amaç sona erene kadar saklanır ve
yine mevzuatta öngörülen şekillerde imha edilir.


3.1. Saklamayı Gerektiren İşleme Amaçları
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar
doğrultusunda saklar.

 

  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

  • İş sözleşmelerinin kurulması ve uygulanması,

  • İşe uygunluğun tespiti,

  • Personel özlük dosyalarının oluşturulması,

  • SGK bildirimleri, İŞKUR bildirimleri, teşvik ve yasal yükümlülük bilgilendirmesinin yapılması,

  • Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması,

  • İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması,

  • İş kazasının yasal bildirimlerinin yapılması,

  • İş sağlığı ve güvenliği işlemlerinin yapılması,

  • Mevzuat, ilgili düzenleyici kurumlarca öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,

  • Bordro işlemlerinin yapılmasının sağlanması,

  • Maaş ödemelerinin yapılması,

  • Çalışan izinlerinin düzenlenmesi,

  • Çalışma sürelerinin tespiti,

  • İş yeri güveliğinin sağlanması,

  • Şirket'in istihdam ve insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,

  • Şirketin ve Şirketle iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi, hukuk işlerinin takibi ve yürütülmesi,

  • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi,

  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,

  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,

  • Eğitim Faaliyetlerinin Yürütülmesi,

  • Faaliyetlerin Mevzuata Uygun Yürütülmesi,

  • Finans Ve Muhasebe İşlerinin Yürütülmesi,

  • Görevlendirme Süreçlerinin Yürütülmesi,

  • İletişim Faaliyetlerinin Yürütülmesi,

  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

  • Hizmet Satış Süreçlerinin Yürütülmesi

  • Konaklama hizmetine ilişkin süreçlerin yürütülmesi,

  • Müşterilerin ihtiyaçlarının belirlenebilmesi ve karşılanabilmesi,

  • Müşteri memnuniyetinin ölçülebilmesi ve arttırılabilmesi,

  • Mail gönderilebilmesi

  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

  • Performans Değerlendirme Süreçlerinin Yürütülmesi

  • Sözleşme Süreçlerinin Yürütülmesi

  • Talep / Şikayetlerin Takibi

  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

  • Yönetim Faaliyetlerinin Yürütülmesi

  • Bilgi Güvenliği Süreçlerinin Yürütülmesi

  • Acil durum yönetimi süreçlerinin yürütülmesi

  • Hizmetlerin pazarlama süreçlerinin yürütülmesi

  • Ücret politikasının yürütülmesi

  • Erişim yetkilerinin yürütülmesi

gibi amaçlar.


3.2. İmhayı Gerektiren Sebepler
Kişisel veriler;

 

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

  • Kişisel Verilerin Korunması Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun

  • Şirket tarafından kabul edilmesi,

  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.


4. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin
önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin
Korunması Kanununun 12. maddesiyle 6. maddesi 4. fıkrası gereği özel nitelikli kişisel veriler
için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından
teknik ve idari tedbirler alınır.

4.1. Teknik Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

  • Anahtar yönetimi uygulanmaktadır.

  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

  • Erişim logları zaman damgalı olarak düzenli bir şekilde tutulmaktadır.

  • Güvenlik duvarları kullanılmaktadır.

  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve

  • KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

  • Şifreleme yapılmaktadır.

  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

  • Sızma Testleri uygulanmaktadır.


4.2. İdari Tedbirler
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

  • Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılmasıamacıyla kişisel veri envanteri oluşturulmuş, işlenen kişisel veri ve ilgili kişi kategorileri tespitedilmiştir.

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

  • Gizlilik taahhütnameleri yapılmaktadır.

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

  • Kişisel veri güvenliğinin takibi yapılmaktadır.

  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

  • Kişisel veriler mümkün olduğunca azaltılmaktadır.

  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.


Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.


Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş
ortaklarımızla mevcut sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli
güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına
ilişkin hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler yapılmakta, iş ortakları
bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama
yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.


Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet
alınması halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla
bu firmanın ve firma personelinin kişisel verilerin korunması amacıyla gerekli güvenlik
tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin
mevcut sözleşmelere hükümler eklenmekte ya da bu kapsamda ayrı sözleşmeler
yapılmaktadır.


Kişisel veri işlemeye başlamadan önce şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü
yerine getirilmektedir.


5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin
sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili
mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.


5.1. Kişisel Verilerin Silinmesi
Kişisel veriler aşağıdaki yöntemlerle silinir;

  • Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından uygun yöntemlerle silme işlemi yapılır.

  • Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

  • Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

5.2. Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Şirket tarafından aşağıdaki yöntemlerle yok edilir.

  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

  • Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.


5.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü
kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt
ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

6. SAKLAMA VE İMHA SÜRELERİ
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel
veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde, Veri kategorileri bazında
saklama süreleri VERBİS’te ve aşağıda yer almaktadır:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Saklama süresi dolan kişisel veriler, imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu
Politikada yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt
altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç)
yıl süreyle saklanır.


7. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir.
Buna göre, Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.


8. POLİTİKA’NIN YAYINLANMASI, SAKLANMASI VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, elektronik ortamda yayımlanır, şirketin internet sitesinde (www.sumahan.com)
kamuya açıklanır ve talep üzerine kişisel veri sahiplerinin erişimine sunulur. İşbu Politika gerek
duyulan hallerde ve ihtiyaç halinde güncellenir ve değişiklik yine internet sitesinde
yayınlanmak suretiyle yürürlüğe girer.


İşbu politikanın yürürlükten kaldırılmasına karar verilmesi halinde Yönetim Kurulu kararı ile
politikanın eski nüshaları iptal edilerek, iptal kaşesi vurularak veya iptal yazılarak en az 5 YIL
süreyle saklanır.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ
MN Butler Mimarlar Araştırma Tasarı ve Yapı Ltd. Şti. unvanlı Şirketimiz 6698 sayılı Kişisel Verilerin
Korunması Kanunu kapsamında Veri Sorumlusu sıfatına sahiptir. Şirketimiz, çalışanları, çalışan adayları,
müşterileri, tedarikçileri, şirket hissedarları, şirket yetkilileri, işbirliği içinde olduğu tüm tarafların çalışanları,
hissedarları ve yetkilileri ile üçüncü kişilerin kişisel verilerini ilgili mevzuat kapsamında ve işin gerektirdiği
ölçüde işlemekte ve işlenen verilerin korunmasına yüksek önem vermektedir.


Müşterilerimizin, tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, şirket hissedarlarımız ile
şirket yetkililerimizin, işbirliği içinde olduğumuz kurum çalışanlarının, hissedarlarının, yetkililerinin ve
üçüncü kişilerin kişisel verilerinin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin
Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin haklarını etkin
bir şekilde kullanmasının sağlanması öncelik olarak belirlenmiştir.


2. TANIMLAR


KVKK : 6698 sayılı Kişisel Verilerin Korunması Kanunu.


Anayasa : 18.10. 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası.


Kurul : Kişisel Verileri Koruma Kurulu


Politika : Kişisel Verilerin Korunması ve İşlenmesi Politikası


Türk Ceza Kanunu : 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza Kanunu.


Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.


Anonim Hale Getirme : Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi, kişisel verinin, kişisel veri
niteliğini kaybedecek şekilde değiştirilmesidir.


Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi.


Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.


Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veriler.


Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.


Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek
ve tüzel kişi.


Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi veri sorumlusu.

3. POLİTİKANIN AMACI VE KAPSAMI
Bu Politika’nın temel amacı; kişisel verilerini kanun kapsamında ve hukuka uygun bir biçimde
işlemekte olduğumuz müşterilerimizin, tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın, şirket
hissedarlarımız ile şirket yetkililerimizin, işbirliği içinde olduğumuz kurum çalışanlarının, hissedarlarının,
yetkililerinin ve kişisel verileri Şirket tarafından işlenen diğer kişilerin kişisel verilerinin işlenmesi ve kişisel
verilerinin korunmasına yönelik faaliyetler konusunda bilgilendirilmesidir.


Bu Politika’nın kapsamı; Müşterilerimizin, tedarikçilerimizin, çalışanlarımızın, çalışan adaylarımızın,
şirket hissedarlarımız ile şirket yetkililerimizin, işbirliği içinde olduğumuz kurum çalışanlarının,
hissedarlarının, yetkililerinin ve verilerini işlemekte olduğumuz diğer 3. kişilerin otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işlenen tüm kişisel verileridir.
Bu politika Şirketin www.sumahan.com adresindeki internet sitesinde yayımlanmaktadır.


4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN KURALLAR

 

4.1.KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN KURALLAR ÇERÇEVESİNDE İŞLENMESİ
Şirket, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) ve ilgili diğer mevzuatta
getirilen hüküm ve kurallara uygun olarak kişisel veri işlemektedir.


4.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Şirket, kişisel verilerin işlenmesinde hukuka uygunluk, güven ve dürüstlük kuralına uygun hareket
etmektedir.


4.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket; yasal mevzuat kapsamında işlediği kişisel verilerin doğru ve güncel olmasını sağlamak için
gerekli tedbirleri almaktadır.


4.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, yalnızca belirli, meşru ve hukuka uygun amaçlarla kişisel veri işlemektedir. Şirket, veri işleme
faaliyetine başlamadan önce kişisel veri işleme amaçlarını kesin ve açık olarak belirlemekte ve veri
sahiplerinin kişisel verilerinin elde edilmesi sırasında kendilerine bu amaçları açıkça duyurmaktadır.


4.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler, belirlenen amaçların gerçekleştirilmesi ile sınırlı olarak işlenmekte ve amacın
gerçekleştirilmesiyle bağlantılı olmayan kişisel verilerin işlenmesinden kaçınılmaktadır.


4.1.5. Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Kişisel veriler, ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre
öngörülmüşse, bu süreler ile sınırlı olarak kişisel veriler muhafaza edilmekte, mevzuatta bir süre
belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa,
işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale
getirilmektedir.

4.2. KİŞİSEL VERİLERİ İŞLEME ŞARTLARI
Kişisel veriler,

 

  • Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilerek,

  • Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak,

  • Şirket meşru amaçları doğrultusunda hukuka ve dürüstlük kurallarına uygun olarak işlenmektedir.


KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ ŞARTLAR

  • Kişisel veri sahibinin açık rızası var ise: Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

  • Kanunlarda kişisel verinin işleneceğine ilişkin açık bir düzenleme var ise: Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.

  • Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise işlenebilecektir.

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Sözleşmenin taraflarına ait kişisel verinin işlenmesi gerekli ise verilerin işlenmesi mümkündür.

  • Şirketin hukuki yükümlülüğünü yerine getirmesi: Şirketin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

  • Kişisel veri işlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

  • Şirketin meşru menfaatleri için zorunlu olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler işlenebilecektir.

  • Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.


ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ ŞARTLAR

KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanunda öngörülen
düzenlemelere uygun davranılmaktadır. Kanunun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak
belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık
ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Özel nitelikli kişisel veriler ilgilinin açık rızası ile
işlenebilir.

 

  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir.


4.3. KİŞİSEL VERİLERİN AKTARILMASI


4.3.1. Kişisel Verilerin Üçüncü Kişilere Aktarılması
Kişisel veri işleme amaçları doğrultusunda işlenen kişisel veriler kanunun öngördüğü hallerde üçüncü
kişilere aktarılabilmektedir. Kişisel veri paylaşılırken Kanunda yer alan düzenlemelere uygun
davranılmaktadır.


Kişisel verilerin işlenebileceği şartlardan bir veya birkaçına dayanılarak kişisel veriler üçüncü kişilere
aktarılabilmektedir.


Kurul tarafından öngörülen önlemler ve gerekli güvenlik tedbirleri alınarak ve azami özen gösterilerek; özel nitelikli veriler, özel nitelikli kişisel verilerin işlenebileceği şartların bulunması halinde ve Kanundaki yükümlülüklere uyularak üçüncü kişilere aktarılabilmektedir.


4.3.2. Kişisel Verilerin Yurtdışına Aktarılması
Gerekli güvenlik tedbirleri alınarak ve Kanundaki yükümlülüklere uyularak kişisel veriler yurt dışında
yerleşik üçüncü kişilere aktarılabilmektedir.


Meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kurul tarafından öngörülen
önlemler ve gerekli güvenlik tedbirleri alınarak Kişisel verilerin işlenebileceği şartlar veya Özel nitelikli kişisel verilerin işlenebileceği şartlardan birinin varlığı durumunda, kişisel veriler Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilmektedir.


4.4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Kanun’da yer alan aydınlatma yükümlülüğü ile uyumlu olarak, kişisel verilerin elde edilmesi sırasında
kişisel veri sahipleri, kişisel verilerinin ne şekilde ve hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin Kanunun 11. maddesi kapsamında sahip olduğu haklar vb. konusunda bilgilendirilmektedir. Bu kapsamda veri sahipleri asgari olarak aşağıdaki hususlarda bilgilendirilmektedir.

  • Şirket ve varsa temsilcisinin kimliği,

  • Kişisel verilerin hangi amaçla işleneceği,

  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

  • Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

  • Kişisel veri sahibinin sahip olduğu haklar.


4.4.1 İşlenen Kişisel Veri Tipleri
Kanunda belirtilen ilke ve yükümlülüklere uygun olarak işlenen kişisel veri kategorileri ve kişisel veri
kategorilerinin hangi veri sahibi kategorisi ile ilişkili olduğunu aşağıdaki tabloda bulabilirsiniz.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.4.2 Şirket Tarafından Kişisel Veri İşleme Amaçları
Kişisel veriler Kanun kapsamı ve aşağıda belirtilen amaçlarla işlenmektedir.

 

  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

  • İş sözleşmelerinin kurulması ve uygulanması,

  • İşe uygunluğun tespiti,

  • Personel özlük dosyalarının oluşturulması,

  • SGK bildirimleri, İŞKUR bildirimleri, teşvik ve yasal yükümlülük bilgilendirmesinin yapılması,

  • Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması,

  • İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması,

  • İş kazasının yasal bildirimlerinin yapılması,

  • İş sağlığı ve güvenliği işlemlerinin yapılması,

  • Mevzuat, ilgili düzenleyici kurumlarca öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,

  • Bordro işlemlerinin yapılmasının sağlanması,

  • Maaş ödemelerinin yapılması,

  • Çalışan izinlerinin düzenlenmesi,

  • Çalışma sürelerinin tespiti,

  • İş yeri güveliğinin sağlanması,

  • Şirket'in istihdam ve insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,

  • Şirketin ve Şirketle iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari iş güvenliğinin temin edilmesi, hukuk işlerinin takibi ve yürütülmesi,

  • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi,

  • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,

  • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,

  • Eğitim Faaliyetlerinin Yürütülmesi,

  • Faaliyetlerin Mevzuata Uygun Yürütülmesi,

  • Finans Ve Muhasebe İşlerinin Yürütülmesi,

  • Görevlendirme Süreçlerinin Yürütülmesi,

  • İletişim Faaliyetlerinin Yürütülmesi,

  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

  • İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

  • Hizmet Satış Süreçlerinin Yürütülmesi

  • Konaklama hizmetine ilişkin süreçlerin yürütülmesi,

  • Müşterilerin ihtiyaçlarının belirlenebilmesi ve karşılanabilmesi,

  • Müşteri memnuniyetinin ölçülebilmesi ve arttırılabilmesi,

  • Mail gönderilebilmesi

  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

  • Performans Değerlendirme Süreçlerinin Yürütülmesi

  • Sözleşme Süreçlerinin Yürütülmesi

  • Talep / Şikayetlerin Takibi

  • Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

  • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

  • Yönetim Faaliyetlerinin Yürütülmesi

  • Bilgi Güvenliği Süreçlerinin Yürütülmesi

  • Acil durum yönetimi süreçlerinin yürütülmesi

  • Hizmetlerin pazarlama süreçlerinin yürütülmesi

  • Ücret politikasının yürütülmesi

  • Erişim yetkilerinin yürütülmesi

gibi amaçlar.


Kişisel veri sahiplerinden, Kanunun aradığı durumlarda kanuna uygun açık rızaların alınması süreçleri
uygulanmaktadır. Kişisel veri sahibinin açık rızasını vermemesi durumunda, ilgili kişinin verileri ancak
Kanunda sayılan açık rıza alınmadan kişisel verilerin işlenebileceği şartlar kapsamında ve bu şartlara uygun amaçlarla işlenebilmektedir.


4.4.3 Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları
Kişisel veriler, Kanun’un 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarabilmektedir. Aktarımda bulunulan üçüncü kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

 

  • Hukuken Yetkili Kamu Kurum ve Kuruluşları ile ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla,

  • Hukuken Yetkili Özel Hukuk Kişileri ile ilgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla,

  • Her halükârda yukarda 4.4.2.hüküm kapsamında belirtilen amaçlar kapsamında paylaşılabilmektedir.


4.4.4 Kişisel Verilerin Saklanma Süreleri
Kişisel Veriler, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda bu mevzuatlarda belirtilen
süre boyunca saklanmaktadır.


Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre
düzenlenmemişse yürütülen faaliyet ile bağlı olarak ve ticari yaşamın teamülleri uyarınca işlenmesini
gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Buna ilişkin detaylar Şirketin Kişisel Veri Saklama ve İmha Politikasında belirtilmiş ve www.sumahan.com
adresindeki internet sitesinde yayımlanmıştır.

5. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
KVKK’nun 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanması, kişisel verilere
hukuka aykırı olarak erişilmesinin ve bu verilerin hukuka aykırı olarak işlenmesinin önlenmesi ve verilerin
muhafazasının sağlanması için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari önlemler
alınmaktadır.


Kişisel verilerin hukuka uygun işlenmesi ve kişisel verilerin güvenliğinin sağlanması ve Kanunun diğer
hükümlerinin uygulanmasının sağlanması amacıyla denetim yaptırılabilmektedir.


Kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde bu durumun en
kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmesini sağlamak için azami özen gösterilmektedir.


5.1 KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE HUKUKA AYKIRI ERİŞİMİNİ ENGELLEMEK İÇİN ALINAN TEKNİK TEDBİRLER
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.


Anahtar yönetimi uygulanmaktadır.

 

Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

 

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

 

Erişim logları zaman damgalı olarak düzenli bir şekilde tutulmaktadır

 

Güvenlik duvarları kullanılmaktadır.

 

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

 

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

 

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

 

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

Şifreleme yapılmaktadır


Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
Sızma Testleri uygulanmaktadır.


5.2 KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE HUKUKA AYKIRI ERİŞİMİNİ
ENGELLEMEK İÇİN ALINAN İDARİ TEDBİRLER

Kişisel verilerin işlenme süreçlerine ilişkin olarak, mevcut durum tespiti ve risk analizi yapılması amacıyla
kişisel veri envanteri oluşturulmuş, işlenen kişisel veri ve ilgili kişi kategorileri tespit edilmiştir.


Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.


Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve
uygulamaya başlanmıştır.


Gizlilik taahhütnameleri yapılmaktadır.


Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.


Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli
belge formatında gönderilmektedir.


Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

 

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

 

Kişisel veri güvenliğinin takibi yapılmaktadır.

 

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

 

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

 

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

 

Kişisel veriler mümkün olduğunca azaltılmaktadır.

 

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

 

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

 

Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

 

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

 

Şirket faaliyetleri kapsamında ve KVVK’ya uygun şekilde kişisel verilen aktarıldığı iş ortaklarımızla mevcut
sözleşmelere, aktarılan kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmekte ya da bu kapsamda ayrı
sözleşmeler yapılmakta, iş ortakları bakımından getirilen istisnalar dışında, kişisel verileri işlememe, ifşa
etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda bilgilendirilmektedir.

 

Kişisel verilen saklanmasına ilişkin olarak teknik gereklilikler sebebi ile şirket dışından hizmet alınması
halinde kişisel verilerin bu firmalara yine KVKK’ya uygun şekilde aktarılması kaydıyla bu firmanın ve firma
personelinin kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin mevcut sözleşmelere hükümler eklenmekte ya
da bu kapsamda ayrı sözleşmeler yapılmaktadır.

 

Kişisel veri işlemeye başlamadan önce şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine
getirilmektedir.

 

5.3 KİŞİSEL VERİLERİN KORUNMASI KONUSUNDA ALINAN TEDBİRLERİN DENETİMİ
KVKK kapsamında kişisel verilerin korunması için alınan tedbirler bakımından gerekli denetimler
yapılmakta veya yaptırılmaktadır.


5.4 KİŞİSEL VERİLERİN YETKİSİZ BİR ŞEKİLDE İFŞASI DURUMUNDA ALINACAK TEDBİRLER
Kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi durumunda, bu durum
en kısa sürede ilgili kişisel veri sahibine ve Kurul’a bildirilmektedir.


6. KİŞİSEL VERİLERİN MUHAFAZA EDİLMESİ, SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
KVKK’unda yer alan prensiplere uygun olarak işlenen kişisel veriler, mevzuatlarda öngörülen süre
boyunca saklamaktadır. Mevzuatta saklanması için belirli bir süre öngörülmemişse, kişisel veriler işlendikleri
amaç sona erene kadar muhafaza edilmektedir. Bu kapsamda muhafaza süreleri, uygulamalar ve ticari
yaşamın teamülleri dikkate alınarak belirlenmektedir.

Türk Ceza Kanunu’nun 138. maddesinde ve KVKK’nun 7. maddesinde düzenlendiği üzere ilgili kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması
hâlinde veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.


Kişisel veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, kişisel veri ile
ispat edilebilecek bir hakkın ileri sürülebilmesi, savunmanın tesis edilmesi ve yetkili kamu kuruluşlarından
gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi
geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri dikkate alınmaktadır.

 

Buna ilişkin detaylar Şirketin Kişisel Veri Saklama ve İmha Politikasında belirtilmiş ve
www.sumahan.com adresindeki internet sitesinde yayımlanmıştır.

 

Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma,
planlama ve istatistik gibi amaçlarla işlenebilir. Anonim hale getirilmiş olan veriler, “kişisel veri” olarak kabul
edilmeyeceği için Kanun kapsamı dışındadır.


6.1 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ


6.1.1 Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Kişisel veriler aşağıdaki yöntemlerle silinir;

 

  • Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından uygun yöntemlerle silme işlemi yapılır.

  • Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir

  • şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

  • Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

  • Kişisel veriler, Şirket tarafından aşağıdaki yöntemlerle yok edilir.

  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

  • Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

6.1.2 Kişisel Verileri Anonim Hale Getirme Teknikleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler
tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemez hale getirilmesi gerekir.


7. VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASINA İLİŞKİN KURALLAR
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete iletmeleri
durumunda Şirket talebin niteliğine göre talebi en kısa süre içinde sonuçlandırmaktadır.


7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI

 

  • Kişisel veri işlenip işlenmediğini öğrenme,

  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

 

haklarına sahiptirler.

Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller


KVKK’nun 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri
sahipleri, bu konularda 7.1.’de sayılan haklarını ileri süremezler:
 Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik
gibi amaçlarla işlenmesi.

 

  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.


KVKK’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde Şirketin aydınlatma yükümlülüğünü
düzenleyen 10., zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11. ve veri
sorumlusu siciline kayıt yükümlülüğünü düzenleyen 16. Maddeler uygulanmaz;

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.


7.2. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI
Kişisel veri sahipleri KVKK’nun 13. maddesinin 1. Fıkrası gereğince ve yukarıda belirtilen haklarına
ilişkin taleplerini Şirket’e yazılı olarak iletebileceklerdir. Başvuru yapmak için, www.sumahan.com adresinde
bulunan “Kişisel Verileri Koruma - Başvuru Formu”nu doldurup Şirket tarafından belirlenen yöntemlerden
biri ile iletmeleri gerekmektedir.


Kural olarak Şirket, veri sahiplerinin başvurularını 10 sayfaya kadar ücretsiz olarak yerine
getirmektedir. Ancak talep edilen işlemin ayrıca bir maliyeti olması halinde, Kurul tarafından belirlenen
tarifedeki ücretler başvuran veri sahibinden talep edilebilecektir.


Eksik başvuru formları Şirket tarafından işleme alınmayacaktır. Şirket, başvuruda bulunan kişinin,
kişisel veri sahibi olup olmadığını teyit etmek veya formun içeriğinden talebin niteliği anlaşılmamakta ise
talebi netliğe kavuşturmak amacıyla başvuruda bulunan veri sahibinden ek bilgi ve belgeler talep
edebilmektedir.


Kişisel veri sahibi adına üçüncü bir kişinin başvuruda bulunabilmesi için kişisel veri sahibi tarafından
ilgili üçüncü kişi adına düzenlenmiş özel vekâletname bulunmalıdır.


7.3. ŞİRKETİN BAŞVURULARA CEVAP VERMESİ
Veri sahibinin, yukarıda belirtilen şekilde başvuru formunu Şirkete iletmesi durumunda, Şirket
formda yer alan talebin niteliğine göre talebi mümkün olan en kısa sürede yanıtlandırmaktadır.
Kişisel veri sahibi Kanunun 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabı
yetersiz bulması veya süresinde başvurusuna cevap verilmemesi hâllerinde; Şirketin cevabını öğrendiği
tarihten itibaren otuz ve her hâlükârda başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette
bulunabilir.


7.4 ŞİRKETİN KİŞİSEL VERİ SAHİBİNİN BAŞVURUSUNU REDDETME HAKKI
Şirket aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak
reddedebilir:

  • KVKK’nun 28. Maddesinde sayılan haller,

  • Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,

  • Orantısız çaba gerektiren taleplerde bulunulmuş olması,

  • Talep edilen bilginin kamuya açık bir bilgi olması,

  • KVK Kanununun 11. Maddesinde belirtilenler dışında kalan talepler.

 

8. POLİTİKANIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.


9. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten
kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi
vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.

M & N BUTLER MİMARLAR ARAŞTIRMA TASARI VE YAPI LTD. ŞTİ.

“SUMAHAN ON THE WATER”

bottom of page