Giriş Yap
Kayıt Ol
Namaste Matteo İç
Mimarlık Kişisel Gelişim Danışmanlık İnşaat Taahhüt Ve Ticaret Limited Şirketi
KİŞİSEL VERİ
İŞLEME, SAKLAMA VE İMHA POLİTİKASI
Namaste Matteo İç Mimarlık Kişisel Gelişim Danışmanlık İnşaat Taahhüt Ve
Ticaret Limited Şirketi, (“Namaste”) kullanıcıların mindfullness,
wellbeing, yoga ve sair kişisel huzur ve sukün amaçlı özel derslere ve toplu
derslere katılmasını, sağlıklı ve özel tarifleri sipariş vererek teslim
noktasından almasını konu alan hizmet vermektedir.
Bu amaçtan hareketle, Namaste nezdinde işlenen ve işlenecek tüm
kişisel verilerin bu politikada belirlenen kurallar dahilinde işlemesinin
gerçekleştirerek Namaste’nin hem KVKK hem de GDPR nezdinde uyumlu bir şekilde
faaliyetlerine devam etmesi ve bu kapsamda olabilecek risklerin minimize
edilmesi hedefleyerek; kişisel
verileri KVKK, GDPR ve uluslararası anlaşmalar ile bunların ikincil
mevzuatlarına uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için
izlenecek yöntem ve ilkeleri düzenlemektir.
Namaste, anayasal bir hak olarak düzenlenen kişisel verilerin korunması
ve hukuksal güvence altına alınması konularında, sorumluluklarının farkındadır
ve Namaste nezdinde işlenen tüm kişisel verilerin güvenli bir şekilde
işlenmesine önem vermektedir.
Kişisel Veri İşleme Politikası, Namaste’nin veri sorumlusu ve/veya veri
işleyen olarak dahil olduğu tüm süreçlerde uygulanacaktır. Namaste çalışanları
ile birlikte ortak bilgi paylaşımı olan diğer üçüncü kişi ve şirketler de de aynı
kapsamda değerlendirilecektir.
Bu politika, Namaste tarafından, tüm kişisel verilerin işlenmesi ve
korunmasına yönelik yürütülen faaliyetlerde, ilgili detaylı politika ve
prosedürler ve ekli belgeler ile birlikte uygulanmaktadır.
Açık Rıza :
Kişisel verilerin işlenmesine ilişkin, bilgilendirilmeye dayanan, özgür
iradeyle açıklanan ve ilgili kişi tarafından verilen rıza
Anayasa :
9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982
tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası
GDPR : General Data Protection Regulation (EU) 2016/679
Kişisel Veri :
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü̈ bilgi
Kişisel Verilerin Anonim
Hale Getirilmesi, Silinmesi ve Yok Edilmesi :
Anonimleştirme;
kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesi işlemi
Silinme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemi
Yok edilme; kişisel verilerin hiç̧ kimse tarafından
hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale
getirilmesi işlemi
Kişisel Verilerin
İşlenmesi: Kişisel
verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem
KVK Kurulu : Kişisel Verilerin Korunması
Kurulu
KVK Kurumu : Kişisel Verilerin Korunması Kurumu
KVKK :
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı
Kişisel Verilerin Korunması Kanunu
Özel Nitelikli
Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri
Namaste :
Veri sorumlusu ve/veya veri işleyen olarak hareket eden olan Namaste Medya
Bilişim Teknolojileri Anonim Şirketi
Veri İşleyen :
Veri sorumlusunun organizasyonu dışında, veri sorumlusundan aldığı yetki ve
talimat doğrultusunda gerçek kişilere ait kişisel verileri işleyen gerçek
ve/veya tüzel kişiler
Veri Sahibi ve/veya
İlgili Kişi : Namaste tarafından kişisel verisi işlenen
tüm gerçek kişiler
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu yukarıda belirtilen
Veri sorumluları
Periyodik İmha : Kanunda yer alan kişisel
verilerin islenme şartlarının tamamının ortadan kalkması durumunda tekrar eden
aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme
işlemi
Bu politika, içerdiği şartlara ek olarak belirlenen veya en azından bu
politika ile aynı standartlarda kişisel verilerin korunmasını sağlayan Namaste’nin
farklı politika, prosedür ve metinlerindeki veri koruma şartlarını geçersiz
kılmaz.
Bu politika, ek şartlar içermesi veya kişisel verilerin korunması için
daha yüksek standart talep etmesi durumunda Namaste’nin farklı
politikalarındaki ilgili veri koruma şartlarını geçersiz kılar.
Namaste’nin, veri işleme ve veri güvenliği ile bağlantılı diğer
metinleri aşağıdaki gibidir. İşbu Politika’daki tanım ve kısaltmalar uygun
oldukları ölçüde bu belge ve metinler için de geçerlidir.
Diğer Bağlantılı Belgeler
1. Aydınlatma
Metinleri
a.
Kişisel
Verilerin Korunması Aydınlatma Metni (Kullanıcı)
2. Açık Rıza Metinleri
a.
Alerjen
Bilgisi Açık Rıza Metni
b.
Ticari
Elektronik İleti Açık Rıza Metni
3. Kişisel
Veri Sahibi Başvuru Formu
4. Kişisel
Verileri Saklama ve İmha Süreçlerini Gösteren Tablo
Kişisel verilerin işlenmesi ve korunması sürecinde yürürlükte bulunan
ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacaktır. Mevzuat
hükümleri ile politika hükümleri arasında çelişki bulunması halinde Namaste,
güncel mevzuat hükümlerinin geçerli olacağını kabul etmektedir.
Politika, Namaste uygulamalarının ilgili mevzuat tarafından ortaya
konulan kurallara göre düzenlenmesinden oluşturulmuştur.
Veri sorumlusu olarak Namaste,
·
Kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek,
·
Kişisel
verilerin hukuka aykırı olarak aktarılmasını önlemek,
·
Kişisel
verilere hukuka aykırı olarak erişilmesini önlemek,
·
Kişisel
verilerin güvenliği sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü
teknik ve idari tedbirleri almak zorundadır.
Verilerin korunması ile ilgili olarak Namaste’nin yükümlülüklerinin ana
kaynağı KVKK, GDPR ve bağlantılı ikincil mevzuatlardır.
Namaste Bünyesinde işlenen kişisel verilerin tespiti
amacıyla Namaste tarafından Kişisel Veri İşleme Envanteri hazırlanmıştır.
Namaste bünyesinde envanterde
belirtilenler dışında başkaca verilerin işlenmesi esasen yasaktır. Ancak Namaste’nin
faaliyetleri için yeni veri grubunun işlenmesinin zorunlu ve/veya gerekli
olması durumunda yeni veri grubu önceden envanterde gerekli ekleme yapılarak
işlenebilir.
Envanterde Namaste tarafından
işlenen veriler faaliyet bazında kategorilere ayırılmıştır. Bu kapsamda Namaste
bünyesinde veri işleme yapılan faaliyetler; iş sözleşmesinin kurulması ve
ifası, üyelik sözleşmesinin kurulması faaliyetlerinden ibarettir. Buna ek
olarak destek hizmetleri ve muhasebe faaliyetleri kapsamında kişisel
verileriniz işlenebilmektedir.
Envanterde Namaste tarafından işlenen veriler faaliyet bazında
kategorilere ayırılmıştır. Bu kapsamda Namaste bünyesinde veri işleme yapılan
faaliyetler; iş sözleşmesinin kurulması ve ifası, üyelik sözleşmesinin
kurulması faaliyetlerinden ibarettir. Buna ek olarak destek hizmetleri ve
muhasebe faaliyetleri kapsamında kişisel verileriniz işlenebilmektedir.
5.1.1 İş Sözleşmesinin Kurulması ve İfası ile İşe Alım
Bu kısımdaki veriler web sitemizin kullanıcı ve üyelerini değil sadece Namaste’da
çalışan kişileri kapsamaktadır.
İş sözleşmesinin kurulması ve ifası faaliyeti kapsamında Namaste veri
sorumlusu olarak çalışanların; kimlik, iletişim, işitsel ve görsel kayıtlar,
özlük, finansal ve sağlık verilerini işlemektedir.
5.1.2. Üyelik Sözleşmesinin Kurulması
Web sitemizin kullanılabilmesi için kullanıcılar ile Namaste arasında
üyelik sözleşmesinin kurulması gerekmektedir.
Bu kapsamda Namaste tarafından veri sorumlusu olarak kullanıcıların ad,
soyad bilgisi, telefon numarası bilgisi, e-posta adresi bilgisi, alerjen
bilgisi işlenmektedir.
5.1.3. Destek Hizmetleri
Destek hizmetleri kapsamında destek alınan üçüncü kişilerin (avukat,
danışman, muhasebeci vb) kimlik, iletişim ve finansal verileri işlenmektedir.
5.1.4. Muhasebe Faaliyetleri
Muhasebe faaliyetleri kapsamında çalışanların ve destek alınan üçüncü
kişilerin (avukat, danışman, muhasebeci vb) finansal verileri işlenmektedir.
Namaste, yürürlükteki kanunlar doğrultusunda veri sahiplerini, kişisel
verilerinin işlenmesi ve aktarılması ile ilgili olarak aydınlatmaktadır.
Bu kapsamda Namaste tarafından verisi işlenen tüm kişi gruplarına
yönelik olarak aydınlatma metinleri hazırlanmıştır. Bu aydınlatma metinleri
KVKK’nın 10. maddesine, GDPR’ın
13. maddesine ve KVK Kurumu’nun yayınlamış olduğu “Aydınlatma
Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”
ile “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”ne uygun olarak
hazırlanmıştır.
Hazırlanan bu Aydınlatma Metinleri veri sahiplerinin görebilecekleri
yerlerde uygun bir şekilde ilan edilmeli veya veri sahiplerine tebliğ
edilmelidir.
Yeni bir kişi grubunun oluşması ihtimalinde veri işlemeye başlamadan
önce ilk olarak yeni kişi grubuna yönelik olarak bir aydınlatma metni
hazırlanmalı ve bu kişiler de mevzuata uygun bir şekilde aydınlatılmalıdır.
Namaste veri minimizasyonu ilkesi kapsamında faaliyetleri için zorunlu,
gerekli ve/veya önemli olan verileri işlemekte bunlar dışında kalan verileri
işlemeyerek, derhal imha etmektedir.
Ancak bir takım veri işlemelerde hukuki altyapının olmaması nedeniyle
veri işlemeye başlamadan önce ilgili kişilerden açık rıza alınması
gerekmektedir.
Bu kapsamda kullanıcılar için açık rıza metni hazırlanmıştır. İşbu
metnin, ilgili mevzuat hükümleri gereğince veri konusu kişiler tarafından
imzalanması gerekmektedir.
Namaste, ana faaliyetleri kapsamında kişilerin özel nitelikli kişisel
verilerini işlememeye azami özen göstermektedir.
Bu bağlamda kullanıcıların alerjen bilgisi verisi, sadece kullanıcının
yemek siparişi bakımından sağlığında olumsuz etkiler yaşamaması amacıyla amacıyla
sipariş sırasında işlenmekte, bunun dışında hiçbir veri işlemeye tabii
tutulmamaktadır.
Namaste, kişisel verilerin neler olduğunun, bu verilerin korunmasına
ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir analiz
yapmış ve işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini
önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel
verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik
gerekli teknik ve idari tedbirleri almaktadır.
5.5.1. Veri Güvenliğine İlişkin İdari Tedbirler
·
Namaste,
kişisel veriye erişimi olan personeli ile veri güvenliğine ilişkin olarak
taahhütnameler imzalatmaktadır ve bu çalışanlardan bu hükümlere uymasını
istemektedir. Ayrıca çalışanlara yönelik olarak gerekli eğitim ve
bilgilendirmeler de verilmektedir.
·
Çalışanların
ve diğer hizmet veren kişilerin online veya fiziksel olarak hangi verilere
erişebilme yetkisinin bulunduğu bir yetki matrisi hazırlanmıştır.
·
Veri
işleme, bilgi güvenliği konularını da içeren bir disiplin yönetmeliği hazırlanmış ve yürürlüğe
konulmuştur.
·
Erişim
yetkisi olmayan verilere erişmeye çalışan, verileri bozan, ifşa eden
çalışanlara ilişkin disiplin yönetmeliği hükümleri uygulama alanı bulmaktadır.
·
Namaste
ile aralında akdedilmiş olan hizmet sözleşmesi uyarınca, “Veri İşleyen” olarak
nitelendirilen kişiler verilerin korunması hukuku ve bu hukuka uygun olarak
gerekli önlemlerin alınması konusunda bilgilendirilmektedir. Bu kişiler ile gizlilik taahhütnameleri
imzalanmıştır ve ileride imzalanacak sözleşmelerde de veri gizliliğine ilişkin
hükümler eklenecek veya sözleşmenin diğer tarafı ile gizlilik taahhütnamesi
imzalanacaktır.
·
Namaste’nin
akdetmiş olduğu sözleşmeler KVKK açısından incelenmiş ve işbu sözleşmelerde
gerekli görülen değişiklikler yapılmıştır.
5.5.2 Veri Güvenliğine İlişkin Teknik Tedbirler
·
Namaste
tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği
sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir.
·
Teknik
hususlar konusunda dışarıdan hizmet alınmaktadır.
·
Teknolojik
gelişmelere uygun şekilde teknik önlemler alınmakta, alınan önlemler periyodik
olarak kontrol edilmekte, güncellenmekte ve yenilenmektedir.
·
Erişim
yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
·
Virüs
koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar
kurulmaktadır.
·
Veriler
sadece şirket merkezinde bulunan Şirket Sunucusu’nda/Bulut Sistemi’nde saklanmaktadır.
·
Kişisel
verilerin güvenli bir biçimde saklanmasını sağlamak için yedekleme programları
kullanılmaktadır.
·
Saklanma
alanlarına yönelik güvenlik sistemleri kullanılmakta, alınan teknik önlemler
periyodik olarak iç kontroller gereği ilgilisine raporlanmakta, risk teşkil
eden hususlar yeniden değerlendirilerek gerekli teknolojik çözümler
üretilmektedir.
·
Herhangi
bir kişisel veri güvenliği ihlaline karşı tedbirli olmak adına kriz ve itibar
yönetimi görüşülmüş, bu kapsamda KVK Kurulu ve ilgili kişiyi bilgilendirme
süreçleri işbu Politika dahilinde tasarlanmıştır.
Namaste, KVKK’nın 4. ve GDPR’ın 5. maddesi uyarınca; kişisel verilerin
işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve
gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı,
sınırlı ve ölçülü biçimde kişisel verileri işlemektedir:
5.6.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Namaste; kişisel verilerin işlenmesinde hukuksal düzenlemelerle
getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket
etmektedir. Bu kapsamda Namaste, kişisel verilerin işlenmesinde orantılılık
ilkesinin gerekliliklerini dikkate almakta, kişisel verileri amacın
gerektirdiği dışında işlememekte ve kullanmamaktadır.
5.6.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Namaste; kişisel veri sahiplerinin temel haklarını ve kendi meşru
menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel
olmasını sağlamaktadır. Bu kapsamda, işbu politika uyarınca veriler periyodik
olarak ve aşağıda 9.3. numaralı başlıkta detayları belirtildiği üzere yılda iki
kez olmak üzere imha edilmektedir.
5.6.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Namaste, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve
kesin olarak belirlemektedir. Namaste, kişisel verileri sunmakta olduğu ürün ve
hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Namaste
tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme
faaliyeti başlamadan ortaya konulmakta olup, veri konusu kişi grupları bu
doğrultuda aydınlatılmaktadır.
5.6.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Namaste, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine
elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan
veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca Namaste,
verileri sadece işleme amacının gerçekleştirilmesi için zorunlu olan personelin
ve bazı istisnai durumlarda veri işleyenlerin kullanımına açmakta, bunun
dışındaki, veri işleme amacı nedeniyle veriye erişimi zorunlu olmayan kişiler
verilere erişememektedir.
5.6.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli
Olan Süre Kadar Muhafaza Etme
Namaste, kişisel verileri ancak ilgili mevzuatta belirtildiği veya
işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu
kapsamda, Namaste öncelikle ilgili mevzuatta kişisel verilerin saklanması için
bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu
süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri
işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi
veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler
Namaste tarafından imha edilmektedir.
Namaste, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve
KVK Kurulu tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde
hareket etmek sorumluluğu altındadır.
Namaste tarafından ilgililere ait kişisel veriler ve özel nitelikli
veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel
kişilere aktarılamaz. Şu kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı
durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde
ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa
aktarılabilir. Bu kapsamda gerekli açık rızalar temin edilmektedir.
Ayrıca, Kanunun 5. ve 6. maddelerinde öngörülen durumlarda ilgilinin
rızası olmaksızın da aktarım mümkündür. Namaste, kişisel verileri Kanunda ve
ilgili diğer mevzuatta öngörülen şartlara uygun olarak aktarmakta ve Veri
İşleyenler ile gizlilik taahhütleri imzalayarak onların da veri güvenliği ile
ilgili olarak idari ve teknik tedbirleri almasını sağlamaktadır.
Yurtdışına veri aktarımı
bulunmamaktadır.
Kamu tüzel kişileri ile ilgili mevzuatları kapsamında talep ettikleri
bilgiler KVKK 8. maddesi uyarınca paylaşılır.
Yukarıda belirtilen amaçlarla, kişisel veriler, ilgili sözleşmeler
kapsamında hizmet alınan, iş birliği içinde olunan, gerçek ve tüzel kişilere ve
yetkili kamu kurum ve kuruluşlarına aktarılmaktadır.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini
kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen
yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle Namaste’ye
mevzuatta belirtilen istisna haricinde ücretsiz olarak iletebileceklerdir.
Konuyla ilgili; ilgili kişiler aydınlatma metinleri vasıtasıyla
bilgilendirilmektedir. Bu kapsamda bir başvuru gelmesi durumunda 30 gün
içerisinde ilgili danışman ve avukatlar ile de görüşülerek başvuru
cevaplanmalıdır.
İlgili kişi tarafından yapılan başvuruyu gerekli şirket içi mercilere
bildirmeyen, görev tanımı gereğini yerine getirmeyen kişiler Disiplin
Yönetmeliği kapsamında cezalandırılabilecektir.
Namaste tarafından işlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi hâlinde, Namaste bu durumu derhal danışman
ve avukatlara bildirecektir.
Gerçekleşen ihlalin, Namaste tarafından 3 gün içerisinde ilgilisine ve
KVK Kurulu’na bildirim yapılması gerekmektedir.
Bir ihlali fark eden ancak gerekli şirket içi mercilere bildirmeyen,
gizlilik taahhütnamelerinin ve Namaste’ye karşı veri güvenliğine ilişkin diğer
yükümlülüklerinin gereğini yerine getirmeyen kişiler Disiplin Yönetmeliği
kapsamında cezalandırılabilecektir.
Namaste tarafından kişisel verilerin saklanması ve imhası süreçlerinde
aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde
Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya
tamamen uygun hareket edilmektedir.
Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle
ilgili yapılan tüm işlemler Namaste tarafından kayıt altına alınmakta ve söz
konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl
süreyle saklanmaktadır.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen
silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Namaste
tarafından seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem
gerekçesi açıklanarak seçilecektir.
Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması halinde, kişisel veriler Namaste
tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte
veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Namaste’ye
başvurulması halinde;
·
İletilen
talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır ve
·
Talebe
konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin
aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli
işlemlerin yapılması temin edilmektedir.
Veri sahiplerine ait kişisel veriler, Namaste tarafından özellikle (i)
ticari faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine
getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve
ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
·
Kişisel
verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması
nedeniyle saklanması,
·
Kişisel
verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
·
Kişisel
verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Namaste’nin
meşru menfaatleri için saklanmasının zorunlu olması,
·
Kişisel
verilerin Namaste’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi
amacıyla saklanması,
·
Mevzuatta
kişisel verilerin saklanmasının açıkça öngörülmesi,
·
Veri
sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri
açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait
kişisel veriler, Namaste tarafından resen yahut talep üzerine ilk periyodik
imha süreci ile silinir, yok edilir veya anonim hale getirilir:
·
Kişisel
verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat
hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
·
Kişisel
verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
·
Kişisel
verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde,
ilgili kişinin açık rızasını geri alması,
·
İlgili
kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin
silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı
başvurunun veri sorumlusu tarafından kabul edilmesi,
·
Veri
sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok
edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu
reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre
içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin
Kurul tarafından uygun bulunması,
·
Kişisel
verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut
olmaması.
Namaste tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun
olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde
aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
·
Mevzuatta
söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise
bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında
aşağıdaki madde kapsamında işlem yapılır.
·
Söz
konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin
sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin
olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
§ Kişisel veriler, Kanun’un 6. maddesinde yer
alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler
olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm
kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem
verinin niteliği ve saklanmasının Namaste nezdindeki önem derecesine göre
belirlenir.
§ Verinin saklanmasının Kanun’un 4. maddesinde
belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Namaste’nin meşru
bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer
alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok
edilir ya da anonim hale getirilir.
§ Verinin saklanmasının Kanun’un 5. ve 6.
maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında
değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde
verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin
sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Namaste tarafından tespit edilen saklama sürelerine, Namaste tarafından
hazırlanan envanterlerden ve bu Politika’nın eki niteliğinde olan Kişisel
Verileri Saklama ve İmha Sürelerini Gösteren Tablo’dan ulaşılabilir. Saklama
süresi dolan kişisel veriler, 6 (altı) aylık periyotlarla işbu Politika’da yer
verilen usullere uygun olarak silinir veya yok edilir.
Her yıl iki kere periyodik imha işlemi gerçekleştirilir. İlk periyodik
imha işlemleri her yılın haziran ayında, ikinci periyodik imha işlemleri ise
her yılın Aralık ayında gerçekleştirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle
ilgili yapılan bütün işlemler tutanak ile kayıt altına alınır ve söz konusu
kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle
saklanır.
9.4.1. Sunucularda Yer Alan Kişisel Veriler
Namaste şirket merkezinde bulunan sunucularda yer alan kişisel
verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi
tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi
yapılır.
9.4.2. Fiziksel Ortamda Yer Alan Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre
sona erenler, kâğıt kırpma makinelerinde veya imha işi yapan şirketlere teslim
edilerek geri döndürülemeyecek şekilde yok edilir.
Namaste tarafından hazırlanan işbu Politika Namaste Müdürler Kurulu
tarafından alınan karar uyarınca ekleriyle birlikte yürürlüğe girmiştir. İşbu Politika tüm çalışanlara duyurulacaktır
ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları
ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin
takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya
aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri
tarafından bağlı bulunan bir üst amire bildirilecektir.
Politikaya aykırı davranan çalışan hakkında, İşyeri Disiplin Yönetmeliği
uyarınca işlem yapılacaktır.
KVKK, GDPR ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında
uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri
uygulanacaktır.
Politikanın
Ekleri:
5. Aydınlatma
Metinleri
a.
Kişisel
Verilerin Korunması Aydınlatma Metni (Kullanıcı)
6. Açık Rıza Metinleri
a.
Alerjen
Bilgisi Açık Rıza Metni
b.
Ticari
Elektronik İleti Açık Rıza Metni
7. Kişisel
Veri Sahibi Başvuru Formu
8. Kişisel
Verileri Saklama ve İmha Süreçlerini Gösteren Tablo