KVKK Politikası

BALIKESİR TOPLU TAŞIMA

KİŞİSEL VERİ İŞLEME, KORUMA, SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

1. GİRİŞ

1.1. AMAÇ

1.2. KAPSAM

1.3. YÜRÜRLÜK

1.4. TANIMLAR

2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR

2.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

2.2. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

2.3. KİŞİSEL VERİLERİN AKTARILMASI

3. KİŞİSEL VERİLERİN KORUNMASI VE GÜVENLİĞİ

3.1. TEKNİK TEDBİRLER

3.2. İDARİ TEDBİRLER

4. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

5. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE HAKLARIN KULLANIMI

6. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER

7. ŞİRKETİMİZ TARAFINDAN VERİSİ İŞLENEN KİŞİSEL VERİ SAHİPLERİ

8. ŞİRKETİMİZİN KİŞİSEL VERİ İŞLEME AMAÇLARI

9. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARIM AMAÇLARI

10. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

GİRİŞ
1. AMAÇ

Kişisel Verileri İşleme, Koruma, Saklama ve İmha Politikası (“Politika”), Balıkesir Toplu Taşıma (“BTT”) tarafından yürütülen kişisel veri işleme, koruma, saklama ve imha faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak gerçekleştirildiğini ve sürece dair benimsenen ilkeleri göstermektedir.

Kişisel verilerin usulüne uygun olarak işlenmesi, korunması, saklanması ve imhası temel olarak önem verilen konuların başında gelmektedir.

Kişisel verilerin işlenmesine, saklanmasına, imhasına ilişkin tüm işlemler ve kişisel verilerin korunmasında alınan tedbirler, bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilmektedir. Tüm bunlarla birlikte, veri sahiplerinin hakları ve bu hakların kullanımı konusunda bu Politikayla veri sahiplerinin bilgilendirilmeleri amaçlanmaktadır.

1. KAPSAM

Politikanın kapsamı; çalışanlara, stajyerlere, çalışan adaylarına, çalışan yakınlarına müşterilere, hizmet alanlara, sözleşme tarafı gerçek kişilere veya tüzel kişi yetkililerine (Tedarikçiler, İş Ortakları, Alt İşverenler vb.), ziyaretçilere ve diğer üçüncü gerçek kişilere ait kişisel verilerdir. Politika, sahip olunan kişisel verilerin işleme, saklama, koruma ve imha faaliyetlerinin tümüne uygulanmaktadır.

1. YÜRÜRLÜK

Politika’nın son güncel hali 01.10.2022 tarihinden itibaren yürürlüğe girmektedir. Politika’da değişiklik yapılması veya yenilenmesiyle birlikte Politika’nın yürürlük tarihi de devamlı olarak güncellenmekte olup Balıkesir Toplu Taşıma‘nın iş yerinden fiziki olarak ve internet sitesinde (“https://www.balikesirulasim.com.tr”) ilgili kişilerin erişimine sunulmaktadır.

Yürürlükte bulunan mevzuat hükümleri ve Politika arasında uyumsuzluk bulunması halinde, mevzuat hükümleri öncelikli olarak uygulanacaktır. Temel düzenlemelerin yer aldığı bu Politika’nın dışında daha özel amaçlar için aynı konuda oluşturulan başka politika veya düzenleme bulunması halinde, öncelikle özel hükümler içeren düzenlemeler uygulama alanı bulacaktır. Diğer politika ve başkaca belgelerin bu Politika ve ilgili mevzuat ile çelişen hükümleri uygulama alanı bulmayacaktır.

1. TANIMLAR

Bu Politika’da ve Kanun’da yer alan düzenlemelerin doğru anlaşılması adına, kullanılan terimler ve tanımları şu şekildedir:

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul	Kişisel Verileri Koruma Kurulu.
Kurum	Kişisel Verileri Koruma Kurumu.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sorumluları Sicil Bilgi Sistemi	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik	28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER VE ŞARTLAR

A. Kişisel Verilerin İşlenmesine İlişkin İlkeler

Kişisel verilerin işlenmesine ilişkin, Kanun’un 4. maddesi ve ilgili mevzuat hükümleri uyarınca belirli ilkeler öngörülmüştür. Kişisel veri işleme faaliyetlerinin bu ilkeler kapsamında yürütülmesi gerekmektedir. BTT tüm veri işleme faaliyetlerini bu ilkeler doğrultusunda gerçekleştirmektedir. Bu ilkeler:

Kişisel Verilerin Hukuka ve Dürüstlük Kuralına Uygun Olarak İşlenmesi
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması
Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması
Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi

BTT olarak kişisel veri işleme faaliyetlerimizi tüm bu ilkelere uygun; temel hak ve özgürlüklere zarar gelmeyecek şekilde, dürüstlük kuralı çerçevesinde, verilerin doğruluğu ve güncelliği için devamlı gerekli tedbirleri alarak yürütmekteyiz. Tüm bunlarla birlikte kişisel verileri işleme amaçlarımızı açık olarak belirleyerek bu amaçlara uygun ve bu amaçlarla sınırlı olmak üzere; iş faaliyetlerimizin yürütülmesinde gerekli olduğu ölçüde kişisel verileri işlemekteyiz. İşlenen tüm kişisel veriler, işlendikleri amaç için gerekli olan süre kadar ya da ilgili mevzuatlarda öngörülen süreler kadar saklanmaktadır.

B. Kişisel Verilerin İşlenmesine İlişkin Şartlar

BTT, Kanun’un ve prensiplerinin gereği olarak kişisel verileri, ilgili kişilerin açık rızaları olmaksızın işlememektedir. Kişisel verilerin işlenmesine ilişkin açık rızanın aranmayacağı durumlar, Kanun’un 5. maddesinin 2. fıkrasında gösterilmektedir. (İşlenen verilerin “Özel Nitelikli Kişisel Veri” olması halinde bu Politika’nın 2.1. maddesi dikkate alınacaktır.) Bu doğrultuda aşağıda sayılan şartlarda, ilgili kişilerin açık rızalarına başvurma zorunluluğu bulunmamaktadır:

Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel nitelikli kişisel veriler: kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Önceliğimiz her zaman özel nitelikli kişisel verileri işlememektir. Ancak zorunlu hallerde BTT tüm kişisel verilerde olduğu gibi özel nitelikli kişisel veriler bakımından da ilgili kişinin açık rızası olmaksızın veri işleme faaliyeti yürütmemeyi prensip edinmiştir. BTT tarafından özel nitelikli kişisel veriler, ilgili tüm mevzuat hükümlerine ve bu Politika’da belirtilen ilkelere uygun olarak gerekli her türlü idari ve teknik tedbirlerle korumak kaydıyla, ancak bu şartların varlığı halinde işlenmektedir:

Sağlık ve cinsel hayat dışındaki kişisel veriler, “kanunlarda öngörülen hâllerde” ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Bunun dışındaki tüm durumlarda ilgili kişilerin açık rızaları aranmaktadır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Yine bunlar dışındaki tüm durumlarda ilgili kişilerin açık rızası olmaksızın bu veriler BTT tarafından işlenmemektedir.

1. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI

BTT, Kanun’un 10. maddesine ve ilgili mevzuat hükümlerine uygun olarak kişisel verilerin elde edilmesi sırasında:

Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
İlgili kişinin hakları (Kanun’un 11. maddesinde yer alan haklar.) konularında ilgili kişilere yönelik bilgilendirme yaparak aydınlatma yükümlülüğünü yerine getirmektedir.

(Aydınlatma metinlerimize internet sitemizden, iş yerinden fiziki olarak ve yazılı veya şifahen başvurarak ulaşabilirsiniz.)

1. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verilerin işlenmesinde olduğu gibi, Kanun ve ilgili mevzuat hükümleri doğrultusunda kişisel verilerin aktarılması konusunda da temel prensip olarak ilgili kişinin açık rızasının varlığı dikkate alınmaktadır. Ancak Kanun’un 8. maddesinin 2. fıkrasının göstermiş olduğu aşağıda yazılı hallerde kişisel verilerin aktarımında ilgili kişilerin açık rızası aranmamaktadır:

Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, BTT meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu Politika’nın 2.1. maddesinde bahsedilen özel nitelikli kişisel verilerde ilgili kişilerin açık rızasının aranmadığı hallerde de yine ilgili kişilerin açık rızaları aranmaksızın veri aktarım faaliyeti gerçekleştirilebilecektir.

Kişisel verilerin yurt dışına aktarılmasında da BTT tarafından bu prensipler benimsenmiş olup bunlara ek olarak; ancak Kurul tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere veya yeterli korumayı yazılı olarak taahhüt eden ve Kurul’un izninin bulunduğu ülkelere aktarım sağlanabilecektir.

Şirketimiz, kişisel verileri KVKK’da ve ilgili diğer mevzuatlarda öngörülen şartlara uygun olarak ve mevzuatlarda belirtilen güvenlik önlemlerini alarak; (şayet veri sahibi kişi ile imzalı mevcut bir sözleşme var ise, söz konusu sözleşmede) Kanun veya ilgili diğer mevzuatta aksi düzenlenmediği sürece Türkiye’de bulunan üçüncü kişilere ve BTT çatısı altında bulunan şirketlere aktarabilir.

BTT tarafından, kişisel verilerin Kanun’a uygun olarak aktarıldığı üçüncü kişiler bu Politika’nın “9” numaralı bölümünde gösterilmektedir.

KİŞİSEL VERİLERİN KORUNMASI VE GÜVENLİĞİ

BTT, Kanun’un 12. maddesi uyarınca:

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak amacıyla güvenliği sağlamaya yönelik her türlü teknik ve idari tedbirleri almaktadır. Tüm bunlar kapsamında gereken denetimler BTT tarafından yapılmaktadır.

BTT çalışanlarının da kişisel verilerin korunmasına yönelik farkındalıklarının arttırılması ve bilgilendirilmeleri için eğitimler düzenlenmektedir. Bu eğitimler bir defaya mahsus olmak üzere değil, mevzuata paralel olarak yürütülmekte olup gerektikçe yenilenmektedir.

Kişisel verilerinizin korunması ve hukuka aykırı bir şekilde erişimini önlemek için KVK Kurumu’nun yayınladığı Kişisel Veri Güvenliği Rehberi doğrultusunda Şirketimiz tarafından gerekli idari ve teknik tedbirler alınmakta, Şirket içinde prosedürler düzenlenmekte, aydınlatma ve açık rıza metinleri hazırlanmakta ve KVKK m. 12/3 uyarınca KVKK hükümlerinin uygulanmasını sağlamak için gerekli denetimler yapılmakta veya dışardan hizmet alımı yoluyla yaptırılmaktadır. Bu denetim sonuçları Şirketin iç işleyişi kapsamında değerlendirilir ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülür. Yukarıda belirtilen kişisel verileriniz, Şirketimize ve/veya tedarikçilerimize ait fiziki arşivler ve bilişim sistemlerine nakledilerek hem dijital hem de fiziki ortamda muhafaza altında tutulabilecektir. Kişisel verilerin güvenliğini sağlamak için alınan teknik ve idari tedbirler aşağıda iki başlık altında detaylı bir şekilde açıklanmaktadır.

1. TEKNİK TEDBİRLER

BTT tarafından kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik tedbirler aşağıda yer almaktadır:

BTT tarafından yapılan tüm kişisel veri işleme faaliyetlerine ilişkin süreçler departmanlar bazında analiz edilerek “Kişisel Veri İşleme Envanteri” tutulmakta olup veri işleme faaliyetlerine uygun olarak envanter devamlı güncellenmekte ve işlenen kişisel veriler minimize edilmektedir.
BTT tarafından işlenen kişisel verilerin saklanmakta olduğu veri tabanları ve teknik alt yapı oluşturulmakta ve kullanılmaktadır.
Teknik tedbirler bakımından BTT tarafından gerektiğinde dışardan destek alınmaktadır.
İçerisinde kişisel veri bulunduran cihazlara ulaşım ancak yetkili personel tarafından ve belirli aralıklarla değiştirilen güçlü şifrelerle sınırlandırılmıştır.
Kişisel verilerin saklanmakta olduğu teknik alt yapının güvenliği için gerekli virüs koruma, güvenlik duvarı ve kapalı ağ sistemleri kullanılmaktadır.
Fiziki olarak BTT bünyesinde saklanan kişisel verilerin güvenliği için gerekli teknik ekipmanlar kullanılmakta ve kişisel veriler ancak yetkili kişiler tarafından ulaşılabilecek yerlerde tutulmaktadır.

Toplanan kişisel bilgilerin korunması için işletme güvenliği yöntemlerini kullanmaktayız. Ancak, İnternet'in özelliği dolayısıyla bilgilere yetkisiz kişiler tarafından ağlar üzerinden gerekli güvenlik önlemleri olmaksızın erişilebilmektedir. Teknolojinin güncel durumuna, teknolojik uygulamanın maliyetine ve korunacak verilerin niteliğine bağlı olarak, verilerinizin imha, kayıp, tahrifat, izinsiz ifşa veya izinsiz erişim gibi risklerden korumak için teknik ve idari tedbirleri almaktayız.

1-Siber Güvenliğin Sağlanması: Kişisel veri güvenliğinin sağlanması için siber güvenlik ürünleri kullanmaktayız. Ancak aldığımız teknik tedbirler bununla sınırlı değildir. Güvenlik duvarı ve ağ geçidi gibi tedbirler ile internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattını oluşturulmaktadır. Bununla birlikte hemen hemen her yazılım ve donanım bir takım kurulum ve yapılandırma işlemlerine tabi tutulmaktadır. Yaygın şekilde kullanılan bazı yazılımların özellikle eski sürümlerinin belgelenmiş güvenlik açıkları olabileceği dikkate alınarak, kullanılmayan yazılım ve servisler cihazlardan kaldırılmaktadır. Bu nedenle, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilmektedir.

2-Erişim Sınırlamaları: Kişisel veri içeren sistemlere erişim yetkileri sınırlandırılmakta ve düzenli olarak gözden geçirilmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Buna bağlı olarak, erişim yetki ve kontrol matrisi oluşturulmaktadır.

3-Şifreleme: Güçlü şifre ve parola kullanımının yanı sıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması yapılmaktadır.

4-Anti Virüs Yazılımları: Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.

5-Kişisel Veri Güvenliğinin Takibi: Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi, Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi, Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi), Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması, Yapılmaktadır. Yine çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmaktadır. Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmakta ve güvenli bir şekilde saklanmaktadır.

6-Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması: Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmaktadır. Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunmakta ve bu ortamlara giriş/çıkışlar kontrol altına alınmaktadır. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilmekte veya bileşenlerin ayrılması sağlanmaktadır. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilmektedir. Aynı seviyedeki önlemler Şirket yerleşkesi dışında yer alan ve şirkete ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınmaktadır. Nitekim, kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir. Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır. Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir. Kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişim önlenmektedir. BTT, KVKK m. 12 uyarınca kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede KVK Kurulu’na ve veri sahiplerine bildirir. KVK Kurulu, gerekli görmesi halinde bu durumu internet sitesinde veya başka bir yöntemle ilan edebilir.

7-Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakım: Şirket tarafından yeni sistemlerin tedarik edilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

1. İDARİ TEDBİRLER

BTT tarafından kişisel verilerin güvenliğini sağlamak amacıyla uyulmakta olan idari tedbirler aşağıda yer almaktadır:

Kişisel verilerin hukuka uygun olarak işlenmesi ve güvenliği konusunda BTT çalışanlarının bilgilendirilmesi amacıyla eğitimler düzenlenmektedir.
BTT’ın taraf olduğu sözleşmelerde, bu Politika ve ilgili mevzuat hükümlerine uygun olarak kişisel verilerin üçüncü kişilere aktarıldığı durumlarda, sözleşme metinlerimiz Politika ve ilgili mevzuat hükümlerine uygun olarak düzenlenmektedir.
BTT’ın iş faaliyetleri kapsamında kişisel veri aktardığı üçüncü kişilerin veri işleme faaliyetlerini hukuka uygun olarak yürütüp yürütmediğinin belirlenmesi için gerekli bildirim yapılarak gizlilik sözleşmeleri imzalanmaktadır.
Kişisel verilere, işlenme amaçları doğrultusunda yalnızca görevli çalışanlar tarafından erişilebilmekte olup gereklilik haricinde çalışanların kişisel verilere erişimi sınırlandırılmaktadır.
İçerisinde kişisel veri barındıran fiziki dosyalar yetkisiz kişilerin erişiminin engellenmesi amacıyla gerekli tedbirler alınmaktadır.
Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir. Kişisel veri güvenliğine ilişkin politika ve prosedürler belirlenmekte bu kapsamda düzenli kontroller yapılmaktadır.
Şirketimiz, bilgi teknolojileri ihtiyaçlarını karşılayabilmek için zaman zaman harici hizmet sağlayıcı firmalardan hizmet alabilmektedir. Bu durumda söz konusu veri İşleyen harici hizmet sağlayıcıların en az Şirketimizin sağladığı güvenlik önlemlerini sağladığından emin olarak işlem yapılmaktadır. Bu durumda, veri İşleyen ile yazılı bir sözleşme imzalanarak imzalanan bu sözleşmede asgari olarak aşağıdaki hususlara yer verilmektedir:

1. Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve KVKK ve sair mevzuata uygun bir şekilde hareket etmesi,
2. Kişisel Veri Saklama ve İmha Politikası’na uygun bir şekilde hareket etmesi,
3. Veri işleyenin işlediği kişisel verilere ilişkin süresiz süresiz sır saklama yükümlülüğüne tabi olması,
4. Herhangi bir veri ihlali olması durumunda veri işleyenin bu durumu derhal veri sorumlusuna bildirmekle yükümlü olması,
5. Şirketimizin veri işleyenin kişisel veri içeren sistemleri üzerinde gerekli denetimleri yapacağı veya yaptıracağı, denetim sonucu ortaya çıkan raporları ve hizmet sağlayıcı firmayı yerinde inceleyebileceği,
6. Kişisel verilerin güvenliği için gerekli teknik ve idari tedbirleri alacağı

Kurum’un rehber ve yayınlarında vurguladığı üzere veri minimizasyonu prensibi çerçevesinde kişisel veriler mümkün olduğunca azaltılmakta ve gerekli olmayan, güncelliğini yitirmiş ve bir amaca hizmet etmeyen kişisel veriler toplanmamakta ve eğer KVKK’dan önceki dönemde toplandıysa Kişisel Veri Saklama ve İmha Politika’sına uygun bir şekilde imha edilmektedir.
Şirketimiz çalışanlarının işe alınma süreçlerinde imzalanacak İş Sözleşmelerinde gizliliğe ve veri güvenliğine ilişkin olarak hükümler belirlemiştir ve çalışanlardan bu hükümlere uymasını istemektedir. Çalışanlar, kişisel verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir. Çalışanların rol ve sorumlulukları bu kapsamda gözden geçirilmiş ve görev tanımları revize edilmiştir.
Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

BTT tarafından işlenen kişisel veriler, işleme amaçları için gerekli olan süreyle sınırlı olmak üzere ve ilgili yasal mevzuatlarda öngörülen süre kadar muhafaza edilmektedir. Bu doğrultuda BTT tarafından öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini belirlenmekte ve bir süre belirlenmişse bu süreye uygun olarak kişisel veriler saklanmaktadır. İlgili mevzuatlarda, ilgili kişisel veriler için bir süre bulunmadığı durumlarda, kişisel veriler işlendikleri amaçlar için gerekli olan süre kadar saklanmaktadırlar.

Kişisel veriler yukarıda belirtmiş olduğumuz doğrultuda belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri olan; silme, yok etme veya anonimleştirme yöntemleriyle Kanun’un 7. maddesi gereği imha edilmektedir. Kişisel verilerin imhası sürecinde teknik ve idari olarak aldığımız önlemler:

Fiziki ortamda saklanan kişisel verilerin gerekli öğütücü makinalar yardımıyla imha edilmeleri sağlanmaktadır.
İmha sürecinden görev alacak personellere süreç ile ilgili BTT tarafından bilgilendirme yapılmaktadır.
Bilgisayar veri tabanlarında saklanan ve imha edilecek verilerin kimsenin ulaşamayacağı şekilde imha edilmesi için gerekli teknik destek, BTT tarafından alınmaktadır.
Politika ve ilgili mevzuat uyarınca imha süreçlerinde görev alacak çalışanlara ve varsa yardımcı kişilere eğitim verilmektedir.

Şirketimizin ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda veri sahibinin talebini yerine getirmeme hakkı saklıdır. Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlendiğinde, veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. (Örneğin: Evrak imha makineleri.) Şirketimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.

Kişisel Verilerin Silinmesi Şirketimiz ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Silinmesi/Yok Edilmesi Süreci Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:

Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi.
Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi.
İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi.
İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması.

Kişisel Verilerin Silinmesi/Yok Edilme Yöntemleri

Verilerin Kayıt Yeri	Açıklama
Elektronik ortamda bulunan veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Sunucularda bulunan kişisel veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Fiziksel ortamda bulunan kişisel veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca evrak imha makineleri tarafından kullanılamaz hale getirilir.

KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE HAKLARIN KULLANIMI

Kanun’un 11. maddesi uyarınca, kişisel veri sahibi ilgili kişiler aşağıda yer alan haklara sahiptirler:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kişisel veri sahiplerinin haklarına ilişkin BTT’a yazılı veya şifahen başvurarak veya “balikesirulasim.com.tr” isimli internet sitesinden edinilebilecek evraklar arasında yer alan “Kişisel Veri Bilgi ve Talep Formu”nu doldurarak taleplerinizi Başvuru Tebliği uyarınca aşağıda belirtilen yöntemle Şirketimize ücretsiz olarak iletebilirsiniz:

1) “https://www.balikesirulasim.com.tr” adresinde bulunan formun doldurulup ıslak imzalı olarak imzalandıktan sonra BTT‘nin adresine (Ege Mah. Tarlabaşı Cd. Karesi AVM Sit. No:8/A Karesi/Balıkesir) şahsen iletilmesi. (Kimliğinizin ibraz edilmesi gerekeceğini hatırlatmak isteriz.)

2) “https://www.balikesirulasim.com.tr” adresinde bulunan formun doldurulup ıslak imzalı olarak imzalandıktan sonra BTT’nin adresine (Ege Mah. Tarlabaşı Cd. Karesi AVM Sit. No:8/A Karesi/Balıkesir) adresine noter vasıtası ile gönderilmesi.

3) “https://www.balikesirulasim.com.tr” adresinde bulunan başvuru formunun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun “Ticketing@hs01.kep.tr” adresine kayıtlı elektronik posta ile gönderilmesi.

Başvuruda; ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. Kimlik Numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, talep konusu, bulunması zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir.

Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletnamenin noter onaylı bir kopyası bulunmalıdır. Kişisel veri sahibi olarak sahip olduğunuz ve yukarıda belirtilen haklarınızı kullanmak için yapacağınız ve kullanmayı talep ettiğiniz hakka ilişkin açıklamalarınızı içeren başvuruda; talep ettiğiniz hususun açık ve anlaşılır olması, talep ettiğiniz konunun şahsınız ile ilgili olması veya başkası adına hareket ediyor iseniz bu konuda özel olarak yetkili olmanız ve yetkinizi belgelendirilmesi, başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğinizi tevsik edici belgelerin eklenmesi gerekmektedir.

Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular ücretsizdir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, KVK Kurulu’nca belirlenen tarifedeki ücret alınabilir. Şirketimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirketimiz, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

KVKK m. 14 uyarınca Şirketimizce başvurunuzun reddedilmesi, verdiğimiz cevabı yetersiz bulmanız veya süresinde başvuruya cevap vermediğimiz hâllerinde; Şirketimizin cevabını öğrendiğiniz tarihten itibaren otuz ve her durumda başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilirsiniz.

ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLER

KİŞİSEL VERİLER	AÇIKLAMALAR
Kimlik Bilgisi	Ad, soyad, unvan, doğum tarihi gibi kimlik belgelerinde yer alan bilgiler
İletişim Bilgisi	E-posta, telefon numarası, adres
Kimliğinizi belirleyebilecek resimler ve/veya videolar	Şirketimizi ziyaret ettiğinizde veya şirketimiz güvenlik sebebiyle ya da Şirketimizin organize ettiği etkinliklere katıldığınızda işlenen fotoğraf ve video görüntüleri ve işitsel veriler, şirket tesislerimizi ziyaret ettiğinizde CCTV kayıtları ile işlenen görsel veriler.
Aile Bireyleri ve Yakınları Bilgileri	Kişilerin kendilerine ulaşılamadığı durumunda ulaşılabilecek kişi olması için alınan bilgiler. (Yetişkin olmayan veya kısıtlı olan çalışanlar için vasi bilgileri de alınmaktadır.)
Finansal Bilgi	Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; BTT’nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkiye göre edinilen her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi verilerdir.
Otomatik olarak toplanan elektronik veriler	Web sitemizi ziyaret ettiğinizde ya da kullandığınızda, haber bültenlerimize abone olduğunuzda, diğer elektronik kanallardan bizimle etkileşimde bulunduğunuzda, bize doğrudan ilettiğiniz bilgilere ek olarak bilgisayarınız, cep telefonunuz veya diğer erişim cihazınız tarafından bize gönderilen elektronik verileri de toplayabiliriz (Örn. cihaz donanım modeli, IP adresi, işletim sistemi sürümü ve ayarları, dijital kanalımızı veya ürünümüzü kullanma saat ve süreniz, konuma dayalı ürünleri veya özellikleri etkinleştirdiğiniz zaman toplanabilecek olan gerçek konumunuz, tıkladığınız linkler, hareket sensörü verileri vb.)
İzin Verisi	Çalışanlarımızın çalıştıkları süre boyunca izin verilerine ait bilgilerdir.
Görsel ve İşitsel Veri	Fiziksel mekan güvenliği için kameralar vasıtasıyla işlenen görsel ve işitsel verilerdir.
BTT ile kendi isteğinizle paylaşmaya karar verdiğiniz herhangi bir diğer bilgi	Kendi inisiyatifiniz ile paylaştığınız kişisel veriler, sosyal medya, online platformlar ya da diğer mecralar üzerinden bize ilettiğiniz geri bildirim, görüşler, talep ve şikayetler, değerlendirmeler, yorumlar ve bunlara ilişkin değerlendirmelerimiz, yüklenmiş dosyalar, ilgi alanları, sizinle iş ilişkisi kurmadan önce ayrıntılı inceleme sürecimiz için verilen bilgiler
Hukuki işlem ve uyum bilgisi	Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel verileriniz, denetim ve teftiş verileri
Lokasyon	Hizmetlerimiz çerçevesinde kullandığımız araç ve otobüslerdeki konum bilgisidir.
Müşteri/Sözleşme Tarafı Gerçek Kişiye veya Tüzel Kişi Yetkilisine (İş Ortağı, Tedarikçi, Alt İşveren verileri) Ait Veriler	Veri sahibi müşteri/tedarikçi ya da müşteri/tedarikçi bünyesinde yer alan çalışan, imza yetkilisi gibi veri sahipleri hakkında elde edilen ve üretilen bilgiler. (İlgili aydınlatma metinlerinde verilerin tamamı ve işlenme amaçları ayrıntılı olarak belirtilmektedir.)
Araç Bilgisi	Veri sahibi ile ilişkilendirilen araçlar ile ilgili bilgiler anlamına gelmektedir.
Talep Ve Şikayet Bilgisi	Şirketimize yöneltilmiş olan her türlü talep ve/veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler anlamına gelmektedir. İrtibat numaramızdan bu sürecin yürütülmesi sırasında işitsel veri kapsamında ses kaydı da alınabilecektir.

ŞİRKETİMİZ TARAFINDAN VERİSİ İŞLENEN KİŞİSEL VERİ SAHİPLERİ

KİŞİSEL VERİ SAHİBİ	AÇIKLAMALAR
Çalışan/Stajyer	Şirketimizin bir üyesi olduğu yurtiçinde bulunan BTT çalışanları ve temsilcileri.
Çalışan Adayı	Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler.
Çalışan Yakını	BTT çalışanlarının yakınları. (Çalışanlarımızın yakınlarına ait ilgili aydınlatma metinlerinde yer aldığı üzere, sınırlı kişisel veriler aydınlatma doğrultusunda işlenmektedir.)
İş Birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları, Yetkilileri	Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (proje ortağı, tedarikçi vb. ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
Ziyaretçi	Şirketimizin sahip olduğu veya bir organizasyon gerçekleştirdiği fiziksel tesislere (ofisler, şantiyeler vb.) çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
Müşteri/Potansiyel Müşteri	Ürün ve hizmetlerimizi kullanma talebinde veya ilgisinde bulunmamış olup, bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek veya tüzel kişilerin çalışanı, yetkilisi veya hissedarı olan gerçek kişiler anlamına gelmektedir.

VERİ İŞLEME AMAÇLARI

BTT tarafından Kanun’un öngördüğü işleme şartlarına uygun olarak çalışanların, çalışan adaylarının ve çalışan yakınlarının kişisel verileri aşağıda belirtmekte olduğumuz amaçlarla işlenmektedir:

Çalışanların yapılacak işe uygunluğunun tespiti,
Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
Çalışanlar için yan haklar ve menfaatler süreçlerinin yönetilmesi,
Maaş ödemesi vb. muhasebe ve finans süreçlerin yürütülmesi,
Kanunlara ve kişilerin temel hak ve özgürlükleri ve kişisel menfaatlerine aykırı olmayacak şekilde, BTT’nin meşru menfaatleri doğrultusunda kullanım,
İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
İç denetim faaliyetlerinin yürütülmesi,
İş Kanunu ve ilgili tüm mevzuatlara uygun olarak sözleşme süreçlerinin yürütülmesi,
Yetkili kişi, kurum veya kuruluşlara bilgi verilmesi,
Yasal yükümlülüklerin yerine getirilebilmesi ve yürürlükteki mevzuattan doğan hakların kullanılabilmesi.
Hukuksal, teknik ve idari sonucu olan faaliyetler,
İş Sağlığı Güvenliği Korunması,
Tahsilat işlemlerinin gerçekleştirilmesi,
Hizmet kalitesini geliştirici çalışmalar yapılması ve daha iyi hizmet sunulması,
Hizmetlerimiz karşılığı fatura tanzimi,
Dış kaynaklardan hizmet alımı yapılması,
Kimlik teyidi,
Soru ve şikâyetlere cevap verilmesi,
Veri güvenliği kapsamında gerekli teknik ve idari tedbirlerin alınması,
Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini,
İlgili mevzuat gereği saklanması gereken verilere ilişkin bilgilerin muhafaza edilmesi,
Çalışan adayları bakımından: Açık pozisyonlara uygunluğun değerlendirilmesi sürecinin yönetilmesi, planlanması.
Yasal yükümlülüklerin yerine getirilmesi,
Hukuk işlerinin icrası/takibi,
Ziyaretçi kayıtlarının oluşturulması ve takibi.

Bazı veri işleme amaçlarımızı anlaşılabilir kılmak adına şu şekilde örneklendirmekteyiz:

Kişisel Veri İşleme Amaçlarımız	Örnekler
Potansiyel tedarikçi/iş ortaklarını değerlendirme	Risk kurallarımız gereği inceleme ve çıkar çatışması sürecimizin yürütülmesi, ilgili gayrimenkulün bulunduğu konum, fonksiyon ve fizibilite çalışmalarının yapılması ve resmi evrakların kontrol edilmesi, vekaletnameler gibi ilgili resmi evrakların çıkarılması ve bu amaçla noter nezdinde ilgili sürecin yürütülmesi, ruhsat işlemlerinin gerçekleştirilmesi, sözleşmelerinin kurulması ve yürütülmesi, Tapu Müdürlüğü gibi kamu kurum ve kuruluşları nezdindeki süreçlerin yönetilmesi, muhasebe, faturalama ve ödeme işlemlerinin yürütülmesi, gayrimenkul üzerindeki hak ve yükümlülüklerimizin korunması, sözleşmesel ve ticari açıdan gerekli evrakların toplanması.
Tedarikçi/iş ortaklarımızla sözleşme sürecinin yürütülmesi ve sonuçlandırılması	Mal ve hizmet tedariği, mal ve numune sevkiyatının sağlanması, faturalandırma, web sitesi uygulamalarımıza kayıt sürecinin yönetilmesi, sözleşme kurulması ve ifa edilmesi, lojistik süreçlerin yönetilmesi, sözleşme sonrası hukuki işlem güvenliğinin sağlanması, mal ve numune sevkiyatının sağlanması, lojistik süreçlerin yönetilmesi, ürün ve hizmetlerimizi iyileştirmek, geliştirmek, çeşitlendirmek ve ticari ilişki içerisinde olduğu tüzel/gerçek kişilere alternatifler sunabilmek, Ürün ve hizmet geliştirmek, yeni teknoloji ve uygulamaların değerlendirmeleri ile Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması, operasyonların yönetilmesi (talep, teklif, değerlendirme, sipariş, bütçelendime, sözleşme), ürün/proje/imalat/yatırım kalite süreçleri ve operasyonları, şirket içi sistem ve uygulama yönetimi operasyonları, finans operasyonları, mali işlerin yönetilmesi
Doğrudan pazarlama süreçlerinin yürütülmesi	E-posta, telefon ve SMS ile hizmetlerimize ilişkin pazarlama bildirimleri yapmak, memnuniyet anketleri yapılması ya da sosyal medya, online platformlar veya başka mecralar üzerinden yaptığınız görüş, şikayet ve yorumların değerlendirilmesi, dönüş yapılması, şirket yenilikleri, kampanya ve promosyonlarımızla ilgili müşterilerimizi bilgilendirmek, dönemsel kampanya çalışmalarının yürütülmesi, müşteri profillerine yönelik özel promosyon faaliyetlerinin kurgulanması ve istenmeyen epostaların iletilmemesine yönelik müşteri “sınıflandırma” ve kişisel bilgiler vasıtasıyla oluşturulacak reklam, tanıtım, pazarlama faaliyetlerinin yürütülmesi, şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması, organizasyon planlaması
Yasal yükümlülüklere uyum	Vergi ve sigorta süreçlerinin yürütülmesi, 5651 sayılı Kanun ve sair mevzuat, 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve sair mevzuat, 5237 sayılı Türk Ceza Kanunu ve 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere, ilgili mevzuattan kaynaklanan yasal yükümlülüklerimizin yerine getirilmesi, Tapu Müdürlükleri başta olmak üzere resmi kurumlar nezdindeki süreçlerin yürütülmesi, proje ruhsatlarının alınması, resmi mercilerin denetim ve teftişleri, yasal haklarımızın ve davalarımızı takibi ve sonuçlandırılması, resmi mercilerin talebi üzerine veri ifşası gibi tabi olduğumuz kanun ve düzenlemelere uyum kapsamında gerekli süreçlerin yürütülmesi, düzenleyici ve denetleyici kurumlarla, yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde KVKK’da belirtilmiş yasal yükümlülüklerin yerine getirilmesini sağlamak üzere belirlenmiş gereklilik ve zorunluluklar kapsamında,
Şirket menfaatlerinin korunması ve güvenliğinin sağlanması	Şirket çıkarlarının ve menfaatlerinin korunması için gerekli denetim faaliyetlerinin yürütülmesi, çıkar çatışması kontrollerinin yapılması, Şirketimizle iş ilişkisinde olan kişilerin hukuki ve ticari güvenliğinin temini, şirket cihaz ve varlıklarının korunması için CCTV kayıtlarının tutulması, teknik ve idari güvenlik önlemlerinin alınması, sunduğumuz hizmetlerin geliştirilmesi için gerekli çalışmaların yürütülmesi, işyeri kurallarının uygulanması ve denetlenmesi, kalite süreçlerinin yönetilmesi, sosyal sorumluluk aktivitelerinin planlanması ve icrası, Havlinest’ın ticari itibarının ve oluşturduğu güvenin korunması, şantiye ve bina içinde meydana gelen tüm olay, kaza, şikayet, kayıp çalıntı vb. durumların raporlanarak gerekli müdahalenin yapılması ve önlem alınması, bakım ve onarım yapılması sırasında oluşabilecek tehlikeli durumlar için uyulması gereken kuralların aktarılması ve taşeronların mesleki yeterliliklerinin ölçülmesi, firma çalışanlarının giriş ve çıkışlarının düzenini sağlamak ve güvenlik açısından gerekli bilgileri edinmek, gerekli kalite ve standart denetimlerimizi yapabilmek ya da kanun ve yönetmelikler ile belirlenmiş raporlama ve sair yükümlülüklerimizin yerine getirilmesi
Şirket ticari faaliyetlerinin planlanması ve icrası	Bütçelendirme, Şirket’in kısa, orta ve uzun vadede ticari politikalarının tespit edilmesi, planlanması ve uygulanması, ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirketimiz tarafından yürütülen iletişim, pazar araştırması ve sosyal sorumluluk aktiviteleri, satın alma
Raporlama ve denetim	Yurtiçinde bulunan ile iletişimin sağlanması, gerekli faaliyetlerin, iç denetim ve raporlama süreçlerinin yürütülmesi
Hak ve menfaatlerin korunması	Şirketimiz aleyhine açılan dava, soruşturma vb. hukuki hak taleplerine karşı savunma

KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARIM AMAÇLARI

Şirketimiz, kişisel verilerin aktarılması konusunda başta KVKK m. 8 olmak üzere KVKK’da öngörülen ve Kurul tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır. Kural olarak Şirketimiz tarafından veri sahiplerine ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Ayrıca, KVKK’nın 5. ve 6. maddelerinde öngörülen durumlarda ilgilinin rızası olmaksızın da aktarım mümkündür. Şirketimiz, kişisel verileri KVKK’da ve ilgili diğer mevzuatta öngörülen şartlara uygun olarak ve mevzuatta belirtilen güvenlik önlemlerini alarak; (şayet veri sahibi kişi ile imzalı mevcut bir sözleşme var ise, söz konusu sözleşmede) Kanun veya ilgili diğer mevzuatta aksi düzenlenmediği sürece Türkiye’de bulunan üçüncü kişilere ve BTT çatısı altında bulunan şirketlere aktarabilir.

Kişisel verileriniz, yukarıda belirtilen amaçların gerçekleştirilebilmesi ve kanundan doğan yükümlülüklerin yerine getirilmesi için gerektiği ölçüde ve bu amaçlarla sınırlı olmak kaydıyla hizmet alınan taraflarla, tedarikçilerimizle, iş ortaklarımızla, proje ortaklarımızla, kamu kurumları ve/veya özel hukuk tüzel kişilerine mevzuatın izin verdiği ve yukarıdaki amaçlar çerçevesinde gerekli görüldüğü ölçüde aktarılabilecektir. Bunun yanında, şirket politikalarımızın, iç denetim, risk yönetimi, raporlama ve yukarıdaki amaçlar doğrultusunda kanundan doğan yükümlülüklerimizin yerine getirilebilmesi için hak ve menfaatlerinin savunulması gerektiğinde de avukatlar, noterler, denetçiler ve danışmanlar ile diğer ilgili resmi kurum ve kuruluşlarla paylaşılabilmektedir.

ÜÇÜNCÜ KİŞİLER	AMAÇLAR
Hizmet sağlayıcılar ve iş ortakları:	Şirketimizin ticari faaliyetlerini yürütürken Şirketimizin hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. Birçok işletme gibi, biz de bazı veri işleme faaliyetleri kapsamında işlevler ve hizmetlerin en verimli şekilde ve güncel teknolojilere uygun yürütülmesi için bilgi ve iletişim teknolojisi sağlayıcıları, danışmanlık hizmetleri sağlayıcılar, kargo şirketleri, seyahat acenteleri gibi güvenilir üçüncü şahıslarla çalışabilir ve bu kapsamda faaliyetlerimizi yürütmek için veri paylaşımında bulunabiliriz. Bu paylaşım iş ortaklığının kurulma ve ifa edilme amaçlarının yerine getirilmesini temin etme amacıyla sınırlı olarak yapılmaktadır. Şirketimizin faaliyetlerini en verimli şekilde yürütmek ve teknolojinin imkanlarından maksimum düzeyde faydalanmak için bulut bilişim teknolojileri kullanmakta ve bu kapsamda bulut bilişim hizmeti sunan firmalar aracılığı ile kişisel verilerinizi yurt içinde işleyebilmekteyiz.
Resmi merciler	Kanunların gerektirdiği durumlarda veya haklarımızı korumamız gerektiğinde, kişisel verilerinizi ilgili resmi, adli ve idari merciler ile paylaşabiliriz. (Örneğin: Tapu Müdürlükleri, vergi daireleri, kolluk kuvvetleri, mahkemeler ve icra daireleri).
Özel hukuk kişileri	İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kişisel veri paylaşımı yapılabilmektedir.
Profesyonel danışmanlar	Bilişim hizmetleri, bankalar, sigorta şirketleri, denetçiler, avukatlar, mali müşavirler ve diğer danışmanlar gibi profesyonel danışmanlarla kişisel verilerinizi paylaşabiliriz.
Kurumsal işlemlerle bağlantılı diğer şahıslar:	Şirketimizin sahip olduğu bir işletmenin satışı, yeniden yapılanma, birleşme, ortak girişim ya da işimizin, varlıklarımızın veya hisselerimizin diğer türlü tasarruflar (herhangi bir iflas veya benzeri bir süreçle bağlantılı olanlar dahil) gibi kurumsal işlemlerin yürütülmesi için zaman zaman kişisel verilerinizi paylaşabiliriz.

KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

KİŞİSEL VERİ KAYNAĞI

SÜRE

YASAL DAYANAĞI

Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar

10 Yıl

6102 Sayılı Kanun, 213 Sayılı Kanun

Çerezler ve Log Kayıtları

6 Ay – En Fazla 2 Yıl

5651 Sayılı İnternet Kanunu

Ticari Elektronik Mail Onay Kayıtları

Onayın geri alındığı tarihten itibaren 1 Yıl

6563 Sayılı Kanun ve İlgili Mevzuat

Müşterilere İlişkin Kişisel Veriler

6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl, Hukuki ilişki son erdikten sonra 10 Yıl

6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun

Tedarikçilere İlişkin Kişisel Veriler

Hukuki ilişki sona erdikten sonra 10 Yıl

6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun

Kişisel Verileri Koruma Kurulu İşlemleri

10 Yıl