Oto.net olarak COVID-19 salgını sebebiyle çalışanlarımızın sağlığı ve siz değerli müşterilerimizin hizmetlerinin kesintiye uğramaması için her türlü önlemi almış olduğumuzu belirtmek isteriz.

Kişisel Verilerin Korunması ve İşlenmesine İlişkin Gizlilik ve Veri Politikası

OTONET Motorlu Taşıtlar A.Ş. (‘OTONET’) olarak, siz değerli üyelerimizin, kullanıcıların, müşterilerimizin ve bizimle herhangi bir şekilde temas ederek herhangi bir kişisel verisini bize bırakmış olan herkesin bilgilerini titizlikle muhafaza etmekteyiz. Bu bilgilerin güvenliğini sağlamak için şirket içinde gerekli bütün tedbirleri aldık. OTONET ile kişisel verilerinizin güvende olacağı duygusuyla işlem yapabilirsiniz. Gerek T.C. Anayasası gerekse Kanunları ile güvence altına alınan verilerinizle ilgili haklarınıza riayet edeceğiz. Aşağıda şirketimizde yürürlüğe konulan Kişisel Verilerin Korunması ve İşlenmesine İlişkin Gizlilik ve Veri Politikamızı sizlerle paylaşıyoruz.

Türkiye Cumhuriyeti Anayasası’nın 20. maddesine göre, “Tüm gerçek kişiler, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir.” Bir Anayasal hak olan kişisel verilerin korunması konusunda, OTONET, çalışan adaylarımızın, müşterilerimizin, Şirketimizin hissedar ve ortaklarının, üyelerinin, bayilerinin, potansiyel ürün veya hizmet alıcılarımızın, tedarikçi çalışanlarımızın, tedarikçi yetkililerimizin, ziyaretçilerimizin ve diğer üçüncü kişilerin ve varoluş kaynağımız çalışanlarımızın kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir şirket politikası haline getirmektedir.

Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için OTONET tarafından gereken idari ve teknik tedbirler alınmaktadır.

Bu Politikada kişisel verilerin işlenmesinde OTONET’in benimsediği veri koruma ilkeleri şunları içermektedir:

Kişisel verileri yalnızca meşru kurumsal amaçlar bakımından açıkça gerekli olması halinde işlemek;

Bu amaçlar için gerekli asgari ölçekte kişisel veriyi işlemek ve gereğinden fazla veriyi işlememek;

Bireylere kişisel verilerinin kimler tarafından ve ne şekilde kullanıldığı konusunda açık bilgi vermek;

Yalnızca ilgili ve uygun kişisel verileri işlemek;

Kişisel verileri hakkaniyete ve hukuka uygun olarak işlemek;

OTONET tarafından işlenen kişisel veri kategorilerinin envanterini tutmak;

Kişisel verileri doğru ve gerektiğinde güncel tutmak;

Kişisel verileri yalnızca yasal düzenlemeler, OTONET’in hukuki yükümlülükleri veya meşru kurumsal menfaatlerinin gerektirdiği süre kadar saklamak;

Bireylerin, erişim hakkı dahil olmak üzere, kişisel verileriyle ilgili haklarına saygılı olmak;

Tüm kişisel verileri güvenli tutmak;

Kişisel verileri yurtdışına, yalnızca yeterli korumanın bulunması halinde transfer etmek;

Mevzuat uyarınca izin verilen istisnaları uygulamak;

Politikanın uygulanması için kişisel veri koruma sistemini tesis etmek ve uygulamak;

Gerektiğinde kişisel veri koruma sistemine taraf olan iç ve dış paydaşları ve bunların OTONET’in kişisel veri koruma sistemine ne ölçüde dahil olduklarını belirlemek;

Kişisel verilerin korunması sistemiyle ilgili özel yetki ve sorumluluklara sahip personelleri belirlemek.

Sizlerden gelecek iyileştirme önerilerine, başvurularınıza ve olası şikayetlerinize karşı bütün duyarlılığı göstereceğimizden emin olabilirsiniz. Kişisel verilerinizle ilgili bütün tereddütlerinizde bizlere başvurabilirsiniz. Bizler bütün hizmetlerimizde olduğu gibi kişisel verilerinizin korunmasında da aynı hassasiyeti ve özeni göstereceğiz.

1. Amacı

İşbu Politikanın temel amacı, OTONET tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışan adaylarımızın, müşterilerimizin, Şirketimizin hissedar ve ortaklarının, üyelerinin, bayilerinin, potansiyel ürün veya hizmet alıcılarımızın, tedarikçi çalışanlarımızın, tedarikçi yetkililerimizin, ziyaretçilerimizin ve diğer üçüncü kişilerin ve varoluş kaynağımız çalışanlarımızın başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı ve saydamlığı sağlamaktır.

Bugüne kadar OTONET olarak faaliyet göstermiş olduğumuz alandaki işlerin hassasiyeti gereğince toplanan kişisel veriler gizli tutulmuş ve hiçbir zaman üçüncü kişilerle amacı dışında paylaşılmamıştır. Kişisel verilerin korunması, şirketimizin temel politikasıdır. Herhangi bir yasal düzenleme olmadan önce de şirketimiz, kişisel verilerin gizliliğine büyük önem vermiş ve bunu bir çalışma ilkesi olarak benimsemiştir. Kişisel Verilerin Korunması Kanunu’nun getirdiği bütün sorumluluklara da uymayı OTONET olarak taahhüt etmekteyiz.

2. Kapsamı ve Değiştirilmesi

Şirketimiz tarafından hazırlanan bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehber ve politikalara (“KVKK”) uygun olarak hazırlanmıştır. Kanun, bugün itibariyle bütün hükümleri ile yürürlüğe girmiştir.

Sizlerden rızanızla ya da Kanunda sayılan diğer hukuka uygunluk halleri gereği elde edilmiş veriler, sunmuş olduğumuz hizmetlerin kalitelisinin arttırılması ve kalite politikamızın iyileştirilmesi amacıyla kullanılacaktır. Yine elimizdeki bazı veriler ise, kişisel olmaktan çıkarılmakta ve anonimleştirilmektedir. Bu veriler, istatistiki amaçlarla kullanılan verilerdir ve Kanun uygulamasına ve Politikamıza tabi değildir.

İşbu Gizlilik ve Veri Politikası, müşterilerimizin, üyelerimizin, kullanıcıların, tedarikçilerimizin, müşteri adaylarımızın, çalışanlarımız ile bizimle çözüm ortaklığı içinde çalışan şirketlerin müşterileri ve çalışanlarının ya da diğer kişilerin otomatik olarak elde edilen verilerinin korunmasını amaçlar ve bunlara ilişkin düzenlemeleri içerir.

Şirketimiz, politikamızı, Kanuna uygun olmak ve kişisel verilerin daha iyi korunması şartı ile, değiştirme hakkına sahiptir.

3. Kişisel Verilerin İşlenmesi İle İlgili Temel Kurallar

Hukuka ve dürüstlük kurallarına uygun olma: OTONET, topladığı ya da kendisine diğer şirketlerden gelen verilerin kaynağını sorgular ve bunların hukuka uygun ve dürüstlük kuralları çerçevesinde elde edilmesine önem verir.

Doğru ve gerektiğinde güncel olma: OTONET, kurum bünyesinde bulunan bütün verilerin doğru bilgi olmasına, yanlış bilgi içermemesine ve nihayet kişisel verilerde değişiklik olduğu takdirde bunları kendisine iletildiği takdirde güncellemeye önem verir.

Belirli, açık ve meşru amaçlar için işlenme: OTONET, ancak sunduğu ve hizmet sırasında kişilerden onayını aldığı amaçlarla sınırlı şekilde verileri işler. İş amacı dışında verileri işlemez, kullanmaz ve kullandırtmaz.

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: OTONET, sadece verileri işlendikleri amaçla sınırlı ve hizmetin gerektirdiği ölçüde kullanır.

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: OTONET, sözleşmeler kaynaklı verileri Kanunun ihtilaf çıkma süreleri, ticaret ve vergi hukukunun gereklilikleri kadar bünyesinde muhafaza eder. Buna karşın bu amaçlar ortadan kalktığında veriyi siler ya da anonimleştirir.

Önemle belirtelim ki, OTONET, verileri ister rızaya dayanarak isterse kanuna uygun bir şekilde toplamış ya da işlemiş olsun yine de yukarıda sıraladığımız bu ilkeler geçerlidir.

4. Azami Tasarruf İlkesi/Cimrilik İlkesi

Azami tasarruf ilkesi ya da cimrilik ilkesi adı verilen bu ilkemize göre OTONET’e ulaşan veriler, ancak gerekli olduğu kadar sisteme işlenir. Bu nedenle hangi verileri toplayacağımız amaca göre belirlenir. Gerekli olmayan veriler toplanmaz. Şirketimize intikal eden diğer veriler de aynı şekilde şirket bilişim sistemlerine aktarılır. Fazlalık bilgiler, sisteme kaydedilmez, silinir ya da anonim hale getirilir. Bu veriler, istatistiki amaçlarla kullanılabilir.

5. Kişisel Verilerin Silinmesi

Kanunen saklanması gereken sürelerin dolması, yargı süreçlerinin tamamlanması ya da diğer gereklilikler ortadan kalktığında şirketimiz tarafından bu veriler kendiliğinden ya da ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir ya da anonim hale getirilir.

6. Doğruluk ve Veri Güncelliği

OTONET bünyesinde bulunan veriler, kural olarak ilgili kişilerin beyanı üzerine beyan ettiği şekilde işlenir. OTONET, müşteriler ya da OTONET ile temas kuran kişilerin beyan ettiği verilerin doğruluğunu araştırmak zorunda olmadığı gibi bu hukuken ve çalışma ilkelerimiz nedeniyle de yapılmaz. Beyan edilen veriler, doğru kabul edilir. Kişisel verilerin doğruluğu ve güncelliği ilkesi OTONET tarafından da benimsenmiştir. Şirketimizin kendisine ulaşan resmî belgelerden veya ilgilisinin talebi üzerine işlemiş olduğu kişisel verileri günceller. Bunun için gerekli önlemleri alır.

7. Gizlilik ve Veri Güvenliği

Kişisel veriler gizlidir ve OTONET bu gizliliğe riayet etmektedir. Kişisel verilere şirket içinde ancak yetki verilmiş kişiler ulaşabilir. OTONET tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve veri sahibinin mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Hukuka uygun olarak kişisel verileri paylaştığımız şirketlerden de verileri koruması talep edilerek gerekli denetimler bu şirketler nezdinde titizlikle gerçekleştirilir.

8. Kişisel Verilerin İşlenmesine İlişkin Esaslar

Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

9. Kişisel Verilerin Güvenliğinin Sağlanması

Şirketimiz, aşağıda belirtilen hususlarda veri güvenliği konusunda gerekli hukuki, teknik ve idari tedbirleri almakta, bu konuda en üst düzeyde dikkat ve özeni göstermektedir. Şirketimiz tarafından Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca veri güvenliğini sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir.

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlarımız, öğrendikleri kişisel verileri Kişisel Verilerin Korunması Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

Şirketimiz, kişisel verilerin bilinçsizce veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde farkındalıkları arttırmakta; iş ortakları ve tedarikçilerin Kişisel Verilerin Korunması Kanunu’na uygun kişisel veri işleme faaliyetlerinde bulunması yönünde gerekli önlemleri almaktadır.

Şirketimizin veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu Şirketimiz ile veri sorumlusu veya veri işleyen sıfatlarıyla ticari ilişkiler yürüten tedarikçi, iş ortağı gibi kişilerin veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde sözleşmelerde yapılan güncellemelerle hukuki olarak yükletilmektedir.

Şirketimizin veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu Şirketimizin tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde sözleşmelerde yapılan güncellemelerle hukuki olarak yükletilmektedir.

Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketimiz iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

Şirketimiz, Kişisel Verilerin Korunması Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kişisel Verilerin Korunması Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

10. Veri Sahibinin Haklarının Gözetilmesi ve Taleplerinin Değerlendirilmesi

Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kişisel Verilerin Korunması Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirketimize iletmeleri durumunda Şirketimiz talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kişisel Verilerin Korunması Kurulu’nca bir ücret öngörülmesi hâlinde, Şirketimiz tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;

Kişisel veri işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel Verilerinin Korunması Kanunu’nun 13/1 maddesi gereğince, kişisel veri sahiplerinin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verilerin Korunması Kurulu’nun belirlediği diğer yöntemlerle Şirketimize iletmeleri gerekmektedir.

Kişisel veri sahiplerinin yukarıda belirtilen haklarını kullanmaları için, kimliklerini tespit edici gerekli bilgiler ve kullanmak istedikleri haklarına yönelik açıklamalarla birlikte taleplerini, Kanun’un 11. maddesinde belirtilen haklarda hangisinin kullanımına ilişkin olduğunu da belirterek Şirketimize iletmeleri; başvuruların daha hızlı ve etkili bir şekilde cevaplandırılmasını sağlayacaktır.

Bu çerçevede, Şirketimize Kişisel Verilerin Korunması Kanunu’nun 11. maddesindeki hakların kullanılması kapsamında, yapılacak başvuruların yazılı olarak iletileceği kanallar ve usuller aşağıda açıklanmaktadır.

KVK Kanunu’nun 11. maddesinde belirtilen haklardan kullanılmak istenen kişisel veri sahibinin hakkına yönelik açıklamaları içeren talepler; oto.net adresindeki “Veri Sahibi Başvuru Formu” nu doldurarak veya formun imzalı bir nüshasını “Merkez Mah. Ayazma Cad. No:37 Papirus Plaza K:6 D:7 Kağıthane/İstanbul” adresine veri sahibinin kimliğini tespit edici belgeler ile birlikte bizzat elden, noter kanalıyla veya iadeli taahhütlü mektup vasıtasıyla kimlik teyidi yapmak suretiyle ya da otonet@hs02.kep.tr adresine kayıtlı e-posta adresine iletilebilir.

11. Müşteri, Muhtemel Müşteri ve İş ve Çözüm Ortakları Verisi

a. Sözleşme İlişkisi İçin Verinin Toplanması ve İşlenmesi

Müşteriler ve potansiyel müşterilerimizle bir sözleşme ilişkisi kurulmuş ise, toplanmış olan kişisel veriler, müşterinin onayı alınmaksızın, müşteri aydınlatma metninde yer alan açıklamalar kapsamında işlenip kullanılabilir. Ancak bu kullanım, sözleşme amacı doğrultusunda gerçekleşir. Sözleşmenin daha iyi icrası ve hizmetin gereklilikleri ölçüsünde veriler kullanılır ve gerektiğinde müşterilerle irtibata geçilerek güncellenir.

b. İş ve Çözüm Ortakları Verileri

OTONET, gerek iş gerekse çözüm ortakları ile veri paylaşımı yaparken hukuka uygun davranmayı ilke edinir. İş ve çözüm ortakları ile veri gizliliği taahhüdü ile ve ancak hizmetin gerektirdiği kadar veri paylaşılmakta ve bu taraflardan mutlaka veri güvenliğinin sağlanmasına ilişkin tedbirleri alması talep edilir.

12. Reklam Amaçlı Veri İşleme

Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun’un ile Ticari İletişim ve Ticari Elektronik İletiler Hakkındaki Yönetmeliğe uygun olarak ancak önceden onay alınan kişilere reklam amaçlı elektronik ileti gönderilebilir. Reklamın gönderileceği kişinin onayının açık bir şekilde mevcudiyeti şarttır.

Yine aynı mevzuat uyarınca belirlenen “onay”ın detaylarına da OTONET riayet etmektedir. Alınacak onay, şirketinizin mal ve hizmetlerini tanıtmak, pazarlamak, işletmesini tanıtmak ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcıların elektronik iletişim adreslerine gönderdiği tüm ticari elektronik iletileri kapsamalıdır. Bu onay, yazılı olarak fiziki ortamda veya her türlü elektronik iletişim aracıyla alınabilir. Önemli olan, alıcının ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanı, adı ve soyadı ile elektronik iletişim adresinin bulunmasıdır.

13. Şirketin Hukuki Yükümlülüğü veya Kanunda Açıkça Öngörülmesi Sebebiyle Yapılan Veri İşlemleri

Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.

14. Şirketin Veri İşlemesi

Şirketin sunduğu hizmet ve meşru amaçları doğrultusunda kişisel veriler işlenebilir. Ancak veriler hiçbir şekilde hukuka aykırı hizmetler için kullanılamaz.

Şirketimiz, Kanun’un 4. maddesinde yer alan genel ilkeler doğrultusunda, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz diğer sair mevzuatlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.

Şirketimiz, kişisel verilerin Kanun’un 5. ve 6. maddeleri doğrultusundaki söz konusu maddelerde yer alan hukuki sebeplerden bir ya da birkaçı uyarınca işlemektedir.

Şirketimiz kişisel verileri Kanun’un 8. ve 9. maddeleri doğrultusunda aktarmaktadır. Kişisel verileri aktarırken kişisel verilerin korunması mevzuatı ve Kişisel Verilerin Korunması Kurulu’nun yayınladığı rehberler, dokümanlar, yaptığı açıklama ve duyurulara uygun davranmaktadır.

15. Özel Nitelikli Verilerin İşlenmesi

Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

OTONET, özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından ayrıca belirlenen yeterli önlemlerin hepsini alır.

OTONET, hizmetlerin daha iyi verilebilmesi için kişilerin açık rızası ile özel nitelikli verileri ancak toplandıkları amaç için işleyebilir.

16. Otomatik Sistemlerle İşlenen Veriler

Otomatik sistemler aracılığı ile işlenen veriler konusunda OTONET, Kanuna uygun davranır. Kişilerin açık rızası olmaksızın bu verilerden elde edilen bilgiler kişi aleyhine kullanılamaz. Ancak OTONET, kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili kararlar alabilir.

17. Kullanıcı Bilgileri ve İnternet

OTONET’e ait web siteleri, mobil uygulamaları ve diğer sistemlerde veya uygulamalarda kişisel verilerin toplanması, işlenmesi ve kullanılması durumunda ilgili kişiler gizlilik bildirimi ile ve gerekirse çerezler hakkında bilgilendirilir.

Kişiler, web sayfalarındaki ve mobil uygulamalarındaki uygulamalarımız konusunda bilgilendirilir. Kişisel veriler, hukuka uygun olarak işlenecektir.

18. Çalışanlarımıza Ait Veriler

İş İlişkisi İçin Verilerin İşlenmesi

İş ilişkilerinde kişisel veriler, iş sözleşmesinin akdedilmesi, uygulanması ve sonlandırılması için gerekli olması halinde ayrıca onay alınmadan işlenmektedir. Çalışan adayları bakımından ise işe alımına karar verilen adayların iş sözleşmesinin akdedilmesi ve iş ilişkisinin başlatılması kapsamında kişisel verileri işlenmektedir. Eğer çalışan adayının işe alınmamasına karar verilirse, adaya ait bilgiler daha sonraki bir seçim aşaması için uygun veri saklama süresi kadar muhafaza edilmekte bu sürenin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kanunlarda Açıkça Öngörülmesi ve Hukuki Yükümlülükler Gereği İşleme

OTONET, çalışanlarına ait kişisel verileri, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan verileri işleyebilir. Bu husus, kanundan kaynaklanan yükümlülüklerle sınırlıdır.

Meşru Menfaate Uygun Olarak Verilerin İşlenmesi

Çalışana ait kişisel veriler, Şirketin meşru bir menfaatinin gerektiğinde de ayrıca onay alınmadan işlenebilmektedir. Meşru menfaatler genellikle ya da ekonomik menfaatlerdir. Çalışanların menfaatlerinin korunması gerektiği kişisel durumlarda kişisel veriler meşru menfaat amaçları için işleme alınmamaktadır. Veriler işlenmeden önce koruma gerektiren menfaatlerin olup olmadığı belirlenmektedir.

Çalışanlara ait verilerin Şirketin meşru menfaatine dayanarak işlendiğinde, işlemenin ölçülü olup olmadığı incelenmektedir. Şirketin bu kontrol önlemini almasındaki meşru menfaatinin ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmekte ve sadece ölçülü olması halinde uygulanmaktadır.

Çalışanların Yararına İşlemeler

OTONET, özel sağlık sigortaları gibi şirket çalışanlarının menfaatine olan işlemler için onay almaksızın kişisel verileri işleyebilir. İş ilişkilerinden kaynaklanan ihtilaflar için de OTONET, çalışanlara ait verileri işleyebilir.

Özel Nitelikli Verilerin İşlenmesi

Kanun’a göre Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

OTONET, özel nitelikli kişisel verilerin işlenmesinde, ilgili kişinin açık rızasının yanında Kurul tarafından ayrıca belirlenen yeterli önlemleri alır. Özel nitelikli kişisel veriler kişinin onayı olmaksızın ancak Kanunda izin verilen hallerle ilgili ve sınırlı olarak işlenebilir.

Otomatik Sistemlerle İşlenen Veriler

Çalışanların otomatik sistemlerle ilgili olarak işlenen verileri, şirket içi terfilerde ve performans değerlendirmelerinde kullanılabilir. Çalışanlarımız aleyhine çıkan sonuca itiraz etme hakkına sahiptir ve bunu şirket içi prosedürlere uyarak gerçekleştirirler. Çalışanların itirazları da yine şirket içinde değerlendirilir.

Telekomünikasyon ve İnternet

Şirket içinde çalışanlara tahsis edilen bilgisayar, telefon, e-posta ve diğer uygulamalar çalışana sadece iş amacı ile tahsis edilmiştir. Çalışan şirketin kendisine tahsis ettiği bu vasıtaların hiçbirini özel amaçları ve iletişimi için kullanamaz. Şirket bu araçlar üzerindeki bütün verileri kontrol edebilir ve denetleyebilir. Çalışan, işe başladığı andan itibaren kendisine tahsis edilen bilgisayarda, telefonlarda ya da diğer araçlarda iş dışında başka bir veri ya da bilgi bulundurmayacağını taahhüt etmektedir.

19. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

Hukuka ve Dürüstlük Kuralına Uygun İşleme

Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır.

Belirli, Açık ve Meşru Amaçlarla İşleme

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlememektedir. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren hukuki sebeplerin ortadan kalkması durumunda kişisel veriler Şirketimiz tarafından imha edilmektedir.

20. Kişisel Verilerin Sınırlı Olarak İşlenmesi

Anayasa'nın 20/3 maddesi gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Nitekim 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda benzer ama daha ayrıntılı bir düzenleme mevcuttur. Şirketimiz bu doğrultuda ve 6698 sayılı Kanun’da öngörülen veri işleme şartlarına dayanarak kişisel verileri işlemektedir.

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki sebeplerden yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Veri işleme için açık rızanın alınması gerekiyorsa ise aynı zamanda diğer veri işleme şartlarına dayanmak mümkün değildir. Ancak açık rızanın alınmasına gerek olmayan durumlarda diğer veri işleme şartlarından bir veya birden fazlasına dayanılması mümkündür. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıdaki şartlar uygulanır.

Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Kişisel verilerin, açık rıza hukuki sebebi uyarınca işlenmesi için, veri sahiplerinin açık rızaları alınmaktadır.

Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.

Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Şirketimizin veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.

Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

21. Kişisel Verilerin Yurt İçi ve Dışına Aktarılması

Kişisel veriler, OTONET tarafından hizmetin görülebilmesi amacıyla hâkim hissedar ile ayrıca iş ve çözüm ortakları ile paylaşılabilir.

OTONET, kişisel verileri, Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak OTONET’in tedarikçilerine aktarabilecektir.

OTONET, Kurul tarafından belirlenen şartlar dahilinde kişisel verileri Kanundaki diğer şartlara uygun olarak ve kişinin onayına bağlı olarak yurt içi ve yapılacak aydınlatma sonrasında açık rıza verilmesi halinde yurt dışına aktarma yetkisine sahiptir. Şirketimiz bu doğrultuda Kanun’un 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

22. Gizlilik İlkesi

İster çalışanlar isterse diğer kişilerin OTONET’teki verileri gizlidir. Hiç kimse sözleşme ya da kanuna uygunluk olmaksızın başkaca hiçbir amaç için bu verileri kullanamaz, kopyalayamaz, çoğaltamaz, başkalarına aktaramaz, iş amaçları dışında kullanamaz.

23. İşlem Güvenliği

OTONET tarafından toplanan kişisel verilerin korunması ve yetkisiz kişilerin eline geçmemesi ve müşterilerimizin ve müşteri adaylarımızın mağdur olmaması için gerekli teknik ve idari bütün tedbirler alınmaktadır. Bu çerçevede yazılımların standartlara uygun olması, üçüncü partilerin özenle seçilmesi ve şirket içinde de veri koruma politikasına riayet edilmesi sağlanmaktadır. Güvenliğe ilişkin önlemler, sürekli olarak yenilenmekte ve geliştirilmektedir.

24. Denetim

OTONET, kişisel verilerin korunması konusunda gerekli iç ve dış denetimleri yaptırır.

25. İhlallerin Bildirimi

OTONET, kişisel verilerle ilgili herhangi bir ihlal olduğu kendisine bildirildiğinde söz konusu ihlali gidermek için derhal harekete geçer. İlgilinin zararını en aza indirir ve zararı telafi eder. Kişisel verilerin dışarıdan yetkisiz kimselerce ele geçirildiğinde durumu derhal Kişisel Verileri Koruma Kurulu’na bildirir.

Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

1. Amaç

İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır.

2. Tanımlar

KISALTMA

TANIM

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel verilerin anonim hale getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel verilerin silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel verilerin yok edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul

Kişisel Verileri Koruma Kurulu

Politika

Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

Şirket

Otonet Motorlu Taşıtlar A.Ş.

Veri sahibi

Kişisel verisi işlenen gerçek kişi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler işlenirken, Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararına uygun şekilde hareket edilmektedir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Şirket, özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:

  1. Hukuka ve dürüstlük kurallarına uygun olma
  2. Doğru ve gerektiğinde güncel olma
  3. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
  4. Belirli, açık ve meşru amaçlar için işlenme
  5. Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme



Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Şirket tarafından veri sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.

Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.

Sağlık verilerinin işlenmesinde 20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine de riayet edilmektedir.

4. Özel Nitelikli Kişisel Verilerin Korunması İçin Alınan Teknik ve İdari Tedbirler

Şirket, özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:

5. İdari Tedbirler

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika belirlenmiştir.

Özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel verilerin korunması ve işlenmesi konusunda eğitimler verilmektedir.

Şirket, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri imzalanmaktadır.

Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.

Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır.

6. Teknik Tedbirler

a. Elektronik Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler

Özel nitelikli kişisel verilere erişim kriptografik yöntemler kullanılarak sağlanmaktadır.

Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.

Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak log’lanmaktadır.

Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.

Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.

Özel nitelikli kişisel verilere erişilmesine yardımcı olan yazılımlarda kullanıcı yetkilendirmeleri yapılmaktadır.

Özel nitelikli kişisel verilere uzaktan erişim sağlandığı hallerde en az iki kademeli doğrulama sistemi kullanılmaktadır.

Özel nitelikli kişisel verilere erişim WAF aracılığıyla korunmaktadır.

b. Fiziksel Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler

Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.

Özel nitelikli kişisel verilerin bulunduğu tesislerde, ortamlarda fiziksel ve çevresel güvenlik önlemleri alınmaktadır.

Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.

Şirketimiz tarafından özel nitelikli kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlere yer verilmektedir.

7. Özel Nitelikli Kişisel Verilerin Aktarılması

Şirket, özel nitelikli kişisel verileri Kanun’un 8. ve 9. maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla Şirket tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.

E-Posta Yoluyla Aktarım

Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresiyle aktarım yapılmaktadır.

Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım

Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında, sunucular arasında VPN kurularak, sFTP veya SSL ile korunmuş API yöntemiyle veri aktarımı gerçekleştirilmektedir.

Kâğıt Ortamı Yoluyla Aktarım

Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmaktadır.

Özel nitelikli kişisel verilerin kağıt ortamı yoluyla aktarımı gizlilik derecelendirmeleri yapılarak “gizlilik dereceli belgeler” formatında ve fiziksel riskler göz önünde bulundurularak gerçekleştirilmektedir.

8. Özel Nitelikli Kişisel Verilerin Saklanması ve İmhası

Özel nitelikli kişisel veriler, Şirket tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:

  1. Veri sahibinin açık rızasının elde edilmiş olması
  2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
  3. Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması

Şirket tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:

  1. Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
  2. Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
  3. Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
  4. Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
  5. Veri sahibinin Şirket’e usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
  6. Şirket’in, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar Şirket Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.

9. Güncelleme

İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.

Politika Güncelleme Tarihi

13.09.2022






İhlallerin bildirimi ile ilgili https://b2b.oto.net/ adresinde belirtilen usullere göre başvuruda bulunabilirsiniz.

Başvuru Formunu buraya tıklayarak temin edebilirsiniz!