KİŞİSEL VERİLERİN KORUNMASINA VE MAHREMİYETİNE DAİR POLİTİKA
1. DAYANAK ve YÜRÜRLÜK
DRM DİJİTAL REKLAM SANAYİ LİMİTED ŞİRKETİ (“Şirket”) tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler, işbu Politikada, Şirketimiz tarafından açıklanmaktadır. Kişisel verilerin korunması ve mahremiyeti konusunda yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, yürürlükteki mevzuat öncelikli olarak uygulanacaktır.
Şirketimiz tarafından düzenlenen ve iş faaliyetlerimiz kapsamında işlenmekte olan kişisel verilere yönelik detaylı açıklamalar içeren işbu Politika 19.10.2024 tarihinde onaylanarak yürürlüğe girmiştir. Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda Politikanın versiyonu ve yürürlük tarihi güncellenecektir. Politika, Şirketimizin internet sitesinde (www.rungraphicshop.com) ilgili kişilerin erişimine açık şekilde yayınlanacaktır.
2. KİŞİSEL VERİ İŞLEME SÜREÇLERİ
Şirketimiz ilgili kişileri kişisel veri işleme amaçları hakkında aydınlatmaktadır. Veri işleme süreçleri şu ana başlıklardan oluşur:
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
3. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
3.1. GENEL İLKELER
3.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
3.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
3.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, yasal istisnalar dışında kişisel verileri elde etmeden önce ilgili kişileri veri işleme amaçları hakkında aydınlatır. Elde etme işlemi sonrasında başkaca amaçlarla kişisel verileri ayrıca kullanmaya karar verirse, ilgili kişileri bu yeni amaçlar hakkında ayrıca aydınlatır.
3.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
3.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme
Konuya ilişkin detaylı açıklama için “Verilerin Saklanması ve İmhası” başlığına bakınız.
3.2. KİŞİSEL VERİLERİN İŞLENME ve AKTARILMA ŞARTLARI
Şirketimiz ürün ve hizmetlerinin sunulmasında amaçla bağlantılı, sınırlı ve ölçülü işleme ilkesini esas alır. İlgili kişileri bu ilkeyi devre dışı bırakan amaçlarla kişisel verilerini ibraza zorlamaz. Diğer ifade ile ürün ve hizmet sunumunu açık rıza şartına dayandırmaz. Kişisel veri ilgili kişinin açık rızasıyla işlenmişse, ilgili kişinin bu rızanın ileriye dönük olarak geri çekilmesi konusundaki talebi üzerine veri işleme faaliyeti derhal sonlandırılır. Kişisel veriler ilgili kişinin açık rızası bulunmuyorsa aşağıda belirtilen şartlardan birinin veya birkaçının varlığı halinde işlenecektir.
(i) Kanunlarda Açıkça Öngörülmesi: İlgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.
(iii) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(iv) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
(v) Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(vi) İlgili Kişinin Kişisel Verisini Alenileştirmesi: İlgili kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
(vii) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
(viii) Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
3.3 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz ana iş faaliyetleri kapsamında özel nitelikli kişisel veri işlememektedir ve özel nitelikli kişisel veri işlememeye gayret etmektedir. Bununla birlikte iş sağlığı ve güvenliği faaliyetleri, çalışan ve müşteri haklarının korunması gibi amaçlarla özel nitelikli kişisel verilere temas etmesi gerekebilir. Şirketimiz ilgili kişilere özel nitelikli kişisel verileri nedeniyle hiçbir şekilde ayrımcılıkta bulunmayacağını taahhüt etmektedir. Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politikada belirtilen ilkelere ve yasal şartlara uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbir alınarak işlenmektedir. Özel nitelikli kişisel veriler, yasalar aksini öngörmedikçe Şirketimiz tarafından üçüncü kişilere aktarılmayacak ve açıklanmayacaktır.
4. KİŞİSEL VERİLERİN KORUNMASI ve MAHREMİYETİ
4.1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket olarak kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre Kanun’un 12. maddesine uygun olarak gerekli tedbirleri almaktayız. Bu kapsamda Şirketimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
4.2. FARKINDALIK ÇALIŞMALARI
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına gerekli eğitimleri sağlamaktadır. Veri sorumlusu bünyesinde çalışan her bireyin, hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumluluğunun farkında olması sağlanmaktadır. Kişisel veri içeren ortamlara erişim hakkı tanınırken “İzin Verilmedikçe Her Şey Yasaktır” prensibi dikkate alınmaktadır. Veri olay takibi ve ihlal yönetim planı uygulanmaktadır.
4.3. İLGİLİ KİŞİNİN AYDINLATILMASI
Şirketimiz iş faaliyetleri kapsamında kişisel verilerini işlediği ilgili kişileri Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve ilgili kişilerin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Saklama süresi boyunca veriler üzerinde Şirketimizin koşullarına uygun tüm teknik ve idari tedbirler uygulanmaktadır.
Kişisel veriler belirlenen saklama sürelerinin sonunda ilk periyodik imha döneminde imha edilmektedir. İlgili kişinin saklama süresinin sona ermesinden önce kişisel verisinin imhası için başvuruda bulunması halinde, Şirket yönetimi verinin saklama süresi sona ermeden ve periyodik imha dönemi beklenmeden imha edilmesine karar verebilir. Veriler üzerinde gerçekleştirilen imha işlemleri Şirketimiz tarafından kayıt altına alınmaktadır. Birlikte çalıştığımız ve veri işleyen olarak tanımladığımız kişilerle iş ilişkimiz sona erdiğinde, bu kişilerin Şirketimiz nam ve hesabına işledikleri verileri çoğaltmadan bize iade etmelerini sağlarız veya bu verileri imha ettiklerine dair gerekli kayıtları ayrıca saklarız.
6. İLGİLİ KİŞİ HAKLARI
6.1. İLGİLİ KİŞİ HAKLARI
İlgili kişiler aşağıda yer alan haklara sahiptirler:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(6) Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(7) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(8) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
6.2. BAŞVURULARIN CEVAPLANMASI
İlgili kişiler, yukarıda sayılan haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirketimize iletebilirler. İlgili kişinin, kişisel verileri hakkında talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz ilgili talebi etkin, hukuka uygun ve dürüst şekilde, en kısa sürede ve en geç 30 (otuz) gün içinde, ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.