KVKK Aydınlatma Metni

AMAÇ ve KAPSAM

SERVER GROUP; müşterilerimiz, çalışanlarımız dahil şirketimiz ile ilişkili gerçek kişilerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir.

İşbu politika ile kişisel verilerin 6698 sayılı Kişisel Verileri Koruma Kanunu’na uygun şekilde işlenmesi, korunması, aktarılması ve imha edilmesi veya anonim hale getirilmesine ilişkin genel çerçeve belirlenmektedir. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir.

Bu politika; Anayasa, KVKK ve bağlı ikincil mevzuat esas alınarak hazırlanmış olup, KVKK kapsamında yayımlanacak ikincil mevzuat ve KVK Kurulu’nun çalışmalarıyla devamlı güncellenecektir. Bu nedenle, politikanın en güncel versiyonuna düzenli olarak www.servergroup.com.tr adresinden ulaşılabilecektir.

Politika SERVER GROUP’unmüşterileri, potansiyel müşterileri, çalışanları, çalışan adayları, şirket hissedarları, şirket yetkilileri, ziyaretçileri, işbirliği içinde olduğu kurum ve kuruluşların çalışanları ve sözleşmesel ilişkiye girilen gerçek kişiler gibi üçüncü kişiler, SERVER GROUP ile ilişkisi devam eden şirket emeklileri, SERVER GROUP eski çalışanları, eski hissedarları ve eski yetkilileri olmak üzere kişisel verileri SERVER GROUP tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.

I. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

  1. Kişisel Veri Sahibinin Aydınlatılması

SERVER GROUP, kişisel verilerini işlediği kişilerin özel hayatının gizliliğine önem vermekte ve özel hayatın gizliliği ve kişisel verilerin korunmasına ilişkin alınması gereken tüm önlemleri almaktadır.

SERVER GROUP, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini KVKK’nın 10. maddesine uygun olarak aydınlatmaktadır. Bu kapsamda SERVER GROUP tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi esnasında;

  • Veri Sorumlusu olarak SERVER GROUP’unkimliği,
    • Kişisel verilerin hangi amaçla işleneceği,
    • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
    • Kişisel veri toplamanın yöntemi ve hukuki sebebi ile
    • Kişisel veri sahibinin KVKK’nın 11. maddesi kapsamında sahip olduğu haklara ilişkin aydınlatma yapılmaktadır.

1 SERVER GROUP Grup şirketleri; Server Yeminli Mali Müşavirlik Anonim Şirketi, SY Denetim ve SMMM Anonim Şirketi, Server Denetim ve YMM Hiz. Ltd Şti’dir.

SERVER GROUP ayrıca kişisel verilerin korunmasına ilişkin olarak kişisel verileri işleme faaliyetinde bulunduğunu kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır.

2. Özel Nitelikli Kişisel Verilerin Korunması

Özel nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. KVKK’nın 6. maddesi gereğince özel nitelikli kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak tanımlanmıştır.

SERVER GROUP, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında diğer kişisel verilerde olduğu gibi azami titizliği göstermektedir. Bu kapsamda, SERVER GROUP tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.

3. Veri Sahibinin Hakları

Kişisel veri sahipleri;

  • Kişisel veri işlenip işlenmediğini öğrenme,
    • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
    • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
    • Yurtiçinde veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
    • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
    • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
    • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

Kişisel veri sahibi haklarına ilişkin taleplerini yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle SERVER GROUP’ailetmesi durumunda, SERVER GROUP talebin niteliğine göre talebi en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırır.

Kişisel Veri Sahibi, Kişisel verileri ile ilgili talebini;

  • KVKK Kurul’u tarafından ayrı bir yöntem belirlenmesi halinde bu yöntem ile, veya “Bulgurlu Mah. İzzettin Bey Sok. Ekşioğlu Mehmet Sitesi F Blok No:26/3 Üsküdar, İstanbul” adresine yazılı ve ıslak imzalı olarak gönderebilecektir.

Kişisel Veri Sahibi yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin açıklamaların içeren başvuruda; talep edilen hususun açık ve anlaşılır olması, talep edilen konunun başvuranın şahsı ile ilgili olması veya başkası adına hareket ediliyor ise bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi, ayrıca başvurunun kimlik ve adres bilgilerini içermesi ve başvuruya kimliğini tevsik edici belgelerin eklenmesi gerekmektedir

Söz konusu talepler bireysel olarak yapılacak olup yetkisiz üçüncü kişilerin kişisel veriler ile ilgili yaptığı talepler değerlendirmeye alınmayacaktır.

II. KİŞİSEL VERİLERİN KVKK’DA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

  1. Temel İlkeler

SERVER GROUP, KVKK’nın 4. maddesindeki düzelemeye uygun olarak işlediği kişisel verileri; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar için işlenme ilkelerine uygun işleyecektir. İşlenen kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı, ölçülü ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.

İşbu Politika’da belirlenen sürelerin gelmesiyle birlikte kişisel veriler periyotlar halinde (

) ay içinde imha edilecek veya anonimleştirilecektir. Politika, bu temel ilkeleri esas alarak kişisel verilerin toplandığı amaçla sınırlı ve ölçülü toplanmasının ve kişisel verilerin korunmasına ilişkin güvenli bir yapının oluşturulmasının çerçevesini çizmektedir. SERVER GROUP, işlenmiş kişisel verileri bu temel ilkeye uygun olarak süresi geldiğinde imha edecek veya anonim hale getirecektir.

2. İstisnalar

  • Açık Rıza Alınarak Kişisel Veriyi İşleme

SERVER GROUP, kişisel verilerin korunması kapsamında kişisel verileri, KVKK’nın 5/1. maddesi hükmü doğrultusunda ancak kişinin açık rızasının olması halinde işleyecektir. SERVER GROUP, bu doğrultuda Anayasa ve KVKK hükümlerine uygun bir biçimde kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. SERVER GROUP bunu gerçekleştirmek için kişisel veri sahibini KVKK’ya uygun olarak aydınlatmakta ve aydınlatma yükümlülüğü sonrası meşru amaca uygun sınırlı ve ölçülü veriyi işlemektedir.

KVKK’nın 5/2. maddesinde kişisel verinin hukuka uygun işlenmesinin mümkün kılan istisnalar düzenlenmiştir. SERVER GROUP, bu doğrultuda açık rıza dışında, aşağıda yazan diğer şartlardan (istisnalar) birinin varlığı durumunda da kişisel verileri işleyebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

2.2 Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, ilgili kanunlarda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir. SGK kapsamında gerekli bildirimlerin yapılması için kişinin adı ve ikamet bilgilerinin paylaşılması; Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi bu duruma örnek gösterilebilir.

2.3 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. SERVER GROUP’de iş görüşmesine gelen çalışan adayının baygınlık geçirmesi ve şirketin ilgili kişileri tarafından nüfus cüzdanı bilgilerinin doktorlara iletilmesi durumu buna örnek gösterilebilir.

2.4 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür. Örneğin; gerçek kişi tacir ile akdedilen sözleşmesinin ifası için, tacire ödeme yapılabilmesi amacıyla, tacirin banka hesap bilgisinin ve bu amaç için gerekli nüfus cüzdanı bilgilerinin elde edilmesi.

2.5 Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Veri Sorumlusu olan SERVER GROUP’unhukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Hakim kararı ile talep edilen kişisel verilerin mahkemeye sunulması durumu buna örnek gösterilebilir.

2.6 Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Kişisel veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir. Örneğin; SERVER GROUP’a iş başvurusu yapmış olan çalışan adayının kendi blogunda kişisel verilerini herkese açık olarak paylaşması halinde, bu kişinin iletişim bilgileri sadece bu amaçla sınırlı olması kaydı ile işlenecektir.

2.7 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Bir hukuki ilişki doğrulusunda elde edilmiş ve ispat niteliği bulunan verilerin (örneğin bir faturanın) saklanması ve gerekli olduğu anda kullanılması buna örnek gösterilebilir.

2.8 SERVER GROUP’unMeşru Menfaati İçin Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, SERVER GROUP’unmeşru menfaatleri için veri işlemesinin zorunlu olması halinde, veri sahibinin kişisel verileri işlenebilecektir. Örneğin, SERVER GROUP’unmerkez girişi veya tesislerinin girişinde güvenlik amaçlı kamera kaydı alınması.

3. Özel Nitelikli Kişisel Veriler

KVKK’nın ilgili hükümleri doğrultusunda SERVER GROUP tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kişisel veri sahibinin açık rızası ile işlenebilmektedir.

Kişisel veri sahibinin açık rızası yoksa bu halde:

  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler,

kanunlarda öngörülen istisnai hallerde,

  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

4. Kişisel Verilerin Aktarılması

SERVER GROUP, KVKK’daki temel düzenlemeye uygun olarak kişilerin açık rızasını almadan kişisel verileri yurtiçinde veya yurtdışına aktarmamaktadır. Genel ilke bu olmakla birlikte, KVKK’nın öngördüğü durum ve istisnalarda açık rıza aranmaksızın kişisel veriler aktarılması mümkünse bu kapsamda kişisel verinin aktarılması mümkündür.

4.1. Yurtiçinde Aktarılması

SERVER GROUP, KVKK’nın kişisel verilerin yurtiçinde aktarılmasına ilişkin olan 8. maddesindeki hükmüne uygun olarak, işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere (Grup şirketlerine, iş ortaklarına, hissedarlarına, iştiraklerine, kanuni yükümlülüklerin bulunduğu kamu kurum ve/veya kuruluşlara ve sair üçüncü kişilere) aktarabilmektedir. SERVER GROUP, bu doğrultuda KVKK’nın 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

4.2. Yurtdışına Aktarılması

SERVER GROUP, KVKK’ya uygun işlediği ve açık rızasını aldığı veya KVKK’daki istisnalar doğrultusunda kişisel verileri, işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak yurtdışındaki üçüncü kişilere aktarabilmektedir. SERVER GROUP tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (Yeterli Korumaya Sahip Yabancı Ülke) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke) aktarılmaktadır. SERVER GROUP bu doğrultuda KVKK m. 9’da öngörülen düzenlemelere uygun hareket etmektedir.

III. SERVER GROUP TÜRKİYE TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMACI VE SAKLANMA SÜRELERİ

  1. Kişisel Verilerin Kategorizasyonu

SERVER GROUP, KVKK’da düzenlenmiş olan meşru amaç, sınırlı ve ölçülü olma ilkeleri ile KVKK’nın 4. maddesinde sayılmış temel ilkelere ve 5. maddede yer alan ilke ve istisnalara uygun kişisel verileri işlemektedir. SERVER GROUP’unbu ilkeleri esas alarak işlediği hukuka uygun kişisel veriler, kişisel veri işleme amaçları doğrultusunda işbu Politika’nın kapsamında belirtilmiş kişilerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVKK’nın

10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

1. Kişisel Veri Sahiplerine Göre Kategorizasyon

SERVER GROUP, temelde kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan kişilerin kişisel verilerini, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işleyebilmektedir. Bu kapsamda, kişisel verilerin işlenmesi, imhası ve kişisel veri kategorizasyonunun esaslarının belirlendiği işbu Politika KVKK kapsamında yayımlanacak ikincil mevzuat ve KVK Kurulu’nun çalışmalarıyla devamlı güncellenecektir.

SERVER GROUP tarafından toplanan kişisel veriler, iş ilişkisi, işçi işveren ilişkisi, tüketici işlemi, SERVER GROUP iş birimleri tarafından yürütülen operasyonlar ve sözleşmeler çerçevesinde işlenmektedir. Kişisel veri sahipleri genel olarak:

  • Müşteriler, potansiyel müşteriler,
    • Çalışanlar, çalışan adayları,
    • SERVER GROUP ile ilişkisi devam eden şirket emeklileri,
    • SERVER GROUP eski çalışanları,
    • Sözleşmesel ilişkiye girilen gerçek kişiler ve tüzel kişilerin yetkilileri, çalışanları,
    • Şirket hissedarları, şirket yetkilileri,
    • Ziyaretçiler,
    • İşbirliği içinde olduğumuz kurum ve kuruluşların çalışanları, hissedarları ve yetkilileri

ile

  • Üçüncü kişilerden oluşmaktadır.

2. Kişisel Veri Niteliğine Göre Kategorizasyon

SERVER GROUP tarafından toplanan kişisel veriler aşağıdaki kategorilerde işlenmektedir:

Kişisel VeriKişisel Veri Sahibi
Kimlik BilgisiÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Müşteriler, İşbirliği İçerisinde Olduğumuz Kurum veya Kuruluşların Çalışanları, SERVER GROUP Eski Çalışanları,  SERVER GROUP Türkiye     Emeklileri,     Temsilcileri     ve     Hissedarları,
 Sözleşmesel İlişkiye Girilen Gerçek Kişiler ve Tüzel Kişilerin Gerçek Kişi Yetkilileri, Ziyaretçiler ve Üçüncü Kişiler
İletişim Bilgisi (e-posta hesabı, sosyal medya hesabı, telefon numarası vs.)Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, Müşteriler, İşbirliği İçerisinde Olduğumuz Kurum veya Kuruluşların Çalışanları, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, Temsilcileri ve Hissedarları, Sözleşmesel İlişkiye Girilen Gerçek Kişiler ve Tüzel Kişilerin Gerçek Kişi Yetkilileri, Ziyaretçiler ve Üçüncü Kişiler
Lokasyon VerisiSERVER GROUP Araçlarını Kullanan Çalışanlar
Plaka BilgisiSERVER GROUP Araçlarını Kullanan Çalışanlar
Yakın BilgisiÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri
Meslek ve Çalışılan Yer BilgisiMüşteriler, Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, Sözleşmesel İlişki İçinde Bulunulan Üçüncü Kişiler
Askerlik BilgisiÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri
Sabıka Kaydı BilgisiÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, Hizmet Alınan Kuruluş Çalışanları, Vekalet Verilen Gerçek Kişiler, Sözleşmesel İlişki İçinde Bulunulan Üçüncü Kişiler, Yetkilileri ve Ortakları, İş Ortakları
Eğitim Bilgileri ve SertifikalarÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, Hizmet Alınan Kuruluş Çalışanları
Sürücü Belgesi/Ehliyet BilgisiÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri,
Kişisel VeriKişisel Veri Sahibi
Kaza Tutanağı ve FotoğraflarıÇalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri
Talep/Şikâyet Yönetimi BilgisiSERVER GROUP’ayöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin ilgili talep veya şikâyeti yapan kişi, SERVER GROUP ile İlişki İçinde Olan Kişiler Ve Üçüncü Kişiler
Fiziksel Mekân Giriş ve Güvenlik Bilgisi (Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, parmak izi kayıtları ve güvenlik noktasında alınan kayıtlar, şirket veya tesis girişlerinde alınan kayıtlar vb.)Bu veriler ziyaretçiler, çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, müşteriler, herhangi Bir Şekilde İlişki İçinde Bulunulan Üçüncü Kişiler
Finansal Bilgi (SERVER GROUP’unkişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi gibi verilerden oluşmaktadır)Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, Müşteriler, Müşterilerin Hangi Bankalarda Debit/Kredi Kartı olduğu Bilgisi, ödeme yapılacak üçüncü kişiler
Özel Nitelik Kişisel Veriler (KVKK 6. maddede belirtilen veriler. Örneğin, çalışanların kan grubu da dâhil sağlık verileri, biyometrik veriler, ceza mahkûmiyeti ve diğer alınan güvenlik tedbirleri, din ve üye olunan dernek bilgisi gibi)Çalışanlar, Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri
Kişisel VeriKişisel Veri Sahibi
İşlem Güvenliği Bilgisi (SERVER GROUP’unticari faaliyetlerini yürütürken teknik,   idari,   hukuki   ve ticari güvenliğimizi sağlamamız için işlenen kişisel veriler)SERVER GROUP’unticari faaliyetlerini yürütürken teknik, idari, hukuki ve ticari güvenliğini sağlaması için kişisel verileri işlenen kişiler
 
Hukuki İşlem ve Uyum Bilgisi (SERVER GROUP’un hukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerinin ve SERVER GROUP’un ilke ve politikalarına          uyum kapsamında işlenen kişisel veriler)SERVER GROUP’unhukuki alacak ve haklarının tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerinin ve SERVER GROUP’un ilke ve politikalarına uyum kapsamında kişisel verileri işlenen kişiler
Denetim ve Teftiş Bilgisi (SERVER GROUP’un kanuni yükümlülükleri ve şirket politikalarına            uyumu kapsamında işlenen kişisel verilerden oluşmaktadır)Çalışan Adayları, Şirket Yetkilileri, Hissedarlar, SERVER GROUP Eski Çalışanları, SERVER GROUP Emeklileri, Müşteriler, Ödeme Yapılacak veya İlişkide Olunan Üçüncü Kişiler

3. Kişisel Verilerin Aktarımına İlişkin Kategorizasyon

SERVER GROUP, kişisel verileri KVKK’nın 8. ve 9. maddelerindeki ilkelere uyun olarak ve KVKK’nın 10. maddesindeki aydınlatma yükümlülüğünü yerine getirerek veya KVKK’daki aktarıma ilişkin ve KVK Kurulu’nun oluşturacağı istisnalar kapsamında aktarmaktadır.

Buna göre kişisel veriler aşağıdaki gibi paylaşılmaktadır;

  • İş Ortakları ile Paylaşım: SERVER GROUP’unticari faaliyetlerini yürütürken ürün ve hizmetlerin satışı, tanıtımı ve pazarlaması, satış sonrası desteği, programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar SERVER GROUP’uniş ortaklarını oluşturmaktadır. Bu amaçları gerçekleştirmek için amaca uygun, sınırlı ve ölçülülük ilkesine uygun olarak veri işlenmekte ve gerekli güvenlikler alınarak aktarılabilmektedir.
    • Tedarikçilerle Paylaşım: SERVER GROUP’un sözleşmesel ilişki içinde olduğu tedarikçilere işlenen amaca uygun, sınırlı ve ölçülülük ilkesine uygun olarak tutulan veriler sadece ilişki kapsamı ile sınırlı olmak üzere aktarılmaktadır.
    • SERVER GROUP Grup Şirketleri: SERVER GROUP’un hissedarı olduğu veya SERVER GROUP’un hissedarı olan şirketlere sınırlı, ölçülü ve işlenen amaçla ilintili pazarlama faaliyeti veya insan kaynakları kapsamında işlenen kişisel veriler veya çalışanların kişisel verileri sınırlı ve ölçülü olarak aktarılabilmektedir.
    • Şirket Yetkilileri: SERVER GROUP’unimza sirkülerinde veya özel vekâletnamelerle yetkilendirilmiş kişilerin SERVER GROUP’unticari faaliyetlerine ilişkin stratejilerin tasarlanması, üst düzeyde yönetimin sağlanması ve denetim amaçlarıyla sınırlı olarak aktarılmaktadır.
  • Hukuken Yetkili Kamu Kurum ve Kuruluşları: İlgili mevzuat hükümlerine göre SERVER GROUP’den bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarına amaç kapsamında sınırlı ve ölçülü kişisel verinin aktarımı mümkündür.
    • Hukuken Yetkili Özel Hukuk Kişileri: İlgili mevzuat hükümlerine göre SERVER GROUP’den bilgi ve belge almaya yetkili özel hukuk kişilerine talepleriyle sınırlı ve ölçülü kişisel verilerin aktarımı yapılabilecektir.

4. İnternet Ziyaretçileri

SERVER GROUP’unsahibi olduğu internet sitelerinde; ilgili kanun ve mevzuattaki yükümlülüklerin yerine getirilmesi veya bu siteler üzerinden SERVER GROUP’atalep ve şikâyetlerini uygun bir şekilde gerçekleştirmelerini temin etmek amacıyla kişisel veriler işlenebilmektedir.

SERVER GROUP, yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin gerekli güvenlikleri almakta ve ilgili internet sitelerinde detaylı açıklama metinleriyle bilgilendirmeyi yerine getirmektedir.

5. SERVER GROUP Çalışanları

SERVER GROUP ile iş sözleşmesi kapsamında hukuki ilişki içinde olan SERVER GROUP çalışanlarının, emeklilerinin veya eski çalışanlarının kişisel verileri KVKK’nın 4. maddesindeki temel ilkelere ve 5. maddesi ile 6. maddesinde yer alan esaslara ve istisnalara uygun olarak işlenmekte ve yine KVKK’nın 8. ve 9. maddelerindeki ilkelere uyun olarak aktarılmaktadır.

Çalışanlar ile sözleşmesel ilişki kurulurken aydınlatma yükümlülüğü yerine getirilerek çalışanın açık rızası alınmaktadır. Çalışanların kişisel verileri bu meşru amaç doğrultusunda, SGK bildirimleri, İş Kanunu ve sair ilgili mevzuatta işverene yüklenen yasal yükümlülükleri yerine getirilmek amacıyla toplanıp işlenmektedir. SERVER GROUP çalışanlarının kişisel verileri iş sözleşmesi sebebiyle bu amaçla sınırlı olarak gerek yazılı gerekse elektronik herhangi bir araçla toplanıp işlenebilmektedir.

Açık rızası bulunmayan çalışanların da kişisel verileri sözleşmesel ilişkideki yükümlülüklerin yerine getirilmesi amacıyla KVKK’daki istisnaya uygun olarak sınırlı, ölçülü işlenmekte ve aktarılabilmektedir. Çalışanların kişisel verileri kanunlardaki yükümlülüklerin yerine getirilmesi veya bir ihtilafın bulunması halinde bu ihtilafın sonunda kanunlardaki zamanaşımı süreleri dikkate alınarak tutulmakta ve işlenmektedir. Bu amacın gerçekleşmesi sonrası kişisel veriler yok edilmekte veya anonim hale getirilmektedir.

B. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

SERVER GROUP, KVKK m. 4’teki temel ilkelere ve bu Politika’da belirlenen esaslara uygun olarak kişisel verileri işlemektedir. KVKK’nın 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar aşağıdaki gibidir;

  • Kişisel verilerin işlenmesine ilişkin SERVER GROUP’unilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi,
  • Kişisel verilerin SERVER GROUP tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
    • Kişisel verilerin işlenmesinin SERVER GROUP’unhukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
    • Kişisel verilerin kişisel veri sahibi tarafından alenileştirilmiş olması şartıyla; veri sahibinin alenileştirme amacıyla sınırlı bir şekilde SERVER GROUP tarafından amaca uygun, sınırlı ve süreli işlenmesi,
    • Kişisel verilerin SERVER GROUP tarafından işlenmesinin SERVER GROUP’unveya veri sahiplerinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
    • Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla SERVER GROUP’unmeşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
    • SERVER GROUP tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
    • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
    • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.

Yukarıda belirtilen şartların bulunmaması halinde, SERVER GROUP kişisel veri işleme faaliyetinde bulunmak için kişisel veri sahiplerinin açık rızalarına başvurmaktadır.

Bu çerçevede SERVER GROUP kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla

işleyebilmektedir:

  1. SERVER GROUP tarafından sunulan ürün ve hizmetlerden kişisel veri sahiplerini faydalandırmak için gerekli çalışmaların SERVER GROUP iş birimleri tarafından yerine getirilmesi amacı doğrultusunda; sözleşme süreçlerinin ve/veya hukuki taleplerin takibi, müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası, satış süreçlerinin planlanması, yürütülmesi ve tamamlanması, müşteri talep ve/veya şikâyetlerinin takibi,
  2. SERVER GROUP tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi amacı doğrultusunda; bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, kurumsal iletişim faaliyetlerinin planlanması ve icrası, lojistik faaliyetlerinin planlanması ve icrası, iş sürekliğinin sağlanması faaliyetlerinin planlanması ve/veya icrası, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, finans ve/veya muhasebe işlerinin takibi, etkinlik yönetimi, kurumsal sosyal sorumluluk faaliyetlerinin planlanması ve icrası, kurumsal yönetim faaliyetlerin planlanması ve icrası, iş faaliyetlerinin etkinlik/verimlilik ve/veya yerindelik analizlerinin gerçekleştirilmesi faaliyetlerinin planlanması ve/veya icrası, iş ortakları ve/veya tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası, iş faaliyetlerinin planlanması ve icrası, araştırma ve geliştirme faaliyetlerinin planlanması ve icrası,
  • SERVER GROUP’uninsan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi amacı doğrultusunda; çalışanların ve çalışan adayları ile işbirliği içerisinde olduğumuz kuruluşların çalışanlarının iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, iş faaliyetlerinin yürütebilmesi için ihtiyacı olan ürün ve hizmetlerin temin edilmesi, iş faaliyetlerinin takibi ve/veya denetimi, yan haklar ve menfaatlerin planlanması ve icrası, personel temin süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin planlanması ve takibi, yetenek – kariyer gelişimi faaliyetlerinin planlanması ve icrası, şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası, memnuniyet ve/veya bağlılık süreçlerinin planlanması ve icrası, insan kaynakları süreçlerinin planlanması, üretim için gerekli olan insan kaynakları ihtiyaçlarının planlanması ve icrası, çalışanlara yönelik kurumsal iletişim ve/veya çalışanların katılım sağladığı kurumsal sosyal sorumluluk ve/veya sivil toplum kuruluşları faaliyetlerinin planlanması ve/veya icrası,
  • SERVER GROUP’unveya SERVER GROUP ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda; şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası, acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin planlanması ve/veya icrası, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuk işlerinin takibi, ziyaretçi kayıtlarının oluşturulması ve takibi, şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini, şirket operasyonlarının güvenliğinin temini, şirket denetim faaliyetlerinin planlanması ve icrası, verilerin doğru ve güncel olmasının sağlanması, şirketin finansal risk süreçlerinin planlanması ve/veya icrası,
  • SERVER GROUP’unticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; şirket dışı eğitim faaliyetlerinin planlanması ve icrası, iş ortakları, tedarikçilerle olan ilişkilerin yönetimi.

SERVER GROUP, kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

SERVER GROUP’de, bu ve benzeri amaçları gerçekleştirmek için esas olarak kişilerin açık rızasının alınması hedeflenmektedir. KVKK’da sayılan istisnaların olduğu durumlarda bu amaçların gerçekleştirilmesi söz konusu istisnalar doğrultusunda yine meşru amaç doğrultusunda sınırlı ve ölçülü kişisel veriler tutulmaktadır.

Kişinin açık rızasının bulunmadığı durumlarda, KVKK’da belirtilen istisnalar çerçevesinde kişisel verilerin işlenmesi gerçekleştirilir. KVKK’daki istisnaların da kişisel veri işlenmesine izin vermemesi durumlarda kişinin açık rızasının da bulunmaması halinde kişisel veriler işlenmez. Burada çıkarılması gereken anlam, kişisel veri sahibinin veri işlemeye yönelik açık rızasına gerek olmayan faaliyetlerin istisna kapsamında yerine getirilebilmesi, fakat rıza gerektiren ve KVKK’daki istisna kapsamına girmeyen hususlarda kişisel veri işleme faaliyetlerinin yapılmamasıdır.

C. SERVER GROUP TÜRKİYE MERKEZ VE/VEYA TESİSLERİNİ ZİYARET EDEN KİŞİLERİN KİŞİSEL VERİLERİNİN İŞLENMESİ

SERVER GROUP, gerek merkez gerekse tesislerinin güvenliğinin sağlanması amacıyla, merkez binalarında ve tesislerinde, güvenlik kamerasıyla izleme, kayıt, giriş kartı okutma ve kimlik kaydı faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunmaktadır.

Güvenlik kamerası ile izleme faaliyeti ve girişlerde kimlik kontrolü, kart okutma ve bunların kaydı SERVER GROUP’unve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korunması amacını taşımakta olup, bu kapsamda SERVER GROUP Anayasa, KVKK ve ilgili diğer mevzuata uygun olarak hareket etmektedir. SERVER GROUP tarafından, KVKK’nın 12. maddesine uygun olarak, kamera ile izleme faaliyeti, kimlik kaydı sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

D. ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ

SERVER GROUP, çalışan adaylarının işe alım sürecinde kişisel verilerini İş Kanunu ve sair ilgili mevzuatta işverene yüklenen yasal yükümlülükleri yerine getirmek, SERVER GROUP insan kaynaklarının belirlediği faaliyetlerin icrası, işe alımın gerçekleştirilmesi amacıyla aydınlatma yükümlülüğünü de yerine getirerek ve esas olarak kişinin açık rızasını alarak işlemektedir.

Çalışan adaylarının kişisel verileri iş görüşmesi veya iş sözleşmesi sebebiyle bu amaçla sınırlı olarak gerek yazılı gerekse elektronik herhangi bir araçla toplanıp işlenmektedir. Çalışan adaylarının kişisel verilerinin işlenmesi için aydınlatma yükümlülüğü yerine getirilerek belirli, ölçülü ve değinilmiş olan meşru amaçlar için sağlık verileri ve KVKK’nın 6/3 maddesindeki özel nitelikli kişisel veriler de işlenebilmektedir. KVKK’daki hükümler doğrultusunda ve bu Politika’da düzenlenmiş ilkelere uyun olarak çalışan adayının kişisel verileri belirtilen amaçlar doğrultusunda işlerin yerine getirilmesi için şirketin sistemlerinde saklanabilmektedir. SERVER GROUP bu verileri yasal bir şekilde talep edilmesi halinde ilgili resmi kurum ve kuruluşlarla paylaşabilir.

Çalışan adaylarının kişisel verilerinin işlenmesindeki temel gaye işe alım olmakla birlikte aşağıdaki amaçların gerçekleştirilmesi için de kişisel veriler işlenebilmektedir. Söz konusu amaçlar:

  1. Adayın niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
  2. Gerektiği takdirde, adayın ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip aday hakkında araştırma yapmak,
  3. Başvuru ve işe alım süreci hakkında aday ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için aday ile iletişime geçmek,
  4. İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşun taleplerini karşılamak.

Çalışan adaylarının kişisel verileri aşağıdaki yöntem ve vasıtalarla toplanabilmektedir:

  1. Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu;
  2. Adayların şirketimize e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler,
  3. İstihdam veya danışmanlık şirketleri,
  1. Aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller

ile SERVER GROUP tarafından yapılan araştırmalar,

  • Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri.

Çalışan adaylarının kişisel verileri de işbu Politika’nın “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun tutulmaktadır. Bu sürenin ikmaliyle birlikte kişisel veriler imha edilmekte veya anonim hale getirilmektedir.

E. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

SERVER GROUP, temel ilke olarak ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmasını esas almaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, o veriyi işlerken yürütülen faaliyet ile bağlı olarak SERVER GROUP’unuygulamaları ve ticari yaşamının teamülleri veya ilgili kanunlarda öngörülen zamanaşımı süreleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirmektedir.

Kişisel verilerin işlenme amacı sona ermiş ise, SERVER GROUP ilgili mevzuat açısından saklanma sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin belirlenmesinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda SERVER GROUP’ayöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

SERVER GROUP TÜRKİYE KİŞİSEL VERİLERİ SAKLAMA ve SİLME SÜRELERİ
Verinin NiteliğiSaklama SüresiPeriyodik İmha Süreleri
Fatura Bilgileri10 yıl (Sözleşmeden kaynaklanan ilişkinin sona ermesinden itibaren) 
Danışma Ziyaretçi Bilgileri1 ay (Ziyaretin gerçekleştiği günden itibaren) 
Çalışanların Özlük Dosyası10 yıl (İş sözleşmesinden kaynaklanan ilişkinin sona ermesinden itibaren) 
Çalışanların Kişisel Sağlık Dosyaları15 yıl (İş sözleşmesinden kaynaklanan ilişkinin sona ermesinden itibaren) 
Çalışanların Araç Takip Bilgileri1 ay (Verinin    oluştuğu     günden itibaren) 
Çalışanların Parmak İzi ve Yüz Tanıma Sistemi Biyometrik Kaydı1 ay (İş sözleşmesinden kaynaklanan ilişkinin sona ermesinden itibaren) 
Aday Çalışan Bilgileri15 gün (Verinin oluştuğu günden itibaren) 

IV. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

  1. SERVER GROUP’UN KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ

SERVER GROUP, KVKK ve ilgili mevzuat hükümlerine uygun işlediği ve işbu Politika’da detaylı kategorize etmiş olduğu kişisel verileri, bunların işlenmesini gerektiren sebeplerin ortadan kalkmasından itibaren Politika’daki sürelere uygun olarak imha edecek veya anonimleştirecektir. TCK m. 138 ve KVKK m. 7 hükümlerinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde SERVER GROUP’un kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

Bu kapsamda, SERVER GROUP ilgili yükümlülüğünü yerine getirmek üzere gerekli teknik ve idari tedbirleri almıştır. Zaman içinde bu konuda gerekli güncellemeler ve işleyiş mekanizmaları geliştirilecek olup, bu yükümlüklerine uygun davranmak üzere ilgili iş birimleri devamlı eğitilmektedir. Yine farklı görevlendirmeler ve eğitimlerle SERVER GROUP bünyesinde kişisel veri kültürünün daha da yerleşmesi için iş birimlerinin farkındalıkları artırılmaktadır. İşbu Politika’nın “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun olarak kişisel veriler tutulur. Bu sürelerin geçmesiyle birlikte kişisel veriler aşağıda açıklanan usullerle veya ikincil mevzuat ve KVK Kurulu’nun belirleyeceği diğer usullerle kademeli olarak imha edilir veya anonim hale getirilir.

SERVER GROUP; silme, yok etme ve anonimleştirme ile ilgili gerekli görevlendirmeleri ve çalışmaları yürütür. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenme sebeplerini ortadan kaldıran KVKK m. 5 ve 6. madde hükümleri ve bu hususta yayımlanacak Yönetmelik hükümleri doğrultusunda özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilir. Bu haller:

  1. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
    1. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  • Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
    • Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
    • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
    • İlgili kişinin, Kanun’un 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
    • Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurula şikâyette bulunulması ve bu talebin KVK Kurul tarafından uygun bulunması,
    • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
    • KVKK’nın 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

Bu hallerde kişisel veriler, SERVER GROUP tarafından kanuni ve hukuki sorumlulukları doğrultusunda resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.

B. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ

  1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

SERVER GROUP, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması ve Yönetmelik’te düzenlenmiş hallerin ortaya çıkması halinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler veya yok eder. SERVER GROUP tarafından kullanılabilecek silme veya yok etme tekniklerinin bir kısmı aşağıda sıralanmaktadır:

a. Fiziksel Olarak Yok Etme

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

b. Yazılımdan Güvenli Olarak Silme

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak/erişilemeyecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

2. Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. SERVER GROUP hukuka uygun

olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVKK 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVKK kapsamı dışında olacağından işbu Politika’da düzenlenen haklar bu veriler için geçerli olmayacaktır.

SERVER GROUP tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

  • Maskeleme Veri

Maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No, plaka vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkansız hale geldiği bir veri setine dönüştürülmesi.

  • Toplulaştırma

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Çalışanların yaşlarını tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

  • Genelleştirme

İlgili veriyi özel bir değerden, daha genel bir değere çevirme yöntemiyle kişisel verilerin anonimleştirilmesidir. Örneğin, il bilgisinin önemli olduğu bir plaka bilgisinde rakam kısmının daha genel bir veri kümesi olan 0000’a taşınması genelleştirme yaklaşımıyla veri kümesi üzerinde anonimlik sağlanabilir.

  • Veri Türetme

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

  • Veri Karması

Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder. Yaş ortalaması alınmak istenen bir sınıfta kişilerin yaşlarını gösteren değerlerin birbirleriyle değiştirilmesi durumunda veri karması yapılmıştır.

C. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ SERVER GROUP DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

SERVER GROUP işbu Politika ile ortaya koymuş olduğu esasların uygulanmasını temin etmektedir. Kişisel verilerin korunması konusunda ortaya konulan Politika ve diğer Entegre Yönetim Sistemleri altında yönetilir ve SERVER GROUP’un diğer işlettiği süreçler arasında uyumluluk da sağlanmaktadır.

D. SERVER GROUP TÜRKİYE KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ UYGULANMASI YÖNETİMİ YÜRÜRLÜK VE YÜKÜMLÜLÜKLER

SERVER GROUP bünyesinde işbu Politika ve bu Politika’nın yönetimi ve yürürlüğü ile ilgili yükümlülükler aşağıdaki gibidir:

  1. Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak üzere Yönetim Kurulu’nun onayına sunmak,
    1. Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst Yönetim Kurulu’nun onayına sunmak,
    1. SERVER GROUP, kişisel veri koruma kültürünün daha da gelişmesi için çalışmalar yürütmek,
    1. KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
    1. Kişisel verilerin korunması ve işlenmesi konusunda SERVER GROUP içerisinde ve SERVER GROUP iş ortakları nezdinde farkındalığı arttırmak,
    1. SERVER GROUP’un kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Yönetim Kurulu’nun onayına sunmak,
    1. Kişisel verilerin korunmasına ilişkin ilgili mevzuatı takip ederek SERVER GROUP için

hazırlanmış metinlerde, Politikalarda güncellemeler yapmak,

  • Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve gerekli onayların alınmasının akabinde eğitimleri gerçekleştirmek,
    • Kişisel veri sahiplerinin başvurularını hızlı şekilde karşılayacak bir mekanizma oluşturarak bunları karara bağlamak,
    • Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek,
    • Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak SERVER GROUP içinde yapılması gerekenler konusunda Yönetim Kurulu’na tavsiyelerde bulunmak,
    • KVK Kurulu ve KVK Kurumu ile olan ilişkileri koordine etmek,
    • SERVER GROUP Yönetim Kurulu’nun kişisel verilerin korunması konusunda vereceği diğer

görevleri yerine getirmek.

E. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE HAKKIN SERVER GROUP TÜRKİYE’YE YÖNELTİLMESİ

Kanun’un 13. maddesine göre; ilgili kişilerin, Kanun’un uygulanmasıyla ilgili taleplerini, öncelikle Veri Sorumlusu SERVER GROUP’a iletmeleri zorunludur. SERVER GROUP, ilgili kişilerin, taleplerini veri sorumlusuna yazılı olarak ya da KVK Kurulu’nun belirleyeceği diğer yöntemlerle iletebilmelerine imkân sağlamaktadır.

Talebi alan SERVER GROUP, ücretsiz olarak veya işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurul tarafından belirlenen tarifeye göre alacağı ücret mukabilinde en kısa sürede ve en geç 30 gün içinde talebi incelemesi; kabul veya gerekçesini açıklayarak reddetmesi, ayrıca cevabını ilgili kişiye bildirmesi öngörülmektedir. Kişisel veri sahibinin, Veri Sorumlusu SERVER GROUP’a Ek:2’deki formu doldurarak veya KVK Kurulu’nun düzenleyecek başka mekanizmalarla başvurarak kişisel verilerinizin işlenip işlenmediğini öğrenme, bu veriler işlenmiş ise buna ilişkin bilgi talep etme, kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenme, kişisel verilerin gerek yurtiçinde gerekse yurtdışında aktarılması söz konusu ise bu kişi ve yerleri öğrenme, kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme, şartları gerçekleşmiş ise kişisel verilerinizin silinmesini isteme, kişisel verilerinizin düzeltilesi veya yok edilmesi halinde bu hususu verilerin aktarıldığı üçüncü kişilere bildirme, otomatik işleme halinde ortaya çıkan sonuçlara itiraz etme hakkı bulunmaktadır.

SERVER GROUP, bu talebin kendisine yazılı olarak ulaştırılmasının veya KVK Kurulunun düzenleyeceği başka mekanizmalarla ulaştırılması halinde bu taleplere en geç 30 gün içinde yazılı cevap verecek ve gerekli aksiyonları alacaktır.