AYDINLAR GROUP İÇ VE DIŞ TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1.TANIMLAR

2.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ AMACI

İşbu politika Aydınlar Group İç ve Dış Ticaret Anonim Şirketi, (Bundan sonra kısaca “Aydınlar AŞ.” veya “Şirket” olarak anılacaktır.)bünyesindeki kişisel verilerin korunmasına ve işlenmesine ilişkin usul ve kaidelerin belirlenmesini amaçlamaktadır. Politika ve şirket içerisinde muhtelif düzenlemeler sayesinde 6698 Sayılı Kişisel Verilerin Korunması Kanununun gereklilerine uyum sağlanmaktadır.

Yönetim Kurulu işbu politikanın takibi ve uygulamasından bizzat sorumludur. Politika şirket gereklerine uygun olarak revize edilmektedir. Yönetim Kurulu’nun re’sen işbu politika üzerinde değişiklik yapma yetkisi haizdir.

3.KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ KAPSAMI

İşbu Politika 6698 Sayılı Kişisel Verilerin Korunması Kanununa uygun olarak hazırlanmıştır.

Şirkette, kişisel veriler açık rıza ya da kanuna uygunluk halleri kapsamında bazı hukuki sebeplere dayanmak kaydıyla açık rıza alınmaksızın işlenmektedir. Söz konusu kişisel veriler;

-Hizmet Kalitesinin Arttırılması,

-Ticari Faaliyetin Sürdürülebilmesi,

-Hizmetlerin ve Kalite Politikamızın Geliştirilebilmesi,

-Sorunlarınızın Hızlıca Çözümlenebilmesi,

-Yasal Sorumluluklarımızın Yerine Getirilebilmesi,

Amaçlarıyla ve gerektiği durumda işbu amaçlarla sınırlı olmamak üzere kullanılmakta ve işlenmektedir.

Kişisel veriler saklama sürelerinin sonunda kişisellikten çıkarılarak anonimleştirilmekte, silinmekte veya yok edilmektedir. İstatistik amacıyla kullanılan veriler halihazırda kanunun düzenlemesine ve politika kapsamına dâhil değildir.

4.KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ TEMEL İLKELER

Kişisel veriler işlenirken aşağıdaki ilkelere riayet edilmektedir.

-Hukuka Uygun Olması: Aydınlar AŞ gerçek ve tüzel kişilerden kendisine gelen ve muhtelif yollardan topladığı kişisel verilerin kaynağını ve hukuka uygunluğunu sorgulamaktadır. Bu bağlamda verilerin hukuka uygun olarak elde edilmesi Aydınlar AŞ.için önem arz etmektedir.

-Dürüstlük Kurallarına Uygun Olması: Aydınlar AŞ gerçek ve tüzel kişilerden kendisine gelen ve muhtelif yollardan topladığı kişisel verilerin kaynağını sorgulamaktadır. Bu bağlamda verilerin dürüstlük kuralları çerçevesinde elde edilmesi Aydınlar AŞ.için önem arz etmektedir.

-İşlendikleri Amaçla Sınırlı, Ölçülü ve Bağlantılı Olması: Aydınlar AŞ muhtelif yollardan elde ettiği kişisel verileri işlendikleri amaca uygun, işlenme amacıyla sınırlı, ölçülü ve hizmetin ifasının gerektirdiği ölçüde kullanmaktadır.

-Kişisel VerilerinDoğru Olması: Aydınlar AŞ gerçek ve tüzel kişilerden kendisine gelen ve muhtelif yollardan topladığı kişisel verilerin yanlış bilgi içermemesine ve doğru olmasına önem vermektedir.

-Gerektiğinde Güncel Olması: Aydınlar AŞ muhtelif şekillerde elde ettiği kişisel verilerde değişiklik olmuşsa, söz konusu değişikliğin şirkete iletilmesi durumunda verinin güncellenmesini gerçekleştirmektedir.

-Belirli ve Meşru Amaçlar İçin İşlenmesi: Aydınlar AŞ kişisel verileri Kanunun 5. maddesi çerçevesindeki hukuki sebeplere dayanarak işlemektedir. Bu bağlamda Aydınlar AŞ.belirli ve meşru amaçlar haricinde kişisel veri işleme faaliyeti gerçekleştirmemektedir.

-Kanunda Öngörülen ve/veya İşlendikleri Amaç İçin Gerekli Olacak Süre Kadar Muhafaza Edilmesi: Aydınlar AŞ elde ettiği kişisel verileri ilgili kanunlarda öngörülen süreler boyunca saklamaktadır. Bu bağlamda sözleşme kaynaklı kişisel verileri zamanaşımı ve muhtelif kanunların öngördüğü uyuşmazlık çıkma süreleri Ticaret, Borçlar ve Vergi Hukukunun gereklilikleri kadar uhdesinde muhafaza etmektedir. Söz konusu amaçlar son bulduğunda veriyi anonimleştirmekte, yok etmekte veya silmektedir.

5.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE HUKUKİ SEBEPLERİ

Kişisel verilerin işlenmesi Aydınlar AŞ.’ne ait muhtelif Aydınlatma Metinlerindeki belirtilen amaçlar çerçevesinde gerçekleştirilmektedir. Her Aydınlatma Metni uyarınca kişisel veri işleme amaçları farklılık gösterebilmektedir. Yine kişisel verilerin işlenmesine yönelik Aydınlatma Metinleri başta olmak üzere şirket içerisinde yürürlüğe konulmuş muhtelif politikalar ve düzenlemelerde kişisel veri işleme amaçlarını ortaya koymaktadır.

Kişisel verilerin işlenmesine yönelik hukuki sebepler, hukuki ilişkinin niteliğine ve kişisel verinin elde ediliş amacına göre değişkenlik göstermektedir. Bu bağlamda şirket Kanunun 5. maddesinde öngörülmüş olan hukuki sebeplere dayanarak veri işleme faaliyeti gerçekleştirmektedir. Fakat genel anlamda kişisel veri işlemeye ilişkin hukuki sebepler sınırlayıcı olmamak kaydıyla aşağıdaki gibi sıralanabilir.

-Reklam amaçlı gönderilen elektronik iletilerde alıcıdan onay alınması gerekmektedir. Bu bağlamda ancak önceden onay alınan kişilere reklam amaçlı elektronik ileti gönderilebilir. Söz konusu husus “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun” ile “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik”’te de açıkça düzenlenmiştir.

Aydınlar AŞ. reklam amaçlı elektronik ticari ileti gönderirken yukarıda bahsi geçen Kanun hükümlerine uygun davranmaktadır. Yine Kanuna uygun olarak onayın alınmasına ve onayın detaylarına riayet etmektedir. Söz konusu onay; her türlü elektronik iletişim aracıyla veya yazılı olarak fiziki ortamda alınabilir. Onayda esas olan ticari elektronik ileti alıcısının, ticari elektronik ileti gönderilmesini kabul ettiğine dair olumlu irade beyanının varlığı, elektronik iletişim adresi ve ad-soyadının bulunmasıdır.

Alıcıdan alınan onay, şirketin mal ve hizmetlerini pazarlamak, tanıtmak, işletmesini tanıtmak, tanınırlığını sağlamak, kutlama, temenni ve tebrik vb. içeriklerle tanınırlığını arttırmak amacıyla elektronik iletişim adreslerine gönderilen tüm ticari elektronik iletileri kapsamalıdır.

Şirket, elektronik iletilerde alıcıdan alınan onayın yanında ilgili kişiyi aydınlatma ve gerektiği durumda kişisel verinin işlenmesine ilişkin olarak açık rızada almaktadır. 

-Müşteriler ile sözleşme ilişkisi kurulmuş veya muhtemel müşterilerle sözleşme ilişki kurulmak üzere görüşmeler yapılıyor ise, sözleşme uyarınca toplanmış ya da toplanacak olan kişisel veriler açık rıza alınmaksızın Aydınlar AŞ. tarafından kullanılabilir. Söz konusu kişisel veriler hizmetin ifası, sözleşmenin icrası, ticari faaliyetin yürütümü çerçevesinde kullanılmaktadır. Dolayısıyla bu kullanım sözleşme amacının doğrultusunda gerçekleştirilmektedir. İşbu veriler müşterilerle iletişime geçerek güncellenebilir.

-Otomatik sistemler aracılığıyla kişilerin açık rızası olmaksızın elde edilen bilgilerden edinilen veriler kişiler aleyhine kullanılamaz. Aydınlar AŞ sadece kendi sistemindeki verileri kullanarak işlem yapacağı kişilerle ilgili karar alabilmektedir. Tüm bunlardan bahisle Aydınlar AŞotomatik sistemler vasıtasıyla işlenen kişisel verilerde ilgili mevzuat hükümlerine uygun davranmaktadır.

-Çalışanlara ait kişisel veriler, açık rıza alınmaksızın Aydınlar AŞ tarafından işlenebilir. Söz konusu verilerin açık rıza alınmaksızın işlenmesi Kanunun 5. Maddesinin 2. Fıkrasındaki halleriyle sınırlıdır.

-İşin ifasının daha kolay sağlanabilmesi adına Aydınlar AŞ. Tarafından çalışanlarına bilgisayar, telefon, araba, uygulamalar, yazılımlar ve e-posta tahsis edilebilmektedir. Aydınlar AŞ tahsis ettiği araçlar üzerindeki kişisel verileri kontrol edebilir ve denetleyebilir. Fakat çalışan kendisine tahsis edilen araçları özel amaçları için kullanamaz. Sadece işin ifasını sağlamak maksadı ile kullanması zorunludur. Şirket, işbu veri işleme faaliyeti kapsamında da Kanunun 5. Maddesindeki hukuki sebeplere uygun hareket etmektedir.

6.KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, Aydınlar AŞ.’nin faaliyetlerinin görülebilmesi amacıyla muhtelif gerçek ve tüzel kişilerle paylaşılabilir. Yine gerektiği durumlarda yurt dışına aktarılabilir. Kişisel verilerin aktarımı hususunda Kanunun 8. ve 9. maddesine riayet edilmektedir. Bu bağlamda ilgili kişiden açık rıza alınmakta ya da Kanunun m. 8/2 veya m.9/2 hükmü kapsamında açık rıza alınmaksızın veri aktarımı yapılmaktadır. Tüm bunlara ek olarak şirket veri aktarımı konusunda benimsemiş olduğu “AYDINLAR GROUP İÇ VE DIŞ TİCARET ANONİM ŞİRKETİKİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN POLİTİKA”’ya da riayet etmektedir. Dolayısıyla kişisel verilerin aktarılmasına ilişkin ayrıntılı tüm hususlara işbu politikada yer verilmiştir.

7.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Yargı süreçlerinin tamamlanması, Kanunlarda öngörülen zamanaşımı sürelerinin dolması, veyahut gerekli durumların ortadan kalkması halinde kişisel veriler şirket tarafından kendiliğinden veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir. Şirket kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin olarak“Aydınlar Group İç Ve Dış Ticaret Anonim ŞİRKETİ Kişisel Verileri Ve/Veya Özel Nitelikli Kişisel Verileri Saklama Ve İmha Politikası”’sına riayet etmektedir. Bu bahisle verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin ayrıntılı bilgiler ve şirket uygulaması işbu politikada düzenlenmiş vaziyettedir.

8.KİŞİSEL VERİLERİN GİZLİLİĞİ VE GÜVENLİĞİ

Şirket kişisel verilerin korunması, yetkisiz kişilerin eline geçmemesi ve verisi işlenen üçüncü kişilerin mağdur edilmemesi için gereken teknik ve idari tedbirleri almaktadır. Kişisel verinin korunmasına ilişkin yazılım programları şirketin kapasitesine ve tuttuğu verinin niteliğine uygun olarak seçilmektedir. Yine Kanunun getirdiği hükümlere uygun olarak hazırlanmış politikalara riayet edilmektedir. Kişisel verilerin paylaşıldığı üçüncü kişilerden de bu kapsamda veri koruması talep edilmektedir. Tüm bunlardan bahisle kişisel veriler gizlidir ve şirketişbu gizliliğe riayet etmektedir.

9.KİŞİSEL VERİLERİN GÜNCELLİĞİ

Kişisel verilerin güncelliği kişisel verileri işlemeye yönelik temel prensiplerarasındadır. Şirket elde ettiği kişisel verilerin güncel olmasına riayet etmektedir. Resmi evraklardan veya verisi işlenen gerçek kişinin talebi uyarınca veri güncellemesi yapmaktadır. Yine verinin güncelliği konusunda şüphe duyulduğu durumlarda ilgili kişiden kişisel verinin güncel olup olmadığını teyit edilmektedir. Ek olarak kişiselveri değişikliğe uğramışsa değişikliğin şirkete iletilmesine müteakip olarak verinin güncellemesi yapılmaktadır. Şirket, kişisel verinin güncellemesine ilişkin olarak “Aydınlar Group İç Ve Dış Ticaret Anonim ŞirketiKişisel Verilerin Ve Özel Nitelikli Kişisel Verilerin Güncellenmesine İlişkin Politika”’ sına riayet etmektedir. Bu bahisle verilerin güncellemesine ilişkin ayrıntılı bilgiler ve şirket uygulaması işbu politikada düzenlenmiş vaziyettedir.

10.KİŞİSEL VERİLERİN DOĞRULUĞU

Şirket, gerçek ve tüzel kişilerden kendisine gelen ve muhtelif yollardan topladığı kişisel verilerin yanlış bilgi içermemesine ve doğru olmasına önem vermektedir. Söz konusu verilerin doğru olup olmadığını araştırma yükümlülüğü altında değildir. Zira çalışma prensibi ve hukuki açıdan her verinin doğru olup olmadığının araştırılması mümkün değildir. Bu bahisle beyan edilen kişisel veriler doğru olduğu kabul edilmektedir.

11.TEKNİK VE İDARİ TEDBİRLER

Şirket, kişisel verilerin korunması hususunda gereken teknik ve idari tedbirleri almaktadır. Bu bağlamda şirket tarafından teknik ve idari tedbirleri aşağıdaki gibi sıralamak mümkündür.

11.1.İdari Tedbirler

-Şirket bünyesinde fiziksel ortamlarda (cihaz, kayıt… vb.) saklanan kişisel veriler için fiziksel mekân güvenliğinin sağlanması adına gereken tedbirler alınmaktadır.

-Kişisel verilerin yer aldığı fiziksel ortamların dış risklere karşı korunması için gereken tedbirler alınmaktadır.

-Kişisel verilerin korunması için fiziksel mekân güvenliği tedbirleri alınmaktadır.

-Kişisel verilerin tutulduğu sistem odaları kilitli tutulmakta ve söz konusu odalara giriş çıkışlar sınırlandırılmaktadır.

-Çalışanların iş, görev, yetki ve sorumlulukları göz önünde bulundurularak sınırlı sayıda kişinin veri içeren odalara giriş çıkışına izin verilmekte, izinli kişiler kayıt altında tutulmaktadır.

-Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

-Personel özlük dosyaları kilitli dolaplarda ve kilitli odalarda tutulmaktadır. Söz konusu odalara giriş çıkışlar sınırlandırılmaktadır. Ek olarak çalışanların iş, görev, yetki ve sorumlulukları göz önünde bulundurularak sınırlı sayıda kişinin odaya giriş çıkışına izin verilmekte, izinli kişiler kayıt altında tutulmaktadır.

-Kağıt ortamında tutulan kişisel veriler kilitli odalarda tutulmaktadır. Söz konusu odalara giriş çıkışlar sınırlandırılmaktadır. Ek olarak çalışanların iş, görev, yetki ve sorumlulukları göz önünde bulundurularak sınırlı sayıda kişinin odalara giriş çıkışına izin verilmekte, izinli kişiler kayıt altında tutulmaktadır.

-Kâğıt ortamında aktarılan kişisel veriler için fazladan güvenlik önlemleri alınmaktadır. İşbu belgeler gizli dereceli belge formatında gönderilmektedir.

-Kişisel veri içeren sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazlar güvenlik tedbirlerinin alınmış olduğu başka bir odaya alınmakta ve söz konusu odalar kilitli tutulmaktadır. Yine söz konusu odalara sınırlı sayıda kişinin giriş çıkışına izin verilmemekte ve izinli kişiler kayıt altında tutulmaktadır.

-Kişisel veri içeren ortamlar ve saklama-arşiv ortamları kilitli tutulmaktadır. Söz konusu kilitli ortamlara sınırlı sayıda kişinin giriş çıkışına izin verilmekte ve izinli kişiler kayıt altında tutulmaktadır.

-Yedeklenen kişisel verilerin fiziksel güvenliği sağlanmaktadır.

-Şirketin güncel çalışma sürecinde kullanılan fakat kişisel veri içeren belgeler kilitli dolaplarda tutulmaktadır. Söz konusu dolapların anahtarı ise yaptığı iş, görev, yetki ve sorumluluk dikkate alınarak belgelere erişim yetkisi bulunan çalışanlara verilmektedir. İşbu çalışanlarda kayıt altında tutulmaktadır.

-Kişisel verilerin korunmasına ilişkin periyodik ve rastgele denetimler yapılmaktadır.

-Kişisel veri işleme envanteri güncel tutulmaktadır.

-Kişisel verilerin korunmasına ve işlenmesine ilişkin kurumsal politikalar şirket gerekliliklerine uygun olarak güncellenmektedir.

-Şirketin, veri aktarımında bulunduğu üçüncü kişilerle gizlilik sözleşmeleri-taahhütnameleri imzalanmaktadır.

-Şirket içinde periyodik olarak risk analizleri yapılmaktadır.

-Şirket çalışanlarına yönelik uygulanacak yaptırımları belirlemek adına disiplin yönetmeliği oluşturulmuştur.

-Şirket bünyesinde belirli aralıklarla çalışanlara yönelik kişisel verilerin korunmasına ilişkin farkındalık ve Siber Güvenlik eğitimleri verilmektedir.

-Çalışanların yaptığı iş, görev, yetki ve sorumlulukları dikkate alınarak kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımları belirlenmiştir.

-Çalışanların işe alım süreçlerinde gizlilik anlaşması imzalatılmaktadır.

-Şirketin kişisel verilerin işlenmesine ilişkin politika ve prosedürlerinde önemli değişik meydana gelmesi halinde yeni eğitimlerle çalışanlara söz konusu değişiklikler izah edilmektedir.

-Çalışanlara verilen her türlü eğitim tutanaklarla kayıt altına alınmaktadır.

-Çalışanların kişisel veri güvenliğine ilişkin tehdit ve riskler hakkında bilgisinin güncel tutulması sağlanmaktadır.

-Kişisel veri işlenmesine ilişkin politikalar değişen şirket gerekliliklerine uygun olarak güncel tutulmaktadır.

-Kişisel veri işlenmesine ilişkin politikalar şirkete uygun bir şekilde entegre edilmektedir.

-Kişisel verilerin işlenmesine ilişkin politikalar çerçevesinde periyodik olarak kontroller yapılmakta kontroller belgelenmekte eksiklikler tespit edilmekte ve eksiklikler tamamlandıktan sonra da periyodik olarak kontrollere devam edilmektedir.

-Kişisel veri kategorileri için ortaya çıkabilecek riskler ve güvenlik ihlallerinin nasıl yönetileceği belirlenmektedir.

-Kişisel veriler doğru ve niteliğine uygun yerde muhafaza edilmektedir.

-İşleme amaçları doğrultusunda kişisel verilere şirket bünyesinde hala ihtiyaç olup olmadığı periyodik olarak değerlendirilmektedir.

-Sıklıkla ihtiyaç duyulmayan ve arşiv amaçlı tutulan kişisel verilerin güvenli ortamlarda muhafaza edilmesi sağlanmaktadır.

-Periyodik imha işlemleri gerçekleştirilmekte ve imha edilen verilerin niteliği tutanakla kayıt altına alınmaktadır.

-Veriişleyenlerle sözleşmeler yazılı olarak imzalanmaktadır.

-Şirket bünyesinde imzalanan sözleşmelerde veri güvenliği hükümleri yer almaktadır.

-Veri sorumlusu, veri ihlali durumunda ihlali Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye derhal ihlali bildirme yükümlülüğünü yerine getirmektedir.

-Veri sorumlusu, kişisel veri içeren sistemler üzerinde gerekli denetimleri yapmakta veyahut yaptırmaktadır.

-Her veri işleme faaliyetinden önce verisi işlenecek gerçek kişi, veri sorumlusu tarafından aydınlatılmaktadır.

-Şirketin üçüncü kişilere dolaylı yoldan temas ettiği noktalarda kişisel verilerin işlenmesine ilişkin metinler Kişisel Verilerin Korunması Kanunu ve şirket faaliyetine uygun olarak güncel tutulmakta ve gerekli durumlarda güncellemeler yapılmaktadır.

-Kişisel verilere ilişkin süreçler güncel tutulmaktadır.

-Acil durumlarda ilgili politika ve prosedürlere riayet edilmektedir.

-Şirkete ait elektronik cihazların çalınması, kaybolması… vb. durumlara ilişkin fiziksel mekân güvenliği sağlanmaktadır.

-Şirketin fiziksel mekân güvenliliğinin sağlanması adına ilgili yerlerde kamera koyulmakta ve kamera görüntüleri kayıt altında tutulmaktadır.

11.2.Teknik Tedbirler

-Şirket, Siber Güvenliğin sağlanması için alınması gereken tedbirleri gelişen ve değişen teknolojiye ve şirket gerekliliklere uygun olarak almaktadır.

-Şirket bünyesinde alınan Siber Güvenlik tedbirleri kişisel verilerin korunması için kapsamlı ve birçok yönden birbirini tamamlayıcı niteliktedir.

-Şirket bünyesinde yazılım programları vasıtasıyla alınan teknik tedbirler sıklıkla kontrol edilmektedir.

-İnternet üzerinden gelen tehditler ve saldırılar sürekli olarak kontrol edilmektedir.

-Şirket bünyesinde kullanılan yazılım ve donanımların güncelliği periyodik olarak denetlenmektedir.

-Şirket bünyesinde kullanılan yazılım programlarının eski sürümleri veyahut kullanılmayan sürümleri kaldırılarak yeni ya da güncel sürümleri kullanılmaktadır.

-Şirket bünyesinde kullanılan yazılım ve donanımların kurulum ve yapılandırma işlemlerine dikkat edilmekte ve sıklıkla gözden geçirilmektedir.

-Şirket bünyesinde eskiden kurulmuş olan güvenlik açıkları tespit edilmiş yazılım programları kullanılmamakta ve kaldırılmaktadır.

-Şirket bünyesinde alınmış olan güvenlik tedbirlerinin yeterliliği düzenli olarak kontrol edilmekte ve denetlenmektedir.

-Çalışanların yaptığı iş, görev, yetki ve sorumluluk dikkate alınarak kişisel verilere erişime ilişkin sınırlı yetki verilmektedir.

-Çalışanların yaptığı iş, görev, yetki ve sorumluluk kapsamında kişisel verilere kullanıcı adı ve şifre oluşturmak suretiyle erişim izin verilmektedir.

-Veri sorumlusu sıfatıyla Aydınlar AŞ’nin her çalışan için erişim yetki ve kontrol matrisi oluşturmaktadır.

-Çalışanların belirli aralıklarla şifrelerini değiştirmesi için gerekli ara yüzler oluşturulmuştur. Yine şifre girişi deneme sayısı sınırlandırılmış ve belirli bir sayıda şifre denemesi yapıldığında ilgili çalışanın kişisel veri içeren sisteme girişi bloke edilmektedir.

-Veri sorumlusu ile ilişkisi kesilen çalışanların e-posta hesabı başta olmak üzere kişisel veri içeren tüm sistemlere erişim yetkisi kapatılmaktadır.

-Anti-Virüs ve Anti-Spam Sistemleri güncel tutularak gerekli dosyaları taradığı periyodik olarak kontrol edilmektedir.

-Bilişim ağlarında hangi yazılım ve servislerin çalıştığı periyodik olarak kontrol edilmektedir.

-Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı periyodik olarak kontrol ve tespit edilmektedir.

-Şirket bünyesindeki tüm kullanıcıların işlem hareketleri kaydının ve Log kayıtlarının düzenli olarak tutulması sağlanmaktadır.

-Güvenlik sorunları mümkün olan en kısa sürede raporlanmaktadır.

-Şirket bünyesindeki sistem ve güvenlik zafiyet açıkları, güvenlik tehditleri resmi olarak raporlanmakta ve veri sorumlusuna sunulmaktadır.

-Güvenlik yazılımı iletileri, raporlama araçları, erişim kontrolü kayıtları düzenli olarak kontrol edilmektedir. İşbu sistemlerden uyarı gelmesi üzerine derhal harekete geçilmektedir.

-Bilişim sistemlerinde oluşabilecek zafiyet açıklarına istinaden periyodik zafiyet taramaları yapılmaktadır.

-Periyodik olarak sızma testi yaptırılmaktadır.

-Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

-Periyodik testler sonucunda şirket bünyesinde ortaya çıkan güvenlik açıkları hemen kapatılmakta ve gerekli aksiyonlar alınmaktadır.

-Şirket bünyesinde fiziksel ortamlarda (cihaz, kayıt… vb.) saklanan kişisel veriler için fiziksel mekân güvenliğinin sağlanması adına gereken tedbirler alınmaktadır.

-Kişisel verilerin yer aldığı fiziksel ortamların dış risklere karşı korunması için gereken tedbirler alınmaktadır.

-Kişisel verilerin yer aldığı fiziksel ortamlara giriş-çıkışlar sınırlandırılmakta ve giriş çıkışlar kontrol edilmektedir.

-Kişisel verilerin e-posta üzerinden gönderilmesi halinde veri sorumlusu tarafından gerekli ve yeterli güvenlik tedbirleri alınmaktadır.

-Çalışanların ya da üçüncü kişilerin şahsi elektronik araçları ile şirketin bilgi sistem ağına erişim sağlaması esnasında veri sorumlusu tarafından veri ihlalini önlemeye yönelik gerekli ve yeterli güvenlik tedbirler alınmaktadır.

-Kişisel veri içeren sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazlar güvenlik tedbirlerinin alınmış olduğu başka bir odaya alınmış vaziyette olup söz konusu odalar kilitli tutulmaktadır.

-Kişisel veri içeren cihazların çalınması veya kaybolması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemi kullanılmaktadır. Bu minvalde şifre anahtarı, sadece yetkili kişilerin erişim sağlayabileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.

-Birden çok şifreleme yöntemi bulunmasından ötürü hangi şifreleme yöntemi kullanılırsa kullanılsın kişisel veriler söz konusu şifreleme yöntemi ile tam olarak korunmaktadır.

-Kişisel verilerin bir kısmı ya da tamamı bulutta depolanıyorsa veri sorumlusu olarak bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığını denetlenmektedir. Bu bağlamda bulutta depolanan veriler bilinmekte ve yedeklenmesi, senkronize edilmesi ve verilere uzaktan erişim sağlanması için kademeli kimlik doğrulama kontrolünün yapılmaktadır. Yine bulutta depolanan ve kullanılan kişisel veriler kullanım ve depolama faaliyetleri esnasında kriptografik yöntemlerle şifrelenmekte, bulut ortamına şifrelenerek gönderilmekte, her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmaktadır. Ek olarak bulut bilişim hizmeti sonlandığında kişisel verileri kullanılabilir hale getiren şifreleme anahtarlarının tüm kopyalarının yok edilmektedir.

-Veri sorumlusu, yeni güvenlik sistemleri kurarken veya mevcut sistemleri geliştirirken-iyileştirirken güvenlik gereksinimlerini göz önünde bulundurmaktadır.

-Arıza ya da bakım için üçüncü kişilere gönderilen cihazların kişisel veri içeren veri saklama ortamı sökülerek saklanmakta ve sadece arızalı parçalar gönderilmektedir.

-Bakım, arıza, onarım faaliyetleri için dışarıdan gelen üçüncü kişilerin, kişisel verileri kopyalayarak-çoğaltarak dışarıya çıkarmaması için gereken tedbirler alınmaktadır.

-Kişisel veri güvenliğinin sağlanması için kişisel veriler yedeklenmektedir. Yedeklenen kişisel veriler mutlaka ağ dışında tutulmaktadır. Yine yedeklenen kişisel verilere sadece sistem yöneticisi tarafından erişim sağlanmaktadır. Ek olarak yedeklenen kişisel verilerin fiziksel güvenliği de alınmaktadır.

-Veri işleyene bırakılan işler için kişisel veri işleme faaliyet çerçevesinde gerekli tedbirleri aldığı kontrol edilmektedir.

-Üçüncü kişilerin şahsi harici taşınır aygıtlarının şirket bilgisayarlarında çalışması engellemektedir.

-Kişisel veri bütünlüğünün bozulup bozulmadığı kontrol edilmektedir.

-Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

-Kişisel veri güvenliğinin takibi yapılmaktadır.

-Özel nitelikli kişisel veriler işlenirken güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

-Kişisel veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belirli aralıklarla denetimi yapılmakta ve veri güvenliği konusunda farkındalığı sağlanmaktadır.

-Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

12.CİMRİLİK İLKESİ

Cimrilik ilkesi diğer adıyla azami tasarruf ilkesidir. Muhtelif yollardan ulaşan kişisel veriler şirketsistemine aktarılır. Söz konusu ilke uyarınca veriler, gerekli olduğu kadar sisteme işlenmektedir.

Aydınlar AŞ tarafından toplanacak veriler amaca uygun olarak belirlenmekte ve değişkenlik göstermektedir. Bu bağlamda veriler amaca uygun olarak toplanmakta ve amaçla paralel olmayan veriler toplanmamaktadır. Amacı dışındaki fazlalık veriler şirket sistemine kaydedilmez veya imha edilir. Fakat söz konusu veriler istatistikî amaçla kullanılabilir.

13.GİZLİLİK İLKESİ

Çalışanların, müşterilerin ve kişisel verilerini elimizde bulundurduğumuz diğer ilgili kişilerin Aydınlar AŞ deki kişisel verileri gizlidir. İşbu kişisel verilere ilişkin olarak 6698 sayılı Kanuna halel getirecek hiçbir kullanım, kopyalama, çoğaltma, aktarım yapılmamakta ve işbu veriler amaçları dışında bir kullanılmamaktadır.

14. İHLAL BİLDİRİMİ

Aydınlar AŞolarak tarafımıza herhangi bir veri ihlali bildiriminde bulunulduğunda mevzubahis ihlali gidermek için derhal harekete geçer, ilgili kişinin uğrayabileceği zararı minimuma indirmek için elimizden geleni yaparız.İlaveten, şirketimizce bir veri ihlalinin gerçekleştiği tespit edildiğinde derhal Kişisel Verileri Koruma Kurulu’na veri ihlali bildiriminde bulunulmaktadır.

15.İLGİLİ KİŞİNİN HAKLARI

15.1Aydınlar AŞ Kanunun 11.maddesinde düzenlenen ilgili kişinin haklarına riayet etmektedir. Bu doğrultuda, ilgili kişi Aydınlar AŞ’nin internet sitesinde belirtilen başvuru şekli ile;

a)     Kişisel veri işlenip işlenmediğini öğrenme,

b)     Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c)     Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d)     Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

e)     Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f)      Kanuun 7nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

g)     (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme

h)     İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme

i)      Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

Haklarına sahiptir.

15.2.İlgili kişiler, yukarıda belirtilen haklarına ilişkin taleplerini Aydınlar AŞ’nin resmi internet adresinde izah olunan yolu izlemek sureti ile gerçekleştirebilirler. İlgili kişinin başvuruları, başvurunun içeriğine göre en kısa sürede ve şirkete ulaşmasından itibaren en geç 30 gün içinde cevaplanmaktadır.

16.GÜNCELLEME

İşbu Politikada yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.

                                                        Aydınlar Group İç ve Dış Ticaret Anonim Şirketi