DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
1 / 20
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER
1. AMAÇ KAPSAM 5
2. KAPSAM 5
3. TANIM VE KISALTMALAR 6
4. ROL VE SORUMLULUKLAR 7
5. HUKUKİ YÜKÜMLÜLÜKLER 7
5.1. Aydınlatma yükümlülüğümüz 7
5.2. Veri güvenliğini sağlama yükümlülüğümüz 8
6. KİŞİSEL VERİLERİN SINIFLANDIRILMASI 8
6.1. Kişisel Veriler 8
6.2. Özel Nitelikli Kişisel Veriler 8
6.3. Kişisel Verilere İlişkin Kategoriler 9
7. KİŞİSEL VERİLERİN İŞLENMESİ 10
7.1. Kişisel Verileri İşleme İlkelerimiz 10
7.1.1. Hukuka ve dürüstlük kurallarına uygun işleme 10
7.1.2. Kişisel verilerin doğruluğunu ve gerektiğinde güncel
olmasını sağlama 10
7.1.3. Belirli, açık ve meşru amaçlarla işleme 10
7.1.4. Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması 10
7.1.5. Kişisel verilerin kanuni düzenlemelerde öngörülen veya meşru
menfaatlerimizin gerektirdiği süreler boyunca saklanması 11
7.2. Kişisel veri işleme amaçlarımız 11
7.3. Kişisel veri toplama yöntemlerimiz 11
7.4. Kişisel verilerin toplanmasına ilişkin hukuki sebeplerimiz 11
7.5. Özel nitelikli kişisel verilerin toplanmasına ilişkin hukuki sebeplerimiz 12
7.6. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi 12
7.6.1. Kişisel verilerin açık rıza alınması yoluyla işlenmesi 12
7.6.2. Kişisel verilerin işlenmesinde açık rızanın aranmadığı haller 13
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
2 / 20
7.6.3. Özel nitelikli kişisel verilerin işlenmesi 14
7.7. İnternet sitemizde yer alan çerezler üzerinden toplanan kişisel verilerin işlenmesi 14
7.8. Kablosuz ağa erişim kapsamında toplanan kişisel verilerin işlenmesi 15
7.9. İnsan kaynakları ve istihdam amaçlarıyla toplanan kişisel verilerin 15
işlenmesi
7.10. Genel güvenliğin sağlanması kapsamında kişisel verilerin işlenmesi 16
8. KİŞİSEL VERİLERİN AKTARILMASI 16
8.1. Kişisel verilerin yurt içine aktarımı 16
8.2. Kişisel verilerin yurt dışına aktarımı 16
8.3. İspark tarafından kişisel verilerin aktarıldığı üçüncü kişiler 17
8.4. Kişisel verilerin hukuka uygun olarak aktarılmasını sağlamak için aldığımız tedbirler
19
8.4.1. Teknik tedbirler 19
8.4.2. İdari tedbirler 19
9. KİŞİSEL VERİLERİN SAKLANMASI 20
9.1. Kişisel verilerin mevzuatta öngörülen süre veya işlendikleri amaç için gerekli olan
süre kadar saklanması 20
9.2. Kişisel verilerin saklanmasına ilişkin aldığımız tedbirler 20
9.2.1. Teknik Tedbirler 20
9.2.2. İdari Tedbirler 20
10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE
GETİRİLMESİ 21
11. KİŞİSEL VERİLERİN GÜVENLİĞİ 21
11.1. Kişisel verilerin güvenliğine ilişkin yükümlülüklerimiz 21
11.2. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için aldığımız tedbirler 21
11.3. Kişisel verilerin hukuka aykırı ifşası durumunda aldığımız tedbirler 23
12. İLGİLİ KİŞİ’NİN HAKLARI 23
12.1. Kişisel verilere ilişkin hakların kullanılması 23
12.2. Başvurunun değerlendirilmesi 24
12.2.1. Başvurunun cevaplandırılma süresi 24
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
3 / 20
12.2.2. Başvuruyu reddetme hakkımız 25
12.3. Başvurunun değerlendirilme usulü 25
12.4. Kişisel Verileri Koruma Kurulu’na şikayet hakkı 25
13. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI 25
14. GÜNCELLEME SIKLIĞI 26
15. YÜRÜRLÜK 26
1. AMAÇ
İSPARK İstanbul Otopark İşletmeleri Tic. (“İSPARK veya Şirket”) olarak; başvurucularımızın,
çalışanlarımızın, ortaklarımızın, kiracılarımızın, müşterilerimizin, stajyerlerimizin, taşeron
işçilerimizin, taşeron yetkililerimizin, tedarikçi çalışanlarımızın, tedarikçi yetkililerimizin ve
ziyaretçilerimizin kişisel verilerinin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin
ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu1
(“KVKK” ya da Kanun”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ve verisi işlenen
ilgili kişilerin haklarını etkin şekilde kullanılmasının sağlanması önceliğimizdir.
Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin
gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel
verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği,
düşünce ve inanç özgürlüğü ve etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz.
Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde, ilgili verinin niteliğinin
gerektirdiği tüm idari ve teknik koruma tedbirlerini almakta ve aldığımız tedbirleri güncel tutmaktayız.
İşbu İSPARK Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), faaliyetlerimiz
sırasında toplanan kişisel verilerin KVKK ’da anılan ilkeler çerçevesinde işlenmesine (örneğin
saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine) dair izlediğimiz yöntemleri
açıklamaktadır.
2. KAPSAM
İSPARK tarafından veri işleme faaliyetine tabi tutulan; sayılanlarla sınırlı olmamak üzere;
başvurucularımıza, çalışanlarımıza ortaklarımıza, kiracılarımıza, müşterilerimize, stajyerlerimize,
taşeron işçilerimize, taşeron yetkililerimize, tedarikçi çalışanlarımıza, tedarikçi yetkililerimize ve
ziyaretçilerimize ait tüm kişisel verilere işbu Politika uygulanmaktadır.
Politikamız, İSPARK bünyesindeki kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta
olup, KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası standartlar
gözetilerek ele alınmış ve hazırlanmıştır.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
4 / 20
3. TANIM VE KISALTMALAR
İşbu Politika kapsamında;
a. İSPARK veya Şirket: İSPARK İstanbul Otopark İşletmeleri Tic. A.Ş.,
b. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte
yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onayı,
c. Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette
kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkilendirilemeyecek hale getirilmesini,
d. Çalışan: İSPARK personelini,
e. Çalışan adayı: İSPARK’a başvurusunda bulunmuş olan kişileri,
f. Çevrimiçi Ziyaretçiler: İSPARK İnternet sitesi ziyaretçilerini,
g. İlgili Kişi: Kişisel verisi işlenen gerçek kişileri,
h. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
i. Özel nitelikli kişisel veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkumiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri,
j. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
k. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel
verileri işleyen gerçek veya tüzel kişiyi,
l. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
m. KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,
n. KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu,
o. KVKK ya da Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan
Kişisel Verilerin Korunması Kanunu’nu ve
p. Politika: İSPARK Kişisel Verilerin Korunması ve İşlenmesi Politikasını
ifade eder.
4. ROL VE SORUMLULUKLAR
a. KVKK Komisyonu
KVKK Komisyonu, işbu Politikaya, kural ve düzenlemelere uyulmaması durumunda bildirim,
inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden
sorumludur.
b. KVKK Komisyonu
İşbu Politika, KVKK Komisyonu tarafından onaylanmış olup, KVKK Komisyonu Politikanın
oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda
yetkili onay mekanizmasıdır. KVKK Komisyonu, sorumlu oldukları faaliyetlerde, görev alan
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
5 / 20
çalışanlarla beraber dış hizmet alınan firmaların Politikaya uyumu için gerekli tedbirlerin
alınması, Politikaya aykırı hususların tespiti amacıyla konuların incelenmesi ve Genel
Müdürlük Makamına bildirilmesinden sorumludur.
c. KVKK Komisyonu
İşbu Politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden KVKK
Komisyonu sorumludur. KVKK Komisyonu bu Politikayı gerektiğinde güncelliği ve
geliştirme ihtiyaçları açısından değerlendirir. Hazırlanan dokümanın kurum portalında
yayınlanması Yazı İşleri ve Sosyal Etkinlikler Şefliği sorumluluğundadır.
d. İnsan Kaynakları Müdürlüğü
Hazırlanan dokümanın kurum içi dağıtımının yapılması Yazı İşleri ve Sosyal Etkinlikler
Şefliği sorumluluğundadır.
e. Pazarlama Kurumsal İlişkiler Müdürlüğü
Pazarlama Kurumsal İlişkiler Müdürlüğü bu Politika çerçevesinde, Şirket’in kamuyu
bilgilendirme uygulamalarını, şeffaf bir şekilde tüm ilgililere zamanlı olarak yapmaktan
sorumludur. Hazırlanan dokümanın internet sitesinde yayınlanması Tanıtım ve Halkla İlişkiler
şefliği sorumluluğundadır.
5. HUKUKİ YÜKÜMLÜLÜKLER
Veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamındaki hukuki
yükümlülüklerimiz aşağıda sıralanmaktadır:
5.1. Aydınlatma yükümlülüğümüz
Veri sorumlusu olarak kişisel verileri toplarken;
Kişisel verilerin hangi amaçla işleneceği,
Ticari unvanımıza, ilişkin bilgiler,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Verileri toplama yöntemimiz ve hukuki sebebi ve
KVKK’ dan doğan hakları
hususlarında İlgili Kişiyi aydınlatma yükümlülüğümüz bulunmaktadır.
İSPARK olarak işbu Politikanın anlaşılır ve kolay erişilebilir olmasına özen göstermekteyiz.
Aydınlatma yükümlülüğümüzü, İnternet sitemiz üzerinden veya fiziki yerleşkelerimizde yer alan
panolar veya ilgili kişi gruplarına ait bilgilendirme metinleri aracılığıyla yerine getirmekteyiz.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
6 / 20
5.2. Veri güvenliğini sağlama yükümlülüğümüz
Veri sorumlusu olarak işlediğimiz kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen
idari ve teknik tedbirleri almaktayız. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler işbu
Politikanın 11. bölümünde detaylı şekilde açıklanmıştır.
6. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
6.1. Kişisel Veriler
Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye
ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika
tüzel kişilere ait verilere uygulanmaz.
İşbu Politika doğrudan bir kişiyi ifade eden kişinin adı, soyadı, TC Kimlik numarası gibi bilgilere
uygulandığı gibi dolaylı şekilde ilgili kişinin tespit edilebildiği bilgilere de uygulanır.
6.2. Özel Nitelikli Kişisel Veriler
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık
ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
Özel nitelikli kişisel veriler de bu Politika hükümlerine tabidir.
6.3. Kişisel Verilere İlişkin Kategoriler
Ticari faaliyetlerimiz ile istihdam amaçlarımız kapsamında aşağıda yer alan kişi kategorilerine ilişkin
kişisel verileri işlemekteyiz:
Başvurucularımız
İSPARK’ın ticari faaliyetleri kapsamında bilgi edinme amacıyla
çeşitli kanallardan başvuru yapan gerçek kişileri ifade etmektedir.
Genel Aydınlatma Metni’ne www.ispark.istanbul adresinden
ulaşabilirsiniz.
Çalışanlarımız
Çalışanlarımıza ait işlenen kişisel veriler hakkında ayrıntılı bilgiler
sadece çalışanlarımızın erişebileceği şekilde QDMS’de
yayınlanmakta olup, kendilerine bu konuda ayrıntılı bilgilendirme
yapılmıştır.
İş Ortaklarımız
İSPARK’ın ortaklığı yaptığı 3. tarafları ifade eder. Genel
Aydınlatma Metni’ne www.ispark.istanbul adresinden
ulaşabilirsiniz.
Kiracılar
Otogar işletmelerinde işyeri kiralanması kapsamında kişisel verileri
işlenen gerçek kişileri ifade etmektedir. Genel Aydınlatma Metni’ne
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
7 / 20
www.ispark.istanbul adresinden ulaşabilirsiniz.
Müşteriler
İSPARK’ın yürüttüğü faaliyetleri kapsamında ürün veya hizmet
satın alan; doğrudan kişisel verileri elde edilen gerçek kişileri ifade
etmektedir. Genel Aydınlatma Metni’ne www.ispark.istanbul
adresinden ulaşabilirsiniz.
Stajyerlerimiz
Stajyerlerimize ait işlenen kişisel veriler hakkında ayrıntılı bilgiler
sadece stajyerlerimizin erişebileceği şekilde QDMS’de
yayınlanmakta olup, kendilerine bu konuda ayrıntılı bilgilendirme
yapılmıştır.
Alt Yüklenici (Taşeron)
Çalışanlarımız
Alt Yüklenici (Taşeron) çalışanlarına ait işlenen kişisel veriler
hakkında ayrıntılı bilgiler ilgililerin ulaşabileceği şekilde fiziki
ortamda yayınlanmakta olup kendilerine bu konuda ayrıntılı
bilgilendirme yapılmıştır.
Alt Yüklenici (Taşeron)
Yetkilileri
Genel Aydınlatma Metni’ne www.ispark.istanbul adresinden
ulaşabilirsiniz.
Tedarikçilerimiz
İSPARK’ın ticari faaliyetleri kapsamında akdedilen sözleşmelere
bağlı olarak hizmet sunan tarafların çalışanı, yetkili kişisi veya
hissedarı olan gerçek kişileri ifade etmektedir. Genel Aydınlatma
Metni’ne www.ispark.istanbul adresinden ulaşabilirsiniz.
Ziyaretçilerimiz
İSPARK’a ait fiziksel mekânlara çeşitli amaçlarla gelen gerçek
kişileri ifade etmektedir. Ziyaretçi Aydınlatma Metni’ne
www.ispark.istanbul adresinden ulaşabilirsiniz.
Hissedar /Ortak
İSPARK’da hisse sahibi olan gerçek kişileri ifade etmektedir. Genel
Aydınlatma Metni’ne www.ispark.istanbul adresinden
ulaşabilirsiniz.
7. KİŞİSEL VERİLERİN İŞLENMESİ
7.1. Kişisel Verileri İşleme İlkelerimiz
Kişisel verileri aşağıda yer alan ilkeler uyarınca işlemekteyiz.
7.1.1. Hukuka ve dürüstlük kurallarına uygun işleme
Kişisel verileri dürüstlük kurallarına uygun, şeffaf yöntemlerle ve aydınlatma yükümlülüğümüzü
yerine getirerek işlemekteyiz. Aydınlatma yükümlülüğünü yerine getirirken mümkünse verinin sizden
elde edilmesi anında kısaca işleme amacını açıklıyor ve işlem ile ilgili ayrıntılı olmayan bilgilere ilgili
kişinin erişiminizi sağlıyoruz.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
8 / 20
7.1.2. Kişisel verilerin doğruluğunu ve gerektiğinde güncel olmasını sağlama
İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerimizde gerekli idari ve
teknik tedbirleri almaktayız. Ancak verilerin önemli bir kısmı İlgili Kişilerin beyanı esas alınarak
işlendiği için bu beyanları en doğru şekilde yansıtmakta ve İlgili Kişilere verilerini güncellemesi ve
var ise hataları düzeltmesi için başvuruda bulunma olanağı sunmaktayız.
7.1.3. Belirli, açık ve meşru amaçlarla işleme
İSPARK olarak, kişisel verileri kapsamı ve içeriği açıkça belirlenmiş, faaliyetlerimizi mevzuata uygun
olarak ve hayatın olağan akışının gerektirdiği çerçevede sürdürmek için belirlenen meşru amaçlarımız
dahilinde işlemekteyiz.
7.1.4. Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
Kişisel verileri belirlediğimiz amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemekteyiz.
İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktayız. Bu
nedenle, yasal gereklilik olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz
gerektiğinde konuya ilişkin açık rıza almaktayız.
7.1.5. Kişisel verilerin kanuni düzenlemelerde öngörülen veya meşru menfaatlerimizin
gerektirdiği süreler boyunca saklanması
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu
nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları
için gerekli olan süre kadar saklamaktayız.
Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması
durumunda kişisel verileri silmekte, yok etmekte veya anonim hale getirmekteyiz.
7.2. Kişisel veri işleme amaçlarımız
İSPARK olarak kişisel verileri işleme amaçlarımız işlediğimiz her veri kategorisi için kişi kategorileri
özelinde hazırlanan Aydınlatma Metinleri’nde ayrıntılı olarak yer almaktadır.
Söz konusu aydınlatma metinlerinde sayılan amaçlar kapsamında gerçekleştirilen işleme faaliyetinin,
KVKK’nın 5. ve 6. maddesinde öngörülen hukuka uygunluk nedenlerinden herhangi birini
karşılamaması halinde, ilgili işleme sürecine yönelik olarak İSPARK tarafından açık rızanız
alınmaktadır.
7.3. Kişisel veri toplama yöntemlerimiz
Kişisel veriler; basılı iletişim/ şikayet formları, çevrimiçi elektronik formlar (örn: İnternet sitesi
iletişim formu), e-postalar, tutanaklar, anketler, sözleşmesi, mesleki eğitim staj sözleşmesi,
sözleşmeler, özgeçmiş, yerinde bulunan elektronik takip ve fiziksel erişim kontrol sistemleri, (örn:
biyometrik ve kartlı geçiş sistemleri, CCTV), bilgi sistemleri ve elektronik cihazlar (örn:
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
9 / 20
telekomünikasyon altyapısı, bilgisayar ve telefonlar), çevrimiçi platformlar (İnternet sitesi, telefon
uygulaması vb.), çevrimiçi platformlarımız tarafından yaratılan Çerezler/Cookieler, üçüncü taraflarca
yaratılan Takip Çerezleri/Tracking Cookieler (örn:Hotjar), site kullanımı ölçüm sistemleri (örn:
Google Analytics) ve İlgili Kişi tarafından beyan edilen diğer belgeler vasıtasıyla toplanmaktadır.
7.4. Kişisel verilerin toplanmasına ilişkin hukuki sebeplerimiz
Kişisel veriler, İSPARK ve İSPARK adına veri işleyen gerçek ya da tüzel kişiler tarafından; yukarıda
veri kategorilerine özgü olarak belirtilen amaçların gerçekleştirilmesi doğrultusunda, Kanun’un 5.
maddesinde belirtilen
“Kanunlarda açıkça öngörülme”,
“Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”,
“Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”,
“Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”,
“İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması”
hukuki sebeplerine dayanılarak toplanmaktadır.
7.5. Özel nitelikli kişisel verilerin toplanmasına ilişkin hukuki sebeplerimiz
Sağlık bilgileri, KVKK’nın 6. maddesinde belirtilen “kamu sağlığının korunması, koruyucu hekimlik,
tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebileceği” hukuki sebebine dayanılarak
İSPARK tarafından işlenmektedir. Bununla birlikte, sağlık bilgilerinin Kanun’un 6. maddesinde
belirtilen amaçlardan farklı bir amaçla işlenmesinin öngörüldüğü durumlarda, söz konusu bilgiler İlgili
Kişinin açık rızası alınarak işlenmektedir.
Biyometrik veriler kapsamındaki parmak izi bilgisi, yukarıda ilgili kategori altında belirtilen amaçlar
doğrultusunda, Kanun’un 6. maddesi uyarınca İlgili Kişinin açık rızası alınarak işlenmektedir.
Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili kişisel veriler, yukarıda ilgili kategori altında
belirtilen amaçlar doğrultusunda, Kanun’un 6. maddesinde belirtilen “Sağlık ve cinsel hayat dışındaki
özel nitelikli kişisel verilerin, kanunlarda öngörülen hâllerde İlgili Kişinin açık rızası aranmaksızın
işlenebileceği” hukuki sebebine dayanılarak işlenmektedir. Bununla birlikte, kanunlarda öngörülen
durumlar haricinde özel nitelikli kişisel veriler Kanun’un 6. maddesi uyarınca İlgili Kişinin açık rızası
alınarak işlenmektedir.
7.6. Kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesi
7.6.1. Kişisel verilerin açık rıza alınması yoluyla işlenmesi
Mevzuat gereği, kişisel veriler İlgili Kişi’nin açık rızası olmaksızın işlenemez. Açık rıza, KVKK’da
“belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
10 / 20
tanımlanmıştır. İşlenen verilerin özel nitelikli kişisel veri olması durumunda işbu Politika’da yer alan
açıklamalar geçerlidir. Söz konusu bilgilendirmeler aydınlatma metinlerimiz aracılığıyla
yapılmaktadır.
7.6.2. Kişisel verilerin işlenmesinde açık rızanın aranmadığı haller
Aşağıda sayılan hallerde kişisel verileri açık rıza olmaksızın işleyebiliriz:
Kanunlarda açıkça öngörülmesi
İlgili Kişi’nin kişisel verileri, kanunlarda açıkça öngörüldüğü hallerde hukuka uygun olarak
işlenebilecektir (Örneğin, çalışana ait özlük bilgilerinin kanun gereği tutulması).
Fiilî imkansızlık sebebiyle ilgilinin açık rızasının alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatının veya beden bütünlüğünün korunması için
kişisel verilerin işlenmesinin zorunlu olması durumunda kişisel veriler açık rıza olmaksızın
işlenebilecektir
Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde açık rıza alınmaksızın kişisel
verilerin işlenmesi mümkündür (Örneğin, müşteriye siparişin ulaştırılabilmesi için müşteri şirketin
adres bilgilerinin kaydedilmesi).
Bir hukuki yükümlülüğün yerine getirilebilmesi için zorunlu olması
Bir hukuki yükümlülüğün yerine getirilebilmesi için işlenmesi zorunlu olan kişisel veriler, İlgili
Kişinin açık rızası olmaksızın işlenebilecektir (Örneğin, resmi kurum ve otoritelerce öngörülen bilgi
saklama, raporlama, bilgilendirme gibi hukuki yükümlülüklerinin yerine getirilmesi; bankacılık,
enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması.).
İlgili Kişinin kendisi tarafından alenileştirilmiş olması
İlgili Kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna
açıklanmış olan kişisel veriler açık rıza aranmaksızın işlenebilecektir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel
veriler açık rıza aranmaksızın işlenebilecektir (Örneğin, işten ayrılan bir çalışana ait gerekli bilgilerin
dava zamanaşımı boyunca saklanması).
Meşru menfaatler kapsamında veri işlemenin zorunlu olması
İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İSPARK’ın meşru menfaatleri
için veri işlenmesinin zorunlu olması durumunda da kişisel veriler açık rıza aranmaksızın
işlenebilecektir (Örneğin, İSPARK’ın otoparklarının ve tesislerinin güvenliğinin sağlanabilmesi
amacıyla, CCTV ekipmanlarıyla izlenmesi).
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
11 / 20
7.6.3.Özel nitelikli kişisel verilerin işlenmesi
Özel nitelikli kişisel veriler (sağlık ve cinsel hayata ilişkin veriler hariç), KVK Kurulu’nun öngördüğü
idari ve teknik tedbirler alınarak, İlgili Kişinin açık rızasının varlığı halinde veya mevzuatın zorunlu
kıldığı hallerde tarafımızca işlenir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmektedir.
7.7. İnternet sitemizde yer alan çerezler üzerinden toplanan kişisel verilerin işlenmesi
https://ispark.istanbul, https://www.isbike.istanbul adresli internet sitelerimiz üzerinden çerezler
aracılığıyla kişisel verilerinizi toplamaktayız.
Çerezleri, internet sitemizin işleyiş biçimini ve kullanımını geliştirmek ve kolaylaştırmak, internet
sitemizin çeşitli özelliklerinin düzgün bir şekilde çalışmasını sağlamak amacıyla kullanmakta ve
internet sitemizde geçirdiğiniz vakti daha verimli ve keyifli hale getirmeye çalışmaktayız. Bunlara ek
olarak, internet sitelerimizde yaptığınız tercihleri hatırlamaya yönelik bazı çerezlerden yararlanmakta
ve bu sayede size geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlamaktayız.
İnternet sitemizde yer alan çerezler üzerinden kişisel verilerinizi toplayabilir, aktarabilir, saklayabilir
ve başka şekillerde işleyebiliriz.
Çerezler üzerinden topladığımız veriler, kimliğinizin belirlenmesi, şahsınıza özel profilleme ve
hedefleme yapılması veya internet sitemiz haricindeki internet faaliyetlerinizin takibi amacıyla
kullanılmamaktadır.
Kişisel verilerinizin çerezler aracılığıyla toplanıp işlenmesini istemiyorsanız internet sitemizde yer
alan çerezleri reddedebilirsiniz. Çerezleri reddetmeniz durumunda internet sitelerimizin gerektiği gibi
çalışmayabileceğini ve hizmetlerin görüntülenmesi veya sunulmasında aksaklıklar meydana
gelebileceğini hatırlatırız.
İnternet sitemizde kullandığımız çerezlere ilişkin detaylı bilgi için ilgili sitemizde yayınlanmakta olan
Çerez Politikasını inceleyebilirsiniz.
7.8. Kablosuz ağa erişim kapsamında toplanan kişisel verilerin işlenmesi
Şirket içinde kablosuz internet hizmeti verilmekte olup söz konusu hizmet kapsamında ilgili mevzuat
gereği İSPARK, “İnternet Toplu Kullanım Sağlayıcı” olarak tanımlanmaktadır.
Şirket içinde kablosuz ağa erişimler gerçekleştirilmekte olup söz konusu hizmetten faydalanmak
isteyen kullanıcıların tanımlanması, IP adres bilgisi, kullanıma başlama ve bitirme zamanı, hedef IP
bilgisi gibi erişim kayıtlarının elektronik ortamda sisteme kaydedilmesi İnternet Toplu Kullanım
Sağlayıcı’nın yükümlülükleri arasındadır. Bu kayıtlara ek olarak, 5651 sayılı İnternet Ortamında
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
12 / 20
Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi
Hakkında Kanun2 ve ilgili mevzuat gereğince log bilgileri de saklanmaktadır.
7.9. İnsan kaynakları ve istihdam amaçlarıyla toplanan kişisel verilerin işlenmesi
Çalışan adayı olarak yapacağınız başvurular sürecinde bizlerle paylaştığınız kişisel verilerinizi Çalışan
Adaylarının Başvuru Süreçlerinin Yürütülmesi başta olmak üzere aşağıdaki amaçlar kapsamında
işlemekte ve rızanızın bulunması halinde İSPARK bünyesinde gelecekte açılacak pozisyonlarda
değerlendirilmesi amacıyla gerekli süre boyunca saklamaktayız. Çalışan adayı olarak paylaştığınız
kişisel verilerin işlenmesi işbu Politikada belirtilen ilke ve kurallar uyarınca yürütülmektedir.
Çalışan adaylarına ait kişisel veriler:
İnsan Kaynakları Süreçlerinin Planlanması,
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,
Sözleşme Süreçlerinin Yürütülmesi
amaçlarıyla işlenmekte olup aşağıdaki araç ve yöntemlerle toplanmaktadır:
Çalışan adaylarının İSPARK’ın elektronik posta, posta vb. yöntemlerle iletmiş oldukları
özgeçmişler,
Elektronik formlar.
Çalışanlarımız kişisel verilerinin işlenmesine ilişkin kurallarla alakalı olarak ayrıca
bilgilendirilmektedir.
7.10. Genel güvenliğin sağlanması kapsamında kişisel verilerin işlenmesi
İSPARK olarak çalışanlarımızın, müşterilerimizin, ortaklarımızın, stajyerlerimizin, taşeron
işçilerimizin ve ziyaretçilerimizin kişisel verilerini fiziksel mekan güvenliğinin temini ve faaliyetlerin
mevzuata uygun yürütülmesi amaçlarıyla işlemekteyiz.
Bu kapsamda tesislerimizde bulunan kişilerin kamera görüntülerini CCTV (kapalı devre kamera kayıt
sistemleri) vasıtasıyla temin etmekte ve bu kayıtları ilgili mevzuatın öngördüğü süreler boyunca
saklamakta ve veri saklama ve imha politika ve prosedürlerimize uygun olarak silmekte, yok etmekte
ve anonim hale getirmekteyiz.
8. KİŞİSEL VERİLERİN AKTARILMASI
8.1. Kişisel verilerin yurt içine aktarımı
İSPARK olarak, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve KVK
Kurulu tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz.
Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli
veriler İlgili Kişinin açık rızası olmadan üçüncü kişilere aktarılmaz.
2 http://www.mevzuat.gov.tr/MevzuatMetin/1.5.5651.pdf
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
13 / 20
8.2. Kişisel verilerin yurt dışına aktarımı
Kişisel veriler kural olarak İlgili Kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
Bununla birlikte, işbu Politikada yer alan hukuka uygunluk nedenlerinden birisinin varlığı varlığı ve
yurt dışına aktarım yapılacak olan üçüncü kişinin:
I. KVK Kurulu tarafından güvenli kabul edilen ülkelerden birinde yerleşik olması,
II. KVK Kurulu tarafından güvenli kabul edilen ülkelerden birinde yerleşik olmaması
halinde ise, İSPARK ve güvenli olmayan ülkedeki veri sorumlusunun, yeterli bir
korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun ilgili yurt dışı aktarımına
izninin bulunması,
hallerinde kişisel veriler açık rızaya bağlı olmaksızın yurt dışına aktarılabilecektir.
8.3. İspark tarafından kişisel verilerin aktarıldığı üçüncü kişiler
Kişisel veriler işbu Politika’da belirtilen kurallar kapsamında aşağıda listelenen alıcı/alıcı gruplarına
aktarılabilir:
1. Tedarikçiler
2. İstanbul Büyükşehir Belediyesi
3. Yetkili kamu kurum ve kuruluşları
4. İş Ortakları
5. Hissedarlar
Alıcı Grupları
Açıklama
Tedarikçiler
İSPARK’ın ihtiyaçları
doğrultusunda ve
talimatlarına uygun olarak
sözleşme karşılığı
İSPARK’a hizmet veya ürün
sunan tarafları ifade eder.
İstanbul
Büyükşehir
Belediyesi
İSPARK’ın bağlı bulunduğu
İstanbul Büyükşehir
Belediyesini ifade eder.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
14 / 20
Yetkili Kamu
Kurum ve
Kuruluşları
İlgili yasal düzenlemeler
kapsamında İSPARK’tan
bilgi ve belge almaya yetkili
kamu kurum ve
kuruluşlarını ifade eder.
İş ortakları
İSPARK’ın ortaklığı
yaptığı 3. tarafları ifade
eder.
Hissedarlar
Pay sahibi olan gerçek
kişileri ifade eder.
8.4. Kişisel verilerin hukuka uygun olarak aktarılmasını sağlamak için aldığımız tedbirler
8.4.1. Teknik tedbirler
Kişisel verileri korumak için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli tedbirler almaktayız.
Bu kapsamda;
1. Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için İSPARK bünyesindeki
teknik organizasyonu yapmakta,
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
15 / 20
2. Kişisel verilerinizin saklanacağı veri tabanlarının güvenliğini sağlamak için gerekli teknik alt
yapıyı oluşturmakta,
3. Oluşturulan teknik alt yapının süreçlerini takip etmekte ve denetimlerini yapmakta,
4. Aldığımız teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürleri
belirlemekte,
5. Teknik tedbirleri periyodik olarak güncellemekte ve yenilemekte,
6. Riskli durumları yeniden inceleyerek gerekli teknolojik çözümleri üretmekte,
7. Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik
ürünleri kullanmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurmakta ve
8. Teknik konularda uzman çalışanlar istihdam etmekteyiz.
8.4.2. İdari tedbirler
Kişisel verileri korumak için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli tedbirler almaktayız.
Bu kapsamda;
1. İSPARK bünyesindeki çalışanlar da dahil olmak üzere kişisel verilere erişim politika ve
prosedürleri oluşturmakta,
2. Çalışanlarımızı kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin
bilgilendirmekte ve eğitmekte,
3. Çalışanlarımız ile yaptığımız sözleşmelerde ve/veya oluşturduğumuz politikalarda,
çalışanlarımız tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında
alınacak tedbirleri kayıt altına almakta ve
4. Birlikte çalıştığımız veri işleyenler veya veri işleyenlerin ortaklarının kişisel verilerin
işlenmesi faaliyetlerini denetlemekteyiz.
9. KİŞİSEL VERİLERİN SAKLANMASI
9.1. Kişisel verilerin mevzuatta öngörülen süre veya işlendikleri amaç için gerekli olan süre
kadar saklanması
Kişisel verileri mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme
amacının gerektirdiği süre boyunca ve “Kişisel Veri Saklama ve İmha Politikamız” kapsamında
saklamaktayız.
Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının hepsinin ortadan
kalkması veya İlgili Kişi’nin talebi üzerine, verilerin silinmesine mevzuatta bir engel olmaması
durumunda veriler silinir, yok edilir veya anonim hale getirilerek saklanır. Yok etme, silme veya
anonim hale getirme hususlarında mevzuat hükümleri ve KVK Kurulu kararlarına uyulur.
9.2. Kişisel verilerin saklanmasına ilişkin aldığımız tedbirler
9.2.1. Teknik Tedbirler
1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve
bunlara ilişkin denetim mekanizmaları oluşturmakta,
2. Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri almakta,
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
16 / 20
3. Teknik uzmanlığı olan çalışanlar istihdam etmekte,
4. Oluşabilecek risklere karşı sürekliliği ve acil durum planları oluşturup bunların
uygulanmasına ilişkin sistemler geliştirmekte ve
5. Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri
kurmaktayız.
9.2.2. İdari Tedbirler
1. Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı
bilgilendirerek farkındalık yaratmakta ve
2. Kişisel verilerin saklanması için üçüncü kişilerle işbirliği yapılması durumunda kişisel
verilerin aktarıldığı şirketler ile yapılan sözleşmelerde, aktarılan kişisel verilerin korunması ve
güvenli bir şekilde saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin
hükümlere yer vermekteyiz.
10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE
GETİRİLMESİ
İşleme amaçlarımız kapsamında toplanan kişisel veriler işleme amaçlarımız ve yürürlükteki kanunlar
kapsamında işlenmekte ve saklanmaktadır.
Kişisel veriler;
İşleme amaçlarımızın tamamen sona ermesi veya
İlgili Kişinin talebi halinde silinir, yok edilir veya anonim hale getirilir.
Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat hükümleri saklı kalmak
kaydıyla Kişisel Veri Saklama ve İmha Politikamız kapsamında yapılır.
Kişisel verileriniz, silinirken, yok edilirken veya anonim hale getirilirken işbu Politikada yer alan
güvenlik tedbirleri alınır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlere dair
kayıtlar diğer kanun ve mevzuat hükümleri saklı kalmak üzere en az 3 yıl boyunca saklanır.
İSPARK, aksi KVK Kurulu tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya
anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili Kişinin talebi halinde ise uygun
yöntem gerekçesi açıklanarak seçilir.
11. KİŞİSEL VERİLERİN GÜVENLİĞİ
11.1. Kişisel verilerin güvenliğine ilişkin yükümlülüklerimiz
İSPARK olarak;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
Kişisel verilerin hukuka uygun olarak saklanmasını sağlamak
için teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler almaktayız.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
17 / 20
11.2. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için aldığımız tedbirler
ve uygulama güvenliğini sağlamakta,
yoluyla kişisel veri aktarımlarında kapalı sistem kullanmakta,
Anahtar yönetimi kullanmakta,
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamında gerekli önlemleri
almakta,
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları
yapmakta,
Çalışanlar için yetki matrisi oluşturmakta,
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
uygulamakta,
Gizlilik taahhütnameleri yapmakta,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini kaldırmakta,
Güncel anti-virüs sistemleri kullanmakta,
Güvenlik duvarları kullanmakta,
İmzalanan sözleşmelere veri güvenliği hükümleri eklemekte,
Kişisel veri güvenliği politika ve prosedürleri oluşturmakta,
Kişisel veri güvenliği sorunlarını hızlı bir şekilde raporlamakta,
Kişisel veri güvenliği takibini yapmakta,
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerini almakta,
Kişisel veri içeren fiziksel ortamların dış risklere (yangın,sel vb) karşı güvenliğini sağlamakta,
Kişisel veri içeren ortamların güvenliğini sağlamakta,
Kişisel verileri mümkün olduğunca azaltmakta,
Kişisel verileri yedeklemekte ve yedeklenen kişisel verilerin güvenliğini de sağlamakta,
Kullanıcı hesap yönetimi ve yetki kontrol sistemlerini uygulamakta ve bu sistemlerin takibini
yapmakta,
Saldırı tespit ve önleme sistemleri kullanmakta,
Sızma testi uygulamakta,
Siber güvenlik önlemlerini almakta ve alınan güvenlik önlemlerini periyodik olarak kontrol
etmekte,
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimini
gerçekleştirmekte ve
Veri işleyen hizmet sağlayıcılarının farkındalığını sağlamaktayız.
11.3. Kişisel verilerin hukuka aykırı ifşası durumunda aldığımız tedbirler
Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik idari ve teknik tedbirler almakta ve
ilgili prosedürlerimize uygun şekilde bunları güncellemekteyiz. Kişisel verilerin yetkisiz olarak ifşa
edildiğini tespit etmemiz halinde bu durumu İlgili Kişiye ve KVK Kurulu’na bildirmek için gerekli
sistem ve alt yapıları oluşturmaktayız.
Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda, KVK
Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka
bir yöntemle ilan edilebilecektir.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
18 / 20
12. İLGİLİ KİŞİ’NİN HAKLARI
Aydınlatma yükümlülüğümüz kapsamında İlgili Kişi’yi bilgilendirmekte ve bu bilgilendirmeye ilişkin
gerekli sistem ve alt yapıları kurmaktayız. İlgili Kişi’nin kişisel verilerine ilişkin haklarını kullanması
için gerekli olan teknik ve idari düzenlemeleri yapmaktayız.
İlgili Kişi, kendisine ait kişisel veriler ile ilgili olarak aşağıda sayılan haklara sahiptir:
Kişisel verilerin işlenip işlenmediğini öğrenme,
Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin
silinmesini veya yok edilmesini isteme,
Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir
sonuç ortaya çıkmasına itiraz etme ve
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın
giderilmesini talep etme.
12.1. Kişisel verilere ilişkin hakların kullanılması
İlgili Kişi olarak, kişisel verilerinizin işlenmesine ilişkin taleplerinizi, Kişisel Verileri Koruma Kurulu
tarafından ayrı bir yöntem belirlenmesi halinde bu yöntem ile veya İSPARK İlgili Kişi Başvuru
Formu” vasıtasıyla, Yamanevler Mah. Alemdağ Caddesi Karacabey Sok. No:4 Ümraniye/İstanbul
adresine yazılı ve ıslak imzalı olarak bizzat başvurarak; ispark@hs03.kep.tr ‘ye kayıtlı elektronik
posta (KEP) adresimize 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan güvenli elektronik imza
veya mobil imza ile imzalanmış olarak, gönderebilirsiniz.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Tebliğ”) uyarınca, İlgili Kişinin
başvurusunda ad, soyad, başvuru yazılı ise imza, T.C. kimlik numarası, (başvuruda bulunan kişinin
yabancı olması halinde uyruğu, pasaport numarası veya varsa kimlik numarası), tebligata esas
yerleşim yeri veya yeri adresi, varsa bildirime esas elektronik posta adresi, telefon numarası ve faks
numarası ile talep konusuna dair bilgilerin bulunması zorunludur.
İlgili Kişi yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin
açıklamaları içeren başvuruda talep edilen hususu açık ve anlaşılır şekilde belirtmelidir. Başvuruya
ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir.
Başvuru kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması,
yanlış/yanıltıcı bilgilerle ya da yetkisiz başvuru yapılması halinde başvurunuz reddedilerek, usulsüz
işlem yapan kişi hakkında yasal yollara başvurulacaktır.
Talep konusunun başvuranın şahsı ile ilgili olması gerekmekle birlikte, başkası adına hareket ediliyor
ise başvuruyu yapanın bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi (noter
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
19 / 20
tasdikli vekâletname veya yetki belgesi gerekmektedir. Aksi takdirde, yetkisiz üçüncü kişilerin başkası
adına yaptığı talepler değerlendirmeye alınmayacaktır. Ayrıca veri sorumlusu olarak üçüncü kişilerin
İlgili Kişi başvurusu yaparak kişisel verilere yetkisiz erişimini engellemek ve kişisel verilerinizin
güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için kimliği doğrulayıcı belgelerin (Nüfus
cüzdanı veya sürücü belgesi sureti vb.) eklenmesi gerekmektedir.
12.2. Başvurunun değerlendirilmesi
12.2.1. Başvurunun cevaplandırılma süresi
KVKK’nın 13. maddesinin birinci fıkrası uyarınca; veri sorumlusu sıfatıyla İSPARK’a bu taleplere
ilişkin olarak yapılacak başvuruların iletilmesi gerekmektedir. Talebiniz Tebliğ’in 6. maddesi
uyarınca, tarafımıza ulaştığı tarihten itibaren talebin niteliğine göre en kısa sürede ve en geç otuz gün
içinde ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde
Tebliğ’in 7. maddesi gereğince ücret alınabilir.
12.2.2. Başvuruyu reddetme hakkımız
Kişisel veriler ile ilgili başvurular, sayılanlarla sınırlı olmamakla birlikte aşağıdaki hallerde
reddedilebilir:
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin, İlgili Kişinin özel hayatının gizliliğini veya kişilik haklarını ihlal etmemek ya
da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi,
İlgili Kişi tarafından alenileştirilen kişisel verilerin işlenmesi,
Başvurunun haklı bir nedene dayanmaması,
Başvurunun ilgili mevzuata aykırı bir istek içermesi ve
Başvuru usulüne uyulmaması.
12.3. Başvurunun değerlendirilme usulü
İşbu Politikanın 12.2.1. maddesinde belirtilen cevaplandırma süresinin başlayabilmesi için
başvuruların İSPARK İlgili Kişi Başvuru Formu aracılığıyla yazılı ve ıslak imzalı olarak elden
teslim veya noter aracılığıyla gönderilmesi, elektronik imzalı olarak KEP üzerinden gönderilmesi ya
da İlgili Kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı
bulunan elektronik posta adresinin kullanılması suretiyle yapılması gerekmektedir.
Talep kabul edilir ise gerekli işlemler uygulanır ve başvuru sahibine yazılı veya elektronik ortamda
bildirim yapılır. Talebin reddi halinde ise, gerekçesi açıklanarak yazılı veya elektronik ortamda
başvuru sahibine bildirilir.
12.4. Kişisel Verileri Koruma Kuruluna şikayet hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi
hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru
tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.
DOKÜMAN NO
YZİ.KVKK-002
YAYIM TARİHİ
3.06.2020
REVİZYON NO
0
REVİZYON
TARİHİ
3.06.2020
KİŞİSEL VERİLERİN KORUNMASI
VE İŞLENMESİ POLİTİKASI
SAYFA NO
20 / 20
13. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
İşbu Politika basılı kâğıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır. Islak imzalı
nüshalar ve kontrollü kopyalar Yazı İşleri ve Sosyal Etkinlikler Şefliğinde saklanır ve gerektiğinde
Bölüm Yöneticisinin yazılı onayı ile Yazı İşleri ve Sosyal Etkinlikler Şefi tarafından imha edilir.
14. GÜNCELLEME SIKLIĞI
İşbu Politika herhangi bir bildirimde bulunmaksızın yılda en az bir kez gözden geçirilir ve ihtiyaç
görülmesi halinde güncellenir. Bu sebeple, belirli aralıklarla Politikayı gözden geçirmeniz tavsiye
edilir.
15. YÜRÜRLÜK
İşbu Politika, www.ispark.istanbul internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul
edilir.