1. Amaç
Alnus Yatırım Menkul Değerler A.Ş. ( ‘Şirket’), hukuki ve sosyal sorumluluğunun bir parçası olarak, ulusal kişisel veri koruma düzenlemelerine uymayı taahhüt etmektedir. İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) yürürlükteki mevzuat çerçevesinde Şirketin tamamında uygulanmakta ve kişisel veri koruma ile ilgili ulusal olarak kabul görmüş temel ilkelere dayanmaktadır.
Bu Politika, Şirketin faaliyetlerinin ifasında ne tür kişisel veriler topladığını, bu kişisel verileri nasıl kullandığını, toplanan kişisel verileri kimlerle paylaşabileceğini, kişisel verilerin güvenliğine ilişkin ne tür önlemler alındığını, Şirketin işlediği kişisel veriler üzerinde, kişisel verileri saklanan kişilerin haklarının neler olduğunu ve bu hakları nasıl kullanabileceğini, kişisel verilerin ne kadar süre ile saklanacağını, kişisel verilerin nasıl imha edileceği, gizlilik politikası, internet erişimi aydınlatma metni, iş başvurularında alınan bilgi ve kişisel verilerin işlenmesi aydınlatma bildirimi, kapalı devre kamera kayıt sistemleri aydınlatma metni, ses kaydı için aydınlatma bildirimi, çerez ve benzeri teknolojilerin kullanımı konusundaki kural ve politikalarımızı açıklamaktadır.
Şirket ile veri sahibi arasındaki ilişkinin türüne ve niteliğine göre, veri sahiplerine şirket tarafından işbu Politika’dan farklı kişisel veri politikaları ve/veya bildirimler sağlanması mümkündür. Veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerde işbu Politika’da yer alan açıklamalardan farklı veya bu açıklamalara ek hususlar bulunabilir. Bu halde, veri sahiplerine sağlanan söz konusu özel politika ve bildirimlerin öncelikle dikkate alınması gerekmektedir.
2. Tanımlar Ve Kısaltmalar
Politika : Alnus Yatırım Menkul Değerler A.Ş. Kişisel Verilerin İşlenmesi, Korunması ve İmha Politikası
Anonim hale getirme : Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan Adayı : Şirkete herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketin incelemesine açmış olan gerçek kişiler.
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel veri sahibi : Kişisel verisi işlenen gerçek kişi.
İmha: Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Şirket: Alnus Yatırım Menkul Değerler A.Ş.
KVKK (Kanun) : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK Kurulu : Kişisel Verileri Koruma Kurulu
Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Başvuru Formu : Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren “6698 Sayılı Kişisel Verilerin Korunması Kanunu Gereğince İlgili Kişi (Kişisel Veri Sahibi) Tarafından Veri Sorumlusuna Yapılacak Başvurulara İlişkin Başvuru Formu”
Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri : Şirketin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
İş Ortağı : Şirketin ticari faaliyetlerini yürütürken bizzat veya grup şirketleri ile birlikte muhtelif projeler yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu taraflar.
Veri sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi.
3. Kapsam
Bu politika şirket tarafından; gerçek kişi müşteriler, potansiyel müşteriler, kurumsal müşteri hissedarları, yetkilileri, çalışanları, şirket yetkilileri, hissedarlar, iş ortağı hissedarları, yetkilileri, çalışanları, tedarikçi hissedarları, yetkilileri, çalışanları, çalışan adayları, ziyaretçiler ve üçüncü kişiler kategorilerde yer alan gerçek kişilere ait kişisel verilerin Kanun kapsamında işlenmesine ilişkin şirketin beyan ve açıklamalarını içermektedir.
4. Politika
İş bu Politika, Yönetim Kurulu tarafından onaylanarak yürürlüğe girer. Söz konusu politikanın isleyişi düzenli olarak gözden geçirilir ve gereksinimler doğrultusunda güncellenir. Kişisel verilerin işlenmesi, korunması ve imhası konularında yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli olarak uygulanır. Politika, ilgili mevzuat tarafından ortaya konulan kuralların şirketin uygulamaları kapsamında düzenlenmesiyle oluşturulmuştur. Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVKK’da belirtilen genel ilkelere ve KVKK’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki sürelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVKK’nın 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bunun yanında Politika kapsamında toplanan ve işlenen veriler KVKK’nın 7. Maddesi uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmektedir.
4.1. Kişisel Verilerin Kategorileri
KVKK’da belirtilen genel ilkelere ve KVKK’da düzenlenen bütün yükümlülüklere uyularak veri sahiplerine ilişkin veriler, veri kategorileri bazında işlenmektedir.
a-) Politika’nın uygulama kapsamındaki kişisel veri sahibi kategorilerine ve söz konusu kategorilere ilişkin açıklamalar aşağıdaki gibidir.
Şirket tarafından kişisel verileri işlenen veri sahipleri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan gerçek kişi veri sahipleri de Kanun kapsamında Şirkete taleplerini yöneltebilecek olup, bu kişilerin talepleri de işbu Politika kapsamında değerlendirmeye alınacaktır.
b-) Kişisel veri kategorileri ve açıklamaları aşağıdaki ayrıntılı bir şekilde belirtilmiştir.
Kimlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir.
İletişim Bilgisi :Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen verilerdir;
Aile Bireyleri ve Yakın Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, sunduğumuz ürün ve hizmetlerle ilgili veya Şirketin ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler anlamına gelmektedir.
Müşteri İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler anlamına gelmektedir.
Özel Nitelikli Kişisel Veri: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, Kanun’un 6’ncı maddesinde belirtilen veriler anlamına gelmektedir.
İşlem Güvenliği Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, ticari faaliyetler yürütülürken gerek çalışanlarımız gerekse de şirketin teknik, idari, hukuki ve ticari güvenliğini sağlamak için işlenen kişisel veriler anlamına gelmektedir.
Lokasyon Verisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişisel veri sahibinin Şirketin iş birimleri tarafından yürütülen operasyonlar çerçevesinde ürün ve hizmetler kullanımı sırasında veya işbirliği içerisinde olunan kurumların çalışanlarının şirket uygulamalarını kullanırken bulunduğu yerin konumunu tespit eden bilgilerdir.
Fiziksel Mekan Güvenlik Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler anlamına gelmektedir.
Uyum ve Hukuki İşlem Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler anlamına gelmektedir.
Finansal Bilgi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirketin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel verilerdir.
Özlük Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirket ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veridir.
Çalışan/Stajyer Adayı Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirketimizin çalışanı/stajyeri olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin İnsan Kaynakları ihtiyaçları doğrultusunda çalışan adayı/stajyer olarak değerlendirilmiş olan bireylerle ilgili işlenen kişisel veriler anlamına gelmektedir.
Görsel/İşitsel Bilgi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik bir şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen kişisel veri ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan verilerdir.
Risk Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamak için işlenen adres kayıt sistemi kayıtları ve benzeri kişisel veriler anlamına gelmektedir.
Talep/Şikayet Yönetimi Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; şirkete yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel verilerdir.
Denetim Bilgisi: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, şirketimizin kanuni yükümlülüklerine ve şirket politikalarına uyum ve denetim kapsamında işlenen kişisel veriler anlamına gelmektedir.
4.2. Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel veriler; Genel Müdürlük, şubeler, irtibat büroları, internet şubesi, mobil veya dijital uygulamalar, sosyal medya, çağrı merkezi, aracılık/acentelik sıfatı ile faaliyetlerini yürüttüğü şirketler, müşteri görüşmeleri, adli kayıtların taranması, piyasa istihbaratı, internet sitelerine yapılan yazılı/dijital başvurular, satış ekiplerine yapılan yazılı/dijital başvurular gibi şirketimizin iletişime geçtiği veya ileride iletişime geçebileceği kanallar aracılığıyla ve yazılı olarak fiziki şekilde toplanıp yasal süresi boyunca saklanmaktadır. Kişisel verileriniz ulusal ve uluslararası hukuki düzenlemelere, şirketimiz ile akdetmiş olduğunuz sözleşmeye, diğer ulusal ve uluslararası hukuki düzenlemelere dayanılarak işlenmektedir.
4.3. Kişisel Verilerin Korunması ve İşlenmesi Politikası:
Şirket, kişisel verilerin işlenmesine ilişkin aşağıdaki tedbirleri almakta ve uygulamaları gerçekleştirmektedir:
a-) KVKK’nun 4. Maddesindeki ilkelere uygun olarak kişisel veri işleme faaliyetinde bulunmakta, kanunlarda öngörülen süre veya kişisel veri işleme amacının gerektirdiği kadar kişisel verileri muhafaza etmektedir.
b-) KVKK’nun 5. maddesi gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin kanun maddesindeki şartlardan bir veya birkaçına dayalı olarak işlemektedir.
c-) KVKK’nun 6. maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
d-) KVKK’nun 8. ve 9. maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
e-) KVKK’nun 10. maddesine uygun olarak, kişisel veri sahiplerini aydınlatmakta ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır.
4.4. Veri Gizliliğine İlişkin İlkeler
Şirketimiz tüm Kişisel Veri İşleme faaliyetleri kapsamında aşağıda açıklanan genel ilkelere uygun şekilde hareket etmektedir.
a-) Hukuka ve dürüstlük kurallarına uygun hareket etme: Şirketimiz her türlü kişisel veri işleme sürecinde, yürürlükte bulunan mevzuata uygun şekilde hareket etmekte ve dürüstlük kurallarına uymaktadır.
b-) Doğruluk ve güncellik: Şirketimiz, veri sahiplerine kişisel verilerini güncellemesi için olanak sağlamakta ve verilerin veri tabanlarına doğru bir şekilde aktarımını temin için gerekli önlemleri almaktadır.
c-) Belirli, açık ve meşru amaçlar için işleme: Şirketimiz, kişisel veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak veri sahiplerini aydınlatma metinleri aracılığıyla açık bir şekilde bilgilendirmektedir.
d-) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirketimiz tarafından kişisel veriler, temin edildikleri sırada veri sahibine bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.
e-) İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Şirketimiz kişisel verileri yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza etmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, Şirketimiz prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.5. Kişisel Verilerin İşlenmesi:
Şirketimiz kişisel verileri, Kanun’a uygun biçimde veri sahibinin açık rızası temin edilerek veya Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak işlemektedir. Dolayısıyla, kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
a-) Kişisel Veri Sahibinin Açık Rızasının Bulunması:
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
b-) Açık Rıza Aranmaksızın Kişisel Verilerinin İşlenebileceği Haller:
Kanunlarda Açıkça Öngörülmesi: Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.
Fiili İmkansızlık Sebebiyle Kişisel Veri Sahibinin Açık Rızasının Alınamaması: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Hukuki Yükümlülük: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde kişisel veri sahibinin verileri işlenebilecektir.
Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: Veri sahibinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler işlenebilecektir.
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir
Şirketimizin Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
4.6. Kişisel Verilerin İşlenme Amaçları:
Toplanan kişisel veriler, kişisel veriler kişilerin açıklamalarına konu olan; kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve uygulanması, etkinlik yönetimi, iş ortakları veya tedarikçilerle olan ilişkilerin yönetimi, şirket personel temin süreçlerinin yürütülmesi, şirket finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi, şirket hukuk işlerinin icrası/takibi, kurumsal iletişim faaliyetlerinin planlanması ve uygulaması, kurumsal yönetim faaliyetlerinin uygulanması, şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi, talep ve şikayet yönetimi, şirket itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi, yatırımcı ilişkilerinin yönetilmesi, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, şirket hizmetlerinin geliştirilmesi ve özelleştirilmesi, ziyaretçi kayıtlarının oluşturulması ve takibi, iş başvurusu talebi ve ilgili pozisyona uygunluğunun değerlendirilmesi, şirketimiz insan kaynakları politikaları çerçevesinde işe alım süreçlerinin yürütülmesi, sonuçlandırılması ve bu kapsamda iletişime geçilmesi amaçlarıyla ve ayrıca Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişiler ile hukuki ve ticari yükümlülüklerin gerçekleştirilmesinin temini amacıyla; Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile Şirketimizin uyguladığı işe alım ilkelerinin geliştirilmesi ve iyileştirilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVKK kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak şirket tarafından kişisel verisi işlenen kişilerin açık rızası temin edilmektedir.
Şirketimizin, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere uygun davranmaktadır. Bu kapsamda, Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “özel nitelikli” olarak belirlenmiştir.
Özel nitelikli kişisel veriler, şirketimiz tarafından Kanun’a uygun bir biçimde ve KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
a-) Kişisel veri sahibinin açık rızası var ise,
b-)Kişisel veri sahibinin açık rızası yok ise: Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kullanılması gerektiği durumlarda
4.7. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
KVKK’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketin kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda şirket ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.
Şirket kişisel verilerin silinmesi ve yok edilmesi için aşağıdaki teknikleri kullanacaktır:
a-) Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
b-) Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
c-) Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
d-) Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Şirket, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVKK’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Şirket aşağıdaki anonimleştirme tekniklerini kullanmaktadır.
a-) Maskeleme: Veri maskeleme ile kişisel verinin temel belirleyici bilgisinin veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
b-) Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
c-) Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
d-) Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
Şirketimizin periyodik imha süresi 6 ay olarak belirlenmiştir. KVK Kurulu bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir. Kişisel Veriler, zamanaşımı süresini kesen yada durduran herhangi bir hukuki durum olmadığı takdirde, aşağıdaki tabloda yer alan yasal düzenlemeler gereği saklanır ve saklama süresini takip eden ilk periyodik imha tarihinde imha edilir.
Konular | Süre |
Sermaye Piyasası Kanunu ve SPK düzenlemeleri gereği | 10 Yıl |
Sair İlgili Mevzuat Gereği | İlgili mevzuatta öngörülen süre kadar |
Sermaye Piyasası Kanunu ve düzenlemeleri gereği olan 10 yıllık süre bittikten sonra genel dava zamanaşımı süresini düzenleyen Borçlar Kanunu’nun 146. maddesi gereği | 10 Yıl |
İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda Türk Ceza Kanunu’nun 66. ve 68. maddeleri gereği | Dava zamanaşımı ve Ceza Zamanaşımı müddetince |
Çalışan Kayıtları | Çalıştıkları süre boyunca |
Eski Çalışan Kayıtlar | İşten ayrılmalarını takip eden10 yıl boyunca |
Çalışan Adaylarına İlişkin Kayıtlar | Başvuruyu takip eden 2 yıl boyunca |
Muhasebe ve Finans Kayıtları, Vergi Kayıtları, Şirket İçi Şikayetler ve İlgili Belgeler | 10 yıl |
Gerçek Kişi Kişisel Verileri | İş ilişkisinin sona erme tarihinden itibaren 10 yıl |
Ses kayıtları | 3 Yıl |
Görüntü Kayıtları | 15 Gün |
Atık malzemeler ve fazla BT donatımı güvenle imha edilmelidir. Özellikle:
4.8. Güvenlik Koşulları:
Şirket çalışanları, Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alırlar.
a-) Kişisel Verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan çalışanlarla sınırlı tutmak.
b-) Uygunsa, şifre korumalı elektronik dosyaları kullanmak.
c-) Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.
d-) Kişisel Verilere yetkisiz erişim veya Kişisel Verilerin usulsüz kullanımı gibi olay ve durumlardan haberdar olduğunda bunları derhal âmirine bildirmek.
e-) Kişisel Verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce KVKK ve ilgili düzenlemeler uyarınca açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerine getirmek.
4.9. Ziyaretçilere İlişkin Kişisel Veri İşleme Faaliyetleri:
Şirket güvenliğin sağlanması amacıyla KVKK’na ve ilgili mevzuata uygun bir şekilde kişisel verileri işleme faaliyeti yürütmektedir.
a-) Çalışma Ortamlarında Kamera İle İzleme Faaliyetleri: Şirket, güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu faaliyetler gerçekleştirilirken KVKK’nda yer alan Kişisel Verilerin Korunması ve İşlenmesi Politikası düzenlemelere uygun hareket edilmekte ve kişisel verilerin gizliliği ve kişinin temel hakları korumaya alınmaktadır. Şirket tarafından kamera ile izleme faaliyetine yönelik olarak kişisel veri sahipleri, iki yöntemle aydınlatılmaktadır; Şirket internet sitesinde Kişisel Verilerin Korunması kapsamında bilgilendirme yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır. Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır. Elde edilen kişisel verilerin işlenmesi bu politika ilgili bölümlerinde belirtildiği gibi yürütülmektedir.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının ve ihtiyaç durumunda tedarikçi konumunda bulunan güvenlik şirketi çalışanlarının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
b-) Çalışma Ortamı Giriş - Çıkışlarının Takibi: Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirket binalarında ve ofislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak şirket binalarına gelen kişilerin ad ve soyadları elde edilirken ya da şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda bilgilendirilmektedir. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve kaydedilmektedir.
c-) Çalışma Ortamını Ziyaret Edenlere Sağlanan İnternet Erişimleri: Şirket tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; Şirket tarafından çalışma ortamı içerisinde kaldıkları süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda ziyaretçilerin internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda şirket çalışanının erişimi ve rapor alabilme yetkisi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
4.10. Personelin Internet Erişimleri : Bilgi güvenliğinin sağlanması ve bu politikada belirtilen amaçlar ile ; Alnus Yatırım’ın tüm çalışanlarına internet erişimi sağlanmaktadır. Bu durumda Alnus Yatırım çalışanlarının internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanun’a göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta ve bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Alnus Yatırım içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına sadece bilgi güvenliğinden sorumlu Alnus Yatırım çalışanının ve Teftiş Kurulu Başkanı’nın erişimi ve rapor alabilme yetkisi vardır. Log kayıtlarına erişimi olan Alnus Yatırım çalışanları bu kayıtlara yalnızca etkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
4.11. Dış Kaynak Hizmeti Sağlayan Kuruluşlar: Bilgi güvenliğinin sağlanması ve bu politikada belirtilen amaçlar ile ;Alnus Yatırım’ın dış kaynaklı hizmet aldığı kuruluşlara bilgi sistemine erişim hakkı verilmeden önce gerekli güvenlik gereksinimleri uygulanmaktadır. Alnus Yatırım’ın “bilgi içeren ortamları” üçüncü taraflar ile yapılan bilgi aktarımları sırasında gerçekleşebilecek kötüye kullanım ve bozulmaya karşı korunmaktadır. Bu amaçla üçüncü taraf personelinin Alnus Yatırım bilgi sistemleri erişimi ile ilgili log kayıtları 5651 Sayılı Kanun ve bu Kanun’a göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta ve bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Alnus Yatırım içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına sadece bilgi güvenliğinden sorumlu Alnus Yatırım çalışanının ve Teftiş Kurulu Başkanı’nın erişimi ve rapor alabilme yetkisi vardır. Log kayıtlarına erişimi olan Alnus Yatırım çalışanları bu kayıtlara yalnızca etkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
4.12. Kişisel Verilerin Aktarılması:
Kanun, SPK tebliğleri ve diğer ilgili mevzuat hükümleri doğrultusunda, şirketimiz kişisel verilerin yurt içi ve/veya yurt dışı ile paylaşılması konusunda azami özen ve dikkat göstermektedir.
Bu kapsamda şirketimiz tarafından kişisel veriler ve özel nitelikli kişisel veriler kişisel veri sahibinin açık rızasına dayalı olarak veya Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemleri almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen amaç ve şartlar kapsamında yurt içine aktarılmaktadır.
Ayrıca şirketimiz kişisel veri sahibinin açık rızası olmaksızın kişisel verileri ve özel nitelikli kişisel verileri yurt dışına aktarırken yukarıda anılan şartların yanında kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması kaydıyla yurt dışına aktarmaktadır.
a-) Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları:
Kişisel verileriniz, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecek ve yine aynı kanunun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir. Toplanan kişisel verileriniz, şirket faaliyetlerimizin gerçekleştirilmesi ve şirket hizmetlerimizden faydalanılmasına ilişkin olarak tabi olduğumuz yasal yükümlülüklerimizin ifa edilmesi başta olmak üzere; SPK, BDDK, VUK, MASAK Yönetmelikleri, Türkiye Cumhuriyeti Merkez Bankası, BİST, TAKASBANK, GİB, Hazine Müsteşarlığı, bakanlıklar, yargı mercileri gibi kanunen yetkili kamu kurumları, şirketimizin faaliyetlerinin tamamlayıcısı veya uzantısı niteliğindeki hizmetleri aldığı, mevzuatın izin verdiği hallerde işbirliği yaptığı danışman, kuruluş, taraflar, yerli ve yabancı destek hizmeti kuruluşları, posta, SMS ve e-mail gönderim hizmeti sunan kuruluşlar ve anlaşmalı kuruluşlar, finans kuruluşları, bağımsız denetim şirketleri ve bankalar, konsorsiyum üyesi olunan halka arz süreçlerinde SPK mevzuatı çerçevesinde Konsorsiyum lideri kuruluşlarla, şirketimizin doğrudan ve dolaylı hissedarı olduğu ve yurt içinde, ilgili mevzuat hükümlerine göre şirketimizin ticari faaliyetlerini ve stratejilerini yöneten ve kontrol eden yurt içi ve/veya yurt dışında kurulu olan hakim ortak sıfatına haiz hissedarlar, şirketimizin iştiraklerinin de katılımını gerektiren ticari faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak, SGK ve sair yasal mevzuata uyum gerekliliği nedeniyle, Şirketimizin ürün ve hizmetlerinin sunulabilmesi, bu konuda talep ettiğiniz/edeceğiniz ürün ve hizmetlere ilişkin iletişim kurulabilmesi, şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli mal ve/veya hizmetlerin şirketimize sunulmasını sağlamak ve destek hizmeti almak amacıyla sınırlı olarak aktarım, iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak aktarım, izin vermiş olmanız durumunda pazarlama faaliyetlerinde kullanılabilmesi, bu konuda, ürün/hizmet teklifi, modelleme, raporlama, yeni ürün çalışmaları ve potansiyel müşteri tespiti vb amaçlar ile ilişkili olarak ve ayrıca kişisel verilerin elektronik ortamında üçüncü kişiler vasıtasıyla saklanması, depolanması, güncelleştirilmesi paylaşılması amacıyla işlenmektedir.
4.13. Aydınlatma Yükümlülüğü:
Kanun’un 11’inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirketimiz bu kapsamda, Kanun’un 10’uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine şirketimizin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanun’un 11’inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır. Yanı sıra şirketimizin kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli kamuoyuna açık dokümanlarla veri işleme faaliyetlerini ilgili mevzuata uygun şekilde gerçekleştirdiğini duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve şeffaflığı sağlamaktadır.
4.14.Kişisel Verilerin Güvenliğinin Sağlanması:
Şirketimizin veri güvenliğinin sağlanması konusuna azami dikkat ve özeni göstermekte olup, işbu kapsamda Kanun’un 12’nci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler alınmaktadır.
a-) Şirket; kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye, kişisel verilerin muhafazasının sağlanması amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.
b-) Şirket, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda birinci maddede belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
c-) Şirket, Denetim birimleri tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılmasını sağlar.
d-) Şirketimizin bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
e-) Şirketimiz bünyesinde çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanmamaktadırlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
f-) Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
g-) Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
h-) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bahse konu durum en kısa sürede ilgilisine ve KVK Kurulu’na bildirir. Ayrıca KVK Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilir.
4.15. Veri Sahibinin Haklarının Gözetilmesi:
Gerçek kişi olması halinde müşteri, tüzel kişi olması halinde ise Müşteri'nin yetkilileri, kişisel verilerine ilişkin olarak, KVKK hükümleri uyarınca, şirketimize başvurarak aşağıdaki haklarını kullanabilir. Kişisel verilerin;
a-) işlenip işlenmediğini öğrenme,
b-) işlenmişse buna ilişkin bilgi talep etme,
c-) işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç-) yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
d-) eksik veya yanlış işlenmişse, düzeltilmesini ve düzeltme isteminin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
e-) silinmesini veya yok edilmesini ve silme veya yok etme işleminin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f-) münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
g-) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahiplerdir. Kişisel veri sahipleri sıralanan haklarına ilişkin taleplerini şirketimize aşağıda belirtilen iletişim bilgilerimiz üzerinden adresimize veya mail adresimize iletmeleri durumunda, talepler niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, şirketimiz tarafından KVK Kurulu’nca veya diğer otoritelerce belirlenen tarifedeki ücret alınacaktır.
Şirket : Alnus Yatırım Menkul Değerler A.Ş.
Genel Müdürlük Adresi : Esentepe, Haberler Sk. No:10, 34394 Şişli/İstanbul
Telefon : 0 (212) 213 08 00
Faks : 0 (212) 346 09 89
E-posta :info@alnusyatirim.com
Kişisel veri sahipleri, KVKK’nun 28. maddesi gereğince aşağıda belirtilen haller KVKK kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda sayılan haklarını ileri süremezler:
a-) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
b-) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
c-) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d-) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK’nun 28 maddesi 2. fıkrası gereğince; aşağıda belirtilen hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, belirtilen diğer haklarını ileri süremezler:
a-) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b-) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c-) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
d-) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. Şirkete yalnızca KVKK kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Şirket, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.Şirket aşağıda belirtilen hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
a-) Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
b-) Orantısız çaba gerektiren taleplerde bulunulmuş olması.
c-) Talep edilen bilginin kamuya açık bir bilgi olması.
Kişisel veri sahibi KVKK’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Şirketin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.
4.16. Kişisel Verilerin Korunması Komitesi:
Şirket tarafından KVKK düzenlemelerine uygun hareket edilmesi ve iş bu politikanın yürürlüğünü sağlamak için şirketimizde Kişisel Verilerin Korunması Komitesinin kurulmuş olup, komitenin görevleri aşağıda maddeler halinde belirtilmiştir.
a-) Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak, güncel tutamak ve yürürlüğe koymak.
b-) Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetimi ile ilgili süreçleri oluşturmak, karar vermek ve şirket içi görevlendirmede bulunmak.
c-) Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlanmasını sağlamak.
d-) Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek.
e-) Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler düzenlenmesini sağlamak.
f-) Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak şirket içinde yapılması gerekenler konusundaki öneriler geliştirilmesini sağlamak ve gerekli aksiyonları almak.
g-) Kişisel verilerin korunması ve işlenmesi konusunda şirketin işbirliği içerisinde olduğu kurumlarda farkındalığı arttırmak.
Bilgi Sistemleri Yönetimi; Kişisel verilerin korunması kapsamında kişisel verilerin korunması için gerekli sistemsel önlemleri alır. Kişisel verilerin mevzuatta belirtilen saklama sürelerine uygun olarak saklanması için gerekli tedbirleri alır ve altyapıları sağlar.
Bilgi Güvenliği ve Risk Komitesi: KVKK kapsamında kişisel verilerin korunmasına ilişkin gerekli politikaların geliştirilmesini sağlar. KVKK kapsamında maruz kalınabilecek riskleri belirler ve gerekli önlemlerin alınmasını sağlar.
Bilgi Güvenliği ve Risk Yönetimi Sorumlusu: KVKK kapsamında kişisel verilerin korunmasına ilişkin gerekli politikaların geliştirilmesi koordinasyonunu sağlar. KVKK kapsamında personelin farkındalığının artırılmasına yönelik gerekli bilgilendirme koordinasyonunu sağlar. Personelin periyodik olarak kişisel verilerin korunması ve bilgi güvenliği ile ilgili eğitim almasını koordine eder.
Birim Yöneticileri: Birim yöneticileri, KVKK kapsamında kişisel verilerin korunmasına ilişkin olarak; Bu doküman ve bilgi güvenliği ve risk yönetimine ilişkin hazırlanmış veya onaylanmış dokümanların (politika,prosedür, standart, talimat vb.) kendisi ve personeli tarafından uygulanmasını sağlar. Biriminin görev aldığı süreçlerde, KVKK kapsamında gerekli düzenlemeleri gerçekleştirir. Personelin; KVKK ve kişisel verilerin korunması ve bilgi güvenliğinin önemi ve gerekliliği hakkında bilgilendirilmesi, şirketin politika, prosedür standartları, talimatları vb. konusunda ilgili eğitimleri almasını sağlar.
İnsan Kaynakları Birimi: KVKK kapsamında kişisel verilerin korunması ve bilgi güvenliğinin sağlanması için Birim Yönetimi sorumluluklarının yanı sıra: Birim yöneticileri ile koordineli olarak personel sorumluluklarına kişisel verilerin korunması ile ilgili sorumlulukların eklenmesini sağlar. Yeni işe başlayan personelin kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin dokümanlar(politika, standartlar, prosedürler vb.) ve sorumlulukları hakkında bilgilendirilmesini ve kayıt altına alınmasını sağlar. KVK Kurulu ile koordineli olarak ilgili personelin periyodik olarak kişisel verilerin korunması ve bilgi güvenliği ile ilgili eğitim almasını sağlar ve eğitim kayıtlarının saklanmasını temin eder.
5. Çerez Kullanımı
Şirket, çerez kullanımın ait ‘Çerez Kullanım Aydınlatma Metni’ hazırlanarak şirketimize ait ‘www.alnusyatirim.com’ internet sitesinde yayınlanmaktadır. Şirketimiz, aydınlatma metni üzerinde yapacağı değişiklikleri, hazırlanacak metnin güncel versiyonunda belirtecek ve şirketimizin internet sitesinden ulaşılabilir şekilde yayınlayacaktır.
6. Gizlilik Politikası
Şirketimizin gizliliğe ilişkin politikası ‘Gizlilik Politikası’da belirtilmiş ve şirketimize ait ‘www.alnusyatirim.com’ internet sitesinde yayınlanmıştır. Şirketimiz sözü geçen politika üzerinde yapacağı değişiklikleri, hazırlanacak metnin güncel versiyonunda belirtecek ve şirketimizin internet sitesinden ulaşılabilir şekilde yayınlayacaktır.
7. Diğer Aydınlatma Metinleri:
İnternet erişimi aydınlatma metni, iş başvurularında alınan bilgi ve kişisel verilerin işlenmesi aydınlatma bildirimi, kapalı devre kamera kayıt sistemleri aydınlatma metni ve ses kaydı için aydınlatma bildirimi şirketimizce hazırlamış ve şirketimize ait ‘www.alnusyatirim.com’ internet sitesinde yayınlanmıştır. Şirketimiz sözü geçen aydınlatma metni/bildirimler ile ilgili yapacağı değişiklikler sonucunda hazırlanacak güncel versiyonlar, şirketimizin internet sitesinden ulaşılabilir şekilde yayınlanacaktır.
8. Politika’da Yapılacak Değişiklikler
Şirketin, işbu Politika’da farklı zamanlarda değişiklik yapması mümkündür. Şirketimiz tarafından hazırlanan Politika’nın güncel versiyonuna şirketimizin internet sitesinden ulaşılabilir ve Politika’da yapılabilecek değişiklikler şirketimiz internet sitesi üzerinden takip edilebilir. Değişiklikler kural olarak, şirketimizin internet sitesine yüklenmek suretiyle yapılacak ve bu tarih itibariyle geçerlilik kazanacak olmakla birlikte, şirketimiz değişiklikleri, uygun gördüğü diğer şekillerde de bildirilebilecektir.
9. Revizyon:
Bu dokümanın revizyonuna ait talepler Şirket’e iletilecek olup, yürürlük öncesi düzenleme, kontrol ve onay işlemleri Şirket’in sorumluluğundadır. Değişikliklerde Yönetim Kurulu onayı alınması zorunludur.
Revizyon | Revizyon Tarihi |
1 | 16.07.2018 |
10. Yürürlük:
Bu prosedür, yönetim kurulunun onayı ile yürürlüğe girer.