Gizlilik- Privacy
1. BÖLÜM-GİRİŞ
1.1. GİRİŞ
Kişisel veri, Kişisel Verilerin Korunması Kanunu’nun (KVKK) “Tanımlar” başlığını
taşıyan 3 üncü maddesinin (d) bendinde “Kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü bilgi” olarak tanımlanmaktadır. Kişisel veri üç ana unsurdan oluşmaktadır.
Bunlar belirli veya belirlenebilir gerçek kişi, bilgi ve bilginin kişiye ilişkin olmasıdır.
Kanunda geçen “her türlü bilgi” ifadesi ile bir gerçek kişinin adı, soyadı, kimlik
numarası, doğum tarihi, doğum yeri, lokasyonu,e-posta adresi, telefon numarası, adresi, mesleği, sosyal
güvenlik numarası, pasaport numarası, motorlu taşıt plakası, çehre görüntüsü, resmi, ses
kaydı, her türlü mahkûmiyet bilgisi vs. kısacası gerçek kişiye ilişkin her türlü bilgi kişisel veri
olarak kabul edilmektedir. Bilgi kavramı kişinin numerik, grafiksel, fotoğrafik veya işitsel her
türlü biçimdeki verisini kapsamaktadır.
İş bu kişisel verilerin korunması ise Şirketimizin en önemli öncelikleri arasındadır.
Bu konunun en önemli ayağını ise bu Politika ile yönetilen; müşterilerimizin,
potansiyel müşterilerimizin, çalışan adaylarımızın, Şirketimiz hissedarlarının, Şirketimiz
yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz şirketlerin/kurumların
çalışanlarının, hissedarlarının ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin
korunması, işlenmesi ve imhası oluşturmaktadır.
Çalışanlarımızın kişisel verilerinin korunmasına ilişkin Şirketimizin yürüttüğü
faaliyetler ise, bu Politika’daki esaslarla paralel olarak kaleme alınan “Hayhay Elektronik
Para ve Ödeme Hizmetleri A.Ş. Çalışanlarının Kişisel Verilerin Korunması, İşlenmesi ve
İmhası Politikası” altında düzenlenmekte ve yönetilmektedir.
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin
korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması
konusunda, Şirketimiz gerekli özeni göstermekte ve bunu bir Şirket politikası haline
getirmektedir. Bu kapsamda, mevzuat kapsamında kişisel verilerin korunması, işlenmesi ve
imhası için Şirketimiz tarafından gereken her türlü idari ve teknik tedbirler alınmaktadır.
Bu Politika’da kişisel verilerin işlenmesinde Şirketimizin benimsediği ve aşağıda
sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:
Kişisel verileri hukuka ve dürüstlük kurallarına uygun işlenmesi,
Kişisel verileri doğru ve gerektiğinde güncel tutulması,
Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi,
Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan
süre kadar muhafaza etme,
Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
3
Kişisel verilerin muhafazasında gerekli tedbirleri alma,
Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere
aktarılmasında, ilgili mevzuata ve Kişisel Verileri Koruma Kurulunun
düzenlemelerine uygun davranma,
Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti
gösterme.
1.2. AMAÇ
Bu Politika’nın temel amacı, Şirketimiz tarafından hukuka uygun bir biçimde
yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen
sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimiz, potansiyel
müşterilerimiz, çalışan adaylarımız, şirket hissedarlarımız, şirket yetkililerimiz,
ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları hissedarları ve yetkilileri ve
üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri
bilgilendirilerek şeffaflığı sağlamaktır.
1.3. KAPSAM
Bu Politika; amaç kısmında zikredilen kişilerin otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel
verilerini kapsamaktadır.
1.4. POLİTİKANIN VE MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan mevzuat
Şirketimiz açısında öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve
Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın
uygulamaya devam edecektir.
Eldeki Politika, ilgili mevzuat tarafından ortaya konulan kuralların Şirketimiz
uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur. Şirketimiz,
KVKK’nda öngörülen yürürlük sürelerine uygun hareket ederek gerekli sistem ve
hazırlıklarını yürütmektedir.
1.5. POLİTİKANIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenen bu Politikanın yürürlük tarihi 01.06.2025’dir.
Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın
versiyonu güncellenecektir.
Politika Şirketimizin internet sitesinde (www.hayhay.com) yayımlanacaktır ve kişisel
veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulacaktır.
4
2. BÖLÜM-KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, KVK Kanunu’nun 12 inci maddesine uygun olarak, işlemekte olduğu
kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini
önlemekte, verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik
gerekli teknik ve idari tedbirleri almakta ve bu kapsamda gerekli denetimleri yapmakta
ve/veya yaptırmaktadır.
2.1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirketimiz, aşağıda belirtilen hususlarda veri güvenliği konusunda gerekli hukuki,
teknik ve idari tedbirleri almakta, bu konuda en üst düzeyde dikkat ve özeni göstermektedir.
Şirketimiz tarafından KVK Kanunu’nun 12 inci maddesi uyarınca “veri güvenliğini”
sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir.
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik
imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır. Çalışanlar,
öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına
açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün
görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu
doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Şirketimiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için
korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve
idari tedbirler almaktadır.
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere
hukuka aykırı olarak erişilmesini önlenmesi ve verilerin hukuka uygun muhafazasını
sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi
veri işleyen kurumlar nezdinde farkındalıkları arttırmaktadır.
Şirketimizin veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu
yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma
zorunluluğu Şirketimizin tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri
işleyen kurumlara veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle
uyumlu bir şekilde sözleşmesel olarak yükletilmektedir.
Şirketimiz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla
yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar
ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
Şirketimiz, KVK Kanunu’nun 12 inci maddesine uygun olarak, kendi bünyesinde
gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirketin iç
işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin
iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
Şirketimiz, KVK Kanunu’nun 12 inci maddesine uygun olarak işlenen kişisel verilerin
kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa
sürede ilgili kişisel veri sahibine ve KVK Kanunu’na bildirilmesini sağlayan sistemi
yürütmektedir.
5
2.2. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ; BU HAKLARI
ŞİRKETİMİZE İLETECEĞİ KANALLARIN OLUŞTURULMASI VE
VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRİLMESİ
Şirketimiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13 üncü maddesine
uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini “yazılı” veya KVK
Kurulunun belirleyeceği diğer yöntemlerle Şirketimize iletmeleri durumunda Şirketimiz
talebin niteliğine göre talebi en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak
sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Şirketimiz
tarafından KVK Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini
isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel
verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde
zararın giderilmesini talep etme, haklarına sahiptir.
2.3.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVK Kanunu ile bir takım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin
mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka
uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle
davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan
teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve
6
gerekli denetimler sağlanmaktadır.
2.4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE
BİLGİLENDİRİLMESİ
Şirketimiz, KVK Kanunu’nun 10 uncu maddesine uygun olarak, kişisel verilerin elde
edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirketimiz
tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi sırasında Şirketimizin
kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi
amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri
sahibinin KVK Kanunu’nun 11 inci maddesi kapsamında sahip olduğu haklarla ilgili
aydınlatma yapmaktadır.
Anayasa’nın 20 inci maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun
11 inci maddesinde kişisel veri sahibinin hakları arasında "bilgi talep etme” de sayılmıştır.
Şirketimiz bu kapsamda, Anayasa’nın 20 inci ve KVK Kanunu’nun 11 inci maddelerine
uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi
yapmaktadır.
Bunun yanında Şirketimiz KVK Kanundaki tüm hususlar ile başta hukuka ve
dürüstlük kuralına uygun kişisel veri işleme faaliyetinde bulunduğunu kişisel veri sahipleri ile
ilgililere işbu Politika belgesi başta olmak üzere çeşitli kamuoyuna açık dokümanlarla
duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede hesap
verilebilirliği ve şeffaflığı sağlamaktadır. Ayrıca Şirketimiz ilgili kişileri; kişilerin “açık rıza”
sına başvurduğu zamanlar başta olmak üzere kendi faaliyetleri ve kanundaki hususlar
hakkında birçok farklı yöntemlerle de bilgilendirmede bulunmaktadır.
3. BÖLÜM-KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
Şirketimiz, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4 üncü maddesine uygun
olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru
ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve
ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz kanunlarda
öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza
etmektedir.
Şirketimiz kişisel verileri, KVK Kanunu’nun 5 inci maddesi uyarınca rıza
doğrultusunda veya Kanun’un aynı maddesinin ikinci fıkrasında sayılan, ilgili kişinin rızasını
gerektirmeyen haller söz konusu olduğu takdirde işlemektedir.
Aşağıda sayılan durumlarda ise;
a) Kanunlarda açıkça öngörülen haller,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya
7
beden bütünlüğünün korunması için zorunlu olan haller,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olduğu haller,
d) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olan
durumlarda,
e) İlgili kişinin kendisi tarafından verinin alenileştirilmiş olması durumunda,
f) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
halinde,
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, Şirketimizin, rıza
olmaksızın kişisel verileri işleyebilecektir.
Şirketimiz, KVK Kanunu’nun 8 inci ve 9 uncu maddelerine uygun olarak, kişisel
verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya
konulacak düzenlemelere uygun davranmaktadır.
3.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE
UYGUN OLARAK İŞLENMESİ
Hukuka Ve Dürüstlük Kuralına Uygun Veri İşleme;
Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile
genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda Şirketimiz, kişisel
verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın
gerektirdiği dışında kullanmamaktadır.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama;
Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini
dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda
gerekli tedbirleri almaktadır.
Belirli, Açık ve Meşru Amaçlarla Veri İşleme;
Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin
olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve
bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi
amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması;
Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir
biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan
kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel
ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
Verilerin Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre
Kadar Muhafaza Edilmesi;
Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için
gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili
8
mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte,
bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri
işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini
gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte,
yok edilmekte veya anonim hale getirilmektedir.
3.2. KİŞİSEL VERİLERİN KVK KANUNU’NUN 5 İNCİ MADDESİNDE
BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA
BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK
İŞLENMESİ
Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda
öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimiz bu doğrultuda ve
Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya
kişinin açık rızasıyla işlemektedir.
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak
işlenmesini mümkün kılan hukuki dayanaklardan biridir. Bununla birlikte, Şirketimiz
tarafından yürütülen kişisel veri işleme faaliyetleri ağırlıklı olarak Kanun’un 5 inci
maddesinin ikinci fıkrasında yer alan hukuki sebeplere dayanılarak gerçekleştirilmektedir. Her
bir kişisel veri işleme faaliyeti, Kanun’da öngörülen uygun hukuki sebep esas alınarak
yürütülmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda yer alan
şartlar uygulanır.
Şirketimiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık
gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4 üncü maddesinde
belirtilen (Bkz. Bölüm 3.1.) genel ilkelere uygun olarak hareket edilmektedir.
Kişisel Veri Sahibinin Açık Rızasının Bulunması,
Kanunlarda Açıkça Öngörülmesi,
Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması,
Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması,
Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi,
Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi,
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması,
Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması.
3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Şirketimiz tarafından, KVK Kanunu ile "özel nitelikli” olarak belirlenen kişisel
verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun
davranılmaktadır.
KVK Kanunu’na uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler,
KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki
durumlarda işlenmektedir;
9
Kişisel veri sahibinin açık rızası varsa veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler,
kanunlarda öngörülen hallerde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri
ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından işlenmektedir.
3.4. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli
güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel
verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere)
aktarabilmektedir. Şirketimiz bu doğrultuda KVK Kanunu’nun 8 inci maddesinde öngörülen
düzenlemelere uygun hareket etmektedir. Anılan maddeye göre kişisel verilerin üçüncü
kişilere aktarılabilmesi için kural olarak ilgili kişinin açık rızası bulunması gerekmektedir,
ancak aşağıda yer alan hallerden en az birinin bulunması halinde de kişisel veriler üçüncü
kişilere aktarılabilmektedir.
Bu haller şu şekilde sıralanabilir:
Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması,
İlgili kişinin kendisi tarafından kişisel verinin alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunluluk,
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Şirketimiz tarafından işlenen kişisel veriler yurt dışına aktarılmamaktadır.
3.5. BİNA, TESİS GİRİŞLERİ İLE BİNA VE TESİS İÇERİSİNDE
YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET
SİTESİ ZİYARETÇİLERİ
Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve
tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik
kişisel veri işleme faaliyetinde bulunulmaktadır. Bu kapsamda Şirketimiz Anayasa, KVK
Kanunu ve Özel Güvenlik Hizmetlerine Dair Kanun ile ilgili diğer mevzuata uygun olarak
hareket etmektedir.
10
Şirketimizin bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi
vasıtasıyla ziyaretçilerimizin görüntü kayıtları alınmaktadır. Görüntü kayıtları alınan
bölgelerde kamera ile izleme faaliyetinin yürütüldüğüne dair uyarı levhaları bulunmaktadır.
Şirketimizin kamera ile izleme faaliyetine yönelik politikasına www.hayhay.com adresinden
ulaşabilecektir.
Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin
kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin
güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi
amaçlar taşımaktadır.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket
çalışanının erişimi bulunmaktadır. Canlı kamera görüntülerini ise, dışarıdan hizmet alınan
güvenlik görevleri izleyebilmektedir. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik
taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
Şirketimiz tarafından KVK Kanunu’nun 12 inci maddesine uygun olarak, kamera ile
izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli
teknik ve idari tedbirler alınmaktadır.
Yukarıda belirtilen kamerayla kayıt dışında Şirketimiz tarafından; güvenliğin
sağlanması ve bu Politika’da belirtilen amaçlarla, Şirketimiz binalarında ve tesislerinde
misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak Şirketimiz binalarına gelen kişilerin isim ve soyadları elde edilirken ya
da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler
aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-
çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte veya ilgili
kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
Şirketimiz tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla;
Şirketimiz tarafından Bina ve Tesislerimiz içerisinde kalınan süre boyunca talep eden
Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin
log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir
hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları
tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili
hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının
erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları
yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde
kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi
olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını
beyan etmektedir.
11
Şirketimiz sahibi olduğu internet sitesinde; bu siteleri ziyaret eden kişilerin sitelerdeki
ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek;
kendilerine özelleştirilmiş içerikler gösterebilmek maksadıyla teknik vasıtalarla (Örn.
çerezler-cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir. Çerezler
aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin ayrıntılı bilgilere Çerez
Aydınlatma Metni üzerinden ulaşılabilir
Şirketimizin yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve
işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin "Gizlilik Politikası” metinleri
içerisinde yer almaktadır.
4. BÖLÜM- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE
ANONİMLEŞTİRİLMESİ
Türk Ceza Kanunu’nun 138 inci maddesinde ve KVK Kanunu’nun 7 inci maddesinde
düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına
istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya
anonim hâle getirilir.
Şirketimiz tarafından periyodik olarak imha kontrolü altı ayda bir yapılacak ve
imhasına karar verilen veriler resen silinecek, yok edilecek veya anonim hale getirilecektir.
Bu kapsamda Şirketimiz ilgili yükümlülüğünü yerine getirmek üzere Şirket içerisinde
gerekli teknik ve idari tedbirleri alarak; bu konuda gerekli işleyiş mekanizmaları geliştirmiş
olup; bu yükümlüklerine uygun davranmak üzere ilgili iş birimlerini eğitmekte,
görevlendirme ve farkındalıklarını sağlamaktadır.
4.1. KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bir diğer anlatımla silme; evrak,
hard disk ve cd gibi verilerin tutulduğu yerlerden geri dönüşüm sağlanmayacak şekilde
silinmesini ifade etmektedir.
4.2. KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Bir diğer
anlatımla yok etme; kişisel verinin bulunduğu evrakın fiziki olarak yok edilmesini ifade
etmektedir.
4.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
12
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse
dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek
hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri
sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle
eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması
yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale
getirilmesi gerekir.
5. BÖLÜM- DİĞER HUSUSLAR
5.1. ŞİRKETİMİZİN KİŞİSEL VERİLERİN KORUNMASI VE
İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN
İLİŞKİSİ
Şirketimiz işbu Politika ile ortaya koymuş olduğu esasları; ilgili esasların icrasına
yönelik ortaya koyduğu politika, prosedür ve uygulama rehberleri ile Şirket içerisinde
uygulanmasını temin etmektedir. Kişisel verilerin korunması konusunda ortaya konulan
politika, prosedür ve uygulama rehberleri ile Şirketin diğer alanlarda yürüttüğü temel
politikalar, prosedürler ve uygulama rehberiyle de bağı kurularak, Şirketin benzer amaçlarla
farklı politika esaslarıyla işlettiği süreçler arasında uyumluluk da sağlanmaktadır.
5.2. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER
ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları,
prosedürleri ve uygulama rehberlerini yönetmek üzere, Şirket Yönetim Kurulu kararı
gereğince “Kişisel Verilerin Korunması Komitesi” oluşturulmuştur.
Komitede yer alanlar;
Adı-Soyadı Görev Tanımı
1-………………. Komite Başkanı
2-………………. Üye
3-………………. Üye
4-………………. Üye
5-………………. Üye
5.3. KİŞİSEL VERİLERİN KORUNMASI KOMİTESİNİN GÖREVLERİ
Kişisel verilen korunması komitesinin görevleri şunlardır;
Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde
değişiklikleri hazırlamak ve yürürlüğe koymak üzere üst yönetimin onayına sunmak,
Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve
denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi
13
görevlendirmede bulunmak ve koordinasyonu sağlamak hususlarını üst yönetimin
onayına sunmak,
Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için
yapılması gereken hususları tespit etmek ve yapılması gerekenleri üst yönetimin
onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,
Kişisel verilerin korunması ve işlenmesi konusunda Şirket içerisinde ve Şirketin iş
ortakları nezdinde farkındalığı arttırmak,
Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli
önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayını
sunmak,
Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler
tasarlamak ve icra edilmesini sağlamak,
Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
Kişisel veri sahiplerinin Kanun’un uygulanmasına ilişkin taleplerini cevaplandırmak,
Kişisel veri sahiplerinin; kişisel veri işleme faaliyetleri ve kanuni hakları konusunda
bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını
koordine etmek,
Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu
gelişmelere ve düzenlemelere uygun olarak Şirket içinde yapılması gerekenler
konusunda üst yönetime tavsiyelerde bulunmak,
Kişisel Verilerin Korunması Kurulu ve Kurumu ile olan ilişkileri koordine etmek,
Şirket üst yönetiminin kişisel verilerin korunması konusunda vereceği diğer görevleri
icra etmek.
14
Ek-1 TANIMLAR VE KISALTMALAR
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Anonim Hale
Getirme
Çalışan Adayı Kişisel Verilerin
İşlenmesi
Kişisel Veri Sahibi Müşteri
Veri İşleyen Veri Sorumlusu
Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri
alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri
bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile
ilişkilendirilemeyecek hale getirilmesi.
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve
ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,
yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde
edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel verisi işlenen gerçek kişi.
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın
Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış
olan gerçek kişiler.
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen
gerçek veya tüzel kişi.
Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya
tüzel kişi.
Ziyaretçi Kurul Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan
veya internet sitelerimizi ziyaret eden gerçek kişiler.
Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
KVKK Yönetmelik 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi
Hakkında Yönetmelik
15
Ek-2 SAKLAMA VE İMHA SÜRELERİNİ GÖSTERİR TABLO
Saklama süreleri, ilgili mevzuatta öngörülen süreler ile kişisel verilerin işlenme amaçlarının
gerektirdiği süreler dikkate alınarak belirlenmiştir.
İlgili Kişi Açıklama Saklama Süresi
Şirket işlemlerinin
Kişisel Veri 10 yıl
doğrudan ya da dolaylı
tarafları
Şirket işlemlerinin
doğrudan ya da dolaylı
tarafları
Özel nitelikli kişisel veri 10 yıl
Çalışan Çalışan Destek Hizmeti
Sunucusu/Tedarikçi
Kişisel Veri Özel nitelikli kişisel veri Kişisel veri 10 yıl
15 yıl
10 yıl
İmha Süresi Kişisel verileri saklama süresinin
dolduğu tarihten itibaren en geç 180 gün
içerisinde
Periyodik İmha Kontrol Süresi 6 ayda bir
16