Kişisel Verilerin Korunması

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş.

KİŞİSEL VERİLERİN KORUNMASI HAKKINDA AYDINLATMA METNİ

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş. (“Şirket”), olarak site ziyaretçilerimize ait kişisel verileri, 7 Nisan 2016 tarih ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’na, ilgili yasal mevzuata ve Kişisel Verileri Koruma Kurumu ilke kararlarına uygun şekilde işliyoruz. Kişisel verilerinizin alınma şekilleri, işlenme amaçları, hukuki nedenleri ve haklarınız konularında sizleri bilgilendirmek isteriz.

1. KİŞİSEL VERİ VE VERİ SORUMLUSU

6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 3. Maddesinin 1. Fıkrasının d bendinde kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlanmaktadır. Şirket, 6698 sayılı Kişisel Verilerin Korunması Kanunu m.3/1-ı uyarınca “veri sorumlusu” sıfatıyla kişisel verilerinizi 6698 sayılı Kanun’a ve ilgili mevzuata, Kişisel Verilerin Korunması ve İşlenmesi Politikası’na uygun olarak işleyecek; kaydedecek, saklayacak, güncelleyecek, muhafaza edecek, depolayacak, yeniden düzenleyecek ve yurtiçi veya yurtdışındaki üçüncü kişilere, kamu kurum ve kuruluşlarına mevzuatın öngördüğü çerçevede açıklayabilecek ve aktarabilecektir.

2. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel verileriniz Şirkete ait internet sitesinde yer alan iletişim, üyelik ve benzeri çevrimiçi formlar (söz konusu formlar için gerekli olan bilgilerin yanı sıra kendi rızanız ile eklediğiniz geri bildirim, göndermiş olduğunuz e-posta ve benzeri içeriklere haiz bilgileriniz), Şirkete ait iletişim numaraları/e-posta adresleri aracılığı ile paylaştığınız bilgileriniz, Şirket tarafından yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, e-posta, telefon, internet sitesi, muhtelif sözleşmeler, kağıt ortamında tutulan formlar ve tutanaklar gibi her türlü sözlü, yazılı ya da elektronik ortamda, otomatik ya da otomatik olmayan yöntemlerle, Kanunun 5 inci maddesinde belirtilen “İlgili kişinin açık rızası”, “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebeplerine dayanarak işbu metnin 3. ve 4. başlıklarında belirtilen amaçlarla işlenebilmektedir.

3. KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI

Toplanan kişisel verileriniz, Şirket aşağıda belirtilen amaçlar ile işlenebilecektir;

  • Şirket tarafından icra edilen faaliyetlerin ilgili mevzuata ve Şirket politikalarına uygun şekilde yürütülebilmesi,
  • Şirket tarafından sunulan hizmetlerin ilgili departman tarafından yerine getirilmesi amacı doğrultusunda; Şirket tarafından yürütülen bağımsız denetim, muhasebe, Due Diligence, eğitim ve sair danışmanlık hizmetlerinin ifası,
  • Şirketin ticari ve iş politikalarının belirlenmesi ve uygulanması amacı doğrultusunda yürütülen süreçleri ve faaliyetleri, satın alma operasyonları, bilgilendirme çalışmaları, sosyal sorumluluk projelerinin yürütülmesi,
  • Şirket insan kaynakları politikalarının yürütülmesi ve uygulanması,
  • İnternet sitemizde kullanıcılarımıza daha iyi hizmet sunabilmesi ve hizmetlerimizin iyileştirebilmesi,
  • Ürün/hizmet teklifi, her türlü bilgilendirme, reklam-tanıtım, promosyon, satış ve pazarlama faaliyetlerinin gerçekleştirilebilmesi,
  • Müşterilerimizin ilgi alanlarına ve tercihlerine yönelik tarafımızca tarafından geliştirme çalışmaları yapılabilmesi,
  • İş birimlerimiz tarafından hizmet çıktılarının hazırlanması, teslimi ve gerekli süreçlerin yürütülebilmesi,
  • Şirketin ve Şirket ile iş ilişkisi kurmuş veya iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
  • Şirket tarafından sunulan ürün, hizmet ya da ticari faaliyete bağlı olarak sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması,
  • Yasalar tarafından öngörülen zorunluluklar dolayısıyla ilgili kurum ve kuruluşlara gerekli bilgilendirmenin yapılması,
  • Bilgi güvenliği ve iletişim teknolojileri süreçlerinin organize edilmesi, denetimi, icrası ve bu husustaki altyapı faaliyetlerinin ifası,
  • Şirket’in ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçları ile işlenebilecektir.

4. KİŞİSEL VERİLERİNİZİN KİMLERE VE HANGİ AMAÇLAR İLE AKTARILABİLECEĞİ

Toplanan kişisel verileriniz, kanunda belirtilen kişisel veri kişisel verilerin aktarılmasının şartlarına uyumlu olarak;

  • Şirket tarafından icra edilen faaliyetlerin ilgili mevzuata ve Şirket politikalarına uygun şekilde yürütülebilmesi,
  • İnternet sitemizde kullanıcılarımıza daha iyi hizmet sunabilmesi ve hizmetlerimizin iyileştirebilmesi,
  • Ürün/hizmet teklifi, her türlü bilgilendirme, reklam-tanıtım, promosyon, satış ve pazarlama faaliyetlerinin gerçekleştirilebilmesi,
  • Müşterilerimizin ilgi alanlarına ve tercihlerine yönelik tarafımızca geliştirme çalışmaları yapılabilmesi,
  •  Departmanlarımız tarafından üstlenilen edimlerin hazırlanması, teslimi ve gerekli süreçlerin yürütülebilmesi,
  • Şirketin ve Şirket ile iş ilişkisi kurmuş veya iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini,
  • Şirket tarafından sunulan ürün, hizmet ya da ticari faaliyete bağlı olarak sizleri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması,
  • Şirketin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,

amaçları ile iş ortaklarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına, hukuk büroları, araştırma şirketleri, şikayet yönetimi ve güvenliğin sağlanmasına ilişkin şirketler, danışmanlık şirketleri, sosyal medya mecraları, şirket hissedarlarıyla, doğrudan/dolaylı iştiraklerimiz/bayilerimiz, müşterilerimize ticari elektronik iletilerin gönderilmesi konusunda anlaşmalı olduğumuz kuruluşlar, bankalar ile ve bu amaçlarla sınırlı ve orantılı olmak üzere yurt içinde üçüncü kişilere paylaşılabileceği gibi yurt dışına da aktarabilecektir.

5. 6698 SAYILI KANUN GEREĞİ HAKLARINIZ

6698 sayılı Kişisel Verilerin Korunması Kanunu 11. madde uyarınca şu haklara sahipsiniz:

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini, düzeltme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Yasal sınırlar hariç olmak üzere Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini ve bu durumun kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendiniz aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

6698 sayılı Kanun 13. madde uyarınca, yukarıda sayılan haklarınızı kullanmak amacıyla ilgili taleplerinizi aşağıdaki şekilde Şirkete;

  1. Şirket’in “Spine Tower Büyükdere Cad. 59.Sok. No:243 Kat: 25-26 Maslak PK.34398 Sarıyer/İstanbul” adresine bizzat elden yazılı olarak veya noter aracılığıyla [1],
  2. Güvenli elektronik imza, mobil imza ya da Şirkete daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresiniz kullanmak suretiyle kvk@gureli.com.tr adresine göndererek

iletebilirsiniz.

Başvurunuzun Türkçe olması ve içeriğinde;

  • Ad, soyad ve başvuru yazılı ise imza,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • Talep konusu

bulunması zorunludur.

Şirketimize iletilen usulüne uygun talepler en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Cevabın on sayfadan fazla olması halinde, on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise veri kayıt ortamının maliyeti talep edilebilir. 

Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek ve talepleri değerlendirmek için gerekli görmesi halinde ek bilgi talep edebilir ve başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. 

[1] Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

GÜRELİ YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM HİZMETLERİ A.Ş. (“Şirket”), olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu(“Kanun”) uyarınca özel nitelikli kişisel verilerinizin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse Kanun’un 6. Maddesinde sayılan özel nitelikli kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına işbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız. 

1. AMAÇ

İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak özel nitelikli kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Şirket Paydaşları, Şirket Yetkilileri, Şirket İş Ortakları, Çalışanlar, Çalışan Adayları, Ziyaretçiler, Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler başta olmak üzere özel nitelikli kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirmektir. Bu şekilde Şirketimiz tarafından gerçekleştirilen özel nitelikli kişisel verilerin işlenmesi ve korunması faaliyetlerinde ilgili mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.

2. TANIMLAR

İşbu politikada yer alan tanımlar şu şekildedir:

Şirket/ Şirketimiz Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri A.Ş.’dir.
Özel Nitelikli Kişisel Veri/Veriler Özel nitelikli kişisel veriler öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. 
Özel Nitelikli Kişisel Verilerin İşlenmesi Özel Nitelikli Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,  açıklanması,  aktarılması,  devralınması,  elde edilebilir hâle getirilmesi,   sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kişisel Veri Sahibi/İlgili Kişi Şirket Paydaşlarını, Şirket İş Ortaklarını, Şirket Yetkililerini, Çalışan Adaylarını, Ziyaretçileri, Şirket Müşterileri, Potansiyel Müşterileri, Üçüncü Kişileri ve kişisel verisi şirket tarafından işlenen kişileri ifade eder. 
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt istemini (VERBİS) ifade eder.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına özel nitelikli kişisel veri işleyen gerçek ve tüzel kişidir.
Açık Rıza Özel nitelikli verilere ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim Hale Getirme Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Silme Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
KVK Kurulu Kişisel Verileri Koruma Kurulu’dur.
Şirket Paydaşı Şirket’in Paydaşı gerçek kişilerdir.
Şirket Gerçek Kişi İş Ortağı Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek kişilerdir. 
Şirket İş Ortaklarının Paydaşı, Yetkilisi, Çalışanı Şirket’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin  (iş ortağı,  tedarikçi gibi)  çalışanları, Paydaşları ve yetkilileri dâhil olmak üzere,  tüm gerçek kişilerdir.
Şirket Yetkilisi Şirket ile arasında istihdam ilişkisi bulunan her türlü gerçek kişilerdir. 
Çalışan Adayı Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişilerdir.
Şirket Müşterisi Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket’in sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.
Potansiyel Müşteri Şirket’in ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir.
Ziyaretçi Şirket’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.
Üçüncü Kişi Şirket Çalışanları için hazırlanan Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamına ve bu Politikada herhangi bir kişisel veri sahibi kategorisine girmeyen diğer gerçek kişilerdir. 
   

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

A. Genel İlkeler

Şirket tarafından Özel Nitelikli Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket eder:

  • Özel Nitelikli Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.
  • Özel Nitelikli Kişisel Verilerin doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.
  • Özel Nitelikli Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
  • Özel Nitelikli Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Özel Nitelikli Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen Özel Nitelikli Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
  • İlgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Özel Nitelikli Kişisel Veriler’i, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Özel Nitelikli Kişisel Veri’nin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

B. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Veriler’i, ilgilinin açık rızası olmaksızın işlemez. Ancak sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir.  Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenir. Şirket Özel Nitelikteki Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.

C. Özel Nitelikli Kişisel Verilerin İşlenmesinde Şirket Tarafından Alınan Önlemler

Şirket, Kanun’un 6. Maddesinde düzenlenen Özel Nitelikli Kişisel Veriler’in işlenmesi hususunda Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:

  1. Özel nitelikli kişisel verilerin güvenli bir şekilde muhafazasının sağlanması amacıyla sürdürülebilirlik ve verilerin güvenli bir şekilde muhafazası, kanuni düzenlemelere ve dürüstlük kuralına uygunluk ilkelerini benimsemiş işbu politika hazırlanmıştır.
  2. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan’lara yönelik,
    a. 6698 sayılı Kanun ve ilgili mevzuat ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitim seminerleri verilmektedir,
    b. Gizlilik sözleşmeleri ve ilgili sözleşmelere ilişkin protokoller yapılmaktadır,
    c. Özel Nitelikli Kişisel Veriler’e erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
    d. Şirketimiz bünyesinde periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
    e. Görev değişikliği olan ya da işten ayrılan Çalışanlar’ın bu alandaki yetkileri ivedilikle kaldırılmaktadır. Bu kapsamda, Veri Sorumlusu tarafından kendisine tahsis edilen ve kişisel verilere ilişkin olan tüm teknolojik cihazları geri almaktadır.
  3. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam için;
    a. Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,
    b. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
    c. Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,
    d. Özel Nitelikli Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
    e. Özel Nitelikli Kişisel Veriler’e bir program vasıtası ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
    f. Özel Nitelikli Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
  4. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği, fiziksel ortamlar için;
    a. Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, sel, hırsızlık vb. durumlara karşı) ve sair tedbirler alınmaktadır,
    b. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  5. Özel Nitelikli Kişisel Veriler aktarılacaksa;
    a. Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
    b. Taşınabilir bellek, CD, DVD, depolamaya yarayan her türlü teknolojik aygıt gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır,
    c. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir,
    d. Kağıt ve sair ürün üzerinde yer alan Kişisel Veriler’in fiziki olarak aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak "Çok Gizli ” formatta gönderilmektedir.
  6. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

D. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda Özel Nitelikli Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir. 

(i) Özel Nitelikli Kişisel Veri Sahibi’nin açık rızası olması halinde veya

(ii) Aşağıdaki şartların varlığı halinde Kişisel Veri Sahibi’nin açık rızası aranmaksızın; 

  • Özel Nitelikli Kişisel Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, 
  • Özel Nitelikli Kişisel Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

E. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması

Şirket, gerekli özeni göstererek, gerekli güncel güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen ve öngörülebilecek olan yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda Kişisel Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.

(i) Kişisel Veri Sahibi’nin açık rızası olması halinde veya 
(ii) Aşağıdaki şartların varlığı halinde Kişisel Veri Sahibi’nin açık rızası aranmaksızın; 

  • Kişisel Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde, 
  • Kişisel Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

Politikanın Yürürlüğü

Şirket tarafından düzenlenerek 26/04/2018 tarihinde yürürlüğe giren işbu Politika Şirket’in internet sitesinde www.gureli.com.tr yayımlanır ve Kişisel Veri Sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.