Gizlilik Politikası

ENVESU ÇEVRE ENERJİ İNŞAAT VE MÜŞAVİRLİK ANONİM ŞİRKETİ ÇEREZ POLİTİKASI

Doküman Bilgileri
Doküman Adı	Çerez Politikası
Doküman İçeriği	Bu politikanın amacı, ENVESU Çevre Enerji İnşaat ve Müşavirlik Anonim Şirketi tarafından, Web Sitesi üzerinden gerçekleştirilen çerez toplama amaç, yöntem ve süreçlerine ilişkin esasları belirlemektir.
Yayınlanma Tarihi	27.10.2025
Yürürlük Tarihi	27.10.2025
Versiyon No	1
Referans / Gerekçe	7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu

ÇEREZ POLİTİKASI HAKKINDA

ENVESU Çevre Enerji İnşaat ve Müşavirlik Anonim Şirketi (“ENVESU” ve/veya “Şirket”) olarak, çevrimiçi mecralarımızı ziyaretiniz sırasında sizlerin deneyimini geliştirmek için çerezler, pikseller, gifler gibi bazı teknolojilerden faydalanmaktayız. İşbu Çerez Politikası (“Çerez Politikası”) ile https://envesu.com/ (“Web Sitesi” veya “Web Sitemiz”)’un işletilmesi sırasında, Web Sitesi’ni ziyaret eden ziyaretçilerimize ilişkin olarak çerezlerin kullanımı hakkında 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında sizleri bilgilendirmekte, Web Sitesi üzerinden hangi amaçlarla hangi tür çerezleri kullandığımızı ve bu çerezleri nasıl kontrol edebileceğinizi sizlere açıklamaktayız.

ENVESU olarak, Web Sitemiz’de kullanmış olduğumuz çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya yeni çerezler ekleyebiliriz. Bu kapsamda, işbu Çerez Politikası’nda zaman zaman değişiklik yapabilir ve bu değişiklikleri içeren Çerez Politikası’nı Web Sitemiz üzerinden yayınlayabiliriz.

Çerez Politikası’ndan ayrı olarak kişisel verilerinizin Şirket’imiz tarafından işlenme amaçları konusunda ayrıntılı açıklamalarımızı ve detaylı bilgiyi ise; Web Sitemiz’de “İletişim” sayfasında bulunan Kişisel Verilerin Korunması ve İşlenmesi Politikası içerisinde bulabilirsiniz.

ÇEREZ (COOKİE) NEDİR?

Çerezler, Web Sitemiz üzerinden sizin tarayıcılarınıza gönderilen bilgi işaretleridir ve bunlar yalnızca Web Sitemiz’e giriş yaptığınızda kullanılır. Çerezler kesinlikle bir virüs değildir. Web Sitemiz’in kullanımını daha iyi anlayabilmeniz için kullanılan özel bir tanımlayıcı içeren çerezler sizin web tarayıcılarınıza gönderilir, böylece kullanıcıların Web Sitemiz’in hangi alanlarını kullanmayı tercih ettiklerini (örneğin; bu alanlara giren ziyaretçi sayısı esasına göre) anlayabilir ve size daha özelleştirilmiş bir deneyim yaşatabiliriz.

ÇEREZLERİ KULLANIM AMACIMIZ

ENVESU olarak, Web Sitemiz’de aşağıdaki amaçlarla çerezleri kullanmaktayız:

Web Sitemiz’in çalışması için gerekli temel fonksiyonları gerçekleştirmek, işlevselliğini arttırmak ve kullanım kolaylığı sağlamak,
Web Sitemiz üzerinden üçüncü taraf sosyal medya mecralarına paylaşımda bulunmak, Web Sitemiz’i ziyaret eden ziyaretçinin arama sorgularının hatırlanması.
Web Sitemiz’i analiz etmek ve performansını arttırmak. (Örneğin, Web Sitemiz’in üzerinde çalıştığı farklı sunucuların entegrasyonu, Web Sitemiz’i ziyaret edenlerin sayısının tespit edilmesi ve buna göre performans ayarlarının yapılması ya da ziyaretçilerin aradıklarını bulmalarının kolaylaştırılması.)
Kişiselleştirme, hedefleme ve reklamcılık faaliyeti gerçekleştirmek. (Örneğin, ziyaretçilerin görüntüledikleri sayfa ve ENVESU hizmetleri üzerinden ziyaretçilerin ilgi alanlarıyla bağlantılı reklam gösterilmesi.)

İşbu Çerez Politikası kapsamındaki kişisel verileriniz, yukarıda ve Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen amaçların gerçekleştirilebilmesi ile sınırlı olarak mevzuata uygun şekilde işlenecek olup ENVESU’nun hizmetlerinden faydalandığı üçüncü kişilerle, bağlı ortaklıklarımızla, iş ortaklarımızla ve grup şirketlerimiz ile paylaşabilecektir.

Bilgisayarınızda depolanan çerez dosyaları, hiçbir yolla kişisel verilerinize erişememektedir. ENVESU’da kullanılan çerezler, sizleri daha iyi tanımamıza ve bir sonraki ziyaretinizde, size daha iyi bir deneyim sağlamamıza olanak tanımaktadır. Web Sitemiz’i kullanmaya başladığınızda, sitemizde yer alan çerezleri otomatik olarak kullanamaya başlarsınız.

ÇEREZ TÜRLERİ

Çerezler; hizmet ettiği amaca göre, verinin saklı tutulduğu süreye göre, oluştukları kaynaklarına göre sınıflandırılabilmektedir.

Amaçlarına Göre Çerezler

Çerezin kullanılma amacına göre yapılan bu sınıflandırmada “kesin gerekli çerezler”, “tercih çerezleri”, “istatistik çerezleri” ve “pazarlama çerezleri” açıklanmıştır.

Kesin Gerekli Çerezler

Kesin gerekli çerezler, Web Sitesi’nin temel işlevlerinin yürütülmesi, Web Sitesi’nde gezinmek ve sitenin güvenli alanlarına erişim gibi özelliklerin kullanılması için gerekli olan çerezlerdir. Bu çerezler, sitenin güvenli şekilde çalışmasını sağlamak, sayfalar arasında gezinmeyi mümkün kılmak ve temel sistem işlevlerini sürdürebilmek amacıyla kullanılmaktadır. Web Sitemiz gibi sayfa yönlendirmelerinin doğru şekilde gerçekleşmesi, dil tercihinin hatırlanması veya kullanıcı tarafından yapılan çerez tercihlerinin saklanmasına izin veren çerezler kesin gerekli çerezlere örnek olarak sayılabilir. Kesin gerekli çerezler, genel olarak birinci taraf oturum çerezleridirler.

Tercih Çerezleri

Web Sitesi’nde geçmişte yapılan seçimlerin (hangi dilin tercih edildiği, bölgesel ayarlar vb.) ne olduğunun hatırlamasını sağlar. Web Sitesi’nin kişiselleştirilmesini sağlayan tercih çerezleri, işlevsel çerezler olarak da adlandırılmaktadır.

İstatistik Çerezleri

Performans çerezleri olarak da bilinen istatistik çerezleri, Web Sitesi’nin kullanımına ilişkin anonim, istatistiksel veri sağlayan çerezlerdir. İstatistik çerezleri ile kullanıcının web sitesini nasıl kullandığı, ziyaret ettiği sayfalar, tıkladığı bağlantılar depolanabilmektedir. Anonim hale getirilen istatistik çerezleri, Web Sitesi kullanıcısını tanımlamak için kullanılmamaktadır. Bu çerezlerin amacı, Web Sitesi’ni daha işlevsel hale getirmektir.

Pazarlama Çerezleri

Pazarlama çerezleri, reklam verenlerin kullanıcının ilgisine göre reklamlar sunmasını sağlayan çerezlerdir. Web sitesi kullanıcısının karşılaştığı reklamların istatistiksel verileri, pazarlama çerezleri yoluyla elde edilen veriler, diğer kuruluşlarla veya reklam verenlerle paylaşılabilir. Bunlar kalıcı olarak depolanabilen çerezlerdir.

Depolanma Sürelerine Göre Çerezler

Çerezler, verinin elde tutulma süresine göre oturum çerezleri ve kalıcı çerezler olarak ikiye ayrılmaktadır. Oturum çerezlerinin kalıcı çerezlerden farkı geçici, anlık veri bilgisi sağlamasıdır.

Oturum Çerezleri

Oturum çerezleri, kullanıcının tarayıcıyı kapatması veya oturumun sona ermesi süresine kadar depolanabilecek veriler sağlamaktadır. Kısa süreli çerezlerdir.

Kalıcı Çerezler

Kalıcı çerezler, çerezin kullanıcı tarafından silinme tarihine kadar veya çerez için belirli son kullanım tarihine kadar sürücüde yer alan çerezlerdir.

Kaynaklarına Göre Çerezler

Birinci Taraf Çerezleri

Adından da anlaşılacağı gibi, birinci taraf çerezleri doğrudan Web Sitemiz tarafından cihaza yerleştirilmektedir.

Üçüncü Taraf Çerezleri

Üçüncü taraf çerezleri, ziyaret edilen Web Sitesi tarafından değil, reklam veren veya analitik sistem gibi üçüncü bir tarafça cihaza yerleştirilen çerezlerdir.

KULLANDIĞIMIZ ÇEREZLER

SERVİS SAĞLAYICI	ÇEREZ İSMİ	ÇEREZ AMACI	ÇEREZ TİPİ	ÇEREZ SÜRESİ

[/cmplz-document]

ENVESU ÇEVRE ENERJİ İNŞAAT VE MÜŞAVİRLİK ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Doküman Bilgileri
Doküman Adı	Kişisel Verilerin Korunması ve İşlenmesi Politikası
Doküman İçeriği	Bu politikanın amacı, ENVESU Çevre Enerji İnşaat ve Müşavirlik Anonim Şirketi tarafından, Kişisel Verilerin korunmasına ve işlenmesine yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
Yayınlanma Tarihi	27.10.2025
Yürürlük Tarihi	27.10.2025
Versiyon No	1
Referans / Gerekçe	7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu
Güncelleme Sorumlusu ve Tarihi

İÇİNDEKİLER

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI. 3

VERİ GİZLİLİĞİ TAAHHÜDÜ.. 3
POLİTİKANIN AMACI 3
POLİTİKANIN KAPSAMI 3
TANIMLAR.. 3
KİŞİSEL VERİLERİN KORUNMASI. 5
KİŞİSEL VERİ İŞLEMENİN İLKELERİ. 6

6.1. Kişisel Veriler’in Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi 7

6.2. Kişisel Veriler’in Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması 7

6.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi 7

6.4. Kişisel Veriler’in İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması 7

6.5. Kişisel Veriler’in Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi 7

KİŞİSEL VERİLERİN İŞLENMESİ. 7

7.1. Açık Rıza. 8

7.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi 8

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ 9
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ 9
KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ. 10

10.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı 10

10.2. Yurt Dışında Bulunan Üçüncü Kişilere Aktarım.. 10

ŞİRKET’İN AYDINLATMA YÜKÜMLÜLÜĞÜ.. 11
VERİ SAHİBİNİN HAKLARI. 12
VERİ YÖNETİMİ VE GÜVENLİĞİ 13
EĞİTİM… 14
DENETİM… 15
İHLALLER.. 15
SORUMLULUKLAR.. 15
POLİTİKADA YAPILACAK DEĞİŞİKLİKLER.. 15
POLİTİKA’NIN YÜRÜRLÜK TARİHİ. 15

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. VERİ GİZLİLİĞİ TAAHHÜDÜ

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), ENVESU Çevre Enerji İnşaat ve Müşavirlik Anonim Şirketi’nin (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere ilgili mevzuat hükümleri uyarınca kişisel verileri korumaya yönelik yükümlülüklerini yerine getirirken ve kişisel verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.

Şirket, kendi bünyesinde bulunan kişisel veriler bakımından işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.

2. POLİTİKANIN AMACI

İşbu Politika’nın temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik benimsenen sistemlere ilişkin açıklamalarda bulunmak ve Şirket nezdinde kişisel verileri işlenen kimliği belirli ve/veya belirlenebilir gerçek kişileri bilgilendirerek anayasal bir hak olan kişisel verilerin korunması hususunda şeffaflığı sağlamaktır.

3. POLİTİKA’NIN KAPSAMI

İşbu Politika, Şirket tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.

İşbu Politika; müşterilerimizin, tedarikçilerimizin, çalışan adaylarımızın, stajyerlerimizin, çalışanlarımızın, ortaklarımızın, yetkililerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum ve kuruluşların yetkilileri ve/veya çalışanlarının başta olmak üzere Şirket nezdinde otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen üçüncü kişilere ait tüm kişisel verilere ilişkindir.

İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.

İşbu Politika, kişisel verilerin korunması mevzuatı düzenlemelerinin gerektirmesi halinde yahut Şirket’in Veri Sorumlusu Yetkilisi yahut Komite’nin gerekli gördüğü hallerde zaman zaman Şirket yönetim kurulu onayı ile değiştirilebilir.

4. TANIMLAR

İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva eder;

“Açık Rıza” Veri sahibinin/ilgili kişinin kişisel verilerinin işlenmesine dair bilgilendirilmeye dayalı olarak ve özgür iradeyle açıkladığı rızayı ifade eder.

“Anayasa” 9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası’nı ifade eder.

“Çalışan Adayı” Şirket’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmişi ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişileri ifade eder.

“İş Birliği İçinde Olunan Kurumların Çalışan ve Yetkilileri” Şirket’in her türlü ilişki içerisinde bulunduğu kurum ve kuruluşların çalışanları ile bu kurum ve kuruluşların yetkilerini ifade eder.

“İmha” Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

“Kayıt Ortamı” Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü kayıt ortamını ifade eder.

“Kişisel Veri(ler)” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veriler”i de kapsayacaktır).

“Kişisel Veri Envanteri” Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin aldığı tedbirleri detaylandırarak açıkladığı envanteri ifade eder.

“Kişisel Veri İşlenmesi” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

“Kişisel Verilerin Anonim Hale Getirilmesi” Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

“Kişisel Verilerin Silinmesi” Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

“Kişisel Verilerin Yok Edilmesi” Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

“Komite/Veri Komitesi” İşbu Politika’nın ve Politika’ya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi ifade eder.

“Kurul” Kişisel Verileri Koruma Kurulu’nu ifade eder.

“Kurum” Kişisel Verileri Koruma Kurumu’nu ifade eder.

“KVKK düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer resmi makamlar tarafından verilen bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade eder.

“KVK Prosedürleri” Şirket yönetim kurulu tarafından onaylanarak yürürlüğe giren ve Şirket’in, çalışanların, komitenin ve veri sorumlusu yetkilisinin işbu Politika kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.

“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

“Periyodik İmha” Kişisel veri işleme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

“Veri İşleyen” Veri sorumlusu organizasyonu içinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

“Veri Sahibi/İlgili Kişi” Kişisel verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder.

“Veri Sorumlusu” Kişisel verileri işleme amaçları ve işleme yollarını belirterek işleyen, veri kayıt sisteminin kurulması ve yönetilmesi sorumluluğu bulunan gerçek veya tüzel kişiyi ifade eder.

“Veri Sorumlusu Yetkilisi” Komite içerisinden seçilen ve Şirket’in Kişisel Verileri Koruma Kurumu ile olan ilişkilerini yürüten ve yönetim kurulu kararı ile atanan çalışanı ifade eder.

“Ziyaretçi” Şirket’in sahip olduğu fiziksel yerleşkelere veya şirket merkezine çeşitli amaçlarla girmiş ve/veya ziyaret etmiş gerçek kişileri ifade eder.

“Müşteri” Şirket’in satış faaliyetlerini yürüttüğü her mecradan Şirket’ten ürün satın almış veya alacak olan gerçek kişileri ifade eder.

5. KİŞİSEL VERİLERİN KORUNMASI

Anayasa’nın 20. maddesi gereğince herkes kendisiyle ilgili Kişisel Veriler’in korunmasını isteme hakkına sahiptir. İşbu Politika ile Şirket; KVKK’nın 12. maddesi uyarınca kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirleri almakta ve bu kapsamda gerekli denetimleri yapmakta ve yaptırmaktadır.

Şirket tarafından, KVKK’nın 12. maddesince “veri güvenliği”ne ilişkin alınan başlıca tedbirler aşağıda sıralanmıştır.

Şirket tarafından işlenen kişisel verilerin neler olduğunun analiz edilmesi ile bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunun tespiti yapılmaktadır.
Şirket tarafından yürütülen tüm faaliyetler detaylı olarak tüm iş birim ve departmanları nezdinde analiz edilerek bu analiz neticesinde kişisel veri envanteri oluşturulmuş olup bu envanterdeki riskli alanlar tespit edilerek gerekli hukuki ve teknik tedbirler alınmaktadır.
Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemler ve hukuki yöntemlerle denetlenmekte olup teknik hususlar kapsamında uzman personel istihdam edilmektedir.
Şirket çalışanları, öğrendikleri kişisel verilerin KVKK ve ilgili mevzuat hükümlerine aykırı olarak başkalarına açıklanmayacağı ve işleme amacı dışında kullanılmayacağı ve bu yükümlülüğün görevlerinden ayrılmalarından sonra da devam edeceği hususunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
Şirket, çalışanlarının işe alım süreçlerinde imzalanacak iş sözleşmelerinde gizlilik ve veri güvenliğine ilişkin hükümler eklemiş olup bu kapsamda çalışanlar kişisel verilerin korunması hukuku ve ilgili mevzuat kapsamında alınması gereken önlemlere ilişkin sürekli olarak bilgilendirilmekte ve farkındalıkları artırılmaktadır.
Şirket’in ilişki içerisinde olduğu tedarikçiler, hizmet sağlayıcıları, alt yükleniciler ve bunlarla sınırlı olmaksızın diğer üçüncü kişi iş ortakları kişisel verilerin korunması hukuku ve bu hukuka uygun gerekli önlemlerin alınması hususunda bilgilendirilmekte ve bu hususlar sözleşmesel olarak yükletilmektedir.
Şirket tarafından kişisel verilerin korunması ve bu hukuka uygun gerekli olan önlemlerin alınmasında süreklilik amacıyla gerekli denetimler yapılmakta/yaptırılmakta ve bu denetim sonucu Veri Komitesi ve/veya Veri Sorumlusu Yetkilisi’ne raporlanmaktadır. Rapor sonucuna göre Veri Komitesi ve/veya Veri Sorumlusu Yetkilisi tarafından eksik görülen hususlar değiştirilmekte ve/veya iyileştirilmektedir.
Şirket tarafından kişisel verilerin korunmasını sağlamak için gerekli teknik önlemler alınmakta ve düzenli olarak ilgilisine raporlanmaktadır. İlgililer raporu gözden geçirdikten sonra gerekli teknolojik çözümlerin üretilmesi için çalışmaktadır.
Şirket, güvenlik duvarı içeren yazılımlar kullanmakta ve kişisel verilerin güvenli bir şekilde muhafazası için yedekleme programları kurmaktadır.
Elektronik Kayıt Ortamı’nda saklanan kişisel veriler, ilgili kullanıcıların erişimlerine sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Fiziksel Kayıt Ortamı’nda saklanan dosyalar Şirket bünyesinde arşiv dolaplarında saklanmakta ve sonrasında belirlenen prosedürlere göre imha edilmektedir.
Şirket tarafından hukuka uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ve veri güvenliğinin ihlal edilmesi durumunda, bu durumu en kısa sürede Veri Sahibi’ne ve Kurul’a bildirilmesini öngören veri ihlali müdahale planı hazırlamıştır.

Özel Nitelikli Kişisel Verilerin Korunması

Özel Nitelik Kişisel Veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığa sebep olma riski nedeniyle KVKK gereğince özel önem atfedilmiş ve Şirket tarafından hassasiyetle ve özenle korunmakta olan verilerdir.

Şirket, Özel Nitelikli Kişisel Veriler’in güvenliğinin sağlanması için gerekli faaliyetlerde bulunmakta olup bu verilerin KVKK düzenlemeleri’ne uygun işlenmesini temin etmek amacıyla yasal gerekliliklere ve Kurul tarafından belirtilen yeterli önlemlere uyum sağlamak amacıyla gerekli teknik ve idari tedbirleri almaktadır.

6. KİŞİSEL VERİ İŞLEMENİN İLKELERİ

Şirket, KVKK’nın 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir:

6.1. Kişisel Veriler’in Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi

Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işlenir. Bu kapsamda Şirket, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate alarak kişisel verileri işlendiği amaç dışında kullanmamaktadır.

6.2. Kişisel Veriler’in Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması

Şirket, Kişisel Veriler’in eksiksiz, doğru ve güncel olması için kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak gerekli önlemleri alır ve Veri Sahibi’nin Kişisel Veriler’e yönelik değişiklik talep etmesi durumunda ilgili Kişisel Veriler’i günceller.

6.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi

Kişisel Veriler’in işlenmesinden önce Şirket tarafından Kişisel Veriler’in hangi amaçla işleneceği belirlenir. Şirket, Kişisel Veriler’i ticari faaliyetleri ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Bu kapsamda, Veri Sahibi KVKK düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rıza alınır.

6.4. Kişisel Veriler’in İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket, Kişisel Veriler’i yalnızca KVKK düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya Veri Sahibi’nden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde 6.2) ve ölçülülük esasına uygun olarak işler. Şirket amacın gerçekleştirilmesiyle ilgili olmayan ve ihtiyaç duyulmayan Kişisel Veriler’in işlenmesinden kaçınmaktadır.

6.5. Kişisel Veriler’in Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi

Şirket, Kişisel Veriler’i ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Şirket’in, ilgili mevzuatta öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir süreyle Kişisel Veriler’i muhafaza etmek istemesi halinde, Şirket KVKK düzenlemelerinde belirtilen yükümlülüklere uygun davranır.

Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler silinir, yok edilir veya anonim hale getirilir. İşbu halde, Şirket’in Kişisel Veriler’i aktardığı üçüncü kişilerin de Kişisel Veriler’i silmesi, yok etmesi yahut anonim hale getirmesi sağlanır.

Kişisel Veriler’in Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi süreçlerinin işletilmesinden Veri Sorumlusu Yetkilisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.

7. KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel Veriler Şirket tarafından ancak KVKK’nın 5. ve 6. maddesi gereğince aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

7.1. Açık Rıza

Kişisel Veriler, Veri Sahibi’ne Aydınlatma Yükümlülüğü’nün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve Veri Sahibi’nin Açık Rıza vermesi halinde işlenir.

Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Sahibi’ne hakları bildirilir.

Veri Sahibi’nin Açık Rıza’sı, KVKK düzenlemeleri’ne uygun yöntemlerle alınır. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVKK düzenlemeleri kapsamında gereken süre ile muhafaza edilir.

Veri Sorumlusu Yetkilisi ve Komite, tüm Kişisel Veri İşleme süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rıza’nın alınmasını ve muhafazasını sağlamakla yükümlüdür. Kişisel Veri işleyen tüm departman çalışanları Veri Sorumlusu Temsilcisi ve Komite’nin talimatlarına, işbu Politika’ya ve bu Politika’nın eki olan KVKK Prosedürlerine uymakla yükümlüdür.

7.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi

KVKK düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin öngörüldüğü durumlarda (KVKK Madde 5.2 ve Madde 6.3), Şirket Veri Sahibi’nin Açık Rızası’na başvurmaksızın Kişisel Veriler’i işleyebilir. Kişisel Veriler’in bu şekilde işlenmesi durumunda Şirket KVKK düzenlemeleri’nin çizdiği sınırlar çerçevesinde Kişisel Veriler’i işler.

Bu kapsamda:

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan Veri Sahibi’nin ve/veya Veri Sahibi dışındaki bir kişinin hayatının veya beden bütünlüğünün korunması için Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

Bir sözleşmenin kurulması, uygulanması, ifası veya sonlandırılmasıyla doğrudan doğruya ilgili olması şartları sağlanıyorsa, sözleşmenin taraflarına ait Kişisel Veriler Veri Sahibi’nin Açık Rızaları olmadan Şirket tarafından işlenebilir.

Kişisel Verilerin İşlenmesi Şirket’in hukuki yükümlülüğünü yerine getirmesi için zorunluysa, Kişisel Veriler Veri Sahibi’nin Açık Rıza’sı olmadan Şirket tarafından işlenebilir.

Veri Sahibi tarafından alenileştirilmiş olan Kişisel Veriler alenileştirme amacı ile sınırlı olarak Açık Rıza alınmaksızın Şirket tarafından işlenebilir.

Kişisel Veriler’in Açık Rıza alınmadan işlenmesi bir hakkın tesisi, kullanılması veya korunması için tek mümkün yol ise Kişisel Veriler Açık Rıza alınmaksızın Veri Sorumlusu Yetkilisi’nin bilgisi dâhilinde Şirket tarafından işlenebilir.

Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın işlenebilir.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel Nitelikli Kişisel Veriler’in işlenmesi kural olarak yasak olmakla birlikte KVKK madde 6/3 uyarınca, aşağıdaki hallerden birinin varlığı halinde Özel Nitelikli Kişisel Veriler Şirket tarafından işlenebilir:

İlgili Kişi’nin Açık Rızası’nın olması
Kanunlarda açıkça öngörülmesi
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
İlgili Kişi’nin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması

1. madde uyarınca, Özel Nitelikli Kişisel Veriler kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenebilecek olduğundan KVKK düzenlemelerinde aksi öngörülene dek kişisel sağlık verileri ve cinsel hayat verileri sır saklama yükümlülüğü altında olan Şirket hekimi tarafından işlenebilir.

Özel Nitelikli Kişisel Veriler, işlenirken Kurul tarafından belirlenen yeterli önlemler alınır.

Özel Nitelikli Kişisel Verilerin işlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri Sorumlusu Yetkilisi bilgilendirilir.

Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu Yetkilisi’nden görüş alınır.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

5237 sayılı Türk Ceza Kanunu’nun 138. maddesi ve KVKK’nın 7. maddesi düzenlemesi doğrultusunda kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirket tarafından resen ve/veya Veri Sahibi’nin bu yönde bir talebi olması durumunda ilgili Kişisel Veriler silinir, yok edilir yahut anonim hale getirilir. Kişisel Veriler’in silinmesi, yok edilmesi yahut anonim hale getirilmesi gereken durumlar, Veri Sorumlusu Yetkilisi ve Komite tarafından takip edilir.

Şirket’in ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda Veri Sahibi’nin talebini yerine getirmeme hakkı saklıdır.
Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu Yetkilisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.

Şirket Kişisel Veriler’i gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.

10. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER TARAFINDAN İŞLENMESİ

Şirket, üçüncü bir gerçek ya da tüzel kişiye (“Hizmet Sağlayıcı”) KVKK düzenlemelerine uygun şekilde Kişisel Veri aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek madde ise Veri Sorumlusu Yetkilisi’nden temin edilir. Her bir çalışan, Kişisel Veri aktarımı yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Yetkilisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Yetkilisi’ne bildirir.

10.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı

Kişisel Veriler, KVKK Madde 5.2’de ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Sahibi’nin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.3) Türkiye’de bulunan üçüncü kişilere Şirket tarafından aktarılabilir.

Kişisel Veriler’in Türkiye’de bulunan üçüncü kişilere aktarımının KVKK düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Yetkilisi müteselsilen sorumludur.

10.2. Yurt Dışında Bulunan Üçüncü Kişilere Aktarım

Kişisel Veriler, KVKK’nın 5. maddesi ve 6. maddesinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Kurul tarafından verilen yeterlilik kararı bulunması halinde yurt dışında bulunan üçüncü kişilere Şirket tarafından aktarılabilir.

Kişisel Veriler, yeterlilik kararının bulunmaması halinde KVKK’nın 5. maddesi ve 6. maddesinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde yurt dışında bulunan üçüncü kişilere Şirket tarafından aktarılabilir:

Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Kişisel Veriler, yeterlilik kararının bulunmaması ve 10.2.2. maddede öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışında bulunan üçüncü kişilere Şirket tarafından aktarılabilir:

İlgili Kişi’nin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma Açık Rıza vermesi.
Aktarımın, İlgili Kişi ile Veri Sorumlusu arasındaki bir sözleşmenin ifası veya İlgili Kişi’nin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, İlgili Kişi yararına Veri Sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için Kişisel Verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için Kişisel Verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVKK düzenlemelerine uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Yetkilisi müteselsilen sorumludur.

11. ŞİRKET’İN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirket, KVKK’nın 10. maddesine uygun olarak, Kişisel Verilerin İşlenmesi’nden önce Veri Sahibi’ni aydınlatır. Bu kapsamda Şirket, Kişisel Veriler’in elde edilmesi sırasında Aydınlatma Yükümlülüğü’nü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Sahibi’ne yapılacak olan bildirim sırasıyla şu unsurları içerir:

Veri Sorumlusu’nun ve varsa temsilcisinin kimliği,
Kişisel Veriler’in hangi amaçla işleneceği,
İşlenen Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceği,
Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
Veri Özneleri’nin hakları.

Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. maddesine uygun olarak Veri Sahibi’nin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.

Veri Sahibi tarafından talep edilmesi halinde Şirket Veri Sahibi’nin işlediği Kişisel Verileri’ni Veri Sahibi’ne bildirir.

Kişisel Veriler’in İşlenmesinden önce gerekli Aydınlatma Yükümlülüğü’nün yerine getirilmesini sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Yetkilisi müteselsilen sorumludur. Bu kapsamda her bir yeni işleme sürecinin Veri Sorumlusu Yetkilisi’ne raporlanması amacı ile gerekli KVKK Prosedürü Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.

Veri İşleyen’in Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşleme’ye başlanmadan önce üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda sözleşmelere eklenecek madde Veri Sorumlusu Yetkilisi’nden temin edilir. Her bir çalışan Şirkete üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu Yetkilisi tarafından iletilen maddede Kişisel Veriler’i aktaran üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Yetkilisi’ne bildirir.

12. VERİ SAHİBİNİN HAKLARI

Şirket Kişisel Verisi’ni elinde bulundurduğu Veri Sahibi’nin aşağıda belirtilen kendileriyle ilgili taleplerine KVKK düzenlemelerine uygun şekilde cevap verir:

Şirket tarafından Kişisel Veri işlenip işlenmediği öğrenme,
Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,
Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel Verilerin Silmesini, Yok Edilmesini veya Anonim Hale Getirilmesini isteme,
1.5 ve 12.1.6. maddeler kapsamında yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Sahibi’nin zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri Sahibi haklarını kullanmak istediği ve/veya Kişisel Veriler’i işlerken Şirket’in işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda taleplerini, Veri Sorumlusu ile ilgili aşağıda verilen ve zaman zaman değişebilecek olan e-posta adresine güvenli elektronik imzalı olarak yahut yine aşağıda yer alan ve zaman zaman değişebilecek olan posta adresine kimliklerini tespit edici belgeler ile ıslak imzalı bir dilekçe ile elden teslim edebilir ya da noter aracılığıyla gönderebilir.

Veri Sorumlusu : ENVESU Çevre Enerji İnşaat ve Müşavirlik Anonim Şirketi

E-posta : info@envesu.com

Posta : Atatürk Mah. Ertuğrul Gazi Sk. Metropol Istanbul Sitesi A Blok No: 2E İç Kapı No: 22 Ataşehir / İstanbul

Veri Sahibi’nin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir. Veri Sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi halinde Veri Sorumlusu’nca gereği yerine getirilir. Başvurunun Veri Sorumlusu’nun hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilir.

13. VERİ YÖNETİMİ VE GÜVENLİĞİ

Şirket, KVKK düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politika’nın uygulanması için gerekli KVK Prosedürleri’nin uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu Yetkilisi atar ve Komite oluşturur.

Kişisel Veriler’in işbu Politika ve KVK Prosedürleri’ne uygun şekilde korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.

Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.

Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.

Şirket çalışanları, Kişisel Veriler’in korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.

Şirket’te Kişisel Veriler’e erişmesi gereken çalışanların söz konusu Kişisel Veriler’e erişimini sağlamak adına gerekli KVK Prosedürü oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Yetkilisi ve Komite müteselsilen sorumludur.

Şirket çalışanları, Kişisel Veriler’e üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVK Prosedürü’ne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.

Şirket çalışanın Kişisel Veriler’in güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Yetkilisi’ne bildirir.

Kişisel Veriler’in güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Yetkilisi ve Komite tarafından oluşturulur.

Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.

Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.

KVKK düzenlemeleri kapsamında Kişisel Veriler’in güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.

Şirket’te Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

Şirket’te Kişisel Veriler’in kaybolmasını yahut zarar görmesini engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.

Şirket’te Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunmaktadır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Veriler’in yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, Veri Sorumlusu Temsilcisi’nin önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına çıkartılamaz.

Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Veriler’in korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVK Prosedürleri’ni hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu Yetkilisi çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.

Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri işliyorsa, bu departman, Komite tarafından işledikleri Kişisel Veriler’in önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel Nitelikli Kişisel Veriler’e erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.

Şirket içerisinde işlenen Kişisel Veriler’in tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.

Şirket çalışanları, Kişisel Veriler’in güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

14. EĞİTİM

Şirket, Kişisel Veriler’in korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK Prosedürleri ile KVKK düzenlemeleri kapsamında gerekli eğitimleri verir.

Eğitimlerde Özel Nitelikli Kişisel Veriler’in tanımlarına ve korunmasına yönelik uygulamalara özellikle değinilir.

Şirket çalışanı Kişisel Veriler’e fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.

15. DENETİM

Şirket, işbu Politika ve KVKK düzenlemelerine Şirket’in tüm çalışanları, departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve resen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite ve Veri Sorumlusu Yetkilisi bu denetimlere dair KVK Prosedürü oluşturur, Yönetim Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.

16. İHLALLER

Şirket’in her bir çalışanı, KVKK düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi Komite’ye raporlar. Bu kapsamda ilgili ihlale yönelik Komite, işbu Politika ve KVK Prosedürleri’ne uygun şekilde “Olay Müdahale Planı” oluşturur.

Yapılan bilgilendirmeler sonucunda Komite KVKK düzenlemeleri başta olmak üzere konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Sahibi veya Kurum’a yapılacak bildirimi hazırlar. Veri Sorumlusu Yetkilisi Kurum ile yapılan yazışma ve iletişimi yürütür.

17. SORUMLULUKLAR

Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri Sorumlusu Yetkilisi şeklindedir. Bu kapsamda; Politika’nın uygulanmasından sorumlu Komite ve Veri Sorumlusun Yetkilisi Şirket yönetim kurulu tarafından yönetim kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.

18. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER

Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.

Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve Veri Sahibi’nin erişimine sunar.

İlgili web adresi: https://envesu.com/

19. POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika’nın işbu 1 (bir) numaralı versiyonu 27.10.2025 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.

ENVESU ÇEVRE ENERJİ İNŞAAT VE MÜŞAVİRLİK ANONİM ŞİRKETİ