CRAFT EĞİTİM KÜLTÜR SANAT VE ORGANİZASYON ANONİM ŞİRKETİ

KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHASI POLİTİKASI

 

TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Bu tanımlama kapsamında Craft, KVKK’nın istisnasına girmeyen veri işleme süreçlerinde aydınlatma yükümlülüğünü yerine getirerek kişisel veri sahibinin açık rızasını almaktadır.

Alenileştirme: Kişinin kendi rızası ile kişisel verilerinin herkesçe bilinir hale getirilmesi veya kendi rızasıyla paylaşması halinde Craft bu kişisel verileri, alenileştirme amacına uygun olmak kaydı ile ilgili kişinin açık rızasına gerek olmaksızın işlemektedir.

Alıcı Grubu: Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan: Craft çalışanlarını ifade eder.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

İlgili Kişi: Kişisel verileri işlenen gerçek kişileri ifade etmektedir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan Alıcı Grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Veri: Craft ile temas edilecek elektronik ortamda internet sitesi ve telefon; fiziki ortamda ise Craft çalışanları kanalıyla meşru menfaat, sözleşmenin kurulması veya ifası, bir hakkın tesisi, kullanılması veya korunması, hukuki yükümlülük ve açık rıza hukuki sebeplerine dayanılarak otomatik olan ve olmayan yollarla toplanmakta ve işlenmekte olan kimlik ve iletişim bilgileri (ad-soyad, doğum yeri ve tarihi, T.C. kimlik numarası, e-posta adresi, iletişim adresi, telefon numarası vb.), özlük bilgileri (bordro ve özgeçmiş bilgileri vb.), müşteri/katılımcı işlem ve işlem güvenliği bilgileri (hizmet bilgisi, şikayet ve talep bilgisi, fatura, üyelik vb.), ceza mahkumiyeti ve güvenlik tedbirleri bilgileri, finans bilgileri (banka hesap bilgileri vb.), mesleki deneyim bilgileri (diploma, transkript vb.), hukuki işlem bilgileri (adli makamlarla olan yazışmalardaki ve dava dosyalarındaki bilgiler), risk yönetimi bilgileri (ticari, teknik ve idari risklerin yönetilmesi için işlenen bilgiler), pazarlama bilgileri (hizmet geçmişi vb.), görsel işitsel kayıtlar (fotoğraflar, videolar) ve fiziksel mekan güvenliğine ilişkin veriler (güvenlik kamera kayıtları) gibi belirli ya da belirlenebilir nitelikteki bir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Komite: Craft Kişisel Verileri Koruma Komitesi

KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu

KVK Kurulu: Kişisel Verileri Koruma Kurulu

KVK Kurumu: Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Politika: işbu Craft Kişisel Verilerin İşlenmesi, Korunması ve İmhası Politikası

Craft: Craft Eğitim Kültür Sanat ve Organizasyon Anonim Şirketi

Silme: Tamamen veya kısmen otomatik yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

VERBİS: Veri Sorumluları Sicili Bilgi Sistemi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişileri ifade eder.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm fiziksel kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesidir.

I. POLİTİKA’NIN AMACI

Craft, kişisel veri sahiplerinin özel hayatının gizliliğine saygı duymakta ve bunun korunmasına azami önem vermektedir. Bu amaçla Craft tüm hizmet ve iş yapma süreçlerini, KVKK ve ikincil mevzuata uygun yapılandırmaktadır. Bu kapsamda işbu Politika, Craft tarafından kişisel verilerin korunması mevzuatına uygun yükümlülükleri yerine getirmek amacıyla kişisel verilerin işlenmesi, aktarılması, korunması ve imhası veya anonimleştirilmesine ilişkin genel çerçeveyi belirlemek üzere hazırlanmıştır. Böylelikle kişisel verileri işlenen kişiler bilgilendirilerek kişisel verilerin işlenmesine, korunmasına, aktarılmasına ve imhasına ilişkin şeffaflık sağlanmaktadır.

Craft Eğitim Kültür Sanat ve Organizasyon Anonim Şirketi

Adres: Merkez Mah. Birahane Sok. Bomonti Ada Eski Bira Fab. Blok No:1C, Şişli, İstanbul

Telefon Numarası: 0212 234 73 48 / 0212 234 59 84

Elektronik Posta Adresi: info@tiyatrocraft.com

Web Adresi: www.tiyatrocraft.com

II. POLİTİKA’NIN KAPSAMI

İşbu Politika’nın kapsamı, çalışanlara, çalışan adaylarına, oyunculara, hizmet sağlayıcılara (tedarikçilere), müşterilere/katılımcılara, üyelere, ziyaretçilere ve diğer üçüncü gerçek kişilere ait kişisel veriler oluşturmaktadır. Craft’ın sahip olduğu ya da Craft tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

III. POLİTİKA’NIN UYGULANMASI KAPSAMINDA GÖREV DAĞILIMI VE SORUMLULUKLAR

Craft bünyesinde, işbu Politika ve bu Politika ile ilişkili diğer politikaları, prosedürleri ve uygulama rehberlerini yönetmek üzere, Yönetim Kurulu kararı doğrultusunda Komite oluşturulmuştur.

Craft’ın tüm çalışanları ve birimleri kişisel veri mevzuatı ve Politika kapsamında alınmakta olan teknik ve idari tedbirleri gereği gibi uygulamakla yükümlüdür. Komite, kişisel veri eğitimi ve çalışan farkındalığının artırılmasını, kişisel veri mevzuatı kapsamında işlerin yapılmasının sürekli denetimini ve kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesini ve kişisel verilerin hukuka uygun saklanmasını sağlamakla yükümlüdür. Komite, bu amacın gerçekleşmesi için kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere gerekli yönlendirmeyi yapar.

1. Komite’nin Başlıca Görevleri

 

• Güncel ve hukuka uygun Craft kişisel veri işleme envanterini hazırlayarak kişisel verilerin korunması ve işlenmesi ile ilgili iç prosedür ve politikaları oluşturmak, güncellemek, revize etmek ve gerekmesi halinde VERBİS kaydını gerçekleştirmek,
• Kişisel verilerin korunması ve işlenmesine ilişkin politikaların, yönergelerin uygulanmasını sağlamak,
• KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gerekenleri tespit etmek, uygulamak ve koordinasyonunu sağlamak,
• Aydınlatma metinlerini düzenlemek ve açık rıza alınması gereken durumları tespit etmek, gerekli hukuki belgelerin kullanılmasını temin etmek,
• Craft’ın kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli teknik ve idari tedbirleri almak, teknik ve idari tedbirlerin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmelerde bulunmak ve koordinasyonu sağlamak,
• Kişisel verilerin işlenmesi ve korunması konusunda Craft içerisinde ve Craft iş ortakları nezdinde farkındalığı arttırmak, gerektiğinde iş ortaklarıyla kişisel veri gizliliği taahhütnameleri ve gizlilik sözleşmeleri yapılmasını sağlamak,
• Yurt içinde ve yurt dışına aktarılacak verileri tespit etmek, gerektiğinde aktarılacak veri sorumluları ile veri işleyenlerden taahhütname almak veya veri gizliliği sözleşmesi imzalamak.
• Kişisel verilerin korunması, veri güvenliği ve özel nitelikli kişisel veri politikalarının uygulanması konusunda farkındalık eğitimleri tasarlamak ve bu eğitimleri gerçekleştirmek,
• Kişisel veri sahiplerinin başvurularını hızlı şekilde cevaplayacak bir cevaplama sistemi oluşturarak, başvuruların mevzuata uygun cevaplandırılmasını sağlamak,
• KVK Kurumu ile ilişkileri koordine etmek, kişisel veri ihlali var ise bunu süresinde mevzuata uygun olarak KVK Kurumu’na bildirmek,
• Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Craft içinde yapılması gerekenler konusunda Yönetim Kurulu’na tavsiyelerde bulunmak,
• Craft Yönetim Kurulu’nun kişisel verilerin korunması konusunda vereceği diğer görevleri yerine getirmek,
• Komite’yi ayda en az bir defa toplayarak yapılması gerekenleri tespit etmek, KVKK ile ilgili tedbirler almak,

 

2. Komite’nin Üyeleri ve Komite İçindeki Görev Tanımları

Unvan	Birim	Komite İçindeki Görev Tanımı
Komite Başkanı	Genel Müdür	Komite’nin toplanması; kişisel veri politikalarının uygulanması ve yürütülmesi, Komite üyeleri ile koordinasyonun sağlanması ve süreçlere ilişkin Yönetim Kurulu’nun bilgilendirilmesi, KVK Kurulu ile ilişkilerin takibi, KVK Kurulu kararlarının takibi, uygulanması ve süreçlerin yönetimi, Craft’ın KVK Kurulu nezdinde temsili.
Komite Üyesi	İdari İşler Sorumlusu	Craft müşteri/katılımcı hizmetleri faaliyetlerinin (müşteri/katılımcı işlemleri, müşterilere/katılımcılara verilen hizmet, müşteriler/katılımcılar ile iletişim, müşteri/katılımcı şikayetleri vb.), operasyon destek faaliyetlerinin ve pazarlama faaliyetlerinin yürütülmesi esnasında kişisel verilerin KVKK ile uyumlu bir biçimde işlenmesinin, imha edilmesinin ve anonimleştirilmesinin sağlanması ve bu işlemlere ilişkin gerekli adımların atılması ve Komite’nin bu konularda bilgilendirilmesi.
Komite Üyesi	Muhasebe Bölümü Sorumlusu	Craft insan kaynakları işlemlerinin yürütülmesi esnasında kişisel verilerin KVKK ile uyumlu bir biçimde işlenmesinin, imha edilmesinin ve anonimleştirilmesinin sağlanması ve bu işlemlere ilişkin gerekli adımların atılması ve Komite’nin bu konularda bilgilendirilmesi.

IV. KİŞİSEL VERİLERİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ

Craft, kişisel verileri yalnızca işbu Politika’da belirtilen amaçlar doğrultusunda ve KVKK’nın 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarmaktadır.

Bizimle paylaştığınız kişisel verileriniz ile KVKK’ya uygun olarak Craft’a aktardığınız üçüncü kişilere ait kişisel veriler, Craft tarafından sağlanan hizmetlerden yararlanabilmeniz için iş ortaklarımız, tedarikçilerimiz, gerçek kişiler veya özel hukuk tüzel kişileri ve yetkili kurum ve kuruluşlarla paylaşılmaktadır. Bu kapsamda kişisel verilerinizin aktarıldığı üçüncü kişiler ve aktarım amaçları aşağıdaki gibidir:

• Olağan ve özel denetimler esnasında denetçiler
• Alacakların takibi, hukuki süreçlerin yürütülmesi ve Craft’ın menfaatlerinin korunması için hukuk danışmanlarımız
• Verileri talep etmeye yetkili olan kamu kurum ve kuruluşlar
• [Fiziksel mekân güvenliğinin sağlanması amacıyla alınan kamera kayıtlarının otomatik olarak paylaşıldığı tedarikçimiz güvenlik şirketi]
• Fiziksel mekân güvenliğinin ve giriş çıkışların sağlanması amacıyla müşteri/çalışan listelerinin düzenli olarak paylaşıldığı bina güvenlik ekibi
• [Craft’ın çeşitli bilgi işlem sistemlerinin, kullandığı haberleşme altyapısının ve bulut depolama sisteminin tedarikçilerinin yurtdışında bulunması ve yurtdışında bulunan sunucuları kullanması sebebiyle, yurtdışında yerleşik kişiler]
• Craft web sitesi kapsamındaki işlemlerin gerçekleştirilmesi için hizmet verenlerimiz, menajerler ve yurtiçi ve yurtdışı iş ortaklarımız
• [Ticari elektronik ileti gönderilmesi amacıyla hizmet sağlayıcı tedarikçimiz]
• [Müşteri/katılımcı memnuniyeti süreçleri kapsamında destek aldığımız tedarikçilerimiz ve iş ortaklarımız]

V. KİŞİSEL VERİ KATEGORİLERİ, KAYIT ORTAMI VE İMHA

1. Kişisel Verilerin Kategorize Edilmesi

Craft, hukuka uygun kişisel verileri: Kimlik, Özlük, İletişim Bilgisi, Hukuki İşlem, Müşteri/Katılımcı İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği, Finans, Mesleki Deneyim, Pazarlama, Görsel İşitsel Kayıtlar, Sağlık Bilgileri, Ceza Mahkumiyeti ve Kaza ve Olay Yeri Kayıtları kategorilerinde işlemektedir.

2. İnternet Ziyaretçileri ve Çerezler

Craft’a ait internet sitesinde, ilgili mevzuattaki yükümlülüklerin yerine getirilmesi veya bu siteyi ziyaret eden kişilerin sitedeki ziyaretlerini, ziyaret amaçlarıyla uyumlu bir şekilde gerçekleştirmelerini temin etmek; ziyaretçilere kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. çerezler-cookie gibi) site içerisindeki internet hareketleri kaydedilmektedir. Yine Craft’ın sahibi bulunduğu web sitesi ile iş ortaklarının internet siteleri ve mobil uygulamaları üzerinde kampanyalar düzenlenmekte ve bu alanlarda kişisel veriler işlenebilmektedir. Craft, yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin gerekli teknik ve idari tedbirleri almakta ve ilgili web sitesinde detaylı aydınlatma metinleriyle bilgilendirme yapmaktadır.

3. İşleme ve İmhaya İlişkin Temel İlkeler

Craft, kişisel verileri KVKK’daki düzenlemeye uygun olarak hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncelleyerek belirli, açık ve meşru amaçlar için işlemektedir. İşlenen kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı, ölçülü olma ilkelerine uygun işlenmekte ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir.

4. Kayıt Ortamları

Kişisel veriler, Craft tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanmaktadır:

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (server, yedekleme, e-posta, veri tabanı, web sayfası, dosya paylaşım vb.) Yazılımlar (Ofis yazılımları, portal vb.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb.) Kişisel bilgisayarlar (masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, hafıza kartı vb.) Yazıcı, tarayıcı, fotokopi makinesi Kamera kayıtları (fotoğraf, video vb.).

Kağıt Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş kayıtları) Yazılı, basılı, görsel ortamlar

VI. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Craft tarafından; çalışanlar, çalışan adayları, oyuncular, tedarikçiler, müşteriler/katılımcılar, üyeler, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan gerçek kişi üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler KVKK’ya uygun olarak saklanmakta ve imha edilmektedir.

1. Saklamayı Gerektiren Hukuki Sebepler

Craft faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• Sözleşmesel ilişkinin devamın sağlanması,
• Ticari faaliyetin gerçekleştirilmesi,
• Craft’ın hukuki yükümlülüklerinin yerine getirilmesi,
• 6102 sayılı Türk Ticaret Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun,
• 5411 sayılı Bankacılık Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4857 sayılı İş Kanunu,
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun,
• 4054 sayılı Rekabetin Korunması Hakkında Kanun,
• 193 sayılı Gelir Vergisi Kanunu, ve
• bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

2. Saklamayı Gerektiren İşleme Amaçları

Craft, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

• Ticari faaliyetleri yürütmek / denetlemek,
• İnsan kaynakları süreçlerini yürütmek,
• Şirketin hizmet ve mal alım, satış ve pazarlama faaliyetlerini yürütmek ve bu kapsamda gerekli iletişimi sağlamak,
• Mal / hizmet satış sonrası destek hizmetlerinin yürütülmesi,
• Kurumsal iletişimi sağlamak,
• Şirket güvenliğini ve işlem güvenliğini sağlamak,
• Finansal ve istatistiksel çalışmalar yapabilmek,
• Akdedilen sözleşmeler ve protokoller çerçevesinde iş ve işlemleri ifa edebilmek,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
• Craft ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
• Yasal raporlamalar yapmak,
• Müşteri/katılımcı/üye süreçlerini yönetmek,
• Risk yönetimi süreçlerinin yürütülmesi,
• Erişim yetkilerinin yürütülmesi / denetimi,
• Fuar, organizasyon ve diğer etkinliklerin yönetimi,
• Reklam / kampanya / promosyon süreçlerinin yürütülmesi,
• İlgili kişi seçme ve yerleştirme süreçlerinin yürütülmesi,
• İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
• Performans değerlendirme süreçlerinin yürütülmesi,
• Saklama ve arşiv faaliyetlerinin yürütülmesi,
• Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

3. İmhayı Gerektiren Sebepler

Aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir:

• Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
• Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, İlgili Kişi’nin rızasını geri alması,
• İlgili Kişi’nin, KVKK’nın 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun, İlgili Kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurulu’na şikâyette bulunulması ve bu talebin KVK Kurulu tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
• KVKK’nın 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

Bu hallerde kişisel veriler Envanter ve işbu Politika’da belirlenen sürelere uygun olarak resen veya İlgili Kişi’nin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

VII. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12’nci maddesiyle KVKK’nın 6’ncı maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için KVK Kurulu’nun 2018/10 sayılı kararında belirlenerek ilan edilen yeterli önlemler çerçevesinde Craft tarafından teknik ve idari tedbirler alınmaktadır.

1. İdari Tedbirler

Craft tarafından işlenen kişisel verilerle ilgili olarak alınan idari tedbirlerin başlıcaları aşağıdaki gibidir:

• Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, KVKK ve 4857 sayılı İş Kanunu ilgili diğer mevzuat hakkında eğitimler verilmektedir.
• Craft tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
• Çalışanlara yönelik KVKK farkındalık eğitimleri ve bilgi güvenliği eğitimleri verilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

2. Teknik Tedbirler

Craft tarafından işlenen kişisel verilerle ilgili olarak alınan teknik tedbirlerin başlıcaları şunlardan oluşmaktadır:

• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• Sızma (Penetrasyon) testleri ile Craft bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• [Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.]
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Log kayıtları düzenli tutulmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

VIII. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Craft tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilmektedir.

1. Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılmaktadır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

2. Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik/ Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

3. Kişisel Verilerin Anonim Hale Getirilmesi

Craft, istatistik ve raporlamalarda kullanılması mümkün olan veriyi Anonim Hale Getirmektedir. Anonim Hale Getirme kapsamında kişisel veriler; Craft veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmektedir.

IX. SAKLAMA VE İMHA SÜRELERİ

İşlenen kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı, ölçülü olma ilkelerine uygun işlenmekte ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Craft tarafından faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Envanter’de;
• Süreç bazında saklama süreleri ise işbu Politika’da yer almaktadır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Komite tarafından güncelleme yapılmaktadır. Saklama sürelerinin sonunda ilgili veriler periyodik imha süresi içinde veriyi siler, yok eder veya anonimleştirir.

Süreç Bazında Saklama ve İmha Süreleri:

Süreç	Saklama Süresi	İmha Süresi
İnsan Kaynakları Süreçleri (Çalışanlar)	15 yıl – İş ilişkisinin sona ermesinden itibaren. 6331 sayılı Kanun Kapsamında.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adaylarının Değerlendirilmesi Süreçleri	3 yıl – Görüşmenin sona ermesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet Alınan Firmalarla Sözleşme Akdedilmesi, Sözleşmelerin İşleme Alınması ve İletişim	10 yıl – Sözleşmesel ilişkinin sona ermesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri/Katılımcı Üyelik ve Kayıt İşlemleri – Müşteri/Katılımcı Finansal Analiz – Hizmet Analiz	10 yıl – Sözleşmesel ilişkinin sona ermesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Pazarlama Faaliyetleri	10 yıl – Sözleşmesel ilişkinin sona ermesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Acil Durum - Risk Yönetimi ve Kaza Raporlaması	10 yıl – Sözleşmesel ilişkinin sona ermesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sosyal Medya veya E-Posta Yoluyla Gelen Müşteri/Katılımcı Şikayetlerinin Çözüme Kavuşturulması	3 yıl – Müşteri/katılımcı şikayetlerinin çözüme kavuşturulmasından itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Gelen Tebligatlar	10 yıl – Ulaştığı tarihten itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin Hazırlanması	10 yıl – Sözleşmenin sona ermesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Güvenlik Kamera Kayıtları	1 yıl – Kaydın gerçekleşmesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi Kayıtları	3 yıl – Kaydın gerçekleşmesinden itibaren.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

X. PERİYODİK İMHA SÜRESİ

Craft, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Craft’ta her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilmektedir.

XI. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, web sitesinde kamuya açıklanır. Basılı kağıt nüshası da Komite dosyasında saklanır.

XII. POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

XIII. POLİTİKA’NIN CRAFT’IN DİĞER POLİTİKALARIYLA İLİŞKİSİ

İşbu Politika, Craft’ın diğer politika prosedür ve uygulama rehberleriyle ilişkilendirilmiştir. Bu kapsamda, Craft’ın diğer politika, prosedür ve rehberlerinin işbu Politika’ya uygun yürütülmesi esastır.

XIV. VERİ SAHİBİNİN HAKLARI VE HAKKIN CRAFT’A YÖNELTİLMESİ

Craft, veri sahiplerinin sorularına kısa süre içinde cevap verilmesi için gerekli görevlendirmeleri yapmış ve ilgili kanalları oluşturmuştur. Bu kapsamda Craft, veri sahibinin sorularına kısa sürede cevap vermek için idari ve teknik düzenlemeleri gerçekleştirmeyi ve günün koşullarına uygun olarak bunları güncellemeyi ve değiştirmeyi ilke edinmiştir.

İlgili Kişiler:

• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurtiçinde veya yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğraması halinde zararın giderilmesini talep etme

haklarına sahiptir.

Kişisel veri sahipleri, Politika’nın eki olan ve web sitesinde ayrı bir ek olarak sunulan “Kişisel Veri Sahibinin Başvuru ve Talep Formunu” doldurarak, formda belirtilen usullerden birisini kullanarak yukarıda sayılan haklarını Craft’a yöneltebilir.

Başvuru formunu indirmek için tıklayın.