Gizlilik Politikasi

1. POLİTİKA, AMAÇ ve KAPSAM Zemin Etüd ve Tasarım A.Ş. olarak, kişisel verilerin korunmasının temel bir insan hakkı olduğunainanıyoruz ve bu alandaki yasal yükümlülüklerimizi eksiksiz yerine getirmeyi taahhüt ediyoruz. Bu KişiselVerilerin Korunması Politikası ("Politika"), Anayasa, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)ve ilgili diğer tüm mevzuat hükümleri doğrultusunda, kişisel verilerin işlenmesi, korunması ve imhasınayönelik temel prensiplerimizi ve uygulama esaslarımızı belirlemektedir. Üst yönetimimiz, Politika'da belirtilen ilke ve kurallara uyumu sağlamayı, kişisel veri sahiplerinin hak veözgürlüklerini en üst düzeyde korumayı ve bu amacın gerçekleştirilmesi için gerekli tüm sistem vesüreçleri oluşturmayı, sürdürmeyi ve sürekli geliştirmeyi taahhüt eder. 1.1. AMAÇ Bu Politikanın temel amaçları şunlardır; ▪ Türkiye Cumhuriyeti Anayasası, KVKK, ilgili mevzuat ve uluslararası sözleşmelerdenkaynaklanan yasal yükümlülüklerimize tam uyumun tesis edilmesi. ▪ Kişisel verilerin hukuka aykırı erişim, işleme, açıklama, değiştirme veya yok edilmeye karşıkorunması için gerekli teknik ve idari tedbirlerin alınması, risk seviyemize uygun kontrolmekanizmalarının kurulması ve sürdürülmesi. ▪ Kişisel veri işleme süreçlerimizin şeffaf bir şekilde yürütülmesi ve veri sahiplerine karşı hesapverebilir bir yapının oluşturulması. ▪ Kişisel veri sahiplerinin KVKK kapsamında tanınan haklarının etkin bir şekilde kullanılmasınaolanak sağlanması ve menfaatlerinin en iyi şekilde korunması. ▪ Kişisel veri yönetimi süreçlerinde şirket içi standartların oluşturulması, benimsenmesi vesürekli iyileştirilmesi. 1.2. KAPSAM Bu Politika, Zemin Etüd ve Tasarım A.Ş. ‘ nin tüm faaliyet alanlarında ve çalışma konularında kişiselverilerin işlenmesi süreçlerine dahil olan her türlü bilgiyi, bilgi sistemlerini, fiziksel ve çevresel alanları,sözleşmeleri ve bu süreçlerle ilgili oluşturulan tüm sistem ve düzenlemeleri kapsar. Politika hükümleri; ▪ Zemin Etüd Tasarım A.Ş.'nin tüm birimlerini ve çalışanlarını,▪ Destek hizmeti veren üçüncü taraf firmaların personellerini,▪ Ziyaretçileri,
▪ Müşterileri, ▪ Çalışan Adayı,
kapsamaktadır. Şirketimizle herhangi bir şekilde kişisel verisi paylaşılan tüm paydaşlarımız bu Politika'nınkoruması altındadır. 2. TANIMLAR Açık rıza Anonim hâlegetirme İlgili kişiKişisel veri Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veyabelirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. Kişisel verisi işlenen gerçek kişi.
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Tanım Açıklama Özel nitelikli(hassas) kişiselveri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğerinançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetikveriler. Kişisel verilerinişlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıtsisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yenidendüzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâlegetirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerindegerçekleştirilen her türlü işlem. KVKK
KVK KomitesiKVK Kurumu Veri işleyen Veri kayıt sistemi Veri sorumlusu 6698 sayılı Kişisel Verilerin Korunması KanunuKişisel Verileri Koruma Komitesi Kişisel Verileri Koruma Kurumu Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyengerçek veya tüzel kişi. Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. 3. TAAHHÜT VE VERİ KORUMA İLKELERİ Zemin Etüd ve Tasarım A.Ş. olarak, tüm kişisel veri işleme faaliyetlerimizi yürürlükteki kişisel verilerinkorunması mevzuatı ve aşağıda detaylandırılan temel veri koruma ilkelerine tam uyum içindegerçekleştirmeyi taahhüt ederiz. Şirketimizin tüm politika, prosedür ve uygulamaları, bu ilkelerleuyumluluğu sağlamak amacıyla tasarlanmış ve sürekli geliştirilmektedir. 3.1.Hukuka ve Dürüstlük Kurallarına Uygunluk Kişisel verileriniz, hukuka, dürüstlük kurallarına ve şeffaflık ilkesine uygun bir şekilde işlenmektedir. Budoğrultuda, Zemin Etüd ve Tasarım A.Ş. gerçekleştirdiği tüm kişisel veri işleme faaliyetlerine ilişkinolarak veri toplama kanallarında ve ilgili alanlarda aydınlatma metinleri ve gizlilik taahhütlerini sunar.Bu bildirimler, şirketimizin KVK Komitesi tarafından belirlenen ve ilan edilen alanlarda şeffafçayayımlanır. Bu bildirimlerde aşağıdaki hususlar açık ve anlaşılır bir dille belirtilir;
▪ Zemin Etüd ve Tasarım A.Ş. 'nin veri sorumlusu olarak kimliği ve iletişim bilgileri. ▪ İşlenen kişisel veri türleri ve kategorileri.
▪ Kişisel verinin işlenme amaçları.
▪ Veri sahibinin KVKK kapsamında sahip olduğu haklar.
▪ Kişisel verinin paylaşılabileceği üçüncü taraflar ve bu paylaşımın amaçları. 3.2. Belirli, Açık ve Meşru Amaçlar İçin İşleme Kişisel veriler, yalnızca belirli, açık ve meşru amaçlar doğrultusunda işlenir. Kişisel Veri Envanterimizde,kişisel verilerin işlenme gerekçeleri ve amaçları detaylı olarak belirlenmiştir. Belirtilen amaçlar dışındaherhangi bir kişisel veri kullanımı, ancak başka bir hukuki gerekçe veya ilgili veri sahibinin açık rızasıbulunması halinde mümkündür. Bir kişisel verinin envanterde belirtilmiş amaçlar dışında kullanılması gerekliliğinin doğması halinde, budurum ilgili personel/birim tarafından ivedilikle KVK Komitesine bildirilir. KVK Komitesi, yeni amacınKVKK ve ilgili mevzuata uygunluğunu denetler ve gerekliyse veri sahibinin yeni amaç ve ilgili yeni veriişleme faaliyeti hakkında bilgilendirilmesini sağlar. 3.3. Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma Zemin Etüd ve Tasarım A.Ş. kişisel verileri, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak toplar veişler. ▪ KVK Komitesi, periyodik olarak, Kişisel Veri Envanteri üzerinden işlenen verilerinuygunluğunu, ilgililiğini ve amaçla sınırlı olup olmadığını kontrol eder. ▪ Yıllık bazda gerçekleştirilecek iç denetimler ve/veya dış denetimler aracılığıyla tüm veriişleme yöntemlerinin uygunluğu ve ilgililiği gözden geçirilir. 3.4. Doğru ve Gerektiğinde Güncel Olma Kişisel verilerin doğru ve gerektiğinde güncel olması esastır. Bu ilkeye uygunluğu sağlamak için; ▪ Uzun süre boyunca saklanan verilerin doğruluğu ve güncelliği düzenli olarak gözden geçirilir. ▪ İnsan Kaynakları, Eğitici Eğitmenler (danışmanlar) ve Bilgi Teknolojileri (BT) birimiyöneticileri, tüm personelin kişisel verilerin doğru ve güncel olarak toplanması ve tutulması konusundaeğitilmesinden sorumludur. ▪ Personel kendileri ile ilgili güncel verileri sağlamaktan sorumludur. ▪ Personel, müşteriler ve diğer ilgili kişiler, işlenen kişisel verilerinin güncellenmesigerektiğinde Zemin Etüd ve Tasarım A.Ş’ yi bilgilendirmelidir. Yapılan bildirim üzerine, ilgili birim sözkonusu kaydın düzeltilmesi ve güncellenmesinden sorumludur. ▪ KVK Komite veri envanteri üzerinden, işlenen verinin türü, saklama süresi ve miktarıüzerinde yapacağı değerlendirme ile belirli verilerin doğruluğunun veya güncelliğinin gözden geçirilmesiiçin ilgili birime talimat verebilir. 3.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme Kişisel veriler, yalnızca ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadarmuhafaza edilir. ▪ Kişisel verilerin, yedekleme (back-up) gibi gereklilikler nedeniyle belirlenen sürenin ötesindesaklanması durumunda, veri güvenliği zafiyetlerini önlemek ve bireylerin hak ve özgürlüklerini korumakamacıyla bu veriler şifrelenmeli veya anonimleştirilmeli/maskelenmelidir. ▪ Kişisel Veri Saklama ve İmha Politikası uyarınca belirlenmiş sürelerin sonunda verilerinişlenmeye devam etmesi KVK Komitesine yazılı onayına bağlıdır. 4. BİLDİRİMLER VE SORUMLULUKLAR
Zemin Etüd ve Tasarım A.Ş. olarak, kişisel veri işleme faaliyetlerimize ilişkin şeffaflığı sağlamak ve yasal yükümlülüklerimizi yerine getirmek amacıyla ilgili makamlara gerekli bildirimleri yapmayı taahhüt ederiz. 4.1.Kişisel Verileri Koruma Kurumu'na Bildirimler Zemin Etüd ve Tasarım A.Ş., veri sorumlusu sıfatıyla işlediği tüm kişisel veri kategorilerini belirler ve bubilgileri Kişisel Verileri Koruma Kurumu (KVKK Kurumu)'na bildirir. Bu bildirimler, KVKK Kurumutarafından belirlenecek usul ve yöntemlere uygun olarak gerçekleştirilir. Yapılan bildirimin bir kopyası,şirketimizin KVK Komitesi tarafından muhafaza edilir. İlgili mevzuat veya KVKK Kurumu tarafından gerekli görülmesi halinde, bu bildirimler periyodik olaraktekrarlanır. KVK komitesi, KVKK Kurumu'na yapılan bildirimlerde meydana gelebilecek potansiyeldeğişiklikleri tespit etmek amacıyla Zemin Etüd ve Tasarım A.Ş. 'nin veri işleme faaliyetlerini vebunlardaki değişiklikleri yıllık olarak gözden geçirir ve gerekmesi halinde KVKK Kurumu'nu bilgilendirir. 4.2.Politika İhlalleri ve Sonuçları Zemin Etüd ve Tasarım A.Ş. 'nin tüm birimleri ve çalışanları , Destek hizmet veren üçüncü taraf firmapersonelleri, Ziyaretçiler, Müşteriler, Çalışan Adayı bu Politika'yı ihlal edici her türlü eylemdensorumludur. Politika ihlali durumunda, Zemin Etüd ve Tasarım A.Ş. 'nin 'nin disiplin prosedürü uygulanır.Söz konusu ihlalin suç veya kabahat teşkil etmesi halinde, durum en kısa sürede ilgili yasal makamlarabildirilir. 4.3.Üçüncü Taraflarla İlişkiler Zemin Etüd ve Tasarım A.Ş. 'nin kişisel verilere erişimi veya erişme ihtimali bulunan tüm çözüm ortaklarıve şirketimizle birlikte çalışan diğer üçüncü taraflar, bu Politika'yı okumaya ve hükümlerine uymayadavet edilir. Hiçbir üçüncü taraf, kişisel verilerin korunması konusunda en az Zemin Etüd ve Tasarım A.Ş.‘ nin ki kadar güçlü standartlara sahip yükümlülükleri ve bunlara ilişkin şirketimizin denetim hakkınıiçeren yazılı bir gizlilik anlaşması yapılmaksızın, şirketimiz tarafından işlenen kişisel verilere erişimsağlayamaz. Bu sözleşmeler, üçüncü tarafların veri güvenliği ve gizliliğine ilişkin taahhütlerini net birşekilde belirler ve denetim mekanizmalarını içerir. 5. GÖREV VE SORUMLULUKLAR Zemin Etüd ve Tasarım A.Ş. olarak, kişisel verilerin korunması konusundaki yasal yükümlülüklerimizinfarkındayız ve bu alandaki sorumluluklarımızı titizlikle yerine getirmeyi taahhüt ederiz. Şirketimiz, KVKKuyarınca bir veri sorumlusu sıfatına sahiptir. 5.1. Üst Yönetimin ve Tüm Personelin Sorumlulukları Üst Yönetimimiz, yöneticiler ve denetçi pozisyonlarında bulunanlar başta olmak üzere tüm personelimiz,Zemin Etüd ve Tasarım A.Ş. bünyesinde kişisel verilerin işlenmesine ilişkin doğru uygulamalarıngeliştirilmesi, teşvik edilmesi ve sürdürülmesinden sorumludur. Her bir çalışanın bireysel görevtanımlarında bu konuya ilişkin yer alan diğer yükümlülükler de titizlikle yerine getirilmelidir. 5.2.Kişisel Verilerin Korunması Kurulu (KVKK Kurulu) Zemin Etüd ve Tasarım A.Ş. bünyesinde, kişisel veri koruma sisteminin yönetilmesi, KVKK ve ilgili tümmevzuata uyumun sağlanması ve belgelenmesi konularında görevli bir birim olarak KVK Komitesikurulmuştur. KVK Komitesi, bu konularda doğrudan Üst Yönetime karşı sorumludur. 5.3. KVK Komitesi’ nin Yapısı KVK Komite üyeleri, Üst Yönetim tarafından kişisel verilerin korunması mevzuatı veuygulamaları konularında uzmanlık ve tecrübe sahibi olmaları dikkate alınarak atanır vedoğrudan Üst Yönetime raporlama yapar. KVK Komite üyelerimiz; Komite Başkanı Teknik ve İdari İşler Genel Müdür Yardımcısı, KomiteÜyeleri; Teknik Kontrol Müdürü, İnsan Kaynakları Uzmanı, Entegre Yönetim Sistemleri Uzmanı,IT Müdürü, Bilgi İşlem Destek Çalışanı sorumlularından oluşur. Kurul, her yıl en az bir kez düzenli olarak veya gerek görülmesi halinde toplanır. Kurul, kişisel veri koruma konularında tüm ilgili personelle iş birliği içinde hareket eder. KVK Komitesi, Zemin Etüd ve Tasarım A.Ş. 'nin kişisel verilerin toplanması, işlenmesi ve saklanmasıyla ilgili tüm sistemlerde denetleme yetkisine sahiptir. Görevlerini yerine getirirken,tüm personelden sistemlere ve kayıtlara erişim dahil olmak üzere tam iş birliği sağlanmasınıtalep edebilir. Bu iş birliğinin sağlanmaması durumunda Kurul, durumu Üst Yönetime raporeder. 5.4.KVK Komitesinin Görev ve Sorumlulukları Kişisel verilerin işlenmesi, saklanması ve imhasına ilişkin politika ve prosedürleri oluşturmak,güncel tutmak ve bu belgelerin uygulanmasını sağlamak. Şirketimizin işlediği tüm kişisel verilerin envanterini çıkarmak, bu envanteri düzenli olarakgüncellemek ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) doğru ve eksiksiz bir şekildekaydedilmesini sağlamak. Gerekli durumlarda Veri Koruma Etki Değerlendirmesi yapılmasını kararlaştırmak ve sürecidenetlemek. Kanun gereği veri sahiplerinin aydınlatılmasına yönelik metinleri ve açık rıza beyanlarınıhazırlamak, onay mekanizmalarını kurmak ve bu süreçleri yönetmek. Tüm çalışanlara yönelik kişisel verilerin korunması ve bilgi güvenliği konularında periyodikeğitimler düzenlemek ve farkındalık çalışmalarını yürütmek. Olası bir veri ihlali durumunda takip edilecek olan ihlale müdahale planlarını oluşturmak vegüncel tutmak. Bir ihlal meydana geldiğinde planın devreye alınmasını sağlamak, durumu değerlendirmek veyasal bildirim süreleri içinde gerekli aksiyonların alınmasını koordine etmek. Veri sahiplerinden gelen başvuruları, Kanun'un 13. maddesi uyarınca ve Kurum'un belirlediğiusul ve esaslara göre değerlendirmek ve yasal süresi içinde yanıtlamak. Şirket içi veri işleme faaliyetlerinin KVKK'ya ve ilgili politikalara uygunluğunu düzenli olarakdenetlemek ve bu denetimlerin raporlanmasını sağlamak. Kurum içi birimler arasında kişisel verilerin korunmasına yönelik süreçler hakkında koordinasyonsağlamak. Kişisel verilerin korunması süreçlerinde destek alınan danışmanlık firması ile koordinasyonusağlamak, firmanın sunduğu rapor ve önerileri değerlendirmek ve uygulanmasını takip etmek. Kişisel veri işleme süreçlerinde hizmet alınan tedarikçilerin imzalanan sözleşmelerin KVKKhükümlerini içerdiğinden dair bilgi vermek. Komite faaliyetleri, mevcut riskler, alınan aksiyonlar ve genel uyum durumu hakkında üstyönetime düzenli raporlar sunmak. 5.5. Tüm Personelin Kişisel Veri Sorumluluğu Zemin Etüd ve Tasarım A.Ş. ‘ nin kişisel veri işleyen tüm personeli, Kişisel Verilerin Korunmasımevzuatına uygun davranmakla yükümlüdür. İnsan Kaynakları birimi, Eğitici Eğitmenler (danışmalar) veBilgi Teknolojileri (BT) birimleri, tüm personelin kişisel verilerin korunması alanında sahip olduğusorumlulukları bilmesi ve gerekli farkındalığa sahip olması için gerekli bildirim ve eğitimleringerçekleştirilmesinden sorumludur. ▪ Personel kendileri ile ilgili güncel verileri sağlamaktan sorumludur. 6. VERİ SAHİPLERİNİN HAKLARI ve BAŞVURU SÜREÇLERİ Zemin Etüd ve Tasarım A.Ş. olarak, kişisel veri sahiplerinin, Kişisel Verilerin Korunması Kanunu (KVKK)kapsamında kendilerine tanınan hakları eksiksiz bir şekilde kullanabilmeleri için gerekli tüm olanaklarısağlamayı taahhüt ederiz. 6.1. Kişisel Veri Sahibinin Hakları
Kişisel veri sahipleri, Zemin Etüd ve Tasarım A.Ş. nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak aşağıdaki haklara sahiptirler; ▪ Kişisel verilerinizin işlenip işlenmediği hakkında bilgi talep etme.
▪ Kişisel verileriniz işlenmişse, bu işleme faaliyetine ilişkin bilgi talep etme.
▪ Kişisel verilerinizin işlenme amacını ve bu amaçlara uygun kullanılıp kullanılmadığını öğrenme.
▪ Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme.
▪ Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme.▪ KVKK veya bu Politika uyarınca işlenmesi için hukuka uygun bir gerekçe veya dayanak bulunmayan kişisel verilerin silinmesini veya yok edilmesini isteme.
▪ Yukarıda belirtilen düzeltme veya silme işlemlerinin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme.
▪ İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme. ▪ Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararıngiderilmesini talep etme. 6.2. Başvuru Yöntemleri ve Süreçleri Veri sahipleri, yukarıda sayılan haklarını kullanmak amacıyla hangi tür kişisel verilerinin tutulduğuna dairve diğer taleplerde bulunabilirler. Bu talepler, Zemin Etüd ve Tasarım A.Ş. 'nin KVK Komitesine iletilir veKomite tarafından en geç 30 gün içerisinde cevaplanır. Taleplerin alınması, iletilmesi vesonuçlandırılmasına ilişkin süreçler şeffaf ve etkin bir şekilde gerçekleştirilir. Veri sahipleri, talepleriniaşağıdaki yöntemlerden birini kullanarak iletebilirler; ▪ Şahsen Başvuru: Veri Sorumlusu’nun faaliyet gösterdiği adrese kimliğinizi doğrulayarakşahsen veya vekaletname ibraz etmek suretiyle bir vekil aracılığıyla başvuruda bulunabilirsiniz. Başvuru,Veri Sorumlusuna Başvuru formuna, veya bir dilekçe ile yapılabilir; ancak ıslak imzalı olmalıdır. Başvurukapalı zarf ile yapılmalı, zarfın üzerinde “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi”ibaresi yazılmalıdır. ▪ Posta Yoluyla Başvuru: Islak imzalı başvuru formu veya dilekçe posta yoluyla gönderilerekde başvuruda bulunulabilir. Noter onaylı imza sirküsü ile başvuru vekil aracılığıyla yapılmışsavekaletnamenin aslının da zarfa konulması gereklidir. Zarfın üzerine “Kişisel Verilerin KorunmasıKanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır. ▪ Noter Yoluyla Başvuru: Bizzat veya vekil aracılığıyla noter kanalıyla başvuru da yapılabilir. Bubaşvuruda cevabın hangi yöntemle alınmak istendiği de belirtilmelidir.
Yapılacak başvurularda Zemin Etüd ve Tasarım A.Ş. 6.3. Personelin Yükümlülükleri ve Aydınlatma Zemin Etüd ve Tasarım A.Ş. 'nin tüm personeli, görev tanımı ne olursa olsun, kendisine yöneltilen verisahibi erişim talepleri konusunda veri sahiplerini doğru başvuru yöntemine yönlendirmekle yükümlüdür.Tüm personel, veri sahiplerinden gelebilecek talepler karşısında nasıl hareket etmeleri gerektiğikonusunda düzenli olarak bilgilendirilir ve eğitilir. Veri sahiplerinin taleplerini kolayca iletebilmesi için, aydınlatma metinlerinde ve Zemin Etüd ve TasarımA.Ş. 'nin web sitesinde, KVK Komitesine iletişim bilgilerine açıkça yer verilir. (kvkk@zeminas.com.tr) 7. Açık Rıza Alınması ve Yönetimi Zemin Etüd ve Tasarım A.Ş. kişisel verilerin işlenmesinde, ilgili mevzuatın zorunlu kıldığı durumlarda verisahibinin açık rızasını almayı temel bir prensip olarak benimser. Açık rıza; belirli bir konuya ilişkin,bilgilendirilmeye dayanan ve özgür iradeyle verilen, yazılı veya açık doğrulayıcı bir eylemle ortaya konanrıza olarak kabul edilmektedir. 7.1. Açık Rızanın Tanımı ve Esasları ▪ Açık rıza, veri sahibinin, kendisine sunulan bilgilendirme sonrasında, kişisel verilerininişlenmesine yönelik iradesini net bir şekilde ortaya koymasıdır. ▪ Hukuki dayanağı yalnızca açık rıza olan veri işleme faaliyetlerinde, rızanın geçerlisayılabilmesi için veri sahibinin yeterince aydınlatılmış olması ve rızasını serbestçe vermiş olmasıesastır. Alemdağ Mah. Reşadiye Cad. No:69 İç Kapı No:2 Çekmeköy, İstanbul adresi kullanılmalıdır. Başvurular için gerekli Veri Sorumlusu Başvuru formu’ na” kurumumuz internet sitesi www.zeminas.com.tr adresi üzerinden ulaşabilirsiniz. “ ▪ Özellikle özel nitelikli kişisel veriler (hassas veriler) söz konusu olduğunda açık rıza mutlakayazılı olarak alınır. Bu, mevzuatın gerekliliklerine tam uyum sağlamak amacıyla zorunlu bir uygulamadır.▪ Veri sahibi, verdiği açık rızayı dilediği zaman, herhangi bir gerekçe göstermeksizin geri çekme hakkına sahiptir. Rızanın geri çekilmesi yazılı olacak ve geri çekme tarihinden itibaren geçerli olacak veöncesinde gerçekleştirilen veri işleme faaliyetlerinin hukuka uygunluğunu etkilemeyecektir. 7.2. Açık Rıza Alma Yöntemleri Açık rıza, çeşitli yöntemlerle alınabilir ve bu yöntemler veri işleme faaliyetinin niteliğine göre farklılıkgösterebilir; ▪ Yazılı Onay Formları: Veri sahibine imzalatılacak açık rıza formu şablonları aracılığıyla rızaalınabilir. Bu formlar, Politika'da belirtilen tüm unsurları içermelidir. ▪ Sözleşmeler ve Elektronik Formlar: Veri sahibiyle yapılacak sözleşmeler veya elektronikformlar aracılığıyla da açık rıza alınabilir. Bu durumda da form veya sözleşme metinlerinde açık rızaşablonunda yer alan unsurlara yer verilmesi zorunludur. ▪ Rutine Bağlı Veri İşlemeleri: Personel, personel adayları ve müşterilere ilişkin rutin olarakişlenen kişisel veriler bakımından açık rıza, ilgili iş akdi, hizmet sözleşmesi veya diğer ilgili formlararacılığıyla alınır. ▪ Açık Doğrulayıcı Eylem: Belirli durumlarda, veri sahibinin iradesini net bir şekilde ortayakoyan açık doğrulayıcı eylemler (örneğin, onay kutusunu işaretleme) de açık rıza olarak kabul edilebilir,ancak bu durumda da veri sahibinin yeterince bilgilendirilmiş olması esastır. 7.3.Açık Rıza Kayıtlarının Tutulması ve Yönetimi Açık rızaya dayalı veri işleme faaliyetleri, mevcut personel ile yeni işe başlayan personel için İnsanKaynakları birimi tarafından yürütülmektedir. Açık rıza kapsamında alınan veriler, ilgili personelin özlükdosyalarında saklanmakta olup, bu kayıtların doğruluğu ve güncelliğinden İnsan Kaynakları birimisorumludur. Açık rızaya dayanan tüm veri işleme faaliyetlerine ilişkin açık rıza formları veya rızanın alındığına dairdiğer ilgili ispat araçları, ilgili birimce güvenli bir şekilde saklanır. Bu kayıtlar, denetimlerde ve yasalsüreçlerde delil teşkil edecektir. 8. VERİ GÜVENLİĞİ Zemin Etüd ve Tasarım A.Ş. işlediği kişisel verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamakamacıyla uluslararası kabul görmüş standartlar ve yasal mevzuat çerçevesinde en üst düzeyde teknik veidari güvenlik tedbirlerini almayı taahhüt eder. Kişisel verilerin yetkisiz erişim, işleme, açıklama,değiştirme, kayıp veya yok edilmesine karşı korunması şirketimizin önceliğidir. 8.1.Veri Güvenliği Sorumlulukları Tüm personel, Zemin Etüd ve Tasarım A.Ş. tarafından işlenen ve kendi sorumluluklarında olan kişiselverilerin güvenli bir şekilde tutulmasını sağlamakla yükümlüdür. Bu, her çalışanın kişisel veri güvenliğibilincine sahip olmasını ve Politika hükümlerine uymasını gerektirir. Kişisel verilere erişim, yalnızca iş gerekliliği ilkesine dayalı olarak ve sınırlı yetkilerle sağlanır. Erişimler,şirketimizin Erişim Kontrol Politikası uyarınca ve onaylanmış Yetki Matrislerine uygun şekilde yönetilirve denetlenir. 8.2.Güvenlik Tedbirleri ve Uygulamalar Kişisel verilerin güvenliği, Zemin Etüd ve Tasarım A.Ş., 'nin Bilgi Güvenliği Politikaları ve bu Politikayabağlı diğer dokümanlar (BGYS prosedürleri, yedekleme planları, şifreleme standartları vb.) uyarıncasağlanır. Alınan başlıca güvenlik tedbirleri şunları içerir; ▪ Fiziksel Güvenlik: Kişisel verilerin depolandığı fiziksel ortamların (sunucu odaları, arşivler vb.)yetkisiz erişime karşı korunması. ▪ Dijital Güvenlik: Bilgi sistemlerine yetkisiz erişimin engellenmesi, güçlü parola politikaları,çok faktörlü kimlik doğrulama, ağ güvenliği, sızma testleri ve güvenlik duvarları gibi teknik önlemlerinuygulanması. ▪ Yazılımsal Güvenlik: Yazılım güncellemelerinin düzenli yapılması, güvenlik yamalarınınuygulanması, zararlı yazılımlara karşı koruma sistemlerinin kullanılması. ▪ Eğitim ve Farkındalık: Tüm personelin kişisel veri güvenliği ve gizliliği konularında düzenliolarak eğitilmesi ve farkındalıklarının artırılması. ▪ Risk Yönetimi: Kişisel veri işleme süreçlerine ilişkin risk analizlerinin düzenli olarak yapılmasıve belirlenen risklere uygun önlemlerin alınması. ▪ Yedekleme ve Kurtarma: Veri kayıplarını önlemek amacıyla kişisel verilerin düzenli olarakyedeklenmesi ve felaket kurtarma planlarının oluşturulması. 8.3.Kişisel Veri İhlali Yönetimi Kişisel verilere ilişkin olası bir bilgi güvenliği olayı (veri ihlali) durumunda, Zemin Etüd ve Tasarım A.Ş. ‘ eve KVK Komitesi , durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurumu (KVKK Kurumu)'na veilgili kişilere Olay İhlal Bildirim Prosedürü uyarınca bildirmekle yükümlüdür. İhlalin tespiti, analizi,azaltılması ve tekrarlanmaması için gerekli tüm adımlar atılır. 9. KİŞİSEL VERİLERİN PAYLAŞILMASI VE AKTARIMI Zemin Etüd ve Tasarım A.Ş., kişisel verileri ancak hukuka ve hakkaniyete uygun olarak ve ilgili mevzuattabelirtilen şartlar dahilinde üçüncü kişilerle paylaşır ve aktarır. Kişisel verilerin yurt içine veya yurt dışınaaktarılabilmesi için aşağıdaki koşullardan birinin bulunması zorunludur; 9.1.Kişisel Verilerin Yurt İçi Paylaşım Şartları Kişisel veriler, aşağıdaki koşullardan birinin varlığı halinde yurt içinde üçüncü kişilere aktarılabilir; ▪ Veri sahibinin açık rızasının alınmış olması.
▪ Kanunlarda açıkça öngörülmesi.
▪ Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunmasıiçin zorunlu olması. ▪ Zemin Etüd ve Tasarım A.Ş. ‘ nin taraf olduğu ya da olacağı bir sözleşmenin kurulması veyaifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesiningerekli olması. ▪ Zemin Etüd ve Tasarım A.Ş. ‘ nin hukuki yükümlülüğünü yerine getirebilmesi için zorunluolması. ▪ İlgili kişinin kendisi tarafından alenileştirilmiş olması. ▪ Zemin Etüd ve Tasarım A.Ş. ‘ nin haklarının tesisi, kullanılması veya korunması için veriişlemenin zorunlu olması. ▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Zemin Etüd ve TasarımA.Ş. ‘ nin meşru menfaatleri için veri işlenmesinin zorunlu olması. 9.2. Kişisel Verilerin Yurt Dışına Aktarımı Kişisel veriler, yukarıdaki yurt içi paylaşım şartlarına ek olarak, aşağıdaki koşulların sağlanması halindeyurt dışına aktarılabilir; ▪ Hedef ülkede yeterli korumanın bulunması. Kişisel Verileri Koruma Kurumu (KVKK Kurumu)tarafından belirlenen "yeterli korumanın bulunduğu ülkeler listesi" bu aktarımlarda dikkate alınır. ▪ Yeterli korumanın bulunmaması halinde, Türkiye'deki ve ilgili yabancı ülkedeki verisorumlularının standart sözleşmelerle birlikte yazılı olarak yeterli bir koruma taahhüt etmeleri veKVKK Kurumu'nun izninin bulunması. ▪ Veri sahibinin bu aktarım konusunda açık rızasının alınmış olması.9.3. Veri Paylaşım Kayıtları ve Sözleşmeler Yasal bir dayanak veya hukuki yükümlülük olmaksızın düzenli bir veri paylaşma ilişkisinin söz konusuolması halinde, ilgili üçüncü taraf veya iş ortağı ile veri paylaşımının koşullarını belirleyen bir KişiselVerilerin Korunması Tahhütnamesi ve / veya Gizlilik Taahhüdü yapılır. Bu taahhütnameler vesözleşmeler asgari olarak şunları içermelidir; ▪ Paylaşımın amacı veya amaçları;
▪ Potansiyel üçüncü kişi alıcılar veya alıcı türü ve erişim hakkı koşulları;
▪ Paylaşılacak veri kategorilerinin kapsamı (amaçlar için gerekli minimum düzeyde tutulmalıdır);
▪ Verinin işlenmesine ilişkin genel ilkeler;
▪ Uygulanacak veri güvenliği tedbirleri;
▪ Paylaşılan verilerin tutulma süresi;
▪ Veri sahibinin hakları, erişim talepleri, başvuru ve şikayetlere cevap verme prosedürleri;
▪ Paylaşım sözleşmesinin yürürlüğünün sona erdirilmesi ve sonlandırma koşullarının gözden geçirilmesi;
▪ Sözleşmeye uyulmaması veya personelin bireysel ihlalinden dolayı sorumluluk ve yaptırımlar.
▪ Kayıtların yönetimi ve denetim hakları. 10. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI Zemin Etüd ve Tasarım A.Ş. işlediği kişisel verileri, ilgili mevzuatta öngörülen veya işlendikleri amaç içingerekli olan süre boyunca muhafaza etmeyi ilke edinmiştir. Bu ilke doğrultusunda, kişisel verilerinsaklanma ve imha süreçleri şeffaf ve güvenli bir şekilde yönetilir. 10.1. Saklama Süreleri Kişisel veriler, aşağıda belirtilen esaslar dahilinde belirlenen süreler boyunca saklanır; ▪ Yasal Yükümlülükler: Kanunlarda açıkça bir saklama süresi belirtilmişse, kişisel veriler busüre boyunca muhafaza edilir. ▪ İşleme Amacı: Belirli bir hukuki dayanak veya açık rıza ile işlenen kişisel veriler, işlemeamacının gerektirdiği süre boyunca saklanır. Amacın ortadan kalkması durumunda veri saklamagerekliliği sona erer. ▪ Sözleşmesel Yükümlülükler: Taraf olunan sözleşmelerden kaynaklanan yükümlülüklerinyerine getirilmesi için gerekli olan süre kadar kişisel veriler saklanabilir. ▪ Meşru Menfaatler: Zemin Etüd ve Tasarım A.Ş. ‘ nin meşru menfaatleri doğrultusunda, verisahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, hukuki ihtilafların çözümü, haklarıntesisi veya korunması gibi durumlar için gerekli olan süre boyunca veriler muhafaza edilebilir. Kişisel veri içeren kayıtların sınıflandırılması ve bunlara ilişkin detaylı saklama süreleri, şirketimizin KişiselVeri Saklama ve İmha Politikası'nda ayrıntılı olarak belirlenmiştir. Bu Politika, ilgili yasalara ve sektördekien iyi uygulamalara uygun olarak düzenli olarak gözden geçirilir ve güncellenir. 10.2. Kişisel Verilerin İmha Edilmesi Saklama süresi dolan veya işlenmesi için hukuka uygun bir dayanağı kalmayan kişisel veriler, Zemin Etüdve Tasarım A.Ş. tarafından re’sen veya veri sahibinin talebi üzerine aşağıdaki yöntemlerden biriylegüvenli bir şekilde imha edilir; ▪ Silme: Kişisel verilerin, ilgili kullanıcılar tarafından tekrar erişilemez ve tekrar kullanılamazhale getirilmesi işlemidir. ▪ Yok Etme: Kişisel verilerin hiç kimse tarafından erişilemez, geri getirilemez ve tekrarkullanılamaz hale getirilmesi işlemidir. Fiziksel kayıtlar için imha (parçalama, yakma vb.) yöntemlerikullanılır. ▪ Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surettekimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.Anonimleştirilen veriler, kişisel veri niteliğini kaybettiği için KVKK kapsamı dışına çıkar. Özellikle yedekleme (back-up) vb. gereklilikler nedeniyle gerekli sürenin ötesinde saklanması gerekenkişisel veriler, veri güvenliği zafiyetlerinin önüne geçmek ve bireylerin hak ve özgürlüklerini korumakamacıyla şifrelenerek veya anonimleştirilerek/maskelenerek muhafaza edilir.
İmha süreçleri, şirketimizin Kişisel Veri Saklama ve İmha Politikası'nda belirlenen prosedürlere veperiyodik imha takvimine uygun olarak yürütülür. 11. POLİTİKANIN GÜNCEL TUTULMASI Bu dokümanın sahibi KVK Komite ve bu politikanın yukarıda belirtilen gözden geçirme gereklilikleriuyarınca düzenli olarak gözden geçirilmesinden sorumludur. Bu dokümanın güncel versiyonu ortak alan üzerinden tüm Zemin Etüd ve Tasarım A.Ş personelininerişimine sunulmuş ve şirket web sitesi üzerinden yayınlanmıştır.

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

HAKKIMIZDA

KVKK

İLETİŞİM