DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ A.Ş.

KİŞİSEL VERİLERİN KORUNMASI VE GİZLİLİK POLİTİKASI

1.GİRİŞ

Türkiye Cumhuriyeti Anayasası’nın 20. maddesi uyarınca, herkes kendisi ile ilgili kişisel verilerin korunmasını talep etme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.

DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ ANONİM ŞİRKETİ ("DÜNYA EKO” ya da "Şirket”) olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun ("KVKK” veya "Kanun”) yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz.

İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası ("Politika”), kişisel verilerin DÜNYA EKO tarafından toplanması, kullanılması, paylaşması ve saklanması süreçleri ve prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. İşbu Politika’da, DÜNYA EKO tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin esaslara KVKK’da yer alan düzenleme sırasına uygun olarak yer verilmiş olup, bu açıklamalar DÜNYA EKO çalışanlarını, aktif ve potansiyel müşterilerimizi, ziyaretçilerimizi ve DÜNYA EKO ile ilişki içinde bulunan diğer gerçek kişileri kapsamaktadır.

2.KAPSAM

İşbu Politika; DÜNYA EKO’nun veri sorumlusu olarak İmha Yönetmeliği’nin 5 inci maddesi uyarınca hazırlamakla yükümlü olduğu "Kişisel Veri Saklama ve İmha Politikası” olup, DÜNYA EKO’nun merkez ve şube işletmeleri tarafından elde edilen her türlü kişisel veri hakkında uygulanır. DÜNYA EKO’nun tüm birimleri ve çalışanları, işbu Politikada öngörülen usul ve esaslara uygun hareket eder.

Şirket tarafından işlenen ve işbu Politika’ya tabi olan kişisel veri grupları aşağıda gösterilmiştir:

Veri Grupları
1.	Çalışan Adayı Verileri
2.	Çalışan Verileri
3	Hissedar/Ortak Verileri
4.	Potansiyel Ürün veya Hizmet Alıcısı Verileri
5.	Sınav Adayı Verileri
6.	Stajyer Verileri
7.	Tedarikçi Verileri
8.	Ürün veya Hizmet Alan Kişi Verileri
9.	Veli / Vasi / Temsilci Verileri
10.	Ziyaretçi Verileri

DÜNYA EKO tarafından işlenen ve saklanan kişisel veriler, daha detaylı olarak Veri Sorumluları Sicili Yönetmeliği uyarınca hazırlanmış olan Veri Envanterinde belirtilmektedir. İşlenen verilerin kapsamında bir değişiklik olması halinde, Veri Envanteri buna uygun olarak güncellenir.

3.TANIMLAR

İşbu Politika’da yer verilen terim ve kısaltmalara ilişkin tanımlar aşağıdaki gibidir:

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kanunveya KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kurul: Kişisel Verileri Koruma Kurulu.

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

DÜNYA EKO veya Şirket: Dünya Eko Basım Yayın ve Dağıtım Ticaret ve Sanayi Anonim Şirketi

Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri sahibi: Kişisel verisi işlenen gerçek kişi.

Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

4.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN USUL VE İLKELER

· DÜNYA EKO kişisel verileri KVKK ve ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir. Bu çerçevede, DÜNYA EKO tarafından kişisel veriler işlenirken KVKK’da yer alan aşağıdaki ilkelere tam uyum sağlanmaktadır.

·Hukuka ve dürüstlük kurallarına uygun olma: Bu ilke uyarınca, DÜNYA EKO’nun veri işleme süreçleri başta Anayasa ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kurallarının gerektirdiği sınırlar içinde kalınarak yürütülmektedir.

·Doğru ve gerektiğinde güncel olma: DÜNYA EKO tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.

·Belirli, açık ve meşru amaçlar için işlenme: DÜNYA EKO yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, DÜNYA EKO yalnızca veri sahipleriyle kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.

·İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: DÜNYA EKO tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

·İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: DÜNYA EKO tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, DÜNYA EKO, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. DÜNYA EKO gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

5.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, DÜNYA EKO tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

Kanun'da sayılan istisnalar dışında, DÜNYA EKO ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

· Kanunlarda açıkça öngörülmesi,

·Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

·Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

·Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

·Veri sahibinin kendisi tarafından alenileştirilmiş olması,

·Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

·Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise DÜNYA EKO tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızınişlenebilmektedir:

·Kamu sağlığının korunması,

·Koruyucu hekimlik,

·Tıbbî teşhis,

·Tedavi ve bakım hizmetlerinin yürütülmesi,

·Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

6.KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

DÜNYA EKO tarafından elde edilen kişisel verileriniz, aşağıda açıklanan kapsamlar dahilinde işlenebilecektir:

·İK operasyonları,

·Şirket içi operasyonları,

·Grup içi operasyonlar,

·Ürün veya hizmet alıcına dokunan süreç ve operasyonlar,

·Sınav adayına dokunan süreç ve operasyonlar,

·Hukuksal, teknik ve idari sonucu olan faaliyetler,

·Strateji, planlama ve iş ortakları/tedarikçi yönetimi

·Kurumsal iletişim faaliyetlerinin, etkinliklerin planlanması ve icrası

Yukarıda belirtilen kategoriler sizleri bilgilendirme amaçlı olup, DÜNYA EKO’nun gelecekteki ticari ve işletmesel faaliyetlerini yürütebilmesi için tarafımızca başka kategoriler de eklenebilecektir. Bu gibi durumlarda DÜNYA EKO, sizi en hızlı şekilde bilgilendirmeye devam edebilmek için, belirtilen kategorileri sizler için ilgili metinlerde güncellemeye devam edecektir.

7.KİŞİSEL VERİLERİN SAKLANMASI

7.1.VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

7.1.1.Çalışan Adayı Verilerinin Saklanma Sebepleri

Çalışan adayı verileri; iş başvurusunun uygunluğunun değerlendirilmesi, sonuçlandırılması ve aday ile iletişime geçilmesi, Şirket’in insan kaynakları politikaları çerçevesinde çalışan ihtiyacının temin edilmesi ve işe alım süreçlerinin yürütülmesi sebepleriyle saklanmaktadır.

7.1.2. Çalışan Verilerinin Saklanma Sebepleri

·İş Kanunu m.75 uyarınca, Şirket, her bir çalışan için bir özlük dosyası oluşturmak ve bu dosyalarda çalışanın kimlik bilgilerinin yanında, İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak zorundadır.

·Çalışan verileri; ayrıca çalışan ile yapılan sözleşmeden ve/veya Toplu İş Sözleşmesinden kaynaklanan hakların kullanılması ve borçların ifa edilmesi, sosyal güvenlik mevzuatı ile vergi mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi, Şirket’in iş ve operasyonel düzeninin sağlanması, çalışana tıbbi destek sunulması, çalışanın Şirket’in çalışanlarına sunmuş olduğu hizmetlerden ve hediye, çekiliş gibi ayrıcalıklardan yararlandırılması, Şirket’in insan kaynakları politikalarının yürütülmesi, sözleşmeye ve kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi amaçlarıyla çalışan ile sözleşme ilişkisi devam ettiği süre boyunca saklanmak zorundadır.

·İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/f.1-b uyarınca, işverenler, işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını saklamakla yükümlüdürler. Bu kapsamda, çalışanların kişisel sağlık dosyasında yer alan veriler ile bu verilerle bağlantılı olan kimlik bilgilerinin, 15 yıl süreyle Şirket tarafından saklanması gereklidir.

·Şirket ile çalışan arasında çıkabilecek uyuşmazlıklara ilişkin azami zamanaşımı süresi, TBK m. 146 hükmü uyarınca 10 yıldır. Bu nedenle, Şirket ile çalışan arasında ileride çıkabilecek uyuşmazlıklarda kullanılmaları gerekli olabileceği için, çalışanların tüm verilerinin sözleşme ilişkisi sona erdikten sonra en az 10 yıl süreyle saklanması zorunludur. Şirket aleyhine zamanaşımı süresinin son günü dava açılması halinde, bu davanın Şirket’e tebliğ edilmesi belirli bir süre alacağı için, çalışan verilerinin tedbiren 10 yıllık zamanaşımı süresine ilaveten 3 aylık ek süre boyunca saklanması gereklidir.

·Yukarıda belirtilen 10 yıl 3 aylık süre içerisinde Şirket ile çalışan arasında bir hukuki uyuşmazlık çıkması halinde, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar, çalışan verilerinin saklanması gereklidir.

·Şirket tarihçesinin ve kurum aidiyetinin oluşturulması için, çalışanların ad-soyadı, personel sicil numarası, çalıştığı Şirket birimi, çalıştığı tarihler ve unvan bilgilerinin süresiz olarak saklanması gereklidir.

7.1.3. Hissedar/Ortak Verilerinin Saklanma Sebepleri

Şirket ortaklarının verileri, şirketler hukuku ve diğer ortaklık işlemlerinin gerçekleştirilmesi, kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi hukuki uyuşmazlıkların çözümlenmesi için süresiz olarak saklanabilmektedir.

7.1.4. Potansiyel Ürün veya Hizmet Alıcısı Verilerinin Saklanma Sebepleri

DÜNYA EKO, faaliyet konusu gereği kitap, dergi, gazete gibi yayınların ithalatı, basım, yayın, pazarlama ve satışını gerçekleştirmektedir. Potansiyel ürün veya hizmet alıcılarının verileri, pazarlama faaliyetlerinin yürütülebilmesi amacıyla saklanmaktadır.

7.1.5. Sınav Adayı Verilerinin Saklanma Sebepleri

DÜNYA EKO, Cambridge English Language Assessment sınavlarını gerçekleştirmektedir. Bu kapsamda sınavların yapılması, sonuç belgeleri ile sertifikaların hazırlanması amacıyla veri sorumlusu Cambridge’in kontrolünde sınav adayına ait kişisel verilerin saklanması söz konusudur.

7.1.6. Stajyer Verilerinin Saklanma Sebepleri

Stajyer verileri, DÜNYA EKO’da staj yapan stajyerlerin özlük dosyalarının oluşturulması, karşılıklı hak ve yükümlülüklerin yerine getirilmesi, Şirket’in iş ve operasyonel düzeninin sağlanması için işlenmektedir.

7.1.7. Tedarikçi Verilerinin Saklanma Sebepleri

Tedarikçi verileri, Şirket’in mal veya hizmet tedariki ihtiyacının giderilmesi, tedarikçi ile yapılan sözleşmenin kurulması ve ifa edilmesi, TTK, vergi ve ihale mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi, sözleşmeye ve kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi amaçlarıyla saklanır.

Tedarikçi verileri, tedarikçi tarafından verilerinin imhası talep edilmedikçe, süresiz olarak saklanır. Tedarikçi tarafından verilerinin imhasının talep edilmesi halinde ise:

·Tedarikçi ile yapılan sözleşmeden kaynaklanacak uyuşmazlıklara ilişkin azami zamanaşımı süresinin dolmasından itibaren 3 aylık süre geçmemişse, bu sürenin sona erdiği tarihe kadar; eğer söz konusu süre içerisinde bir hukuki uyuşmazlık çıkmışsa, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar tedarikçi verilerinin saklanması gereklidir,

·Tedarikçi ile herhangi bir sözleşme yapılmamışsa veya yapılan sözleşmeye ilişkin azami zamanaşımı süresinin dolmasını takip eden 3 aylık süre içerisinde taraflar arasında herhangi bir hukuki uyuşmazlık çıkmamışsa, tedarikçi verisi talep üzerine işbu Politika’ya uygun olarak imha edilir.

7.1.8.Ürün veya Hizmet Alan Kişi Verilerinin Saklanma Sebepleri

Ürün veya hizmet alan kişi ile kurulan sözleşmenin gereklerinin yerine getirilmesi ve 213 sayılı Vergi Usul Kanunu’nun 229 vd. ile ilgili tebliğler hükümleri gereğince fatura düzenlenebilmesi için verileri işlenir ve saklanır. Bu kapsamda düzenlenen faturaların VUK m. 253 uyarınca 5 yıl saklama yükümlülüğü bulunmaktadır.

7.1.9. Veli/Vasi/Temsilci Verilerinin Saklanma Sebepleri

DÜNYA EKO olarak anlaşmalı bulunduğumuz okulların öğrencilerine uygulayacağımız sınavlar için öğrenci velilerinin ödeme gerçekleştirmesi gerekmekte olup, online sistemler üzerinden gerçekleştirilen bu ödeme için öğrenci velilerinin verilerini işlemekteyiz.

7.1.10.Ziyaretçi Verilerinin Saklanma Sebepleri

Şirket çalışanlarının ve diğer üçüncü kişilerin ve Şirket’in fiziki ve elektronik ortamlarının güvenliğinin ve denetiminin sağlanması ve sözleşmeye ve kanuna aykırılıkların soruşturulması, önlenmesi ve yetkili makamlara bildirilmesi amacıyla, Şirket’e ait bina, ofis ve diğer ortamlara giren ziyaretçilerin bilgisayar ortamında ad ve soyadı bilgilerinden oluşan kaydının alınabilmesi mümkündür.

Şirket’e ait ofisler veya diğer ortamlarda Şirket tarafından sunulan kablosuz ağ bağlantısını kullanan kişilerin verileri, İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik m.4 uyarınca 2 yıl süreyle saklanmak zorundadır. Dolayısıyla, bu kişilerin kablosuz ağ kullanımlarına ilişkin log kayıtları, herhangi bir adli veya idari sürece konu olmadıkları sürece 2 yıl süreyle saklanır. Log kayıtlarının herhangi bir adli veya idari bir sürece konu olması halinde ise, bu kayıtlar, söz konusu sürecin gerektirdiği süre boyunca ve ölçüde saklanır.[SA1]

7.2. VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI

DÜNYA EKO’nun merkez ve şube işletmeleri tarafından işlenen kişisel verilerin saklandığı ortamlar aşağıdaki gibidir:

VERİ GRUBU	FİZİKİ KAYIT ORTAMLARI	ELEKTRONİK ORTAMLAR
Çalışan Adayı Verileri	· Fiziki İş Başvuru Formları · CV Dosyaları	· Elektronik İş Başvuruları (Bilgisayar Ortamı) · E-posta
Çalışan Verileri	· Özlük Dosyaları · İç Yazışma Dosyaları · Kişisel Sağlık Dosyaları · Bordrolar · İcra ve Dava Dosyaları · SGK ve Vergi Dosyaları	· İK Programı · Muhasebe Programı · Bilgisayar Ortamı · Bordro Zarfları (Ofis Dosyası) · E-posta
Hissedar/Ortak Verileri	· Hazirun Cetveli · Genel Kurul Toplantı Tutanakları · Vekaletnameler · Dava Dosyaları · Denetim Raporları	· Bilgisayar Ortamı
Potansiyel Ürün veya Hizmet Alıcısı Verileri	· Bilgi formları · Kartvizitler	· Bilgisayar Ortamı · E-ticaret Sitesi Yazılımı · Office 365
Sınav Adayı Verileri	· Dosyalar	· Bilgisayar Ortamı · E-posta
Stajyer Verileri	· Özlük Dosyaları	· Bilgisayar Ortamı · E-posta
Tedarikçi Verileri	· Sözleşme ve Eklerinin fiziki kopyaları	· Bilgisayar Ortamı · E-posta
Ürün veya Hizmet Alan Kişi Verileri	· Abonelik Başvuru Formu · Muhasebe Dosyaları	· Bilgisayar Ortamı · E-Ticaret Sitesi Yazılımı · E-posta
Veli/Vasi/Temsilci Verileri		· Kapalı Devre Yazılım
Ziyaretçi		· Bilgisayar Ortamı · E-posta

 

8.KİŞİSEL VERİLERİN AKTARILMASI

8.1. KİŞİSEL VERİLERİN YURT İÇİNDEKİ KİŞİLERE AKTARILMASI

DÜNYA EKO, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, DÜNYA EKO tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler DÜNYA EKO tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

·Kanunlarda açıkça öngörülmesi,

·Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

·Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

·Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

·Veri sahibinin kendisi tarafından alenileştirilmiş olması,

·Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

·Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,

·Kamu sağlığının korunması,

·Koruyucu hekimlik,

·Tıbbî teşhis,

·Tedavi ve bakım hizmetlerinin yürütülmesi,

·Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.

8.2. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır. Bu kapsamda DÜNYA EKO tarafından yurtdışına veri aktarımının söz konusu olduğu hallerde ilgili kişilerin kanuna uygun açık rızaları alınmaktadır. Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da DÜNYA EKO tarafından kişisel veriler yurtdışına aktarılabilecektir. Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, DÜNYA EKO ve ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecektir.

9.KİŞİSEL VERİLERİN İMHASINA İLİŞKİN USUL VE ESASLAR

9.1. KİŞİSEL VERİLERİN SAKLAMA VE İMHA SÜRELERİ

Kişisel veriler, aşağıdaki tabloda belirtilen sürelerle saklanır.

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Çalışanların özlük dosyasının tutulması	İş hukuku mevzuatı uyarınca istihdam ilişkisi süresince ve TBK m. 72 uyarınca istihdam ilişkisinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha [SA2]süresinde
Çalışanların sağlık dosyasının tutulması (İşe giriş muayenesi, periyodik sağlık kontrolleri, sağlık raporları)	İstihdam ilişkisi süresince ve istihdam ilişkisinin bitiminden itibaren İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m. 7/1-b uyarınca 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
DÜNYA EKO’nun taraf olduğu sözleşme süreçlerini yürütülmesi ve sözleşme sürecine ilişkin taraflara ait gerekli belgelerin tutulması	Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket iç süreçlerine yönelik teyit ve denetim süreçlerinin yürütülmesi	Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket faturalama işlemlerinin gerçekleştirilmesi	Faturanın oluşturulmasından itibaren TTK m. 82 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe süreçlerinin yürütülmesi	Muhasebe kayıtlarının tutulmasından itibaren TTK m. 82 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet veya ürün alım satımına ilişkin talep, şikayet ve sipariş süreçlerinin yürütülmesi	Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İSG süreçlerinin yürütülmesi[SA3]	İstihdam ilişkisi süresince ve istihdam ilişkisinin bitiminden itibaren İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m. 7/1-b uyarınca 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan bordrolarına ilişkin süreçler	İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanların masraf süreçlerinin yürütülmesi	İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanların iş seyahati süreçlerinin yürütülmesi	İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışanların talep ve şikayet süreçlerinin yürütülmesi	Talep ve şikayetlerin elde edilme anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca [SA4]	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki süreç takiplerinin gerçekleştirilmesi	Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnternet trafik kayıtlarının tutulması	5651 sayılı Kanun uyarınca ilk kaydın elde edilme anından itibaren 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Zimmet kayıtlarının tutulması	İstihdam ilişkisi süresince ve istihdam ilişkisinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket binası içerisinde ziyaretçi giriş-çıkış kayıtlarının tutulması	İlk kaydın oluşturulma anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca [SA5]	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çağrı merkezi kayıtlarının tutulması	İlk kaydın oluşturulma anından itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İstihdam ilişkisi kurulmayan çalışan adayına ait iş başvuru sürecine ilişkin belgelerin elde edilmesi (Özgeçmiş, iş başvuru formu.)	Belgelerin elde edilme veya doldurulma anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca[SA6]	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Olumsuz sonuçlanan stajyer adayına ait staj başvuru sürecine ilişkin belgelerin elde edilmesi (Staj belgeleri, özgeçmiş vs.)	Belgelerin elde edilme veya doldurulma anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca[SA7]	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Bilgi Teknolojileri süreçlerine ilişkin bilgi güvenliği kayıtlarının (log kayıtları) tutulması	Kayıtların elde edilme anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca [SA8]	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket esas sözleşmelerinin akdedilmesi	Esas sözleşmenin akdedilmesinden itibaren TTK m. 336 uyarınca 5 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Genel Kurul ve Yönetim Kurulu karar süreçlerinin yürütülmesi	Kararın alınmasından itibaren TTK m. 82 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket faaliyetleri kapsamında gerçekleştirilen sınav uygulamaları	Sınav adayının sınava girmek üzere başvuruda bulunmasından itibaren veri sorumlusu Cambridge’in belirleyeceği idari süre boyunca	Veri sorumlusu Cambridge’in belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket iç denetim süreçlerinin gerçekleştirilmesi	Denetimin gerçekleştirilme anından itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket’in hukuki yükümlülüğü gereği dış denetimlerin yerine getirilmesi	Denetim raporlarının oluşturulma anından itibaren TTK m. 82 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket bünyesinde gerçekleşen organizasyon ve etkinlik süreçleri	Faaliyetin gerçekleştiği andan itibaren DÜNYA EKO’nun belirleyeceği idari süre boyunca	DÜNYA EKO’nun belirlediği idari saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirket müşterilerine yönelik kampanya ve reklam süreçlerinin yürütülmesi	Sözleşmesel ilişkisi süresince ve sözleşmesel ilişkinin sona ermesinden itibaren TBK m. 72 uyarınca 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

·Çalışanın işten ayrılmasından sonra 15 yıl geçtikten sonra, çalışanın talep etmesi halinde, veri imha edilir.

·Şirket ile veri sahibi arasında 10 yıl 3 aylık süre içerisinde bir hukuki uyuşmazlık çıkması halinde, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar veriler saklanır.

·Veri sahibinin talep etmesi halinde, Şirket ile bu kişi arasında devam eden herhangi bir hukuki süreç bulunmaması şartıyla veriler imha edilir. Şirket ile veri sahibi arasında devam eden hukuki bir sürecin söz konu olması halinde ise, veriler bu sürecin gerektirdiği süre boyunca ve ölçüde saklanır.

·Tedarikçi tarafından verilerin silinmesinin talep edilmesi halinde, tedarikçi ile yapılan sözleşmeden kaynaklanacak uyuşmazlıklara ilişkin azami zamanaşımı süresinin dolmasından itibaren 3 aylık süre geçmemişse, tedarikçi verileri söz konusu sürenin dolduğu tarihe kadar; eğer bu söz konusu sürenin içerisinde taraflar arasında bir hukuki uyuşmazlık çıkmışsa, bu uyuşmazlığa ilişkin hukuki sürecin sonunda verilen kararın tamamen uygulandığı ve buna ilişkin Şirket içi işlemlerin sonuçlandığı tarihe kadar veriler saklanır. Tedarikçi ile herhangi bir sözleşme yapılmamışsa veya yapılan sözleşmeye ilişkin azami zamanaşımı süresi dolmasını takip eden 3 aylık süre geçmişse, tedarikçi verisi talep üzerine silinir.

·Görüntü veya log kayıtlarında yer alan verilerin adli veya idari bir sürece tabi olması halinde, bu süreç sona erene kadar log kayıtları saklanır.

9.2. VERİ GRUPLARI AÇISINDAN SORUMLU ŞİRKET BİRİMLERİ VE KULLANICI ŞİRKET BİRİMLERİ

Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu birim olan Bilgi İşlem Müdürlüğü yanında, her bir Veri Grubuna ilişkin sorumlu Şirket birimleri ile kullanıcı Şirket birimleri, kişisel verilerin imha sürecinde işbu bölümde belirtilen görevlerini yerine getirirler.

Her bir Veri Grubu açısından sorumlu Şirket birimi ve kullanıcı Şirket birimleri aşağıdaki tabloda gösterilmiştir. Şirket’in faaliyetleri veya idari ve operasyonel düzeni gereği verilerin aşağıdaki tabloda yer almayan Şirket birimleri ile paylaşılmasının gerekmesi halinde, bu birimler de ilgili Veri Grubu açısından kullanıcı Şirket birimi kabul edilir ve bu Politika’da öngörülen kullanıcı Şirket birimlerinin yükümlülüklerine tabi olur.

VERİ GRUPLARI		SORUMLU ŞİRKET BİRİMİ
1.	Çalışan Adayı Verileri	İnsan Kaynakları Birimi
2.	Çalışan Verileri	İnsan Kaynakları Birimi, Mali İşler Birimi
3	Hissedar/Ortak Verileri	Mali İşler Birimi
4.	Potansiyel Ürün veya Hizmet Alıcısı Verileri	Süreli Yayınlar Birimi, Yabancı Yayın ve Abone Birimi, AjansD, Dünya Store
5.	Sınav Adayı Verileri	Sınav Merkezi Birimi
6.	Stajyer Verileri	İnsan Kaynakları Birimi
7.	Tedarikçi Verileri	İdari İşler Birimi, Mali İşler Birimi
8.	Ürün veya Hizmet Alan Kişi Verileri	Süreli Yayınlar Birimi, Yabancı Yayın ve Abone Birimi, AjansD, Dünya Store, Dünya Education, Mali İşler Birimi
9.	Veli / Vasi / Temsilci Verileri	Sınav Merkezi, Mali İşler Birimi
10.	Ziyaretçi Verileri	İdari İşler Birimi

9.3. PERİYODİK VERİ İMHA SÜRECİ

9.3.1.Periyodik İmha Süresi

DÜNYA EKO olarak, hukuken daha uzun bir sürenin gerekli kılındığı veya daha uzun bir süreye izin verildiği durumlar hariç olmak üzere, kişisel verileri yalnızca işbu Politika’da belirtilen amaçların gerçekleştirilmesi için gerekli olan süre boyunca muhafaza etmekteyiz. Saklama süresi sona eren kişisel veriler, KVKK’nın 7’inci maddesi çerçevesinde her yılın Şubat ve Ağustos aylarında [SA9]tarafımızca silinir, yok edilir veya anonim hale getirilir.

9.3.2.Periyodik İmha Sürecine İlişkin Yapılması Gereken İşlemler

9.3.2.1.Veri saklama süresinin başlangıcının tespiti ve bildirilmesi

Verilerin, çalışanın işten ayrılması gibi belirli bir olaydan itibaren işleyecek bir sürenin sonunda imha edilecek olması halinde, sorumlu Şirket birimleri:

·Sürenin başlangıcını tespit eder ve bunu, gerekliyse Bilgi İşlem Müdürlüğü’nden de destek alarak, verilerin imhası konusunda tutmuş olduğu kendi kayıtlarına işler,

·Sürenin başlamasına bağlı veri güvenliğine ilişkin tedbirleri alır ve

·Sürenin başladığı veri sahiplerini, kullanıcı Şirket birimlerine bildirir.

Her bir kullanıcı Şirket birimi, sorumlu Şirket biriminden söz konusu bildirimi aldıktan sonra:

·Bildirime konu veri sahiplerinin verilerini saklamalarını gerektiren bir nedenin bulunmaması halinde, bu verileri işbu Politika’ya göre imha eder,

·Söz konusu veri sahiplerinin verilerinin saklanmasını gerektiren bir nedenin bulunması halinde ise, varsa sürenin başlamasına ilişkin veri güvenliğine ilişkin tedbirleri alır.

Sorumlu Şirket birimleri ile kullanıcı şirket birimlerinin her biri:

·Bildirim konusu veri sahiplerinin verilerini, kamu kurum ve kuruluşları veya mevzuat uyarınca veri aktarımı zorunlu olan özel kişiler dışında, bir üçüncü kişiye aktarmışsa,

·Bu üçüncü kişi, veri sorumlusu olarak verilerin işlenmesi konusunda kendisi söz konusu veri sahibinden ayrıca rıza almamışsa ve KVK Kanunu m.5 ve 6’da belirlenen istisnai haller söz konusu değilse ve

·Üçüncü kişinin artık ilgili veri sahibinin verilerini saklaması gerekli değil ise söz konusu veri sahiplerinin verilerinin bu üçüncü kişi tarafından imha edilmesini sağlar.

Bilgi İşlem Müdürlüğü, bu kısımda belirtilen sürece ilişkin sorunlu Şirket birimleri ile kullanıcı Şirket birimlerine gerekli teknik desteği sağlar.

9.3.2.2.Periyodik imha işlemi

Periyodik imha işlemi sürecinde, her bir sorumlu Şirket birimi, saklama süresi dolmuş olan veri sahiplerinin listesini Şirket’in Genel Müdürlüğü ve/veya şubeleri nezdinde oluşturulan Veri İmha Komitesi’ne ve kullanıcı Şirket birimlerine gönderir.

Sorumlu Şirket birimleri ile kullanıcı şirket birimleri ve Bilgi İşlem Müdürlüğü, Veri İmha Komitesi’nin koordinasyonu dahilinde:

·Verilerin saklanmasını gerektiren herhangi bir hukuki sürecin olup olmadığını teyit eder,

·Bir önceki periyodik imha işleminden sonra saklama süreleri dolmuş olan verileri, bu Politika’da belirtilen esaslara göre imha eder,

·Verileri imha etmesi gereken üçüncü kişileri bilgilendirerek verilerin bu kişiler tarafından da imha edilmesini sağlar.

9.4. BAŞVURUYA DAYALI VERİ İMHA SÜRECİ

Bir veri sahibi tarafından verilerinin imhasının talep edilmesi halinde, bildirimi alan Şirket birimi, bu bildirimi Bilgi İşlem Müdürlüğüne iletir.

Bilgi İşlem Müdürlüğü imha başvurusunun usulüne uygun yapıldığını ve hukuki uyuşmazlığın olup olmadığını teyit ettikten sonra, bu başvuruyu söz konusu veriye ilişkin sorumlu Şirket birimine gönderir.

Sorumlu Şirket birimi:

·İşbu Politika uyarınca imhası istenen verilerin saklanmasını gerekli kılan bir sebebin bulunup bulunmadığını denetler,

·Verilerin saklanmasını gerektiren bir sebebin varlığı halinde, başvuruyu kendi kayıtlarına işler ve söz konusu sebep ortadan kalktıktan sonra verileri imha eder,

·Verilerin saklanmasını gerektiren başka bir sebep bulunmaması halinde, veri sahibinin talebi üzerine birim nezdindeki verileri imha eder,

·Elektronik ortamda tutulan verilerin imhası için Bilgi İşlem Müdürlüğü’nü bilgilendirir,

·Kullanıcı Şirket birimlerini, başvuru hakkında bilgilendirir.

Her bir kullanıcı Şirket birimi, başvuruya konu verilerin, gerekliyse Bilgi İşlem Müdürlüğü’nün sağlamış olduğu teknik destek ile birlikte işbu Politika’da belirtilen esaslara göre imha edilmesini sağlar.

Sorumlu Şirket birimleri ile kullanıcı Şirket birimleri:

·İmhası talebinde bulunan veri sahibini, kamu kurum ve kuruluşları veya mevzuat uyarınca veri aktarımının zorunlu olduğu özel kişiler dışında verileri aktarmış oldukları üçüncü kişilere bildirir ve

·Bu üçüncü kişiler tarafından veri sorumlusu olarak verilerin işlenmesi konusunda söz konusu veri sahibinden ayrıca rıza alınmamışsa, verilerin bu üçüncü kişiler tarafından imha edilmesini sağlar.

Bilgi İşlem Müdürlüğü, başvuruda bulunan veri sahibinin elektronik ortamda saklanan verilerinin işbu Politika’da belirtilen esaslara göre imha edilmesi için gerekli tedbirleri alır ve sorumlu Şirket birimleri ile kullanıcı Şirket birimlerine gerekli olan diğer teknik desteği sunar.

Veri sahibi tarafından sadece bir kısım verilerin imhasının talep edilmesi halinde, sadece bu veriler imha edilir.

Veri sahibinin talebi üzerine yapılan imha işlemi, talep tarihinden itibaren en geç bir ay içerisinde gerçekleştirilir ve bu süre içerisinde veri sahibine bildirim yapılır. Veri sahibinin imha talebinin reddinin gerekmesi halinde, bu durum da yine talep tarihinden itibaren en geç 30 gün içerisinde ret gerekçeleriyle birlikte veri sahibine bildirilir.

9.5. KİŞİSEL VERİLERİN İMHASI İŞLEMLERİ

9.5.1. Fiziksel Ortamda Saklanan Kişisel Verilerin İmhası

Fiziki belge ortamında bulunan kişisel veriler, kural olarak ilgili Şirket birimi tarafından karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili belge üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır. Karartma işlemi, Şirket birimlerinin belgenin karartılmayan kısımlarını başka verilerle eşleştirerek veri sahibinin kimliğini belirlemelerini engelleyecek şekilde ve ölçüde yapılır.

Kişisel verilerin yer aldığı belgeler; karartma yöntemi dışında, kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak geri birleştirilemeyecek şekilde küçük parçalara bölünerek veya yakılarak da imha edilebilir.

Toplu şekilde imha edilecek veriler, uygun ortam veya yerlerde yakılmak suretiyle, imha edilebilir.

9.5.2.Elektronik Ortamda Saklanan Kişisel Verilerin İmhası

9.5.2.1.Merkez sunucularda yer alan kişisel verilerin imhası

Merkez sunucularında yer alan dosyaların silinmesi işlemi, işletim sistemindeki silme komutu ve ilgili programlar üzerindeki parametreler ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde Bilgi İşlem Müdürlüğü tarafından, Sorumlu Şirket Birimleri ile Kullanıcı Şirket Birimlerinin erişim haklarının kaldırılması yöntemiyle gerçekleştirilir.[SA10]

9.5.2.2.Veri tabanı ve belge yönetim programlarında yer alan veriler

Veri tabanında yer alan veriler, veri tabanı komutları ile (delete vb.) silinir. Bu silme işleminden sonra, Sorumlu veya Kullanıcı Şirket Birimleri, silinmiş verileri geri getirme yetkisine sahip olmamalıdır.

9.5.2.3.Hard disk veya taşınabilir medyada saklanan veriler

Bilgisayar hard diskinde veya flash bellek ve optik diskler (CD, DVD gibi) gibi taşınabilir medyada saklanan verilerin imha işlemi, bu ortamlara uygun yazılımlar veya komutlar kullanılarak verilerin silinmesi, hard diskin ya da taşınabilir medya cihazının yok edilmesi veya bu hard diskin veya medya cihazlarının şifresi Bilgi İşlem Müdürlüğünde olacak şekilde, şifreli olarak saklanması yoluyla gerçekleştirilir.[SA11]

9.5.3.Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.

Bilgi İşlem Müdürlüğü ile Sorumlu veya Kullanıcı Şirket Birimleri, kişisel verilerin bu Politika uyarınca imhasında, yukarıda belirtilen silme veya yok edilme yöntemleri yerine, bu verilerin anonim hale getirilmesini sağlayıcı uygun yöntemler kullanabilir.

9.6. KİŞİSEL VERİLERİN İMHASINA İLİŞKİN KAYITLARIN SAKLANMASI

Bilgi İşlem Müdürlüğü, sorumlu Şirket birimleri ve kullanıcı Şirket birimleri, gerçekleştirmiş oldukları periyodik imha işlemleri ile veri sahibinin başvurusuna dayalı imha işlemlerini yazılı olarak kayıt altına alır. Bilgi İşlem Müdürlüğü, ayrıca elektronik ortamda gerçekleştirmiş oldukları imha işlemlerine ilişkin log kayıtlarını tutar.

İmha Yönetmeliği’nin 7’nci maddesinin üçüncü fıkrası uyarınca, Şirket birimleri tarafından yapılan bütün imha işlemlerine ilişkin kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

10.DÜNYA EKO’NUN AYDINLATMA YÜKÜMLÜLÜĞÜ

KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

·Veri sorumlusunun ve varsa temsilcisinin kimliği,

·Kişisel verilerin hangi amaçla işleneceği,

·İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

·Kişisel veri toplamanın yöntemi ve hukuki sebebi,

·KVKK’nın 11. maddesinde sayılan diğer haklar.

DÜNYA EKO, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır. Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, DÜNYA EKO’nun ticari faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır. Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin DÜNYA EKO tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.

Öte yandan, KVKK’nın 28(1). maddesi çerçevesinde, aşağıda sayılan durumlarda DÜNYA EKO’nun aydınlatma yükümlülüğü bulunmamaktadır:

·Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

·Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

·Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

·Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla beraber, KVKK’nın 28’nci maddesinin 2’inci fıkrası çerçevesinde, DÜNYA EKO’nun aydınlatma yükümlülüğü aşağıdaki hallerde uygulama alanı bulmayacaktır:

·Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

·Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

·Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

·Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

11.VERİ SAHİBİNİN HAKLARI

DÜNYA EKO tarafından işbu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c)Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f) Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

g) Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

i)Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, yukarıda sayılan haklarını, işbu Politika’nın 1 no’lu ekinde bulunan veri sahibi başvuru formunun ıslak imzalı bir nüshasını, DÜNYA EKO iletişim adreslerine, posta, e- posta yahut iadeli taahhütlü mektup vasıtasıyla ileterek kullanabilirler. Formun doldurulması yahut DÜNYA EKO’ya gönderilmesi hakkında detaylı bilgiler, 1 no’lu ekte bulunan başvuru formunda yer almaktadır. DÜNYA EKO, ilgili başvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili veri sahibine ulaştıracaktır.

DÜNYA EKO, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, DÜNYA EKO tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, DÜNYA EKO tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir.

Öte yandan, KVKK’nın 28(1). maddesi çerçevesinde, veri sahipleri, aşağıda sayılan hallerde KVKK’nın 11. maddesinde sayılan yukarıdaki hakları kullanamaz:

·Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,

·Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

·Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

·Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

·Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla beraber, KVKK’nın 28(2). maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere, KVKK’nın 11. maddesinde sayılan yukarıdaki haklar aşağıdaki durumlarda uygulama alanı bulmayacaktır:

·Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

·Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

·Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

·Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

12.VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

DÜNYA EKO, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12’nci maddesinin 1’inci fıkrasında öngörülen tedbirler şunlardır:

·Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

·Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

·Kişisel verilerin muhafazasını sağlamak.

DÜNYA EKO’nun bu kapsamda aldığı önlemler aşağıda sayılmıştır:

12.1.TEKNİK TEDBİRLER

Şirket, elektronik ortamlarında sakladığı kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için, aşağıdaki teknik tedbirleri uygulamaktadır:

·Bilgi İşlem Müdürlüğü bünyesinde, teknik bilgi ve donanıma sahip personel çalıştırılmaktadır.

·Ağ güvenliği sağlanmaktadır.

·Erişim logları düzenli olarak tutulmaktadır.

·Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

·Güncel anti-virüs sistemleri kullanılmaktadır.

·Güvenlik duvarları kullanılmaktadır.

·Datacenter giriş ve çıkışlarında şifreleme kullanılmaktadır.

·Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

·Kullanıcı hesap yönetimi düzenli aralıklarla kontrol edilmektedir.

·Saldırı önleme sistemi bulunmaktadır.

·Şifreleme kullanılmaktadır.

12.2.İDARİ VE HUKUKİ TEDBİRLER

Şirket, kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için aşağıdaki idari ve hukuki tedbirleri uygulamaktadır:

·Çalışanları ile yapılan sözleşmelerin içerisinde veya ekinde, bu kişilerden, görevleri gereği eriştikleri kişisel verilerin gizliliğinin korunmasına yönelik taahhütname almaktadır.

·Kişisel verilerin gizliliğinin korunması ve KVKK ve ikincil mevzuata uygun hareket edilmesi konusunda çalışanlarının farkındalığının ve sorumluluğunun artırılması için çalışanlara gerekli eğitimler verilmektedir.

·Kişisel verilerin aktarıldığı üçüncü kişilerle gizlilik taahhütnameleri imzalanmaktadır.

·Şirket, kişisel verilere ilişkin veri tabanı oluşturulmasında üçüncü kişilere ait yazılım programlarını ve bulutları kullanabilmekte ve diğer kişisel veri işleme amaçlarının elde edilebilmesi için verileri iş ortakları, tedarikçileri ve benzeri üçüncü kişilerle paylaşabilmekte veya kişisel verilerin elde edilmesinde veri işleyen konumundaki üçüncü kişilerden destek alabilmektedir. Bu hallerde, söz konusu üçüncü kişilere veri aktarımının amacı dikkate alınarak gerekli olduğu ölçüde verilere erişim yetkisi sağlanır [SA12]ve bu kişilerle yapılan sözleşmelerin içerisinde veya ekinde bu kişilere kişisel verilerin güvenliğinin sağlanması ve gizliliğinin korunmasına yönelik yükümlülükler getirilmektedir.

·Kişisel verilerin yer aldığı fiziki belgeler, kilitli ortamlarda saklanmakta ve çalışanların bu belgelere erişimi Şirketin idari, operasyonel ve çalışma düzeninin izin verdiği ölçüde sınırlandırılmaktadır.

·Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

·Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

13.VERİLERİN SAKLANMASI VE İMHASI SÜRECİNİN DENETİMİ

Şirket, kişisel verilerin saklanması ve imhası işlemlerini işbu Politika’ya uygun olarak yürütülüp yürütmediğini denetler. Gerçekleştirilen denetimler sonucunda, işbu Politika’ya aykırı bir durum tespit edilmesi halinde, bu aykırılıkların giderilmesi ve ilgililer hakkında gerekli işlemlerin yapılması için uygun teknik, hukuki ve idari adımların atılması sağlanır ve bu husus Şirket içerisinde yetkili birimlere raporlanır. Şirket’in kişisel veri saklama ve imhası süreçlerinin işbu Politika’ya uygunluğunun sağlanması konusunda yapılan denetimler ve bunların sonuçları denetim raporlarına eklenir.

Şirket’in tüm çalışanları, Şirket tarafından işlenen kişisel verilerin hukuki olmayan yollarla başkaları tarafından elde edildiği konusunda bilgisi veya şüphesi olması halinde, bu durumu vakit kaybetmeksizin yöneticisine bildirir. Verilerin hukuka aykırı olarak işlendiğinin Şirket tarafından tespiti halinde, bu durum KVKK m.12/5 uyarınca vakit kaybetmeksizin ilgili veri sahibine ve Kişisel Verilerin Korunması Kurulu’na bildirilir ve söz konusu aykırılığın olumsuz etkilerinin önlenmesi ve giderilmesi için gerekli tüm adımlar atılır.

14.DİĞER HUSUSLAR

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

DÜNYA EKO tarafından hazırlanan işbu Politika __.__.__ tarihinde yürürlüğe girecektir. Politikada değişiklik olması durumunda, Politikanın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir.

DÜNYA EKO BASIM YAYIN VE DAĞITIM TİCARET VE SANAYİ ANONİM ŞİRKETİ