KVKK Aydınlatma Metni
SÜMER HOLDİNG A.Ş. GENEL MÜDÜRLÜĞÜ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
A. AMAÇ VE KAPSAM
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”, “Kanun”), kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile hazırlanmıştır.
Sümer Holding A.Ş. Genel Müdürlüğü (“Sümer Holding” veya “Veri Sorumlusu”) yürüttüğü faaliyetler kapsamında KVKK’na göre; gerçek kişilere ait kişisel veriler işlemekte ve muhafaza etmektedir. İşbu “Kişisel Verilerin Korunması ve İşlenmesi Politikası” (“Politika”)faaliyetlerin yürütülebilmesi amacıyla Veri Sorumlusu Sümer Holding tarafından gerçek kişileri aydınlatmak amacı ile hazırlanmıştır.
İşbu Politika; KVKK ve ilgili sair mevzuat, Sümer Holding tarafından daha önce hazırlanmış “Kişisel Veri işleme Envanteri” (“Envanter”) ve Veri Sorumluları Sicil Bilgi Sistemi’ne (“VERBİS”) yapılan bildirim referans alınarak; kişisel verilerin işlenmesi, muhafazası hakkında usul ve esaslar hakkında kişisel verisi işlenen gerçek kişilere bilgi vermek amacı ile hazırlanmıştır.
İşbu Politika’ya göre Sümer Holding; veri minimizasyonu ilkesini esas alarak faaliyetlerini yürütürken ilgili faaliyet için ancak gerektiği kadar kişisel veriyi KVKK ve sair mevzuat çerçevesinde işlemekte, hukuka uygun sürelerde muhafaza etmekte ve gerektiği zaman imha etmektedir.
B. TANIMLAR
Kişisel verisi işlenen ilgili kişiler için Sümer Holding tarafından hazırlanmış hukuki metinlerin tümünde kullanılan terimlerin Kanun ve literatürdeki tanımları aşağıdaki gibidir.
§ İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
§ Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
§ Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
§ Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
§ Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriyi,
§ Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
§ Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
§ Kurum: Kişisel Verileri Koruma Kurumu’nu,
§ Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
§ Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
§ Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirmeyi,
§ İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
İfade eder.
C. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN TEMEL İLKELER
Kanun koyucu KVKK’nun “Genel İlkeler” başlıklı 4’üncü maddesinde kişisel verilerin işlenmesi ilişkin genel ilkeleri belirlemiştir. Bu ilkeler ise 108 sayılı Avrupa Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi ve 95/46/EC sayılı Avrupa Birliği Veri Koruma Direktifi referans alınarak hazırlanmıştır.
a. Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca veri sorumlusu, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almalıdır. Diğer bir ifade ile, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmesi gerekmektedir. İlke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusunun bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmesi gerekmektedir.
b. Doğru ve Gerektiğinde Güncel Olma İlkesi
Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke ile Kanunda öngörülen ilgili kişinin verilerin düzeltilmesini talep etme hakkı uyumludur. Kişisel verilerin doğru ve güncel bir şekilde tutulması, veri sorumlusunun çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Kişisel verilerin doğru ve güncel tutulabilmesini temin etmek amacıyla; kişisel verilerin elde edildiği kaynaklar belirli olmalı, kişisel verilerin toplandığı kaynağın doğruluğu tespit edilmeli, kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmalı ve bu kapsamda makul önlemler alınmalıdır.
c. Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
· Kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını,
· Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini,
· Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını,
Sağlamaktadır.
Bu ilke, veri sorumlusunun veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını zorunlu kılmaktadır. Veri sorumlularının, ilgili kişiye belirttikleri amaçlar dışında, başka amaçlarla veri işlemeleri halinde, bu fiillerinden dolayı sorumlulukları doğacaktır. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.
d. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi
İşlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemelidir.
Ölçülülük ilkesi, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması anlamına gelmektedir. Yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
e. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi
Kişisel verilerin amaçla sınırlılık ilkesinin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmesi gerekir. Bu konuda, veri sorumlusu, idari ve teknik tedbirleri almakla yükümlüdür. Kanun’un 12’nci maddesinde de belirtildiği gibi veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
D. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin işlenmesi, Kanun’un 3’üncü maddesinde tanımlanmıştır. İşbu Politika’nın Tanımlar başlıklı maddesinde de belirtildiği üzere; kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.
Kişisel verilerin işlenme şartları ise KVKK’nun 5’inci maddesinde yer almaktadır. Kural olarak, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyecektir. Ancak kanun koyucu bu kuralın istisnası olarak; ilgili maddede gerçek kişinin açık rızası olmaksızın kişisel veri işlenebilmesinin belirli şartlarını öngörmüştür. Buna göre kişisel verilerin ilgili kişiden açık rıza alınmaksızın işlenebilmesinin şartları aşağıda belirtildiği gibidir;
· Kanunlarda açıkça öngörülmesi,
· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
· Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
· İlgili kişinin kendisi tarafından alenileştirilmiş olması,
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.
Unutulmamalıdır ki; yukarıda yer verilen kişisel verilerin ilgili kişiden açık rıza alınmaksızın işlenmesi şartları, KVKK’da sayma yoluyla belirlenmiş olup, yorum yolu ile genişletilememektedir.
a. Açık Rızanın Alınması Şartı
Kişisel verilerin işlenmesi sırasında ilgili kişiden açık rızasının alınması şartı genel kural olup, Kanun ve ikincil mevzuatta belirtildiği şekilde uygulanması gereken bir koşuldur.
İlgili mevzuatta açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onay beyanı şeklinde tanımlanmaktadır. Bu sebeple ilgili kişiden alınması gereken onay beyanın belirgin unsurları bulunmaktadır. Buna göre açık rızanın unsurları;
· Belirli bir konuya ilişkin olmalı,
· Rızanın bilgilendirmeye dayanmalı,
· Özgür irade ile açıklanmalıdır.
Kişisel veri işleme faaliyeti, KVKK’nun 5’inci maddesinde sayılmış istisna hallerden birine dayanıyorsa; veri sorumlusu ilgili kişiden açık rıza almaksızın verisini işleyebilecektir.
İlgili kişi KVKK’nun 11’inci maddesinde yer alan haklarından birini kullanarak; öncesinde vermiş olduğu açık rıza beyanını her zaman için geri alma hakkına sahiptir. Bu durumda ilgili kişi tarafından verilmiş açık rıza beyanı ileriye yönelik etki edecek olup; açık rızanın geri alınması halinde ise veri sorumlusu Sümer Holding gerekli işlemleri derhal uygulamaktadır.
b. Kanunlarda Açıkça Öngörülmesi Şartı
Yapılacak faaliyetin dayanağı olan kanunlarda kişisel verilerin işlenebileceğine ilişkin ayrıca bir hüküm var ise veri işleme şartını oluşturacaktır. Daha açık bir ifade ile; kişisel veri işlenmesiyle ilgili herhangi bir kanunda açık bir hüküm varsa veya açık bir hüküm ile ikincil mevzuata yönlendirme yapılmışsa bu durumda kişisel verilerin işlenmesi mümkündür.
c. Fiili İmkânsızlık Hali Şartı
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
d. Sözleşmenin Kurulması ve İfası İçin Gerekli Olması Şartı
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verileri işlenebilecektir.
e. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması Şartı
Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.
f. Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
İlgili kişinin kendisi tarafından kişisel verilerinin kamuoyu ile alenileştirme iradesi ile paylaşılması halinde; paylaşım amacı doğrultusunda kişisel verilerinin işlenmesi mümkündür. Ancak, kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istiyor olmasına dikkat edilmesi gerekir ve ancak kişinin alenileştirme amacıyla paralel saik ile söz konusu kişisel veri işlenmelidir.
g. Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması Şartı
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi, muhafaza etmesi mümkündür.
h. Veri İşlemenin İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Veri Sorumlusunun Meşru Menfaatleri İçin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkün olabilmektedir. Örneğin bir şirket sahibinin, çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi şirket sahibinin meşru menfaati kapsamına alınmıştır.
E. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kanun koyucu kişisel verileri genel nitelikli kişisel veriler ve özel nitelikli kişisel veriler olarak ikiye ayırmıştır. Özel nitelikli kişisel verileri sayma yöntemi olarak 12 (oniki) adet olarak öngörmüşken; genel nitelikli kişisel verileri özel nitelikli kişisel veriler dışında kalanlar olarak belirlemiştir. Bu bakımdan özel nitelikli kişisel verileri sayabilirken; genel nitelikli kişisel veriler yorum yöntemi ile durum ve koşullara göre genişletilebilir. Özü itibari ile; bir başkası tarafından öğrenildiği vakit kişiyi ayrımcılığa maruz bırakabilecek özel nitelikli kişisel veriler, yukarıda da yer verildiği üzere; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak belirlenmiştir.
Daha önce de belirtildiği üzere; kişisel verilerin açık rıza olmaksızın işlenememesi kuralı özel nitelikli kişisel veriler için de geçerlidir. Ancak özel nitelikli kişisel verilerin verisi işlenen ilgili kişinin açık rızası olmadan işlenebilmesinin genel nitelikli kişisel verilere göre farklı istisnaları mevcuttur.
KVKK’nun 6’ncı maddesine göre; özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır ancak yukarıda sayılan sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenmesi mümkündür. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir. Bu haller söz konusu değil ise sağlık veya cinsel hayata ilişkin kişisel verilerin açık rıza olmaksızın işlenmesi mümkün olmayacaktır.
F. KİŞİSEL VERİ KATEGORİLERİ
i. Kimlik Verileri
Kişinin kimliğine dair bilgilerin bulunduğu kişisel verilerdir; ad soyad, anne - baba adı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra numarası, T.C. kimlik numarası veriler, imza bilgileri anlaşılmaktadır.
ii. İletişim Verileri
İletişim bilgileri; adres, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon numarası gibi kişisel veriler anlaşılmaktadır.
iii. İşlem Güvenliği Verileri
İlgili kişinin IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi kişisel veriler anlaşılmaktadır.
iv. Özlük Verileri
Özlük verileri; bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları gibi kişisel verileri kapsamaktadır.
v. Hukuki İşlem
Hukuki İşlem verileri; adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi kişisel verileri kapsamaktadır.
vi. Finansal Veriler
Veri Sorumlusu ile veri sahibi arasındaki hukuki ilişki kapsamında yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, kredi kartı bilgisi, finansal profil, gelir bilgisi gibi kişisel veriler anlaşılmaktadır.
vii. Özel Nitelikli Kişisel Veriler
Kanunun 6’ncı maddesinde belirtilen sağlık bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri vb.), ceza mahkûmiyeti ve güvenlik tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler) verileri, kılık kıyafet verileri (kılık kıyafet verileri, iş ekipmanları: beden ölçüsü), sendika üyeliği verileri (sendika üyeliği bilgisi) kapsamaktadır.
viii. Mesleki Deneyim Verileri
Mesleki deneyim verileri; diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi kişisel verileri kapsamaktadır.
ix. Görsel ve İşitsel Kayıtlar
Görsel ve işitsel kayıtlar, fotoğraf veya çağrı merkezi ses kayıtlarını kapsamaktadır.
x. Müşteri İşlem Verileri
Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi verileri kapsamaktadır.
xi. Fiziksel Mekan Güvenliği Verileri
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları, ziyaretçi kayıt verileri kapsamaktadır.
xii. Denetim Teftiş Verileri
Denetim ve teftiş incelemeleri sırasında elde edilen verileri kapsamaktadır.
G. VERİ SORUMLUSU TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI
Veri Sorumlusu tarafından, KVKK’nın 10’uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütülmektedir.
İlgili kişinin Kanunun 11’inci maddesinde sıralanan haklarına ilişkin olarak;
a) Kişisel verilerinin işlenip işlenmediğini öğrenmek,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etmek,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenmek,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilmek,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
f) Öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini istemek ve yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini istemek,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etmek,
h) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme hakları bulunmaktadır.
H. VERİ SORUMLUSU TARAFINDAN KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI
İlgili Kişilerin kişisel verilerine ilişkin taleplerini Veri Sorumlusu’na yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, ilgili kişinin Kanunun 11’inci maddesinde yazılı herhangi bir hakkını Kanunun 13’üncü maddesine uygun olarak kullanmak adına iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde Veri Sorumlusu tarafından sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
Veri Sorumlusu veri güvenliğinin sağlanması kapsamında, başvuruda bulunan ilgili kişilerin başvuruya konu kişisel verilerinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilmektedir.