KİŞİSEL VERİLERİN KORUNMASI ve İŞLENMESİ POLİTİKASI

COMDATA TEKNOLOJİ VE MÜŞTERİ HİZMETLERİ A.Ş.
(“COMDATA”)
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
(“POLİTİKA”)
Son Güncelleme Tarihi: Ocak 2021

 

İÇİNDEKİLER
I. POLİTİKA’NIN AMACI,
II. POLİTİKA’NIN KAPSAMI VE DEĞİŞTİRİLMESİ,
III. KİŞİSEL VERİLERİN İŞLENMESİ İLE İLGİLİ TEMEL İLKE VE KURALLAR
1- Hukuka Ve Dürüstlük Kurallarına Uygunluk,
2- Belirli, Açık ve Meşru Amaçlar İçin İşlenme
3- Şeffaflık, Aydınlatma Ve İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme,
4- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
5- Doğruluk Ve Veri Güncelliği
6- Gizlilik Ve Veri Güvenliği
7- Kişisel Verilerin Silinmesi
IV. AYDINLATMA YÜKÜMLÜLÜĞÜ KAPSAMI VE ŞEKLİ
V. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
VI. AYDINLATMA AKABİNDE AÇIK RIZA ALINMASI VE İSTİSNAİ HALLER
VII. VERİ İŞLEME AMAÇLARI
A. Müşteri ve iş ortakları verisi
1- Sözleşmesel ilişki için veri işleme
2- Şirketin hukuki yükümlülüğü veya kanunda açıkça öngörülmesi sebebiyle yapılan veri
işlemleri
3- Şirketin meşru menfaatine uygun olarak veri işlenmesi
4- Özel nitelikli verilerin işlenmesi
5- Münhasıran otomatik sistemler vasıtasıyla işlenen veriler
6- Kullanıcı bilgileri ve internet
B. Personel bilgileri
1- İş ilişkisi için verilerin işlenmesi
2- Kanunda açıkça öngörülmesi veya Şirketin hukuki yükümlülüğü sebebiyle yapılan veri
işlemleri
3- Meşru menfaate uygun olarak verilerin işlenmesi
4- Özel nitelikli verilerin işlenmesi
5- Münhasıran otomatik sistemler vasıtasıyla işlenen veriler
6- Telekomünikasyon ve internet
VIII. KİŞİSEL VERİLERİN AKTARILMASI
IX. İLGİLİ KİŞİNİN HAKLARI
X. İŞLEMLERİN GİZLİLİĞİ
XI. İŞLEM GÜVENLİĞİ
XII. VERİ KORUMA KONTROLÜ
XIII. VERİ İHLALLERİ YÖNETİMİ

EK- KİŞİSEL VERİ SAHİBİNİN BAŞVURU VE TALEP FORMU

I. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ AMACI

Comdata Teknoloji Ve Müşteri Hizmetleri A.Ş. (“Comdata”) Türkiye Cumhuriyeti Anayasası’nın 20. maddesinde korunan değere ve bu doğrultuda çıkarılmış olan KVK Kanunu ve ikincil mevzuata uygun olarak kişisel veri sahibinin özel hayatının gizliliğine saygı duymakta ve bunun korunmasına azami önem vermektedir. Bu amaçla Comdata tüm iş yapma süreçlerini kişisel verilerin yasal mevzuat ve uluslarası düzenlemlere uygun olacak şekilde yapılandırmaktadır.

Politika’nın temel amacı, “Comdata Kişisel Veri Saklama ve İmha Politikası” ile Comdata tarafından KVK Kanunu ve ikincil mevzuata uygun biçimde yürütülen kişisel verileri işleme, aktarma, koruma, imha veya anonimleştirme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmaktır.

Böylelikle kişisel verileri işlenen kişiler bilgilendirilerek kişisel verilerin
işlenmesine, korunmasına, aktarılmasına ve imhasına ilişkin şeffaflık sağlanmaktadır.

II. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMES İ POLİTİKASININ KAPSAMI VE DEĞİŞTİRİLMESİ

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olarak hazırlanmıştır. İşbu Politika, müşterilerimizin, potansiyel müşterilerimizin, çalışan adaylarımızın, çalışanlarımızın, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerinin işlenmesindeki kuralların
belirlenmesi, işleme amaçları, farklı veri türlerine göre işlenme şekilleri, verilerin aktarılması, veri sahibinin hakları, işlemlerin gizliliği , işlem güvenliği, veri koruma kontrolü ve veri ihlalleri yönetim prosedürlerinin belirlenmesine ilişkindir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi ve versiyonu güncellenecektir. Politika Şirketimizin resmi internet site sinde
“Comdata Kişisel Veri Saklama ve İmha Politikası” ile birlikte yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

III. KİŞİSEL VERİLERİN İŞLENMES İ İLE İLGİLİ TEMEL İLKE VE KURALLAR

Kişisel veriler Comdata tarafından KVKK’daki düzelemeye uygun olarak işlenmekte ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Comdata Kişisel Veri İşleme ve İmha Protokolü’nde belirlenen sürelerin geçmesi halinde, kişisel veriler periyotlar halinde altı (6) ay içinde imha edilmekte veya anonimleştirilmektedir. Comdata, işlemiş olduğu kişisel verileri bu temel ilkeye uygun olarak süresi geldiğinde imha etmekte veya anonim hale getirmektedir.

1- Hukuka Ve Dürüstlük Kurallarına Uygunluk

Comdata, kişisel verinin işlenmesindeki hedeflere ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentileri dikkate alınmaktadır. Veri sahibinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir. Veri işleme faaliyetinin şeffaf olması ve bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmektedir. Kişisel verilerin işlenmesinde söz
konusu bireylerin kişi hakları korunmaktadır. Kişisel veri hukuka uygun ve adil bir şekilde toplanmakta ve işlenmektedir.

2- Belirli, Açık Ve Meşru Amaçlar İçin İşlenme Kısıtlaması

Kişisel veri yalnızca verilerin toplanmasından önce tanımlanmış amaç için işlenmektedir. Amaca ilave değişimler yalnızca sınırlı ölçüde ve gerekçelendirmeyle mümkündür.

3- Şeffaflık – Aydınlatma Ve İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi

Comdata, veri sahibini kişisel verilerinin kullanılacağı amaç, kapsam, süre ve işlenme nedeni hakkında detaylı bilgilendirilmektedir. Veri sahibi, veri toplandığında aşağıdaki hususlar hakkında bilgilendirilmektedir:

» Veri sorumlusunun ve varsa temsilcisinin kimliği
» Kişisel verilerinin işlenme amacı
» İşlenen kişisel verilerin kimlere ve hangi amaçla aktarıldığı ya da üçüncü kişi kategorileri
» Kişisel veri toplamanın yöntemi ve hukuki sebebi,
» Kişisel verisi işlenen kişinin KVKK madde 11 uyarınca hakları.

Kişisel veriler, “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza edilmektedir. Bu konuda, Comdata veri sorumlusu olarak idari ve teknik tedbirleri almaktadır.

4- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Kişisel verinin işlenmesinden önce, amaca ulaşmak için işlemin gerekli olup olmadığı ve hangi kapsamda gerekli olduğu belirlenmektedir.

5- Doğruluk ve Veri Güncelliği

Kişisel veri doğru, tam ve -biliniyor olması halinde güncel tutulmaktadır. Doğru olmayan veya eksik olan verilerin silinmesini, düzeltilmesini, tamamlanmasını veya güncellenmesini sağlamak için uygun önlemler Comdata tarafından alınmıştır.

6- Gizlilik ve Veri Güvenliği

Kişisel veri gizliliğe tabidir. Comdata, yetkisiz erişimi, yasal olmayan işlemleri, paylaşımı, yanlışlıkla kaybolmayı, değiştirilmeyi veya tahrip edilmeyi engellemek için kişisel verileri uygun organizasyonel ve teknik tedbirlerle korunmakta ve kişisel seviyede gizli tutmaktadır.

7- Kişisel verilerin silinmesi

Kayıt saklama yükümlülükleri ve ispat için gerekli kayıt tutma işlemleri de dâhil olmak üzere yasal veya iş süreci ile ilgili sürelerin sona ermesinden sonra artık gerekli olmayan kişisel veri silinmekte, yok edilmekte veya anonim hale getirilmektedir.

IV. AYDINLATMA YÜKÜMLÜLÜĞÜ KAPSAMI VE ŞEKLİ

Veri sahibi, Kanun’un temel ilkelerine ve KVK Kurulu’nun aydınlatma yükümlülüğüne ilişkin tebliğine uygun olarak, verileri işlenmeye başlamadan önce aydınlatılmaktadır. Bu kapsamda Veri Sorumlusu Comdata, kişisel verileri işlemeden önce ilgili kişiye unvanını, kişisel verilerin hangi amaçla işlendiğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını, kişisel veri toplamanın yöntemini ve hukuki sebebini bildirerek ilgili kişiye KVK Kanunu’nun 11. maddesi kapsamında hangi hakları bulunduğunu hatırlatarak aydınlatma yükümlülüğü yerine getirmektedir.

V. ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Comdata özel nitelikli kişisel verilerin daha özenli korunması gerektiğinin bilincindedir. Comdata KVK Kanunu m. 6/3 hükmüne uygun olarak istisna sayılan hallerde özel nitelikli kişisel verileri aydınlatma yükümlülüğünü yerine getirerek, diğer durumlarda ise, ilgili kişinin açık rızasını alarak veriyi işlemektedir. Özel nitelikli kişisel veriler de KVK Kurulu’nun 2018/10 sayılı Kararı’na ve VERBİS’e işlenen bildirime uygun olarak gerekli güvenlik önlemleri alınarak muhafaza edilmektedir.

VI. AYDINLATMA AKABİNDE AÇIK RIZA ALINMAS I VE İSTİSNAİ HALLER

A. Açık Rıza Gereken Durumlar
Kanun’un açık rıza alınarak kişisel verilerin işlenebileceğine ilişkin düzenlemesi doğrultusunda Comdata, veri kategorilerinde belirtilen özel nitelikli kişisel verileri işlendiğinde veya herhangi bir kişisel veri işleme şartı (istisnalar) kapsamına girmeyen durumlarda ilgili kişiden açık rıza almaktadır.

B. İstinai Haller

Comdata Kanunda açık rızanın istisnası olarak belirtilen aşağıdaki başlıklarda kişisel veriler işlenirken KVK Kanunu’ndaki temel ilkelere uygun veri işlemekte ve aydınlatma yükümlülüğünü yerine getirmektedir.

1. Kanunlarda Açıkça Öngörülmesi

Kişisel veriler, ilgili kanunlarda açıkça öngörülmesi halinde aydınlatma yükümlülüğü yerine getirilerek hukuka uygun olarak işlenmektedir. Bu duruma, çalışanların SGK kapsamında gerekli bildirimler inin yapılması için kişinin adı soyadı ve ikamet bilgilerinin işlenmesi ve paylaşılması; Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına ve vergi bilgilerine yer verilmesi örnek gösterilebilir.

2. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik
tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişisel veri işlenmektedir.

3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde bu kapsamdaki kişisel veriler açık rıza olmaksızın işlenmektedir.

4. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi

Veri Sorumlusu Comdata’nın hukuki yükümlülüklerini yerine getirmesi için kişisel veri işlemenin zorunlu olması halinde kişisel veri açık rıza olmaksızın işlenmektedir. Örneğin, mahkeme kararı ile talep edilen kişisel verilerin mahkemeye sunulması.

5. Veri Sahibinin Kendi Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verilerini alenileştirilmiş olması halinde bu kişisel veriler, paylaşım amacıyla sınırlı şekilde işlenmektedir.

6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veriler işlenmektedir.

7. Comdata’nın Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Comdata’nın meşru menfaatleri için veri işlemesinin zorunlu olması halinde, veri sahibinin kişisel verileri işlenmektedir. Comdata Türkiye merkez girişinde güvenlik amaçlı kamera kaydı alınması ve resepsiyonda ziyaretçi bilgilerinin tutulması bu duruma örnek gösterilebilir.

VII. VERİ İŞLEME AMAÇLARI VE İŞLENEN VERİ KATEGORİLERİ

Kişisel verilerin toplanması ve işlenmesi her bir veri işleme faaliyetine uygun Aydınlatma Metni ve aşağıda belirtilen amaçlar dâhilinde gerçekleştirilecektir.

A. MÜŞTERİ VE İŞ ORTAKLARI VERİSİ

1. Sözleşmesel ilişki için veri işleme: Müşteriye (müşteri ve potansiyel müşteriler) veya iş
ortağına (iş ortağının tüzel kişi olması halinde iş ortağı yetkilisine) ait kişisel veri ayrıca
onay alınmadan bir sözleşmenin kurulması, uygulanması ve sonlandırılması için işlenebilir.

Sözleşme öncesinde – sözleşmeye başlama aşamasında kişisel veriler; teklif hazırlamak,
satın alma formu hazırlamak ya da veri sahibinin sözleşmenin uygulanmasıyla ilgili
taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde veri sahipleriyle sağladıkları bilgiler ışığında iletişime geçilebilir.

2. Bilgi verme amaçlı veri işleme: Eğer veri sahibi Comdata’dan bir bilgi talebinde bulunursa (örn. bir hizmet ile ilgili bilgi alma talebi), bu talebi karşılama amaçlı kişisel verisi işlenebilir. Kişisel veriler bilgi verme ya da pazar ve kamuoyu araştırmaları için ancak bu bilgilerin toplanma amacının söz konusu amaçlara uygun olması durumunda işlenmektedir.

Veri sahibi, bilgilerinin bilgi verme ve araştırma amaçlı kullanılacağı ile ilgili
bilgilendirilmektedir.

3. Şirketin hukuki yükümlülüğü veya kanunda açıkça öngörülmesi sebebiyle yapılan
veri işlemleri : Kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmesi veya mevzuatla
belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca onay alınmadan
işlenebilir. Veri işlemlerinin tür ve kapsamı, yasal olarak izin verilen veri işleme faaliyeti
için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır. Şirketin meşru menfaatine
uygun olarak veri işlenmesi Kişisel veriler, Şirket’in meşru bir menfaati için gerekli
olduğunda da ayrıca onay alınmadan işlenebilir. Meşru menfaatler genellikle yasal (örn.
alacakların tahsil edilmesi) ya da ekonomik (örn. sözleşme ihlallerinden kaçınma)
menfaatlerdir.

Kullanıcı bilgileri ve internet: Comdata web sitelerinde veya uygulamalarda kişisel
verilerin toplanması, işlenmesi ve kullanılması durumunda ilgili kişiler gizlilik bildirimi ile
ve gerekirse çerezler hakkında bilgilendirilmektedir. Gizlilik bildirimi ve çerez bilgileri,
ilgili kişi için kolay tanımlanabilecek, doğrudan erişilebilecek ve sürekli uygun olacak
şekilde bütünleştirilmektedir. Web sitelerinin ve uygulamaların kullanımının
değerlendirilmesi için kullanım profillerinin oluşturulması durumunda, gizlilik bildiriminde ilgili kişi bu konu hakkında uygun bir şekilde bilgilendirilmektedir. Web siteleri veya uygulamalar kayıtlı kullanıcılarla sınırlandırılmış bir alanda kişisel verilere ulaşabiliyorsa ilgili kişinin tanımlanması ve kimliğinin doğrulanması erişim boyunca yeterli koruma sağlanmaktadır. Comdata, gerçekleştirmiş olduğu tüm faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin gerekli teknik ve idari tedbirleri almakta ve ilgili internet sitelerinde detaylı aydınlatma metinleriyle bilgilendirmeyi yerine getirmektedir.

B. PERSONEL BİLGİLERİ

1. İş ilişkisi için verilerin işlenmesi: İş ilişkilerinde kişisel veriler, iş sözleşmesinin kurulması öncesinde, kurulması sırasında uygulanması ve sonlandırılması için gerekli olması halinde aydınlatma yapılarak ve ayrıca onay alınmadan işlenmektedir. İş ilişkisi başlatılırken adayların kişisel verileri işlenmektedir. Eğer aday reddedilirse, adaya ait bilgiler aday daha sonraki bir seçim aşaması için uygun veri saklama süresi kadar muhafaza edilmekte bu sürenin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.

2. Kanunda açıkça öngörülmesi veya Şirketin hukuki yükümlülüğü sebebiyle yapılan
veri işlemleri : Çalışana ait kişisel veriler, işlemenin ilgili mevzuatta açıkça belirtilmes i
veya mevzuatla belirlenen bir hukuki yükümlülüğün yerine getirilmesi amacıyla ayrıca
onay alınmadan işlenebilir.

3. Meşru menfaate uygun olarak verilerin işlenmesi: Çalışana ait kişisel veriler, Şirket’in
meşru bir menfaatinin gerektiğinde de ayrıca onay alınmadan işlenebilmektedir. Meşru
menfaatler genellikle yasal (örn. yasal hakların dosyalanması, uygulanması ya da
savunulması) ya da ekonomik (örn. şirketin değerlendirilmesi) menfaatlerdir. Çalışanların
menfaatlerinin korunması gerektiği kişisel durumlarda kişisel veriler meşru menfaat
amaçları için işleme alınmamaktadır. Veriler işlenmeden önce koruma gerektiren
menfaatlerin olup olmadığı belirlenmektedir.

Çalışanlara ait verilerin Şirketin meşru menfaatine dayanarak işlendiğinde, işlemenin ölçülü olup olmadığı incelenmektedir. Comdata’nın bu kontrol önlemini almasındaki meşru menfaatinin ilgili çalışanın korunması gereken bir hakkını ihlal etmediği kontrol edilmekte olup ve sadece ölçülü olması halinde uygulanmaktadır.

4. Özel nitelikli verilerin işlenmesi: Özel nitelikli kişisel veriler sadece belli koşullar altında
işlenmektedir. Özel nitelikli kişisel veriler çalışanın açık rızası olması halinde işlenebilir.
Açık rıza özel nitelikli kişisel verinin niteliğine göre bu politikada belirtilen ilkeler ve
gerekli idari ve teknik tedbirler alınarak işlenebilir. Özel nitelikli kişisel veriler, çalışanın
açık rızası bulunmayan durumlarda Kurul tarafından belirlenecek olan yeterli önlemlerin
alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

 Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda
öngörülen hallerde,

 Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır
saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

5. Münhasıran otomatik sistemler vasıtasıyla işlenen veriler: Eğer kişisel veri iş ilişkisinin
bir parçası olarak münhasıran otomatik sitemler vasıtasıyla işleniyor ise (örn. personel
seçiminin bir parçası veya yetenek profillerinin değerlendirilmesi olarak) Çalışan kendisi
aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkına sahiptir.

6. Telekomünikasyon ve İnternet: Telefon donanımları, eposta adresleri, şirket içi ağlar ile
birlikte intranet ve internet, Şirket tarafından öncelikli olarak işle ilgili görevler için
sağlanmaktadır. Bunlar çalışma araçları ve Şirket kaynaklarıdır. Bu araçlar yasal
düzenlemelere ve Şirketin iç yönetmeliklerine uygun olarak kullanılmaktadır. Telefon ve
e-posta iletişimi veya intranet ve internet kullanımı ile ilgili genel denetleme olmamaktadır.

BT altyapısına veya bireysel kullanıcılara karşı saldırıları önlemek için Şirket ağına
geçişlerde, teknik açıdan zararlı içerikleri bloke eden veya saldırıların modellemesini analiz eden koruyucu önlemler alınmaktadır. Telefon donanımlarının, e-posta adreslerinin, intranetin/ internetin ve/veya şirket içi sosyal ağların kullanımı, güvenlik nedenlerinden dolayı sınırlı bir süre saklanmaktadır. Bu verilerin kişiyle ilgili değerlendirmeleri ancak yasal düzenlemeler veya Comdata Grubu yönetmeliklerinin ihlaline ilişkin somut bir şüphenin var olması halinde yapılmaktadır. Bu kontroller ilgili departmanlar tarafından sadece ölçülülük prensibinin korunması şartıyla yerine getirilmektedir.

VII. KİŞİSEL VERİLERİN AKTARILMASI

Comdata, kişisel verileri yurt içinde veya yurt dışına aktarılmadan önce veri sahibinin açık rızasını almaktadır. Genel ilke bu olmakla birlikte, KVK Kanunu’nun öngördüğü m. 5/2 ve m. 6/3’teki istisnaların bulunması halinde aydınlatma yükümlülüğü yerine getirilerek, açık rıza aranmaksızın kişisel veriler yurt içinde veya yurt dışında aktarılmaktadır. Comdata kişisel verileri aktardığı veri sorumları ve/veya veri işleyenlerle veri gizliliği sözleşmesi yapmakta veya aktarılan kişisel verileri Kanun’a ve Comdata Politikalarına uygun işleyeceğine dair bu kişilerden taahhütname almaktadır.

Comdata’da kişisel veriler, KVK Kanunu’na uygun olarak yurt içinde ve yurt dışındaki ticari faaliyetleri kapsamında işçi – işveren ilişkisi, satış, pazarlama, müşteri ilişkileri, güvenlik, etik bildirimler, IT yedekleme, risk analizleri, müşteri deneyiminin ölçümlenmesi kapsamında aktarılmaktadır. Kişisel veriler dış kaynak hizmeti verilen müşterilere, iş ortaklarına, hizmetlerini/ürünlerini pazarladığı ve sattığı üreticilere, hizmet alınan tedarikçilere, himet verilen müşterilere, hisse ve/veya yönetim hakkına sahip
olduğu iştiraklerine, hissedarlarına, bulut hizmeti sunan veri işleyenlere ve ilgili mevzuat hükümleri gereği Comdata’dan bilgi ve belge almaya yetkili kamu ve özel hukuk kişi ve kuruluşlarına aktarılmaktadır. Kişisel verilerin Şirket dışındaki bir 3. kişiye aktarılması Aydınlatma Metni’nde belirtilen amaçlar ve aşağıda belirtilen amaçlar kapsamında gerçekleştirilmektedir.

Şirket kişisel verileri aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarabilecektir;

 İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak Comdata Teknoloji ve Müşteri Hizmetleri A.Ş.’nin ve Comdata Group iş ortaklarına,

 Şirketimizin dış kaynak hizmeti verdiği müşterilerine, tedarikçiden dış kaynaklı olarak
temin ettiği ve şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin
Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak Comdata Teknoloji ve Müşteri
Hizmetleri A.Ş. tedarikçilerine,

 Şirketimizin iştiraklerin de katılımını gerektiren ticari ve operasyonel faaliyetlerinin
yürütülmesini temin etmekle sınırlı olarak Comdata Teknoloji ve Müşteri Hizmetleri A.Ş.
iştiraklerine, Comdata Group şirketlerine,

 İlgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerin
tasarlanması ve denetim amaçlarıyla sınırlı olarak Comdata S.p.A.’e, Comdata S.p.A’in
doğrudan ya da dolaylı olarak iştirakinin bulunduğu dünya çapındaki Comdata Group
şirketlerine,

 İlgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerine ilişkin stratejilerin
tasarlanması ve denetim amaçlarıyla sınırlı olarak Comdata Teknoloji ve Müşteri
Hizmetleri A.Ş. hissedar veya hissedarlarına,

 İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı
olarak hukuken yetkili kamu kurum ve kuruluşlarına,

 İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak
hukuken yetkili özel hukuk kişilerine.

Şirketimiz tarafından kişisel veriler; Kurul tarafından yeterli korumaya sahip yabancı ülkeler ilan edildikten sonra sadece bu ülkelere aktarılacaktır. Yeterli korumanın bulunmadığı ilan edilen ülkeler için ise; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurulun izninin bulunduğu durumlarda veya veri sahibinin onay verdiği durumlarda kişisel veriler aktarılacaktır.

VIII. VERİ SAHİBİNİN HAKLARI

Tüm veri sahipleri aşağıdaki haklara sahiptir.

Veri sahibi sayılan haklarını kullanıp Comdata’dan talep iletmesi durumunda Comdata gerekli bilgilendirmeyi yapmakta olup; söz konusu hakkın ne şekilde kullanılacağı ve bilgi talebine ilişkin hususların nasıl değerlendirileceği ile ilgili veri sahibine bilgi vermektedir.

 Kişisel veri işlenip işlenmediğini öğrenme,
 Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
 Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
 Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
 Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmes ini
isteme,
 KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
 İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
 Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Aşağıda sayılan KVKK kapsamı dışında tutulan haller için ilgili kişiler bu konularda yukarıda sayılan haklarını ileri süremezler ve bu nedenle Şirket bu kapsamda iletilen talepleri yerine getirme yükümlülüğü altında değildir:

 Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve
istatistik gibi amaçlarla işlenmesi.
 Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç
teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi.
 Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini v eya
ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
 Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak
yargı makamları veya infaz mercileri tarafından işlenmesi.
KVKK gereğince aşağıdaki hallerde ilgili kişiler zararın giderilmesini talep etme hakkı hariç
diğer haklarını aşağıda belirtilen durumlarda ileri süremezler:
 Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
 Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
 Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum
ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya
düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
 Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve
mali çıkarlarının korunması için gerekli olması.
Kişisel veri sahipleri yukarıda belirtilen haklarına ilişkin taleplerini Şirket resmi internet adresi https://turkiye.comdatagroup.com/tr adresinde ve işbu Politika ekinde bulunan Başvuru Formu’nu eksiksiz doldurarak işbu formda yer alan kanallar üzerinden Şirket’e iletebileceklerdir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.

Şirkete iletilen usulüne uygun talepler, bu taleplerin Şirkete usulüne uygun bir şekilde iletildiği tarihten itibaren en geç 30 (otuz) gün içinde sonuçlandırılacaktır.

Söz konusu taleplerin sonuçlandırılmasının ayrıca bir maliyeti gerektirmesi hâlinde, Şirket tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır.

Şirket, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi talep edebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

IX. İŞLEMLERİN GİZLİLİĞİ

Kişisel veriler gizliliğe tabidir. Çalışanların verileri izinsiz olarak toplaması, işlemesi ya da
kullanması yasaktır. Yetkisiz kullanım, çalışanların meşru görevleri dışında gerçekleştirdikleri yetkisiz veri işlemesidir. Çalışanlar kişisel verilere sadece söz konusu görevin kapsamı ve mahiyetine uygun olması halinde erişebilirler.

Çalışanların kişisel verileri özel ya da ticari amaçlar için kullanması, yetkisiz kişilere dağıtması ya da başka bir şekilde erişilebilir kılması yasaklanmıştır. Yöneticiler çalışanlarını iş ilişkisinin başladığı sırada veri koruma ile ilgili yükümlülükler hakkında bilgilendirmektedir. Bu yükümlülük, iş ilişkisinin sonlandırılmasından sonra da devam eder.

X. İŞLEM GÜVENLİĞİ

Comdata işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbir ve kontrolleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. Bu husus, veri işlemenin elektronik yolla veya yazılı olarak yapılmasından bağımsız olarak geçerlidir. Özellikle yeni IT ve Bilgi sistemlerine geçişte veri işlemenin yeni metotlarına başlamadan önce, kişisel verilerin korunmasına yönelik teknik ve organizasyonel önlemler tanınlanmaktadır ve uygulanmaktadır. Bu önlemler son gelişmelere, işlemin risklerine ve bilgi sınıflandırması süreci ile belirlenen, verinin koruma ihtiyacına dayandırılmıştır.

Kişisel verilerin korunmasına ilişkin teknik ve organizasyonel önlemler, şirket bilgi güvenliği yönetiminin bir parçasıdır ve teknik gelişmelere ve organizasyonel değişikliklere sürekli olarak uyarlanmaktadır.

XI. VERİ KORUMA KONTROLÜ

Kişisel Verilerin Korunması ve İşlenmesi Politikasına ve KVKK’ya uygunluk, düzenli veri koruma denetimleri ve diğer kontrollerle sağlanmaktadır. Şirket, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır.

XII. VERİ İHLALLERİ YÖNETİMİ

Şirket, işbu Kişisel Verilerin Korunması ve İşlenmesi Politikasını veya KVKK’ya uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişiye ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

EK-1
KİŞİSEL VERİ SAHİBİNİN BAŞVURU VE TALEP FORMU
Kişisel veri sahibinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) m.11 uyarınca, aşağıda sayılan konularda veri sorumlusuna başvurma hakkı vardır;

1. Kişisel verilerinin işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verileri aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere kişisel verilerinin işlenmesini gerektiren
sebeplerin ortadan kalkması halinde silinmesini veya yok edilmesini isteme,
7. Kişisel verilerinin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
8. İşlenen kişisel verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
9. Kişisel verilerinin Kanuna aykırı olarak işlenmesi ve bu sebeple zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

Başvurunun, KVK Kanunu m.13/1 kapsamında, işbu başvuru formu vasıtasıyla veri sorumlusu Comdata Teknoloji ve Müşteri Hizmetleri A.Ş.’ye aşağıdaki yöntemlerle iletmesi gerekli ve yeterlidir;

Başvuru
Yöntemi Başvurunun Yapılacağı Adres Başvuru Gönderiminde Belirtilecek Bilgi
Şahsen Başvuru
(Başvuru sahibinin bizzat veya noterlik vekaletnamesi ile özel olarak yetkilendirilmiş vekili
aracılığıyla gelerek kimliğini tevsik edici belge ile başvurması)

Zarfın üzerine “Kişisel Verilerin Korunması
Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Emek Mah. Atatürk Cad. No:14/C
Sancaktepe – İSTANBUL
Noterlik vasıtasıyla tebligat gönderilmesi
Tebligat zarfına “Kişisel Verilerin
Korunması Kanunu Kapsamında Bilgi
Talebi” yazılacaktır.
Emek Mah. Atatürk Cad. No:14/C
Sancaktepe – İSTANBUL
KEP vasıtasıyla [email protected] Form güvenli elektronik imza ile imzalanmış
olarak iletilecektir. KEP e-postasının konu kısmına “Kişisel Verilerin Korunması
Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

Başvuruda, aşağıdaki tabloda belirtilen bilgilerin girilmesi başvuru sahibinin tanınması, kendisiyle irtibat kurulabilmesi ve talep konusunun anlaşılabilmesi için tam, açık ve anlaşılır bir şekilde doldurulmalı, veri güvenliğini sağlamak üzere, kimliği tevsik eden belgeler ile varsa talebe ilişkin diğer bilgi ve belgeler de başvuruya eklenmelidir.

Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş, kişisel verilere ilişkin bilgi istemeye ve talepte bulunmaya dair yetki içeren özel
vekâletname bulunmalıdır.

Bu kapsamda yapacağınız başvurular mümkün olan en kısa zaman diliminde ve en çok 30 gün içerisinde sonuçlandırılacaktır. Söz konusu başvurular ücretsizdir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulca belirlenen tarifedeki ücret alınabilir.

BAŞVURU SAHİBİNE İLİŞKİN BİLGİ
Adı Soyadı:
T.C. Kimlik Numarası:
Şirketimizle İlişkiniz: Müşteri Çalışan Çalışan Adayı İş Ortağı
Ziyaretçi Diğer . ………………………
Adres:
Cep Telefonu:
E- Posta (belirtmeniz halinde size daha hızlı yanıt verebileceğiz):
Hangi vasıtayla yanıt talep edildiği: Posta E-mail
Comdata merkezinden elden teslim
BAŞVURU SAHİBİ TALEP DETAYI
Kişisel Verilerin Korunması Kanunu uyarınca yukarıda sayılan haklarınız kapsamında talebinizi aşağıda belirtiniz:

Adı Soyadı:
Başvuru tarihi:
İmza: