KURUMSAL YÖNETİME İLİŞKİN DOKÜMANLAR VE KURALLAR

İnternet Sitesi Çerez Aydınlatma Metni

Kreafin Danışmanlık A.Ş. verilerin gizliliğine ve güvenliğine değer veren bir kurumdur. İnternet Sitesi Çerez Aydınlatma Metni, Kreafin Danışmanlık A.Ş. ‘nin kurumsal web sitesi krea-fin.com adresi ("web sitesi") ziyaret edildiğinde kullanıcıların deneyimlerini geliştirmek için kullanılan çerezler, pikseller, gif’ler gibi teknolojilerin (“çerezler”) kullanım amaçlarını ve yöntemlerini açıklar. Bu teknolojilerin kullanımı başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) olmak üzere Kreafin Danışmanlık A.Ş. ‘nin tabi olduğu mevzuata uygun şekilde gerçekleştirilmektedir.

Krea-fin.com web sitesinde kullandığı çerezleri kullanmaktan vazgeçme, bunların türlerini veya fonksiyonlarını değiştirme veya siteye yeni çerezler ekleme haklarına sahiptir. Dolayısıyla işbu aydınlatma metninin hükümlerinin değiştirilme hakkı Kreafin Danışmanlık A.Ş. tarafından saklı tutulmaktadır. Güncel aydınlatma metni üzerinde gerçekleştirilen her türlü değişiklik sitede yayınlandıktan sonra yürürlük kazanacaktır.

Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi

Kişisel veriler, ziyaretçilerin krea-fin.com web sitesini ziyaretini kapsamında elektronik ortamda çerezler yoluyla Kreafin Danışmanlık A.Ş. ‘nin meşru menfaatine yönelik hukuki sebebe dayalı olarak toplanmaktadır. Toplanan kişisel veriler, KVKK’nın “kişisel verilerin işlenme şartları” ve “özel nitelikli kişisel verilerin işlenme şartları” maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında işbu Çerez Aydınlatma Metni’nde belirtilen amaçlarla işlenebilir.

Kişisel Veriler Kimlere ve Hangi Amaçla Aktarılabilir?

Kreafin Danışmanlık A.Ş. Çerez Aydınlatma Metni kapsamındaki kişisel verileri yukarıda belirtilen amaçların gerçekleştirilebilmesi ile sınırlı olarak ve mevzuata uygun şekilde tedarikçilerine, kanunen yetkili kamu kurumlarına ve özel kişilere aktarabilir. Verilerin aktarıldığı taraflar, kişisel verileri dünyanın her yerindeki sunucularında saklama hakkına sahiptir.

Çerezler Hangi Amaçlarla Kullanılmaktadır?

Krea-fin.com web sitesinde kullandığı çerezlerin amaçları başlıca şunlardır:

Web sitesinin çalışması için gerekli temel fonksiyonları gerçekleştirmek (Örneğin, oturum açan üyelerin web sitesinde farklı sayfaları ziyaret ederken tekrar şifre girmelerine gerek kalmaması).
Web sitesini analiz etmek ve web sitesinin performansını artırmak (Örneğin, web sitesinin üzerinde çalıştığı farklı sunucuların entegrasyonu, web sitesini ziyaret edenlerin sayısının tespit edilmesi ve buna göre performans ayarlarının yapılması ya da ziyaretçilerin aradıklarını bulmalarının kolaylaştırılması).
Web sitesinin işlevselliğini artırmak ve kullanım kolaylığı sağlamak (Örneğin, web sitesi üzerinden üçüncü

taraf sosyal medya mecralarına paylaşımda bulunulması, siteyi ziyaret eden ziyaretçinin daha sonraki ziyaretinde kullanıcı adı bilgisinin ya da arama sorgularının hatırlanması).

Krea-fin.com Web Sitesinde Kullanılan Çerezler

Aşağıda krea-fin.com web sitesinde kullanılan farklı türdeki çerezler listelenmektedir. Web sitesinde hem birinci parti çerezler (ziyaret ettiğiniz site tarafından yerleştirilen) hem de üçüncü parti çerezler (ziyaret ettiğiniz site haricindeki sunucular tarafından yerleştirilen) kullanılmaktadır.

Zorunlu Çerezler

Belirli çerezlerin kullanımı web sitesinin doğru biçimde çalışması için zorunludur. Örneğin web sitesinde oturum açtığınızda devreye giren kimlik doğrulama çerezleri, ziyaretçinin bir sayfadan diğerine geçişinde etkin olan oturumunun devam etmesini sağlamaktadır.

Çerez-Açıklama

WSS_FullScreenMode

İletişimi etkinleştirmek, kullanıcı oturumunu tanımlamak ve / veya içerik yöneticisi ile bilgi alışverişinde bulunmak için uygulamanın

Acgroupswithpersist &

Bu çerezler, sayfa öğeleri ve kullanıcı tıklatma bağlantıları gibi web sitesinin bazı alanlarının doğru görüntülenmesini sağlamak için kullanılır.

Acopendivids & maintab- home

Kişisel olarak tanımlanabilir bilgiler toplamazlar ve tarayıcı kapatıldıktan sonra silinirler.

Performans ve Analiz Çerezleri

Bu çerezler sayesinde web sitesinin ziyaretçiler tarafından kullanımı ve sitenin performansı analiz edilerek ziyaretçilere sunulan hizmetlerin iyileştirilmesi sağlanmaktadır. Örneğin bu çerezler sayesinde ziyaretçilerin en çok hangi sayfaları görüntülediği, sitenin gerektiği gibi çalışıp çalışmadığı ve olası problemler tespit edilmektedir.

Çerez-Açıklama

__utma, _utmb, utmc,__utmt, _utmz

Google Analitik çerezleri kullanıcıların siteyi nasıl kullandığına dair anonim veriler toplar. Ziyaretçi sayıları, kullanıcıların hangi sayfadan geldikleri gibi bilgiler bu çerezlerde saklanır.

Ziyaretçiler Çerezlerin Kullanımını Nasıl Kontrol Edebilir?

Ziyaretçiler, tarayıcı ayarlarını değiştirerek çerezlere ilişkin tercihlerini kişiselleştirme imkanına sahiptir.

Adobe Analytics

http://www.adobe.com/uk/privacy/opt-out.html

AOL

https://help.aol.com/articles/restore-security-settings-and-enable-cookie-settings-on-browser

Google Adwords

https://support.google.com/ads/answer/2662922?hl=en

Google Analytics

https://tools.google.com/dlpage/gaoptout

Google Chrome

http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95647

Internet Explorer

https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies

MozillaFirefox

http://support.mozilla.com/en-US/kb/Cookies

Opera

http://www.opera.com/browser/tutorials/security/privacy/

Safari

https://support.apple.com/kb/ph19214?locale=tr_TR

Ziyaretçilerin Veri Sahibi Olarak Hakları Nelerdir?

KVKK’nın “ilgili kişinin hakları” maddesi uyarınca veri sahipleri;

Kişisel verilerin işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

Söz konusu haklara ilişkin taleplerin info@kreafin.com adresine elektronik ortamda iletilmesi halinde başvurular en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır. Taleplere ilişkin olarak herhangi bir ücret talep edilmemesi esas olmakla birlikte, işlemin ek bir maliyet gerektirmesi halinde Kreafin Danışmanlık A.Ş. tarafından Kişisel Verileri Koruma Kurulu'nca belirlenen tarifedeki ücret alınacaktır.

Veri sahibi, herhangi bir kişisel verisinin Kreafin Danışmanlık A.Ş. tarafından kullanılamaması ile sonuçlanacak bir talepte bulunması halinde web sitesinin işleyişinden tam olarak faydalanamayabileceğini kabul ile bu kapsamda doğacak her türlü sorumluluğun kendisine ait olacağını beyan eder.

Kişisel Veri Yönetimi Politikası

1. AMAÇ VE KAPSAM

1.1. Amaç

Kreafin Danışmanlık A.Ş. (ticari marka adıyla ve metnin geri kalanında kullanılacak biçimiyle “Kreafin”) iş süreçlerinde kullandığı ve işlediği kişisel verileri işbu çatı politika dökümanı kapsamında yönetmektedir.

1.2. Kapsam

Doküman, aşağıdaki politikalardan oluşmaktadır:

Kişisel Verilerin Korunması ve İşlenmesi Politikası (KVKİP)
Kişisel Veri Saklama ve İmha Politikası (KVSİP)
Özel Nitelikli Kişisel Verilere İlişkin Politika (ÖNKVİP)

2. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Krea-fin.com: Kreafin Danışmanlık A.Ş.’dir.

İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan Kreafin Danışmanlık A.Ş. ‘nin çalışanı ya da birimi hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Kayıtlı Elektronik Posta (KEP): Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli bir şeklidir.

Kişisel Veri İşleme Envanteri: Kişisel verileri işleme faaliyetlerinin; kişisel verilerin işlenme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami sürenin, aktarımı öngörülen kişisel verilerin ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı envanterdir.

Kişisel Veri Saklama ve İmha Politikası (KVSİP): Kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için atılması gereken adımları içeren politikadır.

Kişisel Veri Saklama ve İmha Prosedürü: Kişisel Veri Saklama ve İmha Politikası’nda belirtilen şekilde işlem kurallarını detaylı olarak düzenlemek amacı ile hazırlanan prosedürdür.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Verilerin Korunması ve İşlenmesi İlkeleri: Kreafin Danışmanlık A.Ş. tarafından hazırlanan ve kişisel verilerin korunması ve işlenmesine ilişkin genel esasları belirten ilkelerdir.

Kişisel Verilerin Korunması ve İşlenmesi Politikası (KVKİP): Kreafin Danışmanlık A.Ş. ‘nin işlediği kişisel verilerin içeriği, kategorileri, kullanılış ve işleniş biçimleri, muhafaza edilme koşulları, kişisel veri sahiplerinin hakları ve kişisel verilerin korunmasıyla ilgili alınan önlemler hakkında açıklamaları içeren politikadır.

Kriptografik Yöntemler: Kriptografik yöntemler ya da “şifreleme”, okunabilir durumdaki bir verinin içerdiği bilginin istenmeyen taraflarca anlaşılamayacak bir hale dönüştürülmesinde kullanılan yöntemlerin tümüdür. Kriptografi bir matematiksel yöntemler bütünüdür ve önemli bilgilerin güvenliği için gerekli gizlilik, aslıyla aynılık, kimlik denetimi ve asılsız reddi önleme gibi şartları sağlamak amaçlıdır. Bu yöntemler, bir bilginin iletimi esnasında ve saklanma süresinde karşılaşılabilecek aktif saldırı ya da pasif algılamalardan bilgiyi (dolayısıyla bilginin göndericisi, alıcısı, taşıyıcısı, konu edindiği kişiler ve başka her türlü taraf olabilecek kişilerin çıkarlarını da) koruma amacı güderler.

Kurul: Kişisel Verileri Koruma Kurulu’dur.

Özel Nitelikli Kişisel Verilere İlişkin Politika (ÖNKVİP): Özel nitelikli kişisel verilerin güvenliğine yönelik kuralları tanımlayan ve bu alandaki yönetimi sağlayacak tüm faaliyetleri kapsayan politikadır.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Politika: Kişisel Veri Yönetimi Politikası’dır.

Secure Socket Layer (SSL): SSL kişisel gizlilik ve güvenilirlik sağlayan, network üzerindeki bilgi transferi sırasında bilginin bütünlüğü ve gizliliği için sunucu ile istemci arasındaki iletişimin şifrelenmiş şekilde yapılabilmesine imkan veren, bu sayede gizliliğinin ve bütünlüğün korunmasını sağlayan bir güvenlik protokolüdür.

sFTP: Güvenli dosya transfer protokolü anlamına gelmektedir. Makineler arasında çevrimiçi dosya transferi yapmanın güvenli bir yoludur.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sahibi: Kişisel verilerin işlendiği ve Kreafin Danışmanlık A.Ş. sistemlerinin veri tabanı ve uygulama seviyelerindeki verilerden sorumlu olan, ilgili verilere erişimi kısıtlayarak yetkisiz erişimi engellemekle yükümlü olan ve diğer çalışanların prosedürlere uyumuna yardımcı olan birimdir.

Veri Sorumlusu: Kreafin Danışmanlık A.Ş.dir.

VPN: VPN, “sanal özel ağ” anlamına gelmektedir. Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisidir.

Yönetim Kurulu: Kreafin Danışmanlık A.Ş. Yönetim Kurulu’dur.

3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI (KVKİP)

3.1. Amaç ve Kapsam

3.1.1. Amaç

Kreafin Danışmanlık A.Ş. için kişisel verilerin gizliliği ve mahremiyeti konusu büyük önem teşkil etmektedir. Kişisel verilerin korunması amacıyla gerekli güvenlik önlemlerinin alınması ve kontrollerin uygulanması Kreafin Danışmanlık A.Ş. ‘nin birincil hedefidir. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı Kreafin Danışmanlık A.Ş. ‘nin proje süreçlerinde yönettiği kişisel verilerin uygun şekilde korunduğu ve işlendiğinden emin olunmasıdır.

3.1.2. Kapsam

Kişisel verilerin korunması çalışmalarının başında kişisel veri olarak çeşitli amaç ve kanallardan Kreafin Danışmanlık A.Ş. ‘ye iletilen yazılı, basılı ya da elektronik ortamdaki kişisel verilerin tespiti ve uygun kontrollerin tesis edilmesi, bu verilerin saklanmasına ilişkin gereken güvenli ortamların hazırlanması ve bu verilere erişimin kısıtlı sayıda ve yetkili kişiler tarafından gerçekleştirildiğinden emin olunması gelmektedir.

Kreafin Danışmanlık A.Ş. ‘nin birincil hedefi, günümüz teknolojisiyle beraber hızla gelişen hizmet ağının ve iş süreçlerinin, oluşturulan bu yönetişim sistemi sayesinde güvenilir, hukuka uygun ve şeffaf bir yapıda olmasını sağlamaktır.

Kişisel verilerin korunması ve işlenmesi sürecinde uygun güvenlik tedbirlerinin alınması ve uygulanmasından Kreafin Danışmanlık A.Ş. yönetimi başta olmak üzere kurumun tüm çalışanları sorumludur.

KVKİP ile kişisel verilerin karşı karşıya kalabileceği riskleri yönetmek için gerekli olan teknik iyileştirmelerin yanı sıra, iş süreçlerinin ve prosedürlerin de geliştirildiği bir yönetişim sistemi kapsanmaktadır. Bu sistemin sürekli olarak geliştirilmesi ve güncel tutulması Kreafin Danışmanlık A.Ş. yönetiminin ve çalışanların sorumluluğundadır.

Kişisel verilerin korunması için oluşturulan yönetişim sisteminin temel taşlarından olan KVKİP’in iş süreçleriyle olan dinamizmini artırmak için “Kişisel Verilerin Korunması ve Yönetimine İlişkin Yönetmelik” de hazırlanacaktır.

Bu çalışmalar kapsamında, Kreafin Danışmanlık A.Ş. ‘nin çalışanları, kişisel verilerin gizliliğini ve güvenliğini sağlamak için oluşturulan politika ve prosedürler ile iş süreçlerine uygun hareket ederek tam uyum göstermek noktasında azami gayreti göstermekle yükümlüdür.

4. KİŞİSEL VERİ SAKLAMA İMHA POLİTİKASI (KVSİP)

4.1. Amaç ve Kapsam

4.1.1. Amaç

Kişisel Veri Saklama İmha Politikası’nın amacı; Kreafin Danışmanlık A.Ş. işlenen kişisel verilerin, işlendikleri amaç için gerekli olan azami süreler ile silinme, yok edilme ya da anonim hale getirilme süreçlerinin belirlenmesi ve bu süreçlerde görev alacak kişilerin rol ve sorumluluklarının tanımlanmasıdır.

4.1.2. Kapsam

KVSİP kapsamını; kişisel verilerin azami saklama süreleri ile kişisel verilerin hukuka uygun olarak saklanması ve imha edilmesi için alınmış teknik ve idari tedbirler, Kreafin Danışmanlık A.Ş. bünyesinde ilgili süreçlerin yürütülmesinde görev alan çalışanlar ile aşağıda sıralanan kayıt ortamları oluşturmaktadır:

Elektronik Kayıt Ortamları: Kreafin Danışmanlık A.Ş. tarafından kullanılan Logo muhasebe yazılımı sunucusu, Microsoft One Drive gibi her türlü bulut ve fiziksel sunucudur.
Fiziki Kayıt Ortamları: Arşiv odası, dosyalar, klasörler ve dolaplar gibi kişisel verilerin fiziki olarak saklandığı ortamlardır.

4.2. Sorumluluk

KVSİP kapsamında Kreafin Danışmanlık A.Ş. aşağıda yer alan görev ve sorumlulukları yerine getirmekle yükümlüdür:

Kişisel Veri Envanterinde yer alan ve hukuki açıdan uygulanması zorunlu olan saklama sürelerine uygunluk sağlamak,
Periyodik imha döneminde kişisel veri imha sürecinin yönetimini gerçekleştirmek,
KVSİP’i asgari olarak yılda bir kere gözden geçirmek,
KVSİP’i esas alarak işlem kurallarını detaylı biçimde düzenleyecek Kişisel Veri Saklama ve İmha Prosedürü’nü ve gerekli gördüğü diğer prosedürleri düzenlemek ve yayımlamak,
KVSİP için gerekli görev dağılımını yapmak, uygun kişileri yetkilendirmek ve Kanun’a uyum konusunda gerekli eğitimleri organize etmek,
Kanunun veri güvenliğine ilişkin yükümlülükleri uyarınca alınan her türlü teknik ve idari tedbirlerin uygulanmasını takip etmek ve denetimini planlamak,
Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek, uygulanmasını gözetmek ve gerekli koordinasyonu sağlamak,
Kişisel verileri işlenen gerçek kişiler tarafından yapılan başvuru ve taleplerle ilgili süreçlerin takibini yapmak ve Kanun ve/veya ilgili politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,
Kurul ile olan ilişkileri yürütmek.

4.3. Verilerin Saklanmasına ve Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesine İlişkin Güvenlik Esasları

Kreafin Danışmanlık A.Ş. tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında temin edilen veriler, Kişisel Veri İşleme Envanteri’nde listelenen ve Kanunda belirtilen kurallar çerçevesinde sınıflandırılır.

Bu çerçevede KVSİP’e temel teşkil eden sınıflandırma metodolojisi olarak Kanun’da yer alan aşağıdaki kişisel veri tanımlamaları kullanılmıştır:

Grup 1/Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veridir.
Grup 2/Özel Nitelikli Kişisel Veri: Kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep ve diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyelikleri, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik ve genetik verileridir.
Grup 3/Diğer Veri: Kişisel veri tanımı kapsamına girmeyen verileri ifade etmektedir.

Kreafin Danışmanlık A.Ş. tarafından 1. ve 2. gruba ait olan verilerin güvenli bir şekilde saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için burada sayılanlarla sınırlı olmamak üzere teknolojik imkanlar çerçevesinde, kişisel verilere ilişkin erişim yetkisinin sınırlanması, şifreleme/maskeleme yapılması, gizlilik ve bilgi güvenliği tedbirlerinin alınması, “Kişisel Veri İşleme Envanteri” hazırlanması, çalışanlara konu hakkında eğitim verilmesi, teknik politikaların ve prosedürlerin hazırlanması ve güncel tutulması gibi teknik ve idari tüm tedbirler alınır.

4.4. Verilerin Saklanmasını ve İmhasını Gerektiren Sebepler

Kişisel veriler,

Kreafin Danışmanlık A.Ş. ‘nin ilgili kişilerle iletişime geçebilmesi,
İlgili mevzuat kapsamında öngörülen hizmetlerin sunulabilmesi,
Kreafin Danışmanlık A.Ş. ‘nin taraf olduğu sözleşmelerin akdedilebilmesi ve gereğinin yerine getirilmesi,
Kreafin Danışmanlık A.Ş. ‘nin ürün ve hizmetlerinin sunulabilmesi, ürün ve hizmetlerle ilgili bilgi verilebilmesi veya şikayet yönetimi kapsamında çözümler sunulabilmesi,
İş birliği ya da anlaşma yapılan kişi ve kurumlara Kreafin Danışmanlık A.Ş. ‘nin hizmet ve projeleriyle ilgili referans verilebilmesi,
Kreafin Danışmanlık A.Ş. ‘nin yükümlülüklerini yerine getirebilmesi için gerekli görülen veri tabanının oluşturulması, işlem sahibinin bilgilerini tespit için kimlik, adres ve diğer gerekli bilgilerin elde edilmesi, öngörülen işlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,
Kurum içi iletişimin usulüne uygun olarak sağlanması,
İlgili mevzuatta yer alan düzenlemelere uyum sağlanması,
Resmi kurumlar tarafından öngörülen bilgi saklama, raporlama, bilgilendirme ve diğer yükümlülüklerine uyulması,
Basılı veya görsel haberler veya bültenler kanalıyla kamuoyunun bilgilendirilmesi,

amaçları ile anılan hukuki sebeplere dayanılarak Veri Sorumlusu sıfatı ile Kreafin Danışmanlık A.Ş. tarafından işlenir. İşlenme amacının sona ermesi ya da ilgili mevzuat ve/veya Kreafin Danışmanlık A.Ş. ‘nin belirlediği saklama sürelerinin sonuna gelinmesi halinde ise kişisel veriler, KVSİP’de belirtilen esaslar çerçevesinde imha edilir.

4.5. Verilerin İlgili Mevzuat Kapsamındaki Saklama Süreleri

Kreafin Danışmanlık A.Ş. bünyesinde saklanan tüm kişisel veriler için saklama süreleri belirlenir. Saklama süreleri belirlenirken öncelikle ilgili mevzuat, ilgili mevzuat ile öngörülen bir süre yoksa kişisel veri işleme amacı için gereken süre göz önünde bulundurulur ve ilgili sürelere Kişisel Veri Envanteri’nde yer verilir.

Sair İlgili Mevzuat Gereği

İlgili mevzuatta öngörülen süre kadar

Genel dava zamanaşımı süresini düzenleyen Borçlar Kanunu’nun 146. maddesi gereği

10 yıl

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda Türk Ceza Kanunu’nun 66. ve 68. maddeleri gereği

Dava zamanaşımı ve ceza zamanaşımı müddetince

Kişisel Veri İşleme Envanteri’nde bahsi geçen kişisel veriler, zamanaşımı süresini kesen ya da durduran herhangi bir hukuki durum olmadığı takdirde, yukarıdaki tabloda yer alan yasal düzenlemeler gereği saklanır ve saklama süresini takip eden ilk periyodik imha tarihinde imha edilir.

4.6. Verilerin İmhasına İlişkin Güvenlik Esasları

Kreafin Danışmanlık A.Ş. tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında temin edilen ve Kişisel Veri Envanteri’nde belirtildiği şekilde saklanan kişisel veriler, işlenme amacı sona ermiş ya da ilgili mevzuatta ve/veya politikada belirtilen saklama sürelerinin sonuna gelinmişse, kişisel verisi işlenen gerçek kişinin kendi talebi, Veri Sahibi birimin talebi üzerine ya da re’sen, kayıt ortamlarına uygun şekilde; kişisel verinin niteliğine uygun olarak belirlenecek silme, yok etme ya da anonimleştirme süreçlerine tabi tutularak detayları Kişisel Veri Saklama ve İmha Prosedürü’nde gösterilen şekilde imha edilir.

Kreafin Danışmanlık A.Ş. tarafından aşağıdaki imha yöntemleri kullanılmaktadır:

4.6.1. Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilme işlemidir.

4.6.2. Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

4.6.3. Verilerin Anonimleştirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.

4.6.4. İmha Sürecinin İşletilmesi

Kreafin Danışmanlık A.Ş. bünyesinde saklanan kişisel veriler, saklama süreleri sona erdiğinde, verilerin gizliliğini korumak suretiyle imha sürecine tabi tutulurlar.

2. gruba ait verilerin, işlenmesini gerektiren sebepler ortadan kalktığında imha sürecini işletmek Kreafin Danışmanlık A.Ş. ‘nin sorumluluğundadır. Bu veriler için belirlenecek imha yöntemi Kreafin Danışmanlık A.Ş. tarafından belirlenir.
2. gruba ait verilerin imha süreci Kreafin Danışmanlık A.Ş. ‘nin tarafından başlatılır. Kreafin Danışmanlık A.Ş., ilgili verinin sahibine imha sürecini işletmesi konusunda bilgilendirme yapar.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler iki imza yetkilisi tarafından imzalanan bir tutanakla kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kreafin Danışmanlık A.Ş. tarafından kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreler dikkate alınır. Veri envanterinde belirtilen saklama süresi kapsamında imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir.
Periyodik imha sürecinin zaman aralığı azami 6 (altı) aydır.
Kreafin Danışmanlık A.Ş. bünyesinde kişisel verisi bulunan kişiler, krea-fin.com web sitesi üzerinde yayınlanan “Kişisel Veriler İletişim Formu” aracılığı ile söz konusu verilerin imha edilmesi için talepte bulunma hakkına sahiptir. Bu hakkın kullanılması durumunda:
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel veriler Kreafin Danışmanlık A.Ş. tarafından silinir, yok edilir veya anonim hale getirilir. İlgili kişilerin silme veya yok etme talepleri Veri Sorumlusu tarafından en geç 30 (otuz) gün içerisinde sonuçlandırılır ve kişisel verilerinin silinmesini talep eden kişiye işlem hakkında yazılı veya elektronik ortam üzerinden bilgi verilir.
- Kişisel verilerin işleme şartlarının tamamı ortadan kalkmış ve silinmesi talep edilen veri daha önce üçüncü kişilere aktarılmış ise Kreafin Danışmanlık A.Ş. ,silme işleminin üçüncü taraf nezdinde de talep tarihini takip eden 30 (otuz)gün içerisinde yapılması için gerekli bilgilendirmeyi yapar ve imha işlemlerinin yapıldığına ilişkin üçüncü kişilerden geri bildirim talep eder ve sonrasında bu bildirimi takip eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN POLİTİKA (ÖNKVİP)

5.1. Amaç ve Kapsam

5.1.1. Amaç

Özel Nitelikli Kişisel Verilere İlişkin Politika’nın amacı; Kreafin Danışmanlık A.Ş. ‘de özel nitelikli kişisel verilerin korunması ve işlenmesine ilişkin prensiplerin belirlenmesidir.

5.1.2. Kapsam

ÖNKVİP’in kapsamı; Kreafin Danışmanlık A.Ş. tarafından sunulan ya da elde edilen, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin (“özel nitelikli kişisel veri”) işlenmesi ve korunması sürecidir.

5.2. Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesine İlişkin Uygulamalar ve Alınan Tedbirler

5.2.1. Özel nitelikli kişisel verilerin işlenmesi süreçleri kapsamında Kreafin Danışmanlık A.Ş. çalışanlarına yönelik uygulanacak tedbirler:

Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konusunda düzenli olarak çalışanlara eğitimler verilir,
Kreafin Danışmanlık A.Ş. ile çalışanları arasında bu konuyu kapsayan gerekli gizlilik sözleşmeleri imzalanır,
Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,
Periyodik olarak yetki kontrolleri gerçekleştirilir,
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır ve veri sorumlusu tarafından kendisine tahsis edilen veri envanteri iade edilir.

5.2.2. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara yönelik tedbirler:

Veriler kriptografik yöntemler (Gizli Anahtarlı Kriptografi, Açık Anahtarlı Kriptografi, Sayısal İmza, Şifreleme Algoritmaları, Secure Socket Layer-SSL) kullanılarak muhafaza edilir,
Kriptografik anahtarlar güvenli ortamlarda tutulur,
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak kayıt altına alınır,
Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir,
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması / yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir,
Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

5.2.3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlara yönelik tedbirler:

Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
Bu ortamların fiziksel güvenliği sağlanarak Kreafin Danışmanlık A.Ş. tarafından yetkisiz giriş ve çıkışlar engellenir.

5.3. Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Temel İlke

Kreafin Danışmanlık A.Ş. tarafından özel nitelikli kişisel verilerin işlenmesinde gözetilen temel ilke ilgilinin açık rızasının alınıp alınmadığının ve verinin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınıp alınmadığının kontrolüdür.

5.4. Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Temel İlkeler

Özel nitelikli kişisel verilerin aktarılmasında Kreafin Danışmanlık A.Ş. tarafından gözetilen temel ilkeler aşağıdaki şekildedir:

Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa bu veriler kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamlarda tutulur,
Farklı fiziksel ortamlardaki sunucular arasında veri aktarımı gerçekleştiriliyorsa, bu aktarım teknik olarak güvenli bir şekilde gerçekleştirilir,
Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” (üzerinde çok gizli, gizli, özel ve hizmete özel ibaresi taşıyan evrak) formatında gönderilir.

6. YÜRÜRLÜK

İşbu Kişisel Veri Yönetim Politikası, 01.04.2023 tarihli ile yürürlüğe girmiştir.