KVK Politikası

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikasını (“Politika”), Santa Teknoloji Anonim Şirketi (“” veya “Şirket”) olarak kişisel verileri nasıl işlediğimizi ve koruduğumuzu açıklamak için hazırladık. 

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve kişisel verilerin korunmasına ilişkin ikincil mevzuat ile Kişisel Verileri Koruma Kurulu (“Kurul”) kararları (hep birlikte “KVK Mevzuatı” olarak anılacaktır) kapsamında Lista paylaştığınız kişisel verilerinizi işlemektedir. KVKK kapsamında veriler üzerinde gerçekleştirilen her türlü işlem “kişisel verilerin işlenmesi” olarak kabul edilmekte olup, kişisel verilerin işlenmesinde KVK Mevzuatındaki ilkelere uygun davranmakta, kişisel verilerin güvenliğini sağlamak için gerekli tüm teknik ve idari tedbirler Şirket tarafından alınmaktadır. 

Kişisel verilerinizin Lista tarafından işlenmesine dair bilgi talebinizi kisiselveriler@lista.com.tr  adresinden şirkete iletebilirsiniz. 

  1. POLİTİKANIN AMACI VE KAPSAMI

Bu Politika, Lista’nın yürüttüğü faaliyetler kapsamında müşteri, kullanıcı, tedarikçi ve çalışanlarına ait kişisel veriler dahil olmak üzere veri sorumlusu olarak işlediği tüm kişisel verileri kapsamaktadır. 

Lista tüm kişisel veri işleme faaliyetlerinde KVK Mevzuatına ve bu Politikada yer verilen ilkelere ve kurallara uygun davranmaktadır. Mevzuatta yapılan güncellemeler politikada yazmasa dahi mevzuat hükümlerine göre hareket edilmektedir.  

2. POLİTİKA KAPSAMINDAKİ SORUMLULUKLAR

Lista bünyesinde çalışan tüm personel ve kişisel verilerin işlenmesinde rol alan diğer kişiler, bu Politikaya ve bu Politika ile belirlenen ilke ve kurallara uymakla yükümlüdür. Bu çerçevede, çalışanların ve Lista kontrolü altında kişisel verilerin işlenmesinde rol alan veri işleyen konumundaki üçüncü kişilerin de işbu Politikaya uygun davranması için gerekli tedbirleri alınmaktadır. 

3. POLİTİKADA YER VERİLEN TANIMLAR

Politikada yer verilen tanımları ve bunların açıklamalarını aşağıda belirttik:

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Çalışan: Lista ile İş Kanunu uyarınca iş ilişkisinde bulunan çalışanlar ile staj (zorunlu / isteğe bağlı) eğitimi gören öğrenciler/mezunlar

Elektronik Kayıt Ortamı: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği kayıt ortamları 

Elektronik Olmayan Kayıt Ortamı: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. kayıt ortamları

Hizmet Sağlayıcı: Lista ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiler

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı: Şirket ve Şirket’in bağlı iştiraklerinin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, iş birliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere şirketin verdiği kişisel verisi işlenen gerçek kişiler

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri; Envanter: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel Veri Saklama ve İmha Politikası: Lista’nın, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı politika

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kullanıcı veya Müşteri: Lista uygulamasına üye olan ve/veya Lista hizmetlerinden faydalanan kişi

Kurum: Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri İşleyen: Lista’nın verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; işbu Politika çerçevesinde Lista;

Bu Politikada yer almayan tanımlar için KVK Mevzuatında yer alan tanımlar geçerlidir.

4. KİŞİSEL VERİLERİN İŞLENMESİNE YÖNELİK HUKUKİ YÜKÜMLÜLÜKLERİMİZ

Lista’nın Veri sorumlusu olarak KVK Mevzuatından doğan hukuki yükümlülükleri Politikanın bu bölümünde açıklanmıştır.

4.1. Aydınlatma Yükümlülüğü

Lista kişisel verileri elde ettiği ve işlediği süreçlerde Aydınlatma Yükümlülüğünün Yerine Getirilmesine Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, aydınlatma yükümlülüğünü ilgili süreçler özelinde ve en geç kişisel verilerin elde edilmesi anında yerine getirmektedir. Bu kapsamda ilgili kişileri; kişisel verilerinin hangi amaçla işleneceği, Şirket bilgileri ve varsa Şirket temsilcisinin/temsilcilerinin kimliğine ilişkin bilgiler, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel verileri elde etme yöntemi ve hukuki sebebi, KVKK’dan doğan hakları hususlarda aydınlatmaya özen göstermektedir:

4.2 Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Lista veri sorumlusu olarak kişisel veri işleme süreçlerinde, kişisel verilerin gizlilik ve güvenliğini temin etmek, kişisel verilerin yetkisiz kişilerin eline geçmesini veya erişimine açılmasını önlemek amacıyla gerekli tüm teknik ve idari tedbirleri almaktadır. Bu yükümlülüklerine ilişkin olarak aldığı teknik ve idari tedbirleri, işbu Politikanın 10. bölümünde detaylandırmıştır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hususlarında KVK Mevzuatına uygun hareket etmektedir. Kişisel verilerin imha edilmesine ilişkin süreçlerine Politikanın 9. bölümünde yer verilmiştir. 

4.3. İlgili Kişi Başvurularını Cevaplama Yükümlülüğü

Lista olarak ilgili kişilerin tüm talep ve başvurularının en kısa sürede çözüme kavuşturulması ve ilgili kişiye cevap verilmesi yasal sorumluluklar dahilinde yerine getirilmektedir. İlgili kişilerin bu Politikanın 11. maddesinde açıklanan yöntemlerden biriyle başvurması halinde, KVKK’nın ilgili maddesi uyarınca ilgili kişilerin taleplerini, başvurunun kabul ve ret sebeplerini gerekçeleriyle birlikte açıklayarak, en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırmaktadır. 

4.4. Veri Sorumluları Sicili Bilgi Sistemine Kayıt Yükümlülüğü

Şirketimizin, KVKK’nın 16. maddesi ile Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca Veri Sorumluları Sicili Bilgi Sistemine (“VERBİS”) kayıt yükümlülüğünü yerine getirmektedir. Şirketimizin veri işleme faaliyetleri kapsamında VERBİS kaydını güncel tutmakta ve veri işleme faaliyetlerine ilişkin detayları kamuoyunun bilgisine sunmaktadır. 

4.5. Kişisel Verileri Koruma Kurulu Kararlarını Yerine Getirme Yükümlülüğü

Lista KVK Mevzuatının önemli ve ayrılmaz bir parçası olan Kurul kararlarına uyum sağlamak için azami hassasiyeti göstermektedir. Kurumun internet sitesinde yayımlanan tüm veri sorumluları açısından bağlayıcı olan ilke kararları başta olmak üzere, kararlar yakından takip ederek kişisel verilerin korunması için gerekli tedbirler vakit geçirmeksizin uygulamaya alınmaktadır. 

5. KİŞİSEL VERİLERİN İŞLENMESİ

5.1. Kişisel Veri İşleme Süreçleri

Lista faaliyetleri çerçevesinde topladığı ilgili kişilere ait kişisel verileri işbu Politikanın devamında açıklanan hukuki sebeplere dayanarak işlemektedir. Kişisel veri işleme süreçlerine ilişkin örnekler Kişisel Veriler -> Örnek Süreç -> Açıklama akışına göre yer verilmiştir.

5.1.1 Kullanıcı Kişisel Verilerinin İşlendiği Örnek Süreçler

Adı-Soyadı, Telefon Numarası, e-posta adresi, Doğum tarihi, cinsiyet -> Üyelik Oluşturulması -> Hizmetlerimizden yararlanmak için Lista uygulamasına üyelik kayıt işlemlerinin gerçekleştirilmesi, kimlik bilgilerinin doğruluğunun MENİS sisteminden doğrulanması,  ,kullanıcının GSM numarasının doğrulanması.

Adı-Soyadı, Adres, Yolculuk, Lokasyon, Ödeme Bilgileri -> Yolculuk ve ödeme süreçlerinin yürütülmesi -> Yolculuk taleplerinin alınması, yolcuların uygun sürücüler ile eşleştirilmesinin sağlanması, sürücü ve yolcuların konumlarının teyit etmelerinin ve belirlenen konumda buluşmalarının sağlanması, yolcuların tercihlerine uygun olarak taksi yolculuğu gerçekleştirmelerinin temin edilmesi.

İletişim Bilgileri, İşlem Güvenliği Bilgileri -> Anlık bildirimler gönderilesi -> Lista yolculukları ile ilgili kullanıcıların telefonuna bildirimler göndermesi.

5.1.2 Çalışan Kişisel Verilerinin İşlendiği Örnek Süreçler

Adı-Soyadı, telefon sumarası, e-posta adresi, ücret & yan haklara ilişkin bilgiler, sigorta bilgileri -> İş sözleşmesinin kurulması, özlük dosyalarının oluşturulması -> Lista’nın İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu başta olmak üzere ilgili mevzuattan doğan yükümlülükleri kapsamında çalışanları ile iş sözleşmesi imzalaması, mevzuat gereği saklaması zorunlu olan kişisel verilerin muhafaza edilmesi.

Adı-Soyadı, telefon numarası, e-posta adresi, imza -> Sözleşme müzakereleri ve imza süreçlerinin yürütülmesi -> Lista’nın tedarikçilerle anlaşma yapması için sözleşme müzakerelerinin yürütülmesi ve sonuçlandırılması.

5.1.3 Sürücü Kişisel Verilerinin İşlendiği Örnek Süreçler

Adı-Soyadı, telefon numarası, doğum tarihi, cinsiyeti, e-posta adresi, çalışılan bölge, ilçe ve adres bilgileri, araç ve sürücü bilgileri -> Sürücü seçme ve değerlendirme sürecinin yürütülmesi -> Sürücü başvuruları kapsamında sürücü adaylarından gerekli bilgilerin alınması ve Lista sistemlerine kaydedilmesi, sürücü adaylarının Lista politikalarına uygunluğunun incelenmesi ve sürücü seçim süreçlerinin yürütülmesi.

Telefon numarası, e-posta adresi -> Duyurular ve iletişim yapılması -> Sürücülere Lista’nın hizmetlerine ilişkin bilgilendirmeler yapılması, duyurular gönderilmesi.

Tedarikçiler ile Bunların Çalışanlarının Kişisel Verilerinin İşlendiği Örnek Süreçler

Adı-Soyadı, T.C. Kimlik Numarası, İmza -> Ticari anlaşmaların yapılması -> Lista sunduğu hizmetlerle ilgili olarak tedarikçilerden hizmet alınması, sözleşme müzakere süreçlerinin yürütülmesi ve sözleşmeler imzalanması.

5.2. Kişisel Verileri İşleme İlkeleri

Lista veri sorumlusu sıfatıyla elde ettiğimiz kişisel verileri işlerken aşağıda belirtilen veri işleme ilkelerine uymaktadır:

  • Hukuka ve dürüstlük kurallarına uygun olma: Lista veri sorumlusu olarak ilgili kişilerin verilerinin işlenmesi faaliyetlerini, mevzuata ve iyi niyet ilkelerine uygun şekilde, şeffaflıkla sürdürülür.
  • Doğru ve gerektiğinde güncel olma: Lista kişisel verilerin doğru ve güncel olmasını temin edecek iletişim kanallarını her zaman açık tutar, ilgili kişilere işlenen kişisel verilerindeki yanlış ve eksiklerin düzeltilmesi için gerekli imkanları sağlar. 
  • Belirli, açık ve meşru amaçlar için işlenme: Kişisel verilerin hangi amaçlarla işleneceği mevzuata ve hayatın olağan akışına uygun olarak belirlenir, bu amaçlar şeffaf ve anlaşılır bir biçimde ilgili kişilerin bilgisine sunulur. 
  • İşleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olma: Kişisel verilerin işlenme amacıyla ilgili olmayan veya ihtiyaç duyulmayan kişisel veriler işlenmez, muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyetleri yürütülmez. Elde edilen verilerin başkaca amaçlarla kullanılma ihtiyacının doğması halinde yeni bir veri işleme süreci gündeme gelir; söz konusu süreç, veri işlemeye ilk kez başlanıyor gibi KVKK’da öngörülen işleme şartları kapsamında gerçekleştirilir. 
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Kişisel verilerin saklanması için mevzuatta öngörülmüş bir süre varsa bu süreye uyulur; eğer mevzuatta böyle bir süre öngörülmemişse kişisel veriler sadece işleme amaçları için gereken süre boyunca saklanır. 

5.3. Kişisel Verilerin İşlenmesi

Lista veri sorumlusu sıfatıyla elde ettiği kişisel verileri KVKK’nın 5. maddesinin 2. fıkrasında belirlenen hukuki uygunluk nedenlerinden birinin bulunması halinde işlemektedir. Kişisel verileri işlerken dayanılan hukuka uygunluk nedenleri aşağıda açıklanmaktadır: 

  • İlgili kişinin açık rızasının varlığı
  • Kanunlarda açıkça öngörülmüş olması
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin veya bir başkasının hayatı ve beden bütünlüğünü korumak için kişisel verilerin işlenmesi
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Lista’nın veri sorumlusu olarak hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, 
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması
  • Bir hakkın tesisi, kullanılması veya korunması için işlenmesi
  • İşlemenin meşru menfaatlerimiz için zorunlu olması

Bir veri işleme faaliyetinin Lista’nin meşru menfaatleri için zorunlu olup olmadığını tespit ederken Kurulun 25.03.2019 Tarihli ve 2019/78 Sayılı Kararında belirtilen kriterleri esas alarak bir değerlendirme yapmakta; bu değerlendirmeyi yaparken, ilgili kişinin temel hak ve hürriyetleri ile ortaya çıkacak meşru menfaati karşılaştırarak bir denge testi gerçekleştirmektedir.  

Açık rıza, KVKK’da “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. Lista olarak ilgili kişilerin açık rızalarını sorarken, aşağıdaki üç unsuru göz önünde bulundurmaktayız:

  • Belirli bir konuya ilişkin olma: İlgili kişilerin açık rızası, spesifik veri işleme faaliyeti/faaliyetleri için sorulur ve rıza metinlerinin anlaşılır olması sağlanır. 
  • Bilgilendirmeye dayalı olma: Rıza metinleri ve aydınlatma metinleri birlikte/aynı kanal üzerinde sunulur, ilgili kişinin veri işleme faaliyetinin sonuçlarını anlaması temin edilir. Bu kapsamda öncelikle ilgili kişilere aydınlatma yapılır, sonra açık rızalarının bulunup bulunmadığı sorulur.
  • Özgür iradeyle açıklanmış olma: İlgili kişilerin açık rızaları sorulurken iradesini sakatlayacak yanıltıcı ifadelerden kaçınılır; açık rıza vermek istemeyen ilgili kişilere alternatifler/reddetme hakkı tanınır. 

5.4. Çerezler ve Tanımlama Teknolojilerinin Kullanımı 

Lista internet sitesini (www.Lista.com) ziyaret eden ilgili kişilerin internet sitesindeki deneyimlerini artırmak ve internet sitesinin en iyi şekilde çalışmasını sağlamak için çeşitli çerezler (cookie) kullanarak bir takım kişisel verileri işlemekteyiz. Çerezleri kullanarak, internet sitesi ziyaretçilerimize ve kullanıcılarımıza en iyi deneyimi sunmayı hedeflemekteyiz. Söz konusu çerezler vasıtasıyla işlediğimiz kişisel verilere ilişkin olarak Lista internet sitesine ilk giriş anında gerekli aydınlatmaları yaparak, ilgili kişilerin çerezlere ilişkin tercihlerini yönetmesine imkân tanımaktayız. Çerezler ve çerezler vasıtasıyla işlediğimiz kişisel veriler hakkında detaylı bilgiye Çerez Politikamızdan ulaşabilirsiniz. 

5.5. Lista Uygulamasından Gönderilen Bildirimler

Lista olarak Yolcu Kişisel Verileri Aydınlatma Metninde açıklanan amaç ve hukuki sebeplere uygun olarak, açık rızasını veren kullanıcılarımıza uygulama üzerinden anlık bildirimler gönderebilir, telefon ve e-posta üzerinden iletişim kurabiliriz.

5.6. Kişisel Verilerin Güncellenmesi

KVK Mevzuatından doğan kişisel verileri tam, doğru ve güncel tutma yükümlülüğümüz kapsamında, ilgili kişilerin kişisel verilerini değiştirmesine ve düzeltmesine imkân tanıyacak mekanizmaları sağlamaktayız. Örneğin kullanıcılarımız, Lista uygulaması “Hesabım” sekmesinde yer alan “Profil” sayfası üzerinden, mail adresini her zaman güncelleme imkanına sahiptir. 

Lista üyelik ve giriş yapma aşamalarında ilgili kişilerin kişisel verilerinin güvenliğini temin etmek adına, ilgili kişilerin telefon numaralarına SMS OTP (tek seferlik şifre) göndererek telefon numarasını teyit etmekte, isim soyisim doğum tarihi ve  T.C. kimlik numaralarını MERSİN sistemi aracılığı ile doğrulamaktadır. Bu doğrultuda, kişisel verilerin gizliliği ve güvenliği kapsamındaki tedbirlerimiz uyarınca Lista hesaplarına kayıtlı telefon numaralarının, ve kimlik bilgilerinin değiştirilmesi mümkün değildir. 

6. KİŞİSEL VERİLERİN AKTARILMASI

Lista verdiği hizmetlerin temini amacıyla yurt içinde ve yurt dışında altyapı ve bilişim hizmet sağlayıcıları ile birlikte çalışmaktadır. Bu çerçevede ilgili kişilere ait kişisel verileri, KVKK’nın kişisel verilerin aktarılması başlıklı 8. maddesi ve kişisel verilerin yurt dışına aktarılması başlıklı 9. maddesinde yer alan hukuka uygunluk nedenlerinden herhangi birinin varlığı halinde ve yoksa ilgili kişilerin aktarıma yönelik açık rızası doğrultusunda yurt içinde ve yurt dışındaki üçüncü taraflara aktarılmaktadır.

7. KİŞİSEL VERİLERİN SAKLANMASI

Lista işlediği kişisel verileri, mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işlenmesinin amacının gerektirdiği süre boyunca ve Lista Kişisel Veri Saklama ve İmha Politikası kapsamında saklamaktadır. 

Bu doğrultuda kişisel veri işleme gerektiren süreçler kapsamında, faaliyeti gerçekleştiren birim tarafından işlenen veri için bir saklama süresi belirlemekte; kişisel verilerin birden fazla amaç ile işlenmesi halinde, kişisel verinin işleme amaçlarının hepsinin ortadan kalkması veya ilgili kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda verileri imha (silme, yok etme veya anonim hale getirerek saklama) etmekteyiz. Silme, yok etme veya anonim hale getirme hususlarında KVK Mevzuatına uygun hareket edilmektedir. 

8. KİŞİSEL VERİLERİN İMHA EDİLMESİ

Kişisel verileri, ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan sürenin sona ermiş olması kaydıyla, ilgili kişinin talebi üzerine veya re’sen imha etmekteyiz. Söz konusu imha (silme, yok etme ve anonim hale getirme) işlemlerini, ilgili mevzuat hükümleri saklı kalmak kaydıyla Lista Kişisel Veri Saklama ve İmha Politikası kapsamında gerçekleştirilmektedir. 

Aksi Kurul tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmekte; ilgili kişinin kişisel verilerinin imha edilmesine ilişkin bir talebi olması halinde kişisel verilerin imhası için uygun olan yöntemi belirledikten sonra, ilgili kişiye bu durumu gerekçesiyle birlikte açıklanmaktadır.

9. KİŞİSEL VERİLERİN GÜVENLİĞİ

Lista kişisel verilerin korunmasını sağlamak için gerekli teknik ve idari tedbirleri almaktadır. Örneğin, olası siber saldırıları tespit etmek ve önlemek için saldırı tespit ve önleme yazılımları ve veri kaybı önleme yazılımları kullanmakta, çalışanların kişisel verilere erişim yetkilerini belirlenmekte ve sınırlandırılmaktadır. Kişisel verilerin gizlilik ve güvenliğini temin etmek üzere alınan tedbirler aşağıda detaylandırılmıştır. 

9.1. İdari Tedbirler

  • Kişisel verilerin işlenmesi ve korunması hususunda erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya geçirilmiştir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel verilere ilişkin mevcut risk ve tehditler belirlenmiştir.
  • Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Çalışanlar için veri güvenliğine ilişkin disiplin düzenlemeleri mevcuttur.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Çalışanların, kişisel verilerin hukuka aykırı olarak ifşa edilmemesi ve paylaşılmaması gibi veri güvenliğine ilişkin konular hakkında belirli aralıklarla eğitim almaları ve çalışanlara yönelik farkındalık çalışmalarının yapılması sağlanmaktadır.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri içeren elektronik olmayan ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren elektronik olmayan ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel verilerin gizliliğinin sağlanmasına yönelik olarak gizlilik taahhütnameleri yapılmaktadır.
  • Kişisel veri aktarımı yapılan veri sorumluları ve veri işleyenler ile veri aktarım sözleşmeleri imzalanmaktadır ve veri işleyenlerin farkındalığı sağlanmaktadır.
  • Kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından elde edilmesi halinde bu durumu ilgili kişilere ve Kurula bildirmek için uygulanacak prosedürler belirlenmiştir.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik politika ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Kişisel veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalıkları sağlanmaktadır.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

9.2. Teknik Tedbirler

Lista tarafından kişisel verilerin korunması için alınan teknik tedbirlere aşağıda yer verilmektedir:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Şifreleme yöntemi kullanılmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup, uygulanması sürekli olarak takip edilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Güncel anti virüs sistemleri kullanılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

9.3. Çalışanların Sorumlulukları

Lista’nin faaliyetleri kapsamında gerçekleştirilen veri işleme faaliyetlerinde veri işleyen çalışanlar, söz konusu kişisel veri işleme süreçlerinde işbu Politikada anılan usul ve esaslar kapsamında aşağıda anılan hususlara dikkat etmekle yükümlüdürler:

  • Kişisel veriye erişimi bulunan bütün çalışanlar işbu Politika ve kişisel verilerin korunmasına ilişkin ilgili diğer politika ve prosedürler kapsamında belirtilen usul ve esaslara uygun hareket etmelidir.  
  • Çalışanlar, KVKK’da belirtilen kişisel verilerin korunması ilkelerine uygun veri işleme faaliyetinde bulunmalıdır.  
  • Çalışanlar, ilgili kişinin kişisel verilerini elde ederken;
    • Kişisel verilerin hangi amaçla işleneceği
    • Veri sorumlusu ve varsa temsilcisinin kimliğine ilişkin bilgiler
    • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
    • Kişisel verileri elde etme yöntemi ve hukuki sebebi
    • İlgili kişilerin KVKK’dan doğan hakları

hususlarında ilgili kişiye aydınlatma yapıldığından emin olmalıdır.

  • Çalışanlar, açık rıza gerekmeksizin kişisel verilerin işlenmesi hallerinden biri söz konusu değilse, ilgili kişinin kişisel verilerini işlemeden önce açık rızasının alındığından emin olmalıdır. 
  • Çalışanlar, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için her türlü teknik ve idari güvenlik tedbirlerinin alındığından emin olmalıdır. 
  • Çalışanlar, veri aktarımının, aktarım amacına uygun ve aktarım amacını aşmayacak şekilde yapılmasını sağlamalıdır.  
  • Çalışanlar, veri aktarımı sırasında kişisel verilere yetkisiz kişiler tarafından erişilmediğinden emin olmalıdır.
  • Çalışanlar, kişisel verilere yetkilerinin, rol tanımlarının ve görevlerinin ifasının gerektirdiği haller dışında erişmemeli ve kopyalamamalıdır.
  • Çalışanlar, kişisel verileri Lista içindeki veya dışındaki yetkisiz üçüncü kişilere aktarmamalı ve kişisel verilere yetkisiz üçüncü kişiler tarafından erişilmediğinden emin olmalıdır.
  • Çalışanlar veri işleme faaliyetini gerekli kılan amaçlar kapsamında ve bunların sınırları aşılmadan veri işleme faaliyetinde bulunmalıdır.
  • Çalışanlar, bir kişisel veri ihlalinin farkına varmaları durumunda, Şirket içindeki yetkili kişileri derhal bilgilendirmelidir.

10. İLGİLİ KİŞİ HAKLARI

KVKK’nın 11. maddesi, ilgili kişilerin kişisel verilerine ilişkin haklarını düzenlemektedir. Bu haklar aşağıdaki şekildedir:

1. Lista’nın kişisel verilerini işleyip işlemediğini öğrenme

2. Lista kişisel verileri işliyorsa, veri işlemeye dair bilgi talep etme

3. Lista’nın kişisel verilerini işleme amaçlarını ve kişisel verileri amacına uygun kullanıp kullanmadığını öğrenme

4. Kişisel verilerinin üçüncü kişilere aktarılıp aktarılmadığını öğrenme; aktarılıyor ise yurt içi veya yurt dışında aktarıldığı üçüncü kişileri öğrenme

5. Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme ve bu kapsamda yapılan işlemi -var ise- kişisel verilerin aktarıldığı üçüncü kişilere de bildirmesini isteme

6. KVKK ve ilgili mevzuata uygun olarak işlenmiş olan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemi -var ise- kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme

7. İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir sonucun ortaya çıktığı durumlar var ise bunlara itiraz etme

8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle ilgili kişinin zarara uğraması hâlinde, zararın giderilmesini talep etme

Yukarıda yer verilen haklarınızı kullanmak için taleplerinizi:

1. Sistemlerimizde kayıtlı olan e-posta adresinizi kullanarak kisiselveriler@lista.com adresine,

2. Kimliğinizi tevsik edici belgeleri de ekleyip yazılı olarak Çiftlikköy Mah. Mersin Üniversitesi Kampus Alanı Mersin Teknopark 2.İnkübatör Binası No: 35 c / b5 Yenişehir /Mersin adresine 

iletmenizi rica ederiz.

11. POLİTİKANIN GÜNCELLENMESİ

İşbu Politika, Lista tarafından ihtiyaç duyuldukça gözden geçirilir ve gerektiğinde güncellenir. 

Bunun dışında KVK Mevzuatında değişiklikler yapılması halinde, Politika güncellenmemiş olsa dahi ilgili mevzuattaki değişiklikler derhal uygulanır.

Güncellenme tarihi: Haziran2023

Santa Teknoloji A.Ş.