PRIVACY AND PERSONAL DATA PROTECTION POLICY
1. INTRODUCTION
As Propline Teknoloji Yatırımlar Anonim Şirketi (“Company” or “Propline”), the protection of personal data is among our most important priorities, and our Company acts in its best to comply with all applicable legislation in this regard. The most important pillar of this issue is this Confidentiality and Personal Data Protection Policy (“Policy”).
Within the framework of this Policy, the principles adopted in the conduct of personal data processing activities carried out by our Company and the basic principles adopted in terms of compliance of our Company's data processing activities with the regulations in the Personal Data Protection Law no. 6698 (“Law”) are explained, and thus, our Company provides the necessary transparency by informing the personal data subjects. With full awareness of our responsibility in this context, your personal data is processed and protected within the scope of this Policy.
Scope
This Policy concerns all personal data of persons other than our Company's employees, which are processed by automatical or non-automatical means, provided that they are part of any data recording system.
The activities carried out by our Company regarding the protection of personal data of our employees and the processing of Special Categories of Personal Data are managed under the Protection and Processing of Personal Data of Employees Policy and the Processing of Special Categories of Personal Data Policy, which have been written in accordance with the principles in this Policy.
2. ISSUES REGARDING THE PROCESSING OF PERSONAL DATA
2.1 Processing of Personal Data in Compliance with the Principles Established in the Legislation
2.1.1. Being Processed in Conformity with the Law and the Rules of Bona Fides
Personal data is processed in accordance with the general rule of trust and integrity without harming the fundamental rights and freedoms of individuals. Within this framework, personal data is processed to the extent of our Company's business activities' necessities and by being limited to these.
2.1.2. Ensuring that Personal Data is Accurate and Up-to-Date When Necessary
Our company takes the necessary measures to ensure that personal data is accurate and up-to-date throughout the period of processing, and establishes the necessary mechanisms to ensure the accuracy and being up-to-date of personal data for certain periods.
2.1.3. Being Processed for Specific, Explicit and Legitimate Purposes
Our company clearly manifests the purposes of processing personal data and processes it within the scope of purposes related to these activities in line with its business activities.
2.1.4. Being Relevant, Limited, and Proportionate to the Purposes for which They are Processed
Our company collects personal data only to the quality and extent required by business activities and processes them limited to the determined purposes.
2.1.5. Being Retained for the Period of Time Stipulated by Relevant Legislation or the Purpose for which They are Processed
Our company retains personal data for the period required for the purpose for which they are processed and for the minimum period stipulated in the relevant legal legislation. In this context, our Company primarily determines whether a period is stipulated for the retention of personal data in the relevant legislation, and if a period is determined, acts in accordance with this period. If there is no legal period, personal data are retained for the period necessary for the purpose for which they are processed. At the end of the specified retention periods, personal data is destroyed in accordance with the periodic destruction periods or the application of the data subject and with the specified destruction methods (erasure and/or destruction and/or anonymization).
2.2 Conditions for Processing of Personal Data
The explicit consent of the personal data subject is only one of the legal basis that enables the processing of personal data in accordance with the law, and in the presence of one of the following conditions, personal data is processed by our Company without looking for the explicit consent of the data subject.
Except for explicit consent, the basis of the personal data processing activity can be only one of the conditions stated below or more than one condition can be the basis of the same personal data processing activity. In case the processed data is special categories of personal data, the conditions in the 2.3 heading (“Processing of Special Categories of Personal Data”) of this Policy shall be applied.
2.2.1 Being Clearly Provided for by the Laws
If it is clearly provided for by the law, in other words, if there is a clear provision in the relevant law regarding the processing of personal data, the personal data of the data subject can be processed by our Company within the framework stipulated in the legislation.
2.2.2 Failure to Obtain the Explicit Consent of the Data Subject Due to Actual Impossibility
The personal data of the data subject can be processed if it is necessary to process the personal data of the person who is unable to express his/her consent due to actual impossibility or whose consent cannot be validated, in order to protect the life or physical integrity of himself/herself or another person.
2.2.3 Direct Relation With Conclusion or Fulfilment of a Contract.
Provided that it is directly related to the conclusion or fulfillment of an agreement to which the data subject is a party, this condition can be deemed to be fulfilled if the processing of personal data is necessary.
2.2.4 Fulfillment of the Company's Legal Obligation
If the data processing is mandatory for our Company to fulfill its legal obligations, the personal data of the data subject can be processed.
2.2.5 Publicization of Personal Data by the Personal Data Subject
If the data subject has made his/her personal data public, the relevant personal data can be processed limited for the purpose of publicization.
2.2.6 Mandatory Data Processing for the Establishment or Protection of a Right
If data processing is mandatory for the establishment, exercise, or protection of a right, the personal data of the data owner can be processed.
2.2.7 Mandatory Data Processing for the Legitimate Interest of Our Company
Provided that the fundamental rights and freedoms of the personal data subject are not harmed, the personal data of the data subject can be processed if data processing is mandatory for the legitimate interests of our Company.
2.3 Processing of Special Categories of Personal Data
Special importance is attached to special categories of personal data within the scope of the law due to the risk of causing victimization or discrimination when processed unlawfully. These "special categories" of personal data are; data related to race, ethnicity, political thought, philosophical belief, religion, sect or other beliefs, clothing, membership to associations, foundations or unions, health, sexual life, criminal convictions, and security measures, and biometric and genetic data.
Special categories of personal data is processed by our Company in accordance with the principles specified in this Policy, by taking all necessary administrative and technical measures, including the methods to be determined by the Board, and in the presence of the following conditions:
(i) Special categories of personal data other than health and sexual life can be processed without the explicit consent of the data subject provided that it is explicitly provided for by the law, in other words, there is a clear provision in the relevant law regarding the processing of personal data. Otherwise, the explicit consent of the data subject shall be obtained.
(ii) Special categories of personal data regarding health and sexual life can be processed without the explicit consent by persons or authorized institutions and organizations under the obligation to keep secrets with the purposes of protection of public health, preventive medicine, medical diagnosis, treatment and care services, planning and management of health services, and financing. Otherwise, the explicit consent of the data subject shall be obtained.
2.4 Purposes of Processing Personal Data
Pursuant to the law and other relevant legislation, the purposes of processing personal data and even special categories of personal data are as follows:
- Planning and/or execution of our company's human resources policies and procedures,
- Planning and/or execution of activities to ensure the legal and technical security of our company and the relevant persons who have a business relationship with our company,
- Planning and/or execution of the activities required to recommend and promote the products and services offered by our company to the relevant persons by customizing them according to the likes, usage habits and needs of the p relevant persons
- Carrying out the necessary studies and carrying out the relevant business procedures in order to benefit the relevant people from the products and/or services offered by our company,
- Carrying out the necessary work by our relevant business units for the performance of commercial and/or operational activities executed by the Company and the execution of related business procedures;
- Planning and/or execution of our company's commercial and/or business strategies.
- Organiziation and conduct, announce of events by our Company
- Execution of our Company's corporate communication activities
You can find detailed privacy policies about customers and cookies for the above purposes on our website.
2.5 Data Group Categories
The Company categorizes personal data according to the processed data group in personal data processing procedures and activities related to these procedures. The relevant categories are as follows;
| Data Group | Explanation |
|---|---|
| Website Visitor | Real persons who enter the website with the relevant URL and whose personal data are collected for the purpose of cookie placement. |
| Customer | Representatives and employees of legal entities and real persons purchasing goods and services from Propline |
| Supplier | Real persons, representatives and employees of legal entities supplying goods and services to the company |
| Freelancer | Real persons who are not subject to the employment agreement with Propline, but who serve Propline's customers with a freelancer employment agreement. |
| Visitor | Real persons visiting our offices |
2.6 Personal Data Processed on the Basis of Data Group
| Data Group | Processed Personal Data |
|---|---|
|
Website Visitor |
|
|
Customer |
|
|
Supplier |
|
|
Freelancer |
|
|
Visitor |
|
3. ISSUES REGARDING THE TRANSFER OF PERSONAL DATA
Our company can transfer the personal data and special categories of personal data of the personal data subject to third parties by taking the necessary security measures in line with the personal data processing purposes in accordance with the law. In this direction, our company acts in accordance with the regulations stipulated in Articles 8 and 9 of the Law.
3.1. The Transfer Of Personal Data
Even without the explicit consent of the personal data subject, in case one or more of the following conditions are present, personal data can be transferred to third parties by taking all necessary security measures, including the methods stipulated by the Board, with due care by our Company.
- The relevant activities related to the transfer of personal data being clearly provided for by the laws
- The transfer of personal data by the Company being directly relevant to and necessary for the conclusion or fulfillment of a contract,
- The transfer of personal data being mandatory for our Company to fulfill its legal obligation,
- The transfer of the personal data by our Company, limited for the purpose of publicization, provided that the data subject has made the data public,
- The transfer of personal data by the Company being mandatory for the establishment, exercise, or protection of the rights of the Company or the data subject or third parties,
- Execution of personal data transfer activities being mandatory for the legitimate interests of the Company, provided that it does not violate the fundamental rights and freedoms of the data subject,
- Being mandatory for the person or someone else, who is unable to express his/her consent due to actual impossibility, or whose consent is not legally valid, to protect his/her life or physical integrity.
If personal data is to be transferred abroad, in addition to the above-mentioned conditions, personal data is transferred by our Company; to foreign countries declared by the Board as having adequate protection (“Foreign Country with Adequate Protection”) or in case of inadequate protection (i) to foreign countries where data controllers in Turkey and the relevant foreign country undertake adequate protection in writing and for which the Board's permission is granted, (“Foreign Country where Data Controller Undertakes Adequate Protection”) or to multinational group companies operating in countries declared by the Personal Data Protection Board as not having adequate protection on the condition of consent to the Binding Company Rules (“Binding Company Rules”), known as data protection rules, used in the transfer of personal data abroad and ensuring the undertaking of adequate protection in writing.
3.2. Transfer of Special Categories of Personal Data
Special categories of personal data is transferred by our Company in accordance with the principles specified in this Policy, by taking all necessary administrative and technical measures, including the methods to be determined by the Board, and in the presence of the following conditions:
(i) Special categories of personal data other than health and sexual life can be transferred without the explicit consent of the data subject provided that it is explicitly provided by the law, in other words, there is a clear provision in the relevant law regarding the processing of personal data. Otherwise, the explicit consent of the data subject shall be obtained.
(ii) Special categories of personal data regarding health and sexual life can be transferred without explicit consent by persons or authorized institutions and organizations under the obligation to keep secrets with the purposes of protection of public health, preventive medicine, medical diagnosis, treatment and care services, planning and management of health services, and financing. Otherwise, the explicit consent of the data subject shall be obtained.
If special categories of personal data is to be transferred abroad, in addition to the above-mentioned conditions, special categories of personal data is transferred to Foreign Countries with Adequate Protection or to Foreign Countries where Data Controller Undertakes Adequate Protection.
4. INFORMING OF THE PERSONAL DATA SUBJECT
Our company, in accordance with Article 10 of the Law and secondary legislation, on the basis of data subject category (for example employee, potential employee, customer, visitor, etc.), informs data subjects on the processing of personal data being conducted by whom as the data controller, for what purposes, with whom it is shared, by what methods it is collected, and the rights they have within the scope of the legal basis and the processing of the personal data of the data subjects.
5. RETENTION AND DESTRUCTION OF PERSONAL DATA
Our company retains personal data for the period required for the purpose for which they are processed and for the minimum period stipulated in the relevant legislation, provided that all technical security measures are taken. In this context, our Company primarily determines whether a period is stipulated for the retention of personal data in the relevant legislation, and if a period is determined, acts in accordance with this period. If there is no legal period, personal data are retained for the period necessary for the purpose for which they are processed. At the end of the specified retention periods, personal data is destroyed in accordance with the periodic destruction periods or the application of the data subject and with the specified destruction methods (erasure and/or destruction and/or anonymization).
6. MATTERS RELATED TO THE PROTECTION OF PERSONAL DATA
In accordance with Article 12 of the Law, our Company takes the necessary measures according to the nature of the data to be protected in order to prevent the unlawful disclosure, access, transfer, or security deficiencies that may occur in other ways. In this context, our Company takes administrative measures to ensure the required level of security in accordance with the guidelines published by the Personal Data Protection Board (“Board”), and conduct audits or have them conducted.
In this context, the technical and administrative measures taken by our Company for the protection of personal data are more carefully implemented in terms of special categories of personal data and necessary audits are provided within our Company.
6.1. Increasing Awareness and Audit of Business Units on the Protection and Processing of Personal Data
Our company provides periodic necessary trainings to business units in order to prevent unlawful processing of personal data, illegal access to data, and to raise awareness to ensure data protection.
Our company establishes the necessary systems to raise the awareness of its current employees and newly recruited employees on the protection of personal data and works with consultants in case of need. In this direction, our Company evaluates the participation in the relevant trainings, seminars and briefing sessions, and organizes new trainings in parallel with the updating of the relevant legislation.
7. THE RIGHTS OF THE PERSONAL DATA SUBJECT AND THE USE OF THESE RIGHTS
7.1. The Rights of the Data Subject
Personal data subjects have the following rights:
- To find out whether personal data is being processed or not,
- To request information if personal data are processed,
- To find out the purpose of processing personal data and whether they are used in accordance with the intended purpose,
- To know the third parties to which personal data is transferred in the country or abroad,
- To request the rectification of personal data in case of incomplete or incorrect processing and requesting notification of the transaction made within this scope to the third parties to which the personal data has been transferred,
- To request the erasure or destruction of personal data in the event that the reasons requiring its processing cease to exist despite the fact that it has been processed in accordance with the provisions of the Law and other relevant provisions, and to request that the transaction carried out within this scope be notified to the third parties to which the personal data has been transferred,
- To object to the processing, exclusively by automatic means, of his personal data, which leads to an unfavorable consequence for the data subject,
- To request compensation for the damage arising from the unlawful processing of the personal data.
7.2. Exercise of the Rights of the Data Subject
Personal data subjects can submit their requests regarding their rights listed in section 7.1 ("The Rights of the Personal Data Subject") to our Company at the address dataprivacy@propline.com.
7.3. Our Company's Response to Applications
Our company takes the necessary administrative and technical measures to finalize the applications to be made by the personal data subject in accordance with the Law and secondary legislation.
In case the personal data subject submits its request regarding the rights in section 7.1 ("The Rights of the Personal Data Subject") to our Company in accordance with the procedure, our Company shall conclude the relevant request free of charge as soon as possible and within 30 (thirty) days at the latest, depending on the nature of the request. However, if the transaction requires an additional cost, a fee can be charged in accordance with the tariff determined by the Board.
GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
1. GİRİŞ
Kişisel verilerin korunması Propline Teknoloji Yatırımlar Anonim Şirketi (“Şirket” veya “Propline”) en önemli öncelikleri arasında olup, Şirketimiz bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayreti göstermektedir. Bu konunun en önemli ayağını ise işbu Gizlilik ve Kişisel Verilerin Korunması Politikası (“Politika”) oluşturmaktadır.
İşbu Politika çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.
Kapsamİşbu Politika, Şirketimiz çalışanları haricindeki kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Çalışanlarımızın kişisel verilerinin korunmasına ilişkin ve işlene Özel Nitelikli Kişisel Verilere ilişkin Şirketimizin yürüttüğü faaliyetler ise, işbu Politika’daki esaslarla paralel olarak kaleme alınan Çalışan Kişisel Verilerinin Korunması ve İşlenmesi Politikası ve Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Politika altında yönetilmektedir.
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1 KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Şirketimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirketimiz kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
2.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirketimiz, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.
2.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
2.2 Kişisel Verilerin İşlenme Şartları
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesi olup, aşağıda yer alan şartlardan birinin varlığı durumunda kişisel veriler, veri sahibinin açık rızası aranmaksızın Şirketimiz tarafından işlenmektedir.
Açık rıza haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 2.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.
2.2.1 Kanunlarda Açıkça Öngörülmesi
Kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin kişisel verileri, Şirketimiz tarafından mevzuatta öngörülen çerçevede işlenebilecektir.
2.2.2 Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.2.3 Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
2.2.4 Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirketimizin hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.2.5 Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
2.2.6 Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.2.7 Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
2.3 Özel Nitelikli Kişisel Verilerin İşlenmesi
Kanun kapsamında hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
2.4 Kişisel Veri İşlenme Amaçları
Kanun ve ilgili diğer mevzuatlara uygun şekilde, kişisel veriler ve dahi özel nitelikli kişisel verilerin işlenme amaçları aşağıdaki gibidir:
- Şirketimizin insan kaynakları politikalarının ve süreçlerinin planlanması ve/veya icra edilmesi,
- Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan ilgili kişilerin hukuki ve teknik güvenliğinin temini faaliyetlerinin planlanması ve/veya icrası,
- Şirketimiz tarafından sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası,
- Şirketimiz tarafından sunulan ürün ve/veya hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması ve ilgili iş süreçlerinin yürütülmesi,
- Şirketimiz tarafından yürütülen ticari ve/veya operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
- Şirketimizin ticari ve/veya iş stratejilerinin planlanması ve/veya icrası.
- Şirketimiz tarafından etkinliklerin düzenlenmesi ve organizasyonun yürütülüp duyulması
- Şirketimizin kurumsal iletişim faaliyetlerinin yürütülmesi
Yukarıdaki amaçlara ilişkin müşteri ve çerezlere ilişkin detaylı aydınlatma metinlerine internet sitemizden ulaşabilirsiniz.
2.5 Veri Grubu KategorileriŞirket kişisel veri işleme süreçlerinde ve bu süreçlere bağlı faaliyetlerde kişisel verileri işlenen veri grubuna göre kategorize etmektedir. İlgili kategoriler aşağıdaki gibidir;
| Veri Grubu | Açıklaması |
|---|---|
| Web Sitesi Ziyaretçisi | Siteye ilgili URL ile girip, çerez konumlandırılması gerekçesi ile kişisel verileri toplanan gerçek kişiler |
| Müşteri | Propline’dan mal ve hizmet satın alan gerçek kişiler ile tüzel kişilerin temsilcileri ve çalışanları |
| Tedarikçi | Şirkete mal ve hizmet tedarik eden gerçek kişiler ile tüzel kişilerin temsilcileri ve çalışanları |
| Serbest Çalışan | Propline’a iş akdi ile bağlı olmamakla birlikte serbest çalışma sözleşmesi ile Propline müşterilerine hizmet veren gerçek kişiler |
| Ziyaretçi | Ofislerimizi ziyaret eden gerçek kişiler |
2.6 Veri Grubu Bazında İşlenmekte olan Kişisel Veriler
| Veri Grubu | İşlenen Kişisel Veri |
|---|---|
|
Web Sitesi Ziyaretçisi |
|
|
Müşteri |
|
| Tedarikçi |
|
| Serbest Çalışan |
|
| Ziyaretçi |
|
3. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
Şirketimiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Şirketimiz bu doğrultuda Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
3.1. Kişisel Verilerin Aktarılması Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Kişisel veriler yurt dışına aktarılacak ise yukarıda yer alan şartlara ek olarak Şirketimiz tarafından kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda (i)Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) veya Kişisel Verileri Koruma Kurul’u tarafından yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt edilmesini sağlayan veri koruma kuralları olarak bilinen Bağlayıcı Şirket Kurallarının (“Bağlayıcı Şirket Kuralları”) onaylanmasını şartıyla aktarılır.
3.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın aktarılabilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Eğer özel nitelikli kişisel veriler yurt dışına aktarılacak ise yukarıda yer alan şartlara ek olarak Yeterli Korumaya Sahip Yabancı Ülkeler’e veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkeler’e özel nitelikli kişisel veriler aktarılır
4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI
Şirketimiz, Kanun’un 10’uncu maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini veri sahibi kategorisi bazında (örneğin: çalışan, potansiyel çalışan, müşteri ve ziyaretçi vb.) kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Şirketimiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar tüm teknik güvenlik tedbirlerini almak kaydıyla muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
6. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından daha özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.
6.1. İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının arttırılması ve Denetimi
Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine periyodik gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirketimiz mevcut çalışanlarının ve bünyesine yeni dahil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.
7. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
7.1. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASIKişisel veri sahipleri aşağıda yer alan haklara sahiptirler:
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
7.2. Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri bölüm 7.1’de (“Kişisel Veri Sahibinin Hakları”) sayılmış haklarına ilişkin taleplerini dataprivacy@propline.com adresi üzerinden Şirketimize iletebileceklerdir.
7.3. Şirketimizin Başvurulara Cevap VermesiŞirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.
Kişisel veri sahibinin, bölüm 7.1’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.
