EYG GAYRİMENKUL YATIRIM ORTAKLIĞI A.Ş.
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

1. Giriş

Kişisel verilerin korunması, Eyg Gayrimenkul Yatırım Ortaklığı A.Ş. (“Şirket”) için önem arz eden bir husustur. Şirket, yürüttüğü faaliyetler kapsamında gerçek kişilerden elde ettiği kişisel verileri gizli tutmakta ve kişisel verilerin korunması ile veri güvenliğinin sağlanması için gerekli teknik ve idari tedbirleri almaktadır.

Şirket, tüm faaliyetlerini T.C. Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ve ilgili ikincil mevzuata uygun olarak yürütmeyi ilke edinmiştir. Bu kapsamda kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişilerin aydınlatılması ve veri güvenliğinin sağlanmasına ilişkin yükümlülüklerini yerine getirmektedir.

1.1. Tanımlar

• Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
• Çalışan: Şirket ile iş sözleşmesi veya hizmet sözleşmesine bağlı olarak işçi-işveren benzeri ilişkisi olan gerçek kişidir.
• KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgidir.
• Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, sağlık, cinsel hayat, ceza mahkûmiyeti, biyometrik ve genetik veriler gibi özel nitelikli verilerdir.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.
• Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir.
• Şirket: Eyg Gayrimenkul Yatırım Ortaklığı A.Ş.’dir.

1.2. KVK Politikası’nın Amaç ve Kapsamı

Bu KVK Politikası, kişisel verilerin Şirket tarafından elde edilmesi, kullanılması, aktarılması, imha edilmesi ve diğer şekillerde işlenmesine ilişkin konular ile kişisel verilerin korunması için Şirket tarafından alınan teknik ve idari tedbirleri ve ilgili kişilerin haklarını açıklamaktadır.

Bu politika; çalışanlar, çalışan adayları, şirket hissedarları, şirket yetkilileri, ziyaretçiler, iş birliği içinde olunan kurumların çalışanları, Şirket’in sunduğu uygulama ve hizmetlere erişen kişiler, üçüncü kişiler, tedarikçiler ve müşteriler için uygulanmaktadır.

2. Kişisel Verilerin İşlenmesi

2.1. Kişisel Verilerin İşlenmesi ile İlgili Genel İlkeler

Şirket, kişisel veri işleme faaliyetlerini gerçekleştirirken KVK Kanunu’nun 4. maddesinde yer alan aşağıdaki ilkelere uygun hareket etmektedir:

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

2.2. Kişisel Verilerin İşlenme Şartları

Şirket, kişisel verileri ilgili kişinin açık rızası veya KVK Kanunu’nda belirtilen diğer hukuka uygunluk sebepleri kapsamında işlemektedir. Bu kapsamda kişisel veriler aşağıdaki hallerde işlenebilir:

• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan kişinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

2.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Şirket, özel nitelikli kişisel verilerin işlenmesinde KVK Kanunu ve Kişisel Verileri Koruma Kurulu tarafından öngörülen ilave önlemleri alır. Özel nitelikli kişisel veriler, ilgili kişinin açık rızasının bulunması veya kanunda öngörülen hallerde işlenmektedir.

2.4. Kişisel Verilerin İşlenme Amaçları

Şirket, kişisel verileri aşağıdaki amaçlarla işlemektedir:

• İnsan kaynakları süreçlerinin planlanması ve icrası,
• Çalışan adaylarının işe uygunluğunun değerlendirilmesi,
• İş sözleşmelerinin ifası ve çalışan süreçlerinin yürütülmesi,
• Yasal yükümlülüklerin yerine getirilmesi,
• Operasyonel faaliyetlerin yürütülmesi,
• Şirket’in ticari faaliyetlerinin mevzuata ve şirket politikalarına uygun yürütülmesi,
• İş stratejilerinin belirlenmesi ve uygulanması,
• Sunulan ürün, hizmet ve projeler hakkında bilgi verilmesi,
• Müşteri hizmetlerinin yürütülmesi,
• Talep, öneri ve şikâyetlerin cevaplanması,
• Pazar araştırmaları ve istatistiksel çalışmalar yapılması,
• Bilgi teknolojileri altyapısının oluşturulması ve yönetilmesi,
• Finans ve muhasebe işlemlerinin yürütülmesi,
• Kurumsal iletişim faaliyetlerinin yürütülmesi,
• Şirket bina ve tesislerinin güvenliğinin sağlanması,
• Ziyaretçi kayıtlarının oluşturulması ve takibi,
• Hukuki süreçlerin yürütülmesi ve mevzuata uyum sağlanması,
• Bilgi ve işlem güvenliğinin sağlanması ve kötü amaçlı kullanımın önlenmesi.

2.5. Kişisel Verilerin Toplanma Yöntemi

Kişisel veriler; sözleşmeler, dijital ortamlar, idari ve adli makamlardan gelen tebligatlar, elektronik posta, sair iletişim kanalları, fiziki ve elektronik ortamlar aracılığıyla toplanabilmektedir.

Şirket’in sunduğu hizmetlerden faydalanıldığında, Şirket ile hukuki ilişki kurulduğunda veya Şirket ile posta, e-posta ve benzeri yollarla iletişime geçildiğinde kişisel veriler elde edilebilmektedir.

3. Kişisel Verilerin Aktarılması

Şirket, kişisel verileri yalnızca bu politikada belirtilen amaçlar doğrultusunda ve KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarabilir.

Bu kapsamda kişisel veriler aşağıdaki kişi ve kurumlarla paylaşılabilir:

• İş ortakları,
• Tedarikçiler,
• Müşteriler,
• Yetkili kamu kurum ve kuruluşları,
• Çözüm ortakları,
• Grup şirketleri.

Kişisel verilerin paylaşılmasının amacı; personel süreçlerini yönetmek, hizmetlere erişim sağlamak, yasal yükümlülükleri yerine getirmek, sözleşmelerin uygulanmasını sağlamak, alış ve satış işlemlerini gerçekleştirmek, hileli veya yasadışı faaliyetleri engellemek ve Şirket’in ticari faaliyetlerini hukuka uygun şekilde yürütmektir.

4. Kişisel Verilerin Saklanması ve İmhası

Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu sürenin sona ermesi halinde kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca silinir, yok edilir veya anonim hale getirilir.

Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

5. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler

Şirket, kişisel verilerin hukuka uygun olarak işlenmesini sağlamak ve veri güvenliğini temin etmek amacıyla gerekli teknik ve idari tedbirleri almaktadır.

• Çalışanlara yönelik kişisel verilerin korunması konusunda eğitimler ve farkındalık çalışmaları düzenlenir.
• Kişisel veri işleme envanterine dayalı politikalar oluşturulur.
• Kişisel verilerin korunması kapsamındaki riskler tespit edilir ve azaltılır.
• Şirket içi periyodik denetimler gerçekleştirilir.
• Güncel mevzuata uyum için hukuki danışmanlık hizmeti alınır.
• Özel nitelikli kişisel verilerin korunması için ilave tedbirler uygulanır.
• Veri işleyenler ile veri paylaşım sözleşmeleri ve gerekli güvenlik tedbirleri uygulanır.
• Güvenlik duvarları, SSL şifrelemesi, virüs koruma sistemleri ve güvenli veri tabanları kullanılır.
• Güvenlik önlemleri periyodik olarak yenilenir ve geliştirilir.

Şirket sistemlerine yönelik saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda Şirket, ihlali gidermek için gerekli adımları atar ve ilgili kişileri ve Kurul’u bilgilendirir.

6. İlgili Kişilerin Kişisel Verileri Üzerindeki Hakları

Türkiye Cumhuriyeti Anayasası ve KVK Kanunu uyarınca herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu kapsamda ilgili kişiler aşağıdaki haklara sahiptir:

• Kişisel verisinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
• Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
• KVK Kanunu’nun 7. maddesi kapsamında kişisel verilerinin silinmesini veya yok edilmesini isteme,
• Silme, yok etme veya düzeltme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin KVK Kanunu’na aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

7. Başvuru Usulü

İlgili kişiler, yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak Şirket’e iletebilir.

Şirket, başvuruları niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınabilecektir.

8. İletişim

Kişisel verilerinizin korunmasına ilişkin soru, görüş ve talepleriniz için bizimle iletişime geçebilirsiniz.

İletişim: [email protected]