This Personal Data Processing and Protection Policy (“Policy”) has been prepared to disclose how we, Amrop Göğüş Yönetim Danışmanlığı Anonim Şirketi (“Amrop” or “Company”), process and protect personal data.

As Amrop, we take utmost care to process and protect your personal data in accordance with the Personal Data Protection Law No. 6698 (“the PDPL”), its secondary legislation and decisions of the Personal Data Protection Board (collectively referred to as the “PDP Legislation”). We comply fully with the principals set forth in the PDP Legislation and take all necessary technical and organizational measures to ensure the protection of your personal data.

You may contact us at contact@amrop.com.tr to relay your questions and get information regarding Amrop protecting and processing your personal data.

1. PURPOSE AND SCOPE OF THE POLICY

This Policy covers all personal data that Amrop processes as Data Controller, within the scope of Amrop’s collection, processing and storage of data required in order for Amrop to offer its services as an executive search company.

As Amrop, we act in accordance with the PDP Legislation and the principles and rules set out in this Policy in all personal data processing activities.

2. OUR RESPONSIBILITIES UNDER THE POLICY

As Amrop, we aim to comply with applicable laws, rules, regulations, and best practices in all personal data processing activities we carry out. For this reason, all employees of Amrop and other persons involved in the processing of personal data are obliged to comply with this Policy and the principles and rules determined by this Policy. Within this framework, we take the necessary measures to ensure that our employees and third parties who are Data Processors act in accordance with this Policy. 

3. DEFINITIONS

We have set out below the terms and their definitions in the Policy:

Recipient: The category of natural or legal person to whom personal data is transferred by Amrop

Explicit Consent: Freely given and informed consent on a specific subject

Employee: Amrop employee

Electronic Recording Medium: Recording medium or mediums where personal data can be created, read, changed, and written with electronic devices 

Non-Electronic Recording Medium: All written, printed, visual and other recording medium or mediums that are not electronic mediums. 

Service Provider: Natural or legal persons who provide services under a a contract with Amrop

Data Subject: Natural persons whose personal data are processed

Destruction: Erasure, destruction or anonymization of personal data

Recording Medium: Any medium in which personal data processed by wholly or partially automatic means or by non-automatic means provided that it is a part of any data recording system 

Personal Data: Any information relating to an identified or an identifiable natural person

Personal Data Retention Policy: The policy on which Amrop relies for determining the maximum period of time required for the purpose for which personal data are processed, and for erasure, destruction or anonymization

Processing of Personal Data: Any operation performed on personal data such as obtaining, recording, storing, changing, rearranging, disclosing, transferring, taking over, making available, classifying or preventing the use of personal data by wholly or partially automatic means or by non-automatic means provided that it is part of any data recording system

Authority: Personal Data Protection Authority 

Special Categories of Personal Data:  Data relating to race, ethnicity, political opinion, philosophical belief, religion, religious sect or other beliefs, appearance and dress, membership of associations, foundations or trade unions, health, sexual life, criminal convictions and security measures, and biometric and genetic data

Data Processor: A natural or legal person who processes personal data on behalf of the Data Controller based on the authorization granted by the Data Controller

Data Controller: A natural or legal person who determines the purposes and means of processing personal data and is responsible for the establishment and management of the data recording system 

For the definitions not included in this Policy, the definitions in the PDP Legislation apply.

4. OUR LEGAL OBLIGATIONS REGARDING THE PROCESSING OF PERSONAL DATA

As a Data Controller, we explain our legal obligations arising from PDP Legislation in this section of the Policy.

• Obligation to Inform

As Amrop, in processes in which we obtain and process personal data, we fulfil our obligation to inform in accordance with Communique on Principles and Procedures to be Followed in Fulfillment of the Obligation to Inform, specific to the process and at the latest at the time of obtaining personal data. In this regard, we take utmost care to inform all Data Subjects on the following:

• For what purpose the personal data of the Data Subject will be processed;
• Company information (trade name, address, contact methods), information on the identity of the Company representative(s), if any;
• To whom and for what purpose the personal data can be transferred;
• The method and legal reason for obtaining personal data; and
• Rights of Data Subjects arising from the PDPL.
  • Obligation to Ensure the Security of Personal Data

As Amrop, we take all necessary technical and organizational measures in our personal data processing activities in order to ensure the confidentiality and security of personal data and to prevent personal data from breached or accessed by unauthorized third parties. We have detailed the technical and administrative measures we have taken regarding these obligations in section 9 of this Policy. We act in accordance with the PDP Legislation regarding the deletion, destruction or anonymization of personal data; we have included our process regarding the destruction of personal data in section 8 of this Policy. 

• Obligation to Respond to Data Subject Requests

As Amrop, we carry out our process resolving all requests and applications of Data Subjects as soon as possible and respond to Data Subjects within the framework of the PDP Legislation. In the event that the Data Subjects send their requests by one of the methods described in the Article 10 of this Policy, we finalize the requests of the Data Subjects free of charge within 30 days at the latest, explaining the reasons for acceptance or rejection of the request, in accordance with the PDPL.

• Obligation to Fulfil the Decisions of the Personal Data Protection Board

As Amrop, we give utmost importance to compliance with the decisions of the Board, which is an important and integral part of the PDP Legislation. We closely follow all decisions of the Board, especially the principle decisions, which are binding for all data controllers, published on the website of the Authority, and use all means to implement all technical and organizational measures stipulated by the Board for the protection of personal data. 

5. PROCESSING OF PERSONAL DATA

• Personal Data Processing Activities

We process the personal data of Data Subjects we collect within the scope of our operations based on the legal reasons explained in the continuation of this Policy. 

• Principles of Processing Personal Data

As Amrop, we comply with the following data processing principles when processing the personal data we obtain as Data Controller:

• Compliance with law and good faith:All data processing activities are carried out transparently in accordance with the legislation and the principles of good faith.
• Being accurate and up to date when necessary:Channels which ensure that personal data are accurate and up to date are always kept open, and effective request channels are provided to Data Subjects for the rectification of inaccuracies in their personal data.
• Processing for specific, explicit, and legitimate purposes:The purposes for which personal data will be processed are determined in accordance with the legislation and the ordinary course of life, and these purposes are notified to Data Subjects in a transparent and clear manner.
• Being relevant, limited and proportionate to the purposes of processing:Personal data that are not related to or not needed for the purpose of processing personal data are not processed, and personal data processing activities are not carried out to meet indefinite needs. If the necessity arises to use obtained personal data for other purposes, a new data processing activity comes to the agenda; the activity in question is carried out within the scope of the legal grounds stipulated in the PDPL as a completely new processing activity.
• Retention of personal data for the period stipulated in the relevant legislation or required for the purpose for which personal data are processed:If there is a period stipulated in the legislation for the storage of personal data, this period is complied with. If no such period is stipulated in the legislation, personal data are only stored for the period required for the purposes for the processing.
• Processing of Personal Data

As Amrop, we process the personal data we obtain as Data Controller only when there is one of the legal grounds stipulated in the Article 5/2 of the PDPL. In case of the absence of these legal grounds, we apply for the consent of Data Subjects in accordance with the Article 5/1 of the PDPL. The legal grounds we rely on when processing personal data are explained below:

• Kişisel veri işlemenin kanunlarda açıkça öngörülmüş olması;
• Processing of personal data is governed under the law;
• Processing of personal data is necessary for the protection of life or physical integrity of a person who is unable to explain their consent due to a physical disability, or whose consent is deemed legally invalid;
• Processing of personal data is necessary for the performance of a contract between Amrop and Data Subjects;
• Processing personal data is necessary for fulfilling Amrop’s legal obligations;
• Personal data has been made public by the Data Subject himself/herself;
• Processing of personal data for the establishment, exercise or protection of a right; and
• Processing of personal data is necessary for our legitimate interests.

While determining whether a data processing activity is necessary for the legitimate interests of Amrop, we make an assessment based on the criteria specified in the Board's Decision dated 25/03/2019 and numbered 2019/78; while making this assessment, we carry out a balance test by comparing the fundamental rights and freedoms of the Data Subject with the legitimate interest that will arise.

In cases where at least one of the above-mentioned legal grounds for the processing of personal data does not exist, we act in accordance with the explicit consent of the Data Subject for the processing of personal data. 

Explicit consent is defined in the PDPL as "consent regarding a specific subject, based on information and expressed with free will". As Amrop, we take into consideration the following three elements when asking for the explicit consent of Data Subjects:

• Being related to a specific subject: The explicit consent of the Data Subjects is asked for the specific data processing activity/activities and it is ensured that the consent texts are clear and understandable.
• Being based on information: Consent texts and notices are presented together/on the same channel, and it is ensured that the Data Subject understands the consequences of the data processing activity. In this context, firstly, the Data Subjects are provided with notice, then they are asked whether they have explicit consent or not.
• Being expressed with free will: When asking for the explicit consent of data suıbjects, misleading statements that may impair their will are avoided, and alternatives/right of refusal are given to Data Subjects who do not wish to give their explicit consent.
• Processing of Special Categories of Personal Data

As Amrop, we process special categories of personal data by taking the necessary organizational and technical measures stipulated in the PDP Legislation, specifically the Board Decision dated 31.01.2018 numbered 2018/10.

• Use of Cookies and Identification Technologies

We process personal data by using cookies to give Data Subjects the best experience when they visit Amrop website and to ensure website functions fully. By using cookies, we aim to provide the best experience to our customers and website visitors. Regarding personal data we process by cookies, we give notice and the option to manage cookie preferences to Data Subjects. You can find further information about cookies and personal data we process by using cookies in our Cookie Policy.

• Keeping Personal Data Up-to-Date

Within the scope of our obligation to keep personal data complete, accurate and up to date arising from PDP Legislation, we provide mechanisms that will allow Data Subjects to change and rectify their personal data.

6. TRANSFER OF PERSONAL DATA

As Amrop, in order to provide our services, we work together with infrastructure and IT service providers in Turkey and abroad. We transfer personal data of Data Subjects to third parties both domestically and abroad in compliance with the legal grounds stipulated under Article 8 titled “Transfer of personal data” and Article 9 titled “transfer of personal data abroad”, and otherwise in line with the explicit consent of Data Subjects for the transfer.

7. DETENTION OF PERSONAL DATA

As Amrop, we retain the personal data we process for the period required by the purpose of the processing, without prejudice to the retention periods stipulated in the relevant legislation.

Within the scope of the process that require personal data processing, we determine a retention period for the personal data processed with business teams. In case personal data is processed for more than one purpose, we destroy (delete, destroy or anonymize) personal data if all the purposes of processing are completed or a Data Subject requests deletion and there are no legal obligations to retain personal data. We act in accordance with the PDP Legislation in matters of deletion, destruction or anonymization.

8. DESTRUCTION OF PERSONAL DATA

We destroy personal data upon the request of Data Subjects or ex officio, provided that the period stipulated in the relevant legislation or required for the purpose for which it was processed expired.

Unless otherwise specified by the Board, we choose the appropriate method of destroying the personal data. In case the Data Subject has a request for the destruction of personal data, after determining the appropriate method for the destruction of personal data, we explain this method to the Data Subject along with our reasons.

9. PROTECTION OF PERSONAL DATA

As Amrop, we take necessary organizational and technical measures to ensure the protection of personal data. For example, we use intrusion detection and prevention softwares to detect and prevent possible cyber-attacks, determine and limit the access authorisations of our employees to personal data, and use data loss prevention software. We have detailed the measures we take to ensure the privacy and security of personal data in this section.

• Organizational Measures

Organizational measures we take for the protection of personal data are as below:

• Regarding the processing and protection of personal data, corporate policies on access, information security, use, storage and destruction have been prepared and implemented.
• Personal data security policies and procedures have been determined.
• Existing risks and threats to personal data have been identified.
• Employees who change their position or leave their job are no longer authorized to access personal data.
• Contracts contain data security and privacy clauses.
• There are disciplinary actions in place for employees regarding data security and privacy.
• It is ensured that employees are periodically trained on issues related to data security, such as not disclosing and sharing personal data unlawfully, and awareness activities are carried out for employees.
• Extra security measures are taken for personal data transferred via physical methods and the relevant documents are sent in confidential document format.
• Necessary security measures are taken regarding entry and exit to non-electronic media containing personal data.
• Non-electronic media containing personal data are secured against external risks (fire, flood, etc.).
• The security of environments containing personal data is ensured.
• Confidentiality undertakings are prepared to ensure the confidentiality of personal data.
• Data transfer agreements are signed with the Data Controllers and Data Processors to whom personal data are transferred and these third parties’ awareness is ensured.
• In the event that personal data is unlawfully obtained by third parties, the procedures to be applied to notify the data dubjects and the Board have been determined.
• Policies and procedures for the security of special categories of personal data have been determined and implemented.
• Service providers that process personal data are made aware of data security.
• In-house periodic and/or random audits are carried out.
• Technical Measures

Technical measures we take for the protection of personal data are as below:

• Network security and application security are provided.
• Closed system network is used for personal data transfers through the network.
• Security measures are taken within the scope of procurement, development and maintenance of information technology systems.
• The security of personal data stored in the cloud is ensured.
• An authorization matrix has been created for employees.
• Personal data is backed up and the security of backed up personal data is also ensured.
• Personal data security issues are reported immediately.
• Personal data security is monitored.
• User account management and authorization control system are implemented and these are also monitored.
• Access logs are kept regularly.
• Log records are kept without user intervention.
• Secure encryption/cryptographic keys are used for sensitive personal data and managed by different units.
• Encryption method is used.
• Data masking measures are applied when necessary.
• Penetration tests are applied.
• Cyber security measures have been taken and their implementation is continuously monitored.
• Intrusion detection and prevention systems are used.
• Up-to-date anti-virus systems are used.
• Data loss prevention software is used.
• Responsibilities of Employees

Employees who process personal data within the scope of Amrop's activities are obliged to pay attention to the following issues according to the procedures and principles mentioned in this Policy:

• All employees who have access to personal data must act in accordance with the procedures and principles specified in this Policy and other relevant policies and procedures regarding the protection of personal data.
• Employees must carry out data processing activities in accordance with the principles of protection of personal data specified in the PDPL.
• When the employees obtain the personal data of Data Subjects, they must ensure that the Data Subject is given notice regarding:
  • The purpose for which personal data will be processed
  • Information on the identity of the Data Controller and its representative, if any
  • To whom and for what purpose the processed personal data can be transferred
  • The method and legal grounds for obtaining personal data
  • Rights of Data Subjects arising from the PDPL
• Employees must ensure that the explicit consent of the Data Subject is obtained before processing personal data, unless it is one of the cases of processing personal data without explicit consent.
• Employees must ensure that all technical and organizational security measures are taken to prevent unlawful processing of personal data.
• Employees must ensure that the transfer of data is in accordance with the purpose of the transfer and does not exceed the purpose of the transfer.
• Employees must ensure that personal data is not accessed by unauthorized persons during data transfer.
• Employees must carry out data processing within the scope of the purposes for which the data processing is necessary and without exceeding their limits.
• Employees must immediately notify authorized persons within the Company if they become aware of a personal data breach.

10. RIGHTS OF DATA SUBJECTS

Article 11 of the PDPL regulates the rights of the Data Subjects. You may exercise the rights pursuant to Article 11 of the PDPL which are as follows:

• To be informed whether your personal data is processed or not;
• If your personal data has been processed, to request information regarding the same;
• To be informed on the purpose of processing your personal data and whether it is used in accordance with its purpose;
• To be informed on the third parties to whom your personal data is transferred in the country or abroad;
• To request the correction of your personal data if it is incomplete or incorrectly processed;
• To request the deletion or destruction of your personal data within the scope of the conditions stipulated in Article 7 of the PDPL;
• If your personal data is deleted or destroyed within the scope of Article 7 of the Law and your personal data is incomplete or incorrectly processed, to request the notification of the third parties to whom the personal data has been transferred to;
• To object to the emergence of a result against you due to the analysis of your personal data exclusively by automated systems; and
• To request compensation of the damage in case you suffer damage due to unlawful processing of your personal data.

You may use the following methods to exercise your rights specified in the Article 11 of the PDPL and submit your requests to Amrop:

• By using your email address, whether registered to our system or not, to contact@amrop.com.tr;
• By using your registered e-mail (KEP) address to amropgogus@s01.kep.tr ; or
• In writing, with the inclusion of documents proving your identity, to Esentepe Mahallesi, Büyükdere Caddesi 175 Ferko Signature Binası Kat: B4 /Ofis No: 9-10 Levent, Şişli, İstanbul.

11. ABOUT THIS POLICY

This Policy is reviewed by Amrop as needed and updated when necessary.

Apart from this, in case of changes in the PDP Legislation, the changes in the relevant legislation are applied immediately, even if the Policy has not been updated.

 

İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), Amrop Göğüş Yönetim Danışmanlığı Anonim Şirketi (“Amrop” veya “Şirket”) olarak kişisel verileri nasıl işlediğimizi ve koruduğumuzu açıklamak için hazırlanmıştır.

Amrop olarak, kişisel verileri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve kişisel verilerin korunmasına ilişkin ikincil mevzuat ile Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına (hep birlikte “KVK Mevzuatı” olarak anılacaktır) uygun biçimde işlemekteyiz. Kişisel verilerin işlenmesinde KVK Mevzuatı’ndaki ilkelere uygun davranmakta, kişisel verilerin güvenliğini sağlamak için gerekli tüm teknik ve idari tedbirleri almaktayız.

Kişisel verilerinizin Amrop tarafından işlenmesine ve korunmasına dair bilgi almak ve sorularınızı yöneltmek için contact@amrop.com.tr adresinden bize ulaşabilirsiniz.

1. POLİTİKA’NIN AMACI VE KAPSAMI

Amrop, bu hizmetlerini sağlamak için çeşitli gerekli kişisel verileri toplayan, kullanan ve saklayan bir liderlik danışmanlığı ve yönetici bulma firması olup; bu Politika, Amrop’un Veri Sorumlusu olarak işlediği tüm kişisel verileri kapsamaktadır.

Amrop olarak, tüm kişisel veri işleme faaliyetlerinde KVK Mevzuatı’na ve bu Politika’da yer verilen ilkelere ve kurallara uygun davranmaktayız. 

2. POLİTİKA KAPSAMINDAKİ SORUMLULUKLARIMIZ

Amrop olarak yürüttüğümüz tüm kişisel veri işleme faaliyetlerinde, yürürlükteki kanunlara, kurallara, düzenlemelere ve kabul görmüş iyi uygulamalara uyum göstermeyi hedeflemekteyiz. Bu nedenle Amrop nezdinde tüm çalışanlar ve kişisel verilerin işlenmesinde rol alan diğer kişiler, bu Politika’ya ve bu Politika ile belirlenen ilke ve kurallara uymakla yükümlüdür. Bu çerçevede, çalışanlarımızın ve nezdimizdeki kişisel verilerin işlenmesinde rol alan Veri İşleyen konumundaki üçüncü kişilerin de işbu Politika’ya uygun davranması için gerekli tedbirleri almaktayız.

3. TANIMLAR

Politika’da yer verilen tanımları ve bunların açıklamalarını aşağıda belirttik:

Alıcı Grubu: Amrop tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Çalışan: Amrop çalışanı

Elektronik Kayıt Ortamı: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği kayıt ortamı

Elektronik Olmayan Kayıt Ortamı: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. kayıt ortamları

Hizmet Sağlayıcı: Amrop ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiler

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Amrop organizasyonu içerisinde veya Amrop’tan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurum: Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Veri İşleyen: Veri Sorumlusu’nun verdiği yetkiye dayanarak Veri Sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, işbu Politika çerçevesinde Amrop

Bu Politika’da yer almayan tanımlar için KVK Mevzuatı’nda yer alan tanımlar geçerlidir.

4. KİŞİSEL VERİLERİN İŞLENMESİNE YÖNELİK HUKUKİ YÜKÜMLÜLÜKLERİMİZ

Veri Sorumlusu olarak KVK Mevzuatı’ndan doğan hukuki yükümlülüklerimizi Politika’nın bu bölümünde açıkladık.

• Aydınlatma Yükümlülüğü

Amrop olarak kişisel verileri elde ettiğimiz ve işlediğimiz süreçlerde Aydınlatma Yükümlülüğünün Yerine Getirilmesine Uyulacak Usul ve Esaslar Hakkında Tebliğ’ine uygun olarak, aydınlatma yükümlülüğünü ilgili süreçler özelinde ve en geç kişisel verilerin elde edilmesi anında yerine getirmekteyiz. Bu kapsamda ilgili kişileri aşağıdaki hususlarda aydınlatmaya özen göstermekteyiz:

• İlgili kişilerin kişisel verilerinin hangi amaçla işleneceği;
• Şirket bilgileri (ticari unvanı, adresi, iletişim kanalları), varsa Şirket temsilcinin/temsilcilerin kimliğine ilişkin bilgileri;
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği;
• Kişisel verileri elde etme yöntemi ve hukuki sebebi; ve
• İlgili kişilerin KVKK’dan doğan hakları.
  • Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Amrop olarak Veri Sorumlusu sıfatıyla kişisel veri işleme süreçlerimizde, kişisel verilerin gizlilik ve güvenliğini temin etmek, kişisel verilerin yetkisiz üçüncü kişilerin eline geçmesini veya erişimine açılmasını önlemek amacıyla gerekli tüm teknik ve idari tedbirleri almaktayız. Bu yükümlülüklerimize ilişkin olarak aldığımız teknik ve idari tedbirleri, işbu Politika’nın 9. bölümünde detaylandırdık. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hususlarında KVK Mevzuatı’na uygun hareket etmekteyiz. Kişisel verilerin imha edilmesine ilişkin süreçlerimize Politika’nın 8. bölümünde yer verdik. 

• İlgili Kişi Başvurularını Cevaplama Yükümlülüğü

Amrop olarak ilgili kişilerin tüm talep ve başvurularının en kısa sürede çözüme kavuşturulması ve ilgili kişiye cevap verilmesi süreçlerimizi KVK Mevzuatı çerçevesinde yürütmekteyiz. İlgili kişilerin bu Politika’nın 10. maddesinde açıklanan yöntemlerden biriyle başvurması halinde, KVKK’nın ilgili maddesi uyarınca ilgili kişilerin taleplerini, başvurunun kabul ve ret sebeplerini gerekçeleriyle birlikte açıklayarak, en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırmaktayız.

• Kişisel Verileri Koruma Kurulu Kararlarını Yerine Getirme Yükümlülüğü

Amrop olarak KVK Mevzuatı’nın önemli ve ayrılmaz bir parçası olan Kurul kararlarına uyum sağlamak için azami hassasiyeti göstermekteyiz. Kurumun internet sitesinde yayımlanan tüm veri sorumluları açısından bağlayıcı olan ilke kararları başta olmak üzere, Kurul’un tüm kararlarını yakından takip ederek kişisel verilerin korunması için Kurul tarafından öngörülen tüm teknik ve idari tedbirleri uygulamaya almak için tüm olanakları kullanmaktayız.

5. KİŞİSEL VERİLERİN İŞLENMESİ
   • Kişisel Veri İşleme Süreçleri

Operasyonlarımız çerçevesinde topladığımız ilgili kişilere ait kişisel verileri işbu Politika’nın devamında açıklanan hukuki sebeplere dayanarak işlemekteyiz.

• Kişisel Verileri İşleme İlkeleri

Amrop olarak Veri Sorumlusu sıfatıyla elde ettiğimiz kişisel verileri işlerken aşağıda belirtilen veri işleme ilkelerine uymaktayız:

• Hukuka ve dürüstlük kurallarına uygun olma: Tüm veri işleme faaliyetleri, mevzuata ve iyi niyet ilkelerine uygun şekilde, şeffaflıkla sürdürülür.
• Doğru ve gerektiğinde güncel olma: Kişisel verilerin doğru ve güncel olmasını temin edecek kanallar her zaman açık tutulur, ilgili kişilere işlenen kişisel verilerindeki yanlış ve eksiklerin düzeltilmesi için etkili başvuru yöntemleri sunulur.
• Belirli, açık ve meşru amaçlar için işlenme: Kişisel verilerin hangi amaçlarla işleneceği mevzuata ve hayatın olağan akışına uygun olarak belirlenir, bu amaçlar şeffaf ve anlaşılır bir biçimde ilgili kişilerin bilgisine sunulur.
• İşleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olma: Kişisel verilerin işlenme amacıyla ilgili olmayan veya ihtiyaç duyulmayan kişisel veriler işlenmez, muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyetleri yürütülmez. Elde edilen verilerin başkaca amaçlarla kullanılma ihtiyacının doğması halinde yeni bir veri işleme süreci gündeme gelir; söz konusu süreç, veri işlemeye ilk kez başlanıyor gibi KVKK’da öngörülen işleme şartları kapsamında gerçekleştirilir.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Kişisel verilerin saklanması için mevzuatta öngörülmüş bir süre varsa bu süreye uyulur; eğer mevzuatta böyle bir süre öngörülmemişse kişisel veriler sadece işleme amaçları için gereken süre boyunca saklanır.
  • Kişisel Verilerin İşlenmesi

Amrop olarak Veri Sorumlusu sıfatıyla elde ettiğimiz kişisel verileri KVKK’nın 5. maddesinin 2. fıkrasında belirlenen hukuki uygunluk nedenlerinden birinin bulunması halinde işler, bu nedenlerin bulunmaması halinde KVKK’nın 5. maddesinin 1. fıkrası uyarınca ilgili kişilerin açık rızalarına başvururuz. Kişisel verileri işlerken dayandığımız hukuka uygunluk nedenleri aşağıda açıklanmaktadır:

• Kişisel veri işlemenin kanunlarda açıkça öngörülmüş olması;
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin veya bir başkasının hayatı ve beden bütünlüğünü korumak için kişisel verilerin işlenmesi;
• Kişisel veri işlemenin, Amrop ile ilgili kişiler arasındaki bir sözleşmenin kurulması veya ifası için gerekli olması;
• Kişisel verilerin hukuki yükümlülüklerimizi yerine getirebilmek için işlenmesi;
• Kişisel verilerin, ilgili kişinin kendisi tarafından alenileştirilmiş olması;
• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması için işlenmesi; ve
• Kişisel veri işlemenin meşru menfaatlerimiz için zorunlu olması.

Bir veri işleme faaliyetinin Amrop’un meşru menfaatleri için zorunlu olup olmadığını tespit ederken Kurul’un 25.03.2019 tarihli ve 2019/78 sayılı kararında belirtilen kriterleri esas alarak bir değerlendirme yapmakta; bu değerlendirmeyi yaparken, ilgili kişinin temel hak ve hürriyetleri ile ortaya çıkacak meşru menfaati karşılaştırarak bir denge testi gerçekleştirmekteyiz.

Kişisel verilerin işlenebilmesi için yukarıda açıklanan hukuka uygunluk nedenlerinden en az birinin bulunmadığı hallerde ise, ilgili kişinin kişisel verilerinin işlenmesi için açık rızası doğrultusunda hareket etmekteyiz.

Açık rıza, KVKK’da “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmaktadır. Amrop olarak ilgili kişilerin açık rızalarını sorarken, aşağıdaki üç unsuru göz önünde bulundurmaktayız:

• Belirli bir konuya ilişkin olma: İlgili kişilerin açık rızası, spesifik veri işleme faaliyeti/faaliyetleri için sorulur ve rıza metinlerinin anlaşılır olması sağlanır.
• Bilgilendirmeye dayalı olma:Rıza metinleri ve aydınlatma metinleri birlikte/aynı kanal üzerinde sunulur, ilgili kişinin veri işleme faaliyetinin sonuçlarını anlaması temin edilir. Bu kapsamda öncelikle ilgili kişilere aydınlatma yapılır, sonra açık rızalarının bulunup bulunmadığı sorulur.
• Özgür iradeyle açıklanmış olma: İlgili kişilerin açık rızaları sorulurken iradesini sakatlayacak yanıltıcı ifadelerden kaçınılır; açık rıza vermek istemeyen ilgili kişilere alternatifler/reddetme hakkı tanınır.
  • Özel Nitelikli Kişisel Verilerin İşlenmesi

Amrop olarak özel nitelikli kişisel verileri Kurul’un 31.10.2018 tarihli ve 2018/19 sayılı kararı başta olmak üzere KVK Mevzuatı’nda öngörülen idari ve teknik tedbirleri alarak işlemekteyiz.

• Çerezler ve Tanımlama Teknolojilerinin Kullanımı 

Amrop internet sitesini ziyaret eden ilgili kişilerin internet sitesindeki deneyimlerini artırmak ve internet sitesinin en iyi şekilde çalışmasını sağlamak için çeşitli çerezler (cookie) kullanarak bir takım kişisel verileri işlemekteyiz. Çerezleri kullanarak, internet sitesi ziyaretçilerimize ve müşterilerimize en iyi deneyimi sunmayı hedeflemekteyiz. Söz konusu çerezler vasıtasıyla işlediğimiz kişisel verilere ilişkin olarak Amrop internet sitesine ilk giriş anında gerekli aydınlatmaları yaparak, ilgili kişilerin çerezlere ilişkin tercihlerini yönetmesine imkân tanımaktayız.

Çerezler ve çerezler vasıtasıyla işlediğimiz kişisel veriler hakkında detaylı bilgiler için: Çerez Politikası

• Kişisel Verilerin Güncellenmesi

KVK Mevzuatı’ndan doğan kişisel verileri tam, doğru ve güncel tutma yükümlülüğümüz kapsamında, ilgili kişilerin kişisel verilerini değiştirmesine ve düzeltmesine imkân tanıyacak mekanizmaları sağlamaktayız.

6. KİŞİSEL VERİLERİN AKTARILMASI

Amrop olarak verdiğimiz hizmetlerin temini amacıyla yurt içinde ve yurt dışında altyapı ve bilişim hizmet sağlayıcıları ile birlikte çalışmaktayız. Bu çerçevede ilgili kişilere ait kişisel verileri, “KVKK’nın Kişisel verilerin aktarılması” başlıklı 8. maddesi ve “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesinde altında yer alan hukuka uygunluk nedenlerinden herhangi birinin varlığı halinde ve yoksa ilgili kişilerin aktarıma yönelik açık rızası doğrultusunda yurt içinde ve yurt dışındaki üçüncü taraflara aktarmaktayız.

7. KİŞİSEL VERİLERİN SAKLANMASI

Amrop olarak işlediğimiz kişisel verileri, mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işlenmesinin amacının gerektirdiği süre boyunca saklamaktayız.

Bu doğrultuda kişisel veri işleme gerektiren süreçler kapsamında, faaliyeti gerçekleştiren birim tarafından işlenen veri için bir saklama süresi belirlemekte; kişisel verilerin birden fazla amaç ile işlenmesi halinde, kişisel verinin işleme amaçlarının hepsinin ortadan kalkması veya ilgili kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda verileri imha (silme, yok etme veya anonim hale getirerek saklama) etmekteyiz. Silme, yok etme veya anonim hale getirme hususlarında KVK Mevzuatı’na uygun hareket etmekteyiz.

8. KİŞİSEL VERİLERİN İMHA EDİLMESİ

Kişisel verileri, ilgili mevzuatta öngörülen veya işlendiği amaç için gerekli olan sürenin sona ermiş olması kaydıyla, ilgili kişinin talebi üzerine veya re’sen imha etmekteyiz. 

Aksi Kurul tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçmekte; ilgili kişinin kişisel verilerinin imha edilmesine ilişkin bir talebi olması halinde kişisel verilerin imhası için uygun olan yöntemi belirledikten sonra, ilgili kişiye bu durumu gerekçesiyle birlikte açıklamaktayız.

9. KİŞİSEL VERİLERİN GÜVENLİĞİ

Amrop olarak kişisel verilerin korunmasını sağlamak için gerekli teknik ve idari tedbirleri almaktayız. Örneğin, olası siber saldırıları tespit etmek ve önlemek için saldırı tespit ve önleme yazılımları ile veri kaybı önleme yazılımları kullanmakta, çalışanlarımızın kişisel verilere erişim yetkilerini belirlemekte ve sınırlamaktayız. Kişisel verilerin gizlilik ve güvenliğini temin etmek üzere aldığımız tedbirleri bu bölümde detaylandırdık.

• İdari Tedbirler

Amrop tarafından kişisel verilerin korunması için alınan idari tedbirlere aşağıda yer verilmektedir:

• Kişisel verilerin işlenmesi ve korunması hususunda erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya geçirilmiştir.
• Kişisel veri güvenliği Politika ve prosedürleri belirlenmiştir.
• Kişisel verilere ilişkin mevcut risk ve tehditler belirlenmiştir.
• Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Çalışanlar için veri güvenliğine ilişkin disiplin düzenlemeleri mevcuttur.
• Çalışanların, kişisel verilerin hukuka aykırı olarak ifşa edilmemesi ve paylaşılmaması gibi veri güvenliğine ilişkin konular hakkında belirli aralıklarla eğitim almaları ve çalışanlara yönelik farkındalık çalışmalarının yapılması sağlanmaktadır.
• Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri içeren elektronik olmayan ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren elektronik olmayan ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel verilerin gizliliğinin sağlanmasına yönelik olarak gizlilik taahhütnameleri yapılmaktadır.
• Kişisel veri aktarımı yapılan Veri Sorumluları ve Veri İşleyenler ile veri aktarım sözleşmeleri imzalanmaktadır ve Veri İşleyenler’in farkındalığı sağlanmaktadır.
• Kişisel verilerin hukuka aykırı olarak üçüncü kişiler tarafından elde edilmesi halinde bu durumu ilgili kişilere ve Kurul’a bildirmek için uygulanacak prosedürler belirlenmiştir.
• Özel nitelikli kişisel verilerin güvenliğine yönelik Politika ve prosedürler belirlenmiş ve uygulanmaktadır.
• Kişisel veri işleyen hizmet sağlayıcıların veri güvenliği konusunda farkındalıkları sağlanmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Teknik Tedbirler

Amrop tarafından kişisel verilerin korunması için alınan teknik tedbirlere aşağıda yer verilmektedir:

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği sağlanmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Erişim logları düzenli olarak tutulmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
• Şifreleme yöntemi kullanılmaktadır.
• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
• Sızma testi uygulanmaktadır.
• Siber güvenlik önlemleri alınmış olup, uygulanması sürekli olarak takip edilmektedir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Güncel anti virüs sistemleri kullanılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
  • Çalışanların Sorumlulukları

Amrop’un faaliyetleri kapsamında gerçekleştirilen veri işleme faaliyetlerinde veri işleyen çalışanlar, söz konusu kişisel veri işleme süreçlerinde işbu Politika’da anılan usul ve esaslar kapsamında aşağıda anılan hususlara dikkat etmekle yükümlüdürler:

• Kişisel veriye erişimi bulunan bütün çalışanlar işbu Politika ve kişisel verilerin korunmasına ilişkin ilgili diğer Politika ve prosedürler kapsamında belirtilen usul ve esaslara uygun hareket etmelidir.  
• Çalışanlar, KVKK’da belirtilen kişisel verilerin korunması ilkelerine uygun veri işleme faaliyetinde bulunmalıdır.
• Çalışanlar, ilgili kişinin kişisel verilerini elde ederken;
• Kişisel verilerin hangi amaçla işleneceği
• Veri Sorumlusu ve varsa temsilcisinin kimliğine ilişkin bilgiler
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
• Kişisel verileri elde etme yöntemi ve hukuki sebebi
• İlgili kişilerin KVKK’dan doğan hakları

hususlarında ilgili kişiye aydınlatma yapıldığından emin olmalıdır.

• Çalışanlar, açık rıza gerekmeksizin kişisel verilerin işlenmesi hallerinden biri söz konusu değilse, ilgili kişinin kişisel verilerini işlemeden önce açık rızasının alındığından emin olmalıdır.
• Çalışanlar, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek için her türlü teknik ve idari güvenlik tedbirlerinin alındığından emin olmalıdır.
• Çalışanlar, veri aktarımının, aktarım amacına uygun ve aktarım amacını aşmayacak şekilde yapılmasını sağlamalıdır.  
• Çalışanlar, veri aktarımı sırasında kişisel verilere yetkisiz kişiler tarafından erişilmediğinden emin olmalıdır.
• Çalışanlar, veri işleme faaliyetini gerekli kılan amaçlar kapsamında ve bunların sınırları aşılmadan veri işleme faaliyetinde bulunmalıdır.
• Çalışanlar, bir kişisel veri ihlalinin farkına varmaları durumunda, Şirket içindeki yetkili kişileri derhal bilgilendirmelidir.

10. İLGİLİ KİŞİ HAKLARI

KVKK’nın 11. maddesi, ilgili kişilerin kişisel verilerine ilişkin haklarını düzenlemektedir. Bu haklar aşağıdaki şekildedir:

• Amrop’un kişisel verilerini işleyip işlemediğini öğrenme;
• Amrop kişisel verileri işliyorsa, veri işlemeye dair bilgi talep etme;
• Amrop’un kişisel verilerini işleme amaçlarını ve kişisel verileri amacına uygun kullanıp kullanmadığını öğrenme;
• Kişisel verilerinin üçüncü kişilere aktarılıp aktarılmadığını öğrenme; aktarılıyor ise yurt içi veya yurt dışında aktarıldığı üçüncü kişileri öğrenme;
• Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde düzeltilmesini isteme ve bu kapsamda yapılan işlemi -var ise- kişisel verilerin aktarıldığı üçüncü kişilere de bildirmesini isteme;
• KVKK ve ilgili mevzuata uygun olarak işlenmiş olan kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemi -var ise- kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme;
• İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir sonucun ortaya çıktığı durumlar var ise bunlara itiraz etme; ve
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle ilgili kişinin zarara uğraması hâlinde, zararın giderilmesini talep etme.

Yukarıda yer verilen haklarınızı kullanmak için taleplerinizi:

• Sistemimizde kayıtlı olan veya olmayan e-posta adresinizi kullanarak contact@amrop.com.tr uzantılı e-posta adresine;
• Kayıtlı elektronik posta (KEP) adresiniz aracılığıyla amropgogus@s01.kep.tr adresine; veya
• Kimliğinizi tevsik edici belgeler eşliğinde yazılı olarak, Esentepe Mahallesi, Büyükdere Caddesi 175 Ferko Signature Binası Kat: B4 /Ofis No: 9-10 Levent, Şişli, İstanbul adresine

iletmenizi rica ederiz.

11. POLİTİKA’NIN GÜNCELLENMESİ

İşbu Politika, Amrop tarafından ihtiyaç duyuldukça gözden geçirilir ve gerektiğinde güncellenir.

Bunun dışında KVK Mevzuatı’nda değişiklikler yapılması halinde, Politika güncellenmemiş olsa dahi ilgili mevzuattaki değişiklikler derhal uygulanır.