Politika Hakkında
Amaç
Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) amacı, Gemius’un mevcut ve potansiyel müşterileri, iş ortakları, ziyaretçileri, pay sahipleri, şirket yöneticileri, çalışan adayları, işbirliği içinde bulunulan kurum çalışanları ve yetkilileri ile ilgili üçüncü kişilere ait kişisel verilerin işlenmesi hususundaki ilkelerin tespiti kişilerin temel hak ve özgürlüklerinin korunması, söz konusu kişisel verilerin kanuna ve hukuka uygun işlenmesi kapsamında gerekli hak ve yükümlülüklerin belirlenmesi, Gemius çalışanları nazarında kişisel verilerin korunması ve veri mahremiyeti konusunda farkındalık yaratılması, Anayasa’nın 20’nci maddesi hükmü ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (‘’Kanun’’) ile bu Kanun’un ikincil düzenlemeleri başta olmak üzere ilgili mevzuata uyum sağlanması ve bu doğrultuda gerekli önlemlerin alınmasından ibarettir.
Kapsam
Oluşturulan politika Kanun’un “ Kişisel Veri” tanımında yer alan, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilecek nitelikteki her türlü bilgi ve belgeyi ve bunlarla ilgili alınan önlemleri ve yapılan düzenlemeleri kapsar.
Tanımlar
Bu Politika’da yer alan terimler, aşağıda yer verilen anlamları ifade eder.
Tanım | Açıklama |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlübilgi Bu doğrultuda, tüzel kişilere ait veriler Kanun kapsamında koruma altına alınmamıştır. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim Hâle Getirme | Kişisel verilerin, başka verilerle eşleştirilerek kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kurum | Kişisel Verileri Koruma Kurumu |
Şirket | Gemius Araştırma ve Danışmanlık Ltd. Şti |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Kişisel Verileri İşleme Prensipleri
Gemius kişisel verileri, aşağıdaki ilke ve prensipler çerçevesinde elde eder, işler ve üçüncü kişilere aktarır. Bu ilkelerin uygulanmasından tüm Gemius ilgilileri doğrudan sorumludur.
Gemius’nın Kişisel Verileri İşleme İlkeleri
Gemius tarafından kişisel veriler gerekli özen gösterilmek suretiyle hukuka uygun ve meşru bir amaca yönelik olarak elde edilir, işlenir ve güvenli bir şekilde muhafaza edilir. Kişisel verinin işlenme amacı ortadan kalktığında ya da amaç nihayete erdiğinde işbu Politika ile bağdaşır nitelikte uygun bir yöntemle anonimleştirilir veya silinir/yok edilir.
Gizlilik
Gemius bünyesinde kişisel verilerin işlenmesi süreçleri gizlilik prensipleri gereğince yürütülmektedir. Bu kapsamda Gemius,kişisel verilere yetkisiz her türlü erişimi teknik ve fiziki her türlü olanak elverdiği ölçüde engeller ve mümkün olan her türlü teknik ve idari tedbiri bünyesinde uygular. Buna ilişkin denetimleri periyodik olarak gerçekleştirir.
Yasallık
Gemius kişisel verileri kanunlarda öngörülen sınırlar çerçevesinde anonimleştermek şartıyla raporlama amacaıyla işler. Gemius, kişisel verilerin kullanılması amaçlarından ilgili kişileri haberdar ederve gerekmesi halinde ilgili kişilerin kanun kapsamındaki rızalarını alır.
Güncellik ve Doğru Olma
Gemius tarafından kişisel veriler tam ve doğru tutulur, gerektiğinde güncellenir. Gemius, kişisel verilerin doğru olmadığı veya yetersiz olan verilerin düzeltilmesi, değiştirilmesi, güncellenmesi veya silinmesini tespit etmek amacıyla gerekli düzenlemeleri yapar.
Belirlilik ve Şeffaflık
Belirli, açık ve meşru amaçla verilerin işlenmesi ilkesi; Gemius’un veri işleme amacını açık ve kesin olarak belirlemesini ve bu amacın meşru olmasını sağlamaktadır. Gemius, ilgili kişiye şeffaf kıldığı veri toplama ve işleme amaçları haricinde, başkaca amaçlarla veri işlemez. Amacın meşru olması Gemius’nın işlediği verilerin; yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve gerekli olması anlamına gelir.
Özen, Ölçülülük ve Tutarlılık
Gemius tarafından işlenen kişisel veriler, yalnızca veri alınırken belirtilen amaç ile tutarlı olacak şekilde ve bu bağlamda işin gerektirdiği bir sınırlama yapılarak işlenir. Gemius ileride söz konusu olabilecek belirsiz veri işleme amaçları için kişisel veri toplanmayacağı gibi, kişisel verilerin elde edilme amacına uygun olmayan hiçbir şekilde bu veriler kullanılmaz, işlenmez ve aktarılmaz.
Minimum veri ilkesi uyarınca kişisel veriler, elde edilme amacıyla sınırlı ve ölçülü olarak tutulmakta olup bu amaç kapsamında gerekli olmayan veriler tutulmaz.
Sınırlı Süre
Gemius tarafından işlenen verilere ilişkin süreler belirlenerek tutulmaktadır. Kişisel verilerin işlenmesini gerektiren esas amacın ortadan kalkması ve artık bu verilere ihtiyaç duyulmaması hâlinde söz konusu kişisel veriler silinir. Kanunlarda verilerin tutulmasına ilişkin sürelerin öngörülmesi hâlinde ise bu veriler, ilgili mevzuatta öngörülen sürelere uygun olacak şekilde muhafaza edilir; mevzuatta öngörülen sürenin dolmasından sonra ise bu veriler, Gemius tarafından verilerin saklandığı sistemlerden/cihazlardan veya fiziksel olarak bulunduğu ortamlardan silinir/yok edilir veya anonimleştirilir.
Seçim ve Onay
Gemius, kişisel verilerin işlenmesi ile ilgili olarak veri sahibini tam ve gereği gibi bilgilendirir. Gereken durumlarda, veri sahibinin söz konusu işleme ile ilgili olarak onayını alır, vermiş olduğu onayı dilediğinde geri çekme veya verileri ile ilgili talepte bulunma seçeneği sunar. Bununla ilgili olarak Gemius çerçevesinde Kişisel Veri Başvuru Prosedürü oluşturulmuş olup, bu çerçevedeki esaslara göre Gemius işlem yapmaktadır.
Kişisel Verilerin Hukuka Uygun Olarak İşlenmesi
Gemius kişisel verileri ve özel nitelikli kişisel verileri hukuka uygun olarak işlemek amacıyla ilgili kişininaçık rızasının varlığını arar, açık rıza olmayan hallerde ise kişisel verileri ancakhukuka uygun işleme nedenlerinin bir veya birden fazlasının bulunması hâlinde işler.
Kişisel Verilerin İşlenme Amaçları
Gemius tarafından toplanılan kişisel verilerile özel nitelikli kişisel veriler şeffaflık ve açıklık ilkesi uyarınca, aşağıda belirtilen iki ana amaç çerçevesinde işlenmektedir;
a) İşletme faaliyetlerimizin yerine getirilmesi
Anonim olarak alınan veriler sonrası dijital raporlama hizmeti
b) İç denetim mekanizmasının çalıştırılarak şirket içi bilgi güvenliğini sağlamak
Kişisel Verilerin Aktarılması
Kişisel Verilerin işlenmesine yönelik prensipler, kişisel verilerin aktarılmasında da uygulanır. Gemius, aşağıda belirtilen amaçların gerçekleştirilmesi için gerekli ve zorunlu olması hâlinde üçüncü kişilere veri aktarabilir;
- Kanun ya da düzenlemeler uyarınca öngörülen yükümlülüklerin yerine getirilmesi,
- Mahkeme kararı veya düzenleyici ve denetleyici kamu kurumu kararı/talimatının yerine getirilmesi,
- İdari ve teknik tedbirlerin ve de altyapı güvenliğinin sağlanması ve
- Hukuki uyuşmazlık hâlinde Gemius’nın haklarının korunması.
Gemius, üçüncü kişilere aktarım amacı ile sınırlı olacak şekilde kişisel veri aktarır ve buna ilişkin gerekli önlemleri alır. Bu konuda Gemius Veri Sorumlusu sıfatıyla Aktarılan Alıcı Grubu olan 3. Kişiler nezdinde denetleyici konumdadır.
Gemius tarafından kişisel veriler, kişisel verilerin işlenmesi amaçları ile paralel olmak üzere, ilgilinin açık rızasının veya hukuka uygunluk nedenlerinin bir veya birkaçının bulunması hâlinde Gemius tarafından; Gemius’nın iştiraklarına, yetkili temsilcilere, 3.kişi şirketlere, dijital ölçümleme konusunda otorite olan tüzel kişiliklere, resmi kurum ve kuruluşlara, hizmet sağlayıcılara, çağrı merkezi hizmeti veren şirketler gibi hizmetlerinden faydalandığımız veya işbirliği içerisinde olduğumuz üçüncü kişilere aktarılır.
Kişisel verilerin aktarıldığı üçüncü kişiler, aktarılan kişisel verileri aktarım amacının dışında kendi kişisel veya ticari amaçları doğrultusunda kullanamaz ve işleyemez. Kişisel verilerin aktarıldığı üçüncü kişiler, Gemius tarafından verilen talimatlara uymakla ve veri güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almakla yükümlüdür.
Aktarımın yurt dışına yapılması hâlinde ise, kişisel verilerin işlenmesi için gerekli olan şartlar ve bu şartlara ilaveten Kurul’un belirleyeceği yeterli koruma olan ülkelere, bu şekilde bir koruma bulunmuyorsa Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması halinde Gemius kişisel verileri yurt dışına aktarabilir.
Yükümlülüklerimiz
Aydınlatma Yükümlülüğü
Gemius kişisel verileri elde etmesi anında ilgili kişilere
- Veri sorumlusu ve varsa temsilcisinin kimliği,
- Kişisel verilerin işlenme amacı,
- Kişisel verilerin aktarılacağı kişiler ve aktarım amaçları ve
- Kişisel verilerin toplanma yöntemi, hukuki nedeni ve aşağıda madde 4.5’te belirtilen ilgili kişinin hakları hakkında bilgi verir.
Veri Güvenliğine İlişkin Yükümlülükler
Teknik Tedbirler: Gemius yetkisiz erişimi, veri açığı ve hukuka aykırı erişimi engellemek ve kazara veri kaybı, değişikliği ve imhasının önüne geçebilmek için gerekli teknik tedbirleri olanaklar dâhilinde alır. Söz konusu yükümlülük, hem elektronik ortama hem de fiziksel ortama ilişkindir. Bu kapsamda Gemius ,tasarımda gizlilik gözetilerek teknik prosedür ve kurallar belirlerve bunları belirli sıklıklarda gözden geçirir. Gemius, bu kapsamda gerçekleşebilecek mevcut riskleri göz önünde bulundurarak ve güncel teknolojiyi takip ederek şifreleme, maskeleme, anonimleştirme gibi güvenlik tedbirlerinin uygulanmasını sağlar.
İdari Tedbirler: Gemius çalışanları, kişisel verilere, yalnızca söz konusu görevin kapsam ve amacına uygun olacak şekilde erişebilir. Çalışanların erişimi olan kişisel verileri, kişisel veya ticari amaçlar gözeterek işleyemeyeceği gibi; bu amaçlarla kişisel verileri yetkisiz kişilere açıklayamaz veya bu bilgileri ifşa edemez. Gemius Çalışanlar için İşyeri Yönetmeliğinde Yönetim Kurulu kararı ile Personel Yönetmeliği’nde değişikliğe giderek Kişisel Verilerin İşlenmesindeki Esasları belirlemişlerdir. Bu Yönetmelik hükümleri Gemius Çalışanları açısından iş sözleşmeleri niteliğinde olup aykırılık halinde yaptırımlarla karşılaşılacağı öngörülmektedir.
Gemius, çalışanlarını, iş amaçları gereği elde ettikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacağı ve işleme amacı dışında kullanmayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hususlarında bilgilendirir.
Veri Sorumluları Sicili
Gemius, ilgili mevzuat gereği kurulan veri sorumluları siciline yükümlülüğü olması halinde kaydolacaktır.
İlgili sicil kapsamında aşağıdaki bilgiler yer alır; Kişisel Veri Güvenliği Envanteri ve Veri İmha ve Saklama Prosedürü ikincil mevzuatlar gereğince Veri Sorumluları Sicili’ne sunulacaktır.
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri
- Kişisel verilerin hangi amaçla işleneceği
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Kişisel veri güvenliğine ilişkin alınan tedbirler
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süre
Denetim Yükümlülüğü
Gemius, kendi kurum veya kuruluşlarında ve veri aktarımı yaptığı üçüncü kişiler nezdinde kişisel verilerin korunması yönündeki Gemius ilkeleri ile mevzuat gereklerini sağlamak amacıyla belirli aralıklarla, özellikle teknik ve idari tedbirlere ilişkin gerekli denetimleri yapmaktadır.
İlgili Kişinin Başvurusuna Cevap Verme Yükümlülüğü
Veri sahibi ilgili kişiler Gemius’a başvurarak kendileriyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
f) Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Bu kapsamda Gemius söz konusu başvurulara en geç otuz gün içinde dönüş yapar. Söz konusu başvurunun ayrıca bir maliyet gerektirmesi hâlinde Gemius, başvurunun sonuçlandırılması için Kurul’un belirleyeceği tarifede bir ücret alabilir. . Bu esaslar Gemius Başvuru Prosedüründe belirlenmiştir. İlgili kişinin kişisel verisinin işlenmesi açık rızaya dayanıyor ise, ilgili kişinin açık rızasını geri çekmesi halinde Gemius gerekli adımları atar.
Kişisel verilerin işlenmesi faaliyetlerinde yürürlükteki mevzuata tam uyumluluk hedefiyle Gemius tarafından hazırlanarak yürürlüğe giren işbu Politika, Gemius Yönetim Kurulu’nun (*) tarihli kararı ile yürürlüğe girmiştir.