SETCARD KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ, SAKLANMASI VE İMHASI POLİTİKASI
1. POLİTİKANIN AMACI
Bu politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun”) ve bu kanuna dayalı olarak çıkarılmış olan 28.10.2017 tarihli Resmi Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (“Yönetmelik”) 5. ve 6. maddeleri ve ilgili diğer mevzuat gereği kişisel verilerin saklanması ve korunması, kişisel verilerin hukuka uygun bir biçimde işlenmesi, şirket personeli, yetkililer, ziyaretçiler, kullanıcılar, işbirliği içinde olduğumuz kurum ve yetkililer ile üçüncü kişiler başta olmak üzere; kişisel verileri şirketimiz tarafından verileri işlenen kişileri bilgilendirerek/bilgilendirilmesi sağlanarak şeffaflığın sağlanması, işlenmiş olan kişisel verilerin, saklanması için geçerli sebeplerin mevcudiyetinin kontrol edilmesi ve saklanması için geçerli sebep ortadan kalkmış olan kişisel verilerin imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için şirket genelinde uygulanacak kurallar ile rol ve sorumlulukları belirlemek amacıyla veri sorumlusu sıfatıyla SET KURUMSAL HİZMETLER TİC. A.Ş. (“SETCARD” ya da “Şirket”) tarafından hazırlanmıştır.
2. POLİTİKANIN KAPSAMI
Politika şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri, tüm şirket çalışanlarını, yöneticilerini, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda; grup şirketlerini, iştiraklerini, dış hizmeti sağlayıcılarını ve şirketin https://www.setcard.com.tr alan adlı internet sitesi ile mobil uygulaması vb. yollarla hizmetlerinden yararlanan kullanıcılar ile sair sebeplerle hukuki ilişkiye girdiği gerçek ve tüzel kişileri kapsamaktadır. Bu politika Yönetim Kurulu tarafından imzalandığı tarihte yürürlüğe girecektir. Politika, yasal değişiklikler, SETCARD’ın Kişisel Verileri işleme süreçlerinde meydana gelecek değişiklikler veya sair sebeplerle zaman zaman güncellenebilir. Güncellemeler yeni Politika’nın Web Sitesi’nde yayını tarihinden itibaren geçerli olur.
Politika, Kanun’da belirtildiği şekilde, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır. İstatistiki değerlendirmeler veya çalışmalar için elde edilen veriler gibi anonim hale gelmiş ve tanımlanamayan veri ve tüzel kişilere ilişkin veriler, kişisel veri olarak kabul edilmemektedir ve işbu Politika’ya tabi değildir.
3. SORUMLULUKLAR
Bu dokümanın hazırlanmasından, uygulatılmasından ve güncellenmesinden Yönetim Kurulu sorumludur.
4. TANIMLAR
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri Saklama Tablosu |
Kişisel verilerin şirket nezdinde tutulacağı süreleri gösteren tablo. |
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin Silinmesi |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik imha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
Kanun/KVKK |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Yönetmelik |
28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Kurul |
Kişisel Verileri Koruma Kurulu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Başvuru Formu |
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca kişisel veri sahiplerinin sahip oldukları hakları kullanmak için gerçekleştirecekleri başvurularında kullanacakları form. |
5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
5.1.Kişisel verilerin korunması, Şirketimizin en önemli öncelikleri arasındadır. Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Şirketimiz, işbu politika ile yönetilen; müşterilerin/kullanıcıların, ziyaretçilerin, personellerin, çalışan adaylarımızın, yetkililerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket politikası haline getirmektedir.
Kanun’un 4. Maddesi uyarınca Kişisel Veriler ancak Kanun’da veya diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel Verilerin işlenmesi sırasında bir takım ilkelere uyulması ise aynı madde ile zorunlu tutulmuştur. Bu kapsamda, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için Şirketimiz tarafından gereken idari ve teknik tüm tedbirler alınmaktadır. Politikanın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metni dikkate alınmalıdır.
Bu politikada kişisel verilerin işlenmesinde Şirketimizin benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:
5.1.1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
5.1.2. Kişisel verileri doğru işleme ve gerektiğinde güncel tutma,
5.1.3. Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
5.1.4. Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
5.1.5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
5.1.6. Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
5.1.7. Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
5.1.8. Kişisel verilerin muhafazasında gerekli tedbirleri alma,
5.1.9. Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
5.1.10. Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme.
5.1.11. Kişisel verilerin saklanma amaçlarının ortadan kalkması durumunda mevzuat uyarınca imha etme.
6. POLİTİKA VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi, korunması ve imhası konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Politika ilgili mevzuat tarafından ortaya konulan kuralların Şirketimiz uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur. Şirketimiz, KVKK’da öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.
7. POLİTİKANIN YÜRÜRLÜĞÜ
Şirketimiz tarafından düzenlenen bu politika 01.01.2018 tarihlidir. Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda politikanın yürürlük tarihi güncellenecektir. Politika Web Sitesi’nde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
8. KİŞİSEL VERİ KAYIT ORTAMLARI
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.
SETCARD tarafından toplanan Kişisel Veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak çeşitli ortamlara kaydedilebilmektedir. SETCARD Kişisel Verileri, ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır.
Elektronik ortamlar: yazılım, bulut, merkezi sunucu, taşınabilir medya, veri tabanı gibi ortamlara
Fiziksel ortamlar:
• Birim Dolapları
• Arşiv
• Kağıt
• Ağ cihazı, flash tabanlı ortamlar, manyetik bant, manyetik disk, mobil telefon, optik disk, yazıcı, kapı geçiş/güvenlik sistemi gibi çevresel sistemlere kaydedebilmektedir.
9. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
SETCARD; bu Politika’nın, Kanun’un ve ilgili sair mevzuatın düzenlemelerine uygun olarak, yazılı, sözlü, elektronik yollardan, görüntü/ses kaydı yoluyla veya fiziksel olarak Veri Sahibi ile karşı karşıya gelmek suretiyle kişisel verileri toplamakta ve işlemektedir.
Veri toplama süreci; i) Web Sitesi, Uygulamalar, e-posta, işe alım portalları dahil üçüncü şahıslara ait dijital mecralar veya bir yazılım üzerinden; ii) sözleşmeler, başvurular, formlar, çağrı merkezi, uzaktan destek, satış ve pazarlama birimi, Web Sitesi’ndeki çerezler, kartvizit, telefon gibi vasıtalar aracılığıyla; veya iii) Veri Sahibi ile yüz yüze yapılan görüşmeler aracılığıyla gerçekleşebilmektedir.
10. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
SETCARD, Kişisel Verileri belli, açık ve meşru amaçlarla işlemektedir. Bu kapsamda Kişisel Veriler aşağıda sayılan amaçlarla işlenebilmektedir:
- Web sitesi, pos cihazları ve mobil uygulama üzerinden verilen hizmetlerin sunulabilmesi ve değiştirilmesi,
- Sunulan ürün ve hizmetlerin taleplere uygun olarak özelleştirilmesi; müşteri ihtiyaçları, yasal ve teknik gelişmeler sebebiyle güncellenmesi, geliştirilmesi,
- Sunulan ürün ve hizmetler özelinde, sistemlere kullanıcı tanımlamalarının yapılması,
- Yeni veya mevcut ürün, hizmet ve kampanyaların duyurulması, satış ve pazarlama faaliyetlerinin yürütülmesi,
- Pazar araştırması yapılması,
- İstatistik oluşturulması ve kullanımların analiz edilmesi,
- Ürün, hizmet ve servis bedellerinin ödenmesi, tahsil edilmesi, tahsilat yönteminin seçilmesi,
- Web sitesi ve mobil uygulama üzerinden verilen ve bunların dışında kalan diğer hizmetlerin gerçekleştirilmesi ile ilgili mevzuattan doğan bilgilendirme yükümlülüğünü yerine getirme,
- Şirket web sitesinin ve verilerin işlenme amacına uygun ürün ve hizmetlerin reklamlarının İlgili Kişi’ye iletilmesi, ürün, hizmet, tanıtım ve kampanyaları hakkında bilgi verilmesi,
- SETCARD ürün ve hizmetlerinin kullanımı sırasında karşılaştığı sorunların çözümünü sağlamak,
- Web sitesindeki ziyaret, kullanım, sayfalar arasında geçiş ve satın alma deneyimlerini iyileştirme, daha kaliteli hizmet verme,
- Kullanıcı ve/veya müşterilerle irtibat/iletişim sağlanması,
- İşbirliği yapılan firmalar, tedarikçiler, yeniden satıcılar ve hizmet alınan firmalarla olan ticari ilişkilerin yürütülmesi,
- İşbirliği çerçevesinde raporlama yapılması,
- Şirketin ticari stratejilerinin geliştirilmesi ve planlarının yapılması,
- Şirket tarafından memnuniyet ölçümü anketleri için iletişim kurulması,
- SETCARD tarafından düzenlenen etkinliklerde/yarışmalarda katılımcı kaydının oluşturulması, ödül/hediye sahiplerinin belirlenmesi ve ödül/hediyelerin teslimi,
- Adli/idari süreçlerin yönetimi, kamu kurum kuruşlarından gelen taleplere cevap verilmesi,
- Yasal düzenlemelere bağlı olarak hukuki yükümlülüklerin yerine getirilmesi, hukuki uyuşmazlıkların çözümlenmesi,
- Şirketin başka bir şirket ile birleşmesi, bölünmesi, tamamının veya bir kısmının devredilmesi halinde bu hukuki işlemden doğan sonuçların temin edilmesi,
- Sosyal medya paylaşımlarında Şirket çalışanların, Gerçek Kişi Müşterilerin, İlgililerinin tanıtılması,
- İş görüşmelerinin yürütülmesi, iş başvurularının değerlendirilmesi,
- İş ilişkisinin/sözleşmesinin kurulması, yürütülmesi ve sonlandırılması,
- Çalışanlara kullanıcı hesabı açılması,
- Şirket adına bir organizasyona katılım olması durumunda, katılımcı kaydının oluşturulması,
- Çalışanların eğitimlere katılım ve sertifika kayıtlarının oluşturulması,
- Şirket Web Sitesi’nin, yemek kartlarının ve mobil uygulamanın güvenliğinin sağlanması,
- Web Sitesi’nin kullanım analizi,
- Kişisel veri envanterinin oluşturulması,
- Kişisel verilere ilişkin olanlar dahil, yazılı, sözlü veya elektronik olarak iletilen tüm soru, talep, öneri, şikayet ve başvuruların değerlendirilmesi, bunlara cevap verilmesi.
11. KİŞİSEL VERİLERİ İŞLEME FAALİYETİNİN ŞARTLARI
Kişisel Verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Veriler, Kanun’un 5. maddesi uyarınca Veri Sahibinin açık rızası olmaksızın işlenemez. Ancak yine aynı maddenin düzenlemesi gereği; aşağıdaki şartlardan birinin varlığı hâlinde, Veri Sahibinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi: Örn; SGK/Vergi Dairesi talebi üzerine çalışanların maaşıyla ilgili bilgilerin sunulması.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Örn; yapılan sözleşme gereği paranın ödenmesi için alacaklı tarafın banka ve hesap bilgilerinin alınması, mesafeli satış sözleşmesine konu ürünün teslimi için alıcının ad-soyad, adres bilgilerinin kargo firması ile paylaşılması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Örn; çalışana maaş ödenebilmesi için, çalışanın banka ve hesap bilgilerinin alınması, evli olup olmadığının, bakmakla yükümlü olduğu kişilerin, eşinin çalışıp çalışmadığının ve sosyal sigorta bilgilerinin sorulması.
- İlgili kişinin [Veri Sahibinin] kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanıl veya korunması için veri işlemenin zorunlu olması:
Örn; kullanıcının kart bloke talebinin yerine getirilebilmesi için.
- İlgili kişinin [Veri Sahibinin] temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması:
Örn; çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları veya sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağıtımında esas alınmak üzere çalışanların kişisel verilerinin işlenmesi.
12. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
KVKK ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Şirketimiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.
Kanun’un 6. maddesi uyarınca özel nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak yukarıda sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde Veri Sahibinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli Kişisel Verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
13. KİŞİSEL VERİLERİN AKTARILMASI
13.1. Kişisel Verilerin Yurt İçinde Aktarılması
Kanun’un 8. maddesi uyarınca Kişisel Veriler kural olarak, Veri Sahibinin açık rızası olmaksızın üçüncü kişilere aktarılamaz. Ancak Politika’nın 11. maddesinde belirtilen, Veri Sahibinin açık rızası aranmayacak hallerden birinin mevcut olması halinde Kişisel Verilerin, Veri Sahibinin açık rızası olmaksızın yurt içinde üçüncü kişilere aktarımı mümkündür.
13.2. Kişisel Verilerin Yurt Dışına Aktarılması
Kanun’un 9. maddesi uyarınca Kişisel Veriler kural olarak, Veri Sahibinin açık rızası olmaksızın yurtdışına aktarılamaz. Ancak aşağıda belirtilen hallerden birinin mevcut olması halinde Kişisel Verilerin, Veri Sahibinin açık rızası aranmaksızın yurt içinde üçüncü kişilere aktarımı mümkündür:
- Bu Politika’nın 11. veya 12.maddesinde belirtilen, Veri Sahibinin rızasının aranmayacağının belirtildiği halleden birinin mevcut olması,
- Kişisel Verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması,
- Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması.
Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. Kişisel Veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya Veri Sahibinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
13.3. Kişisel Verilerin Aktarılabileceği Üçüncü Kişiler
SETCARD Kişisel Verileri, bu Politika’nın 10. maddesinde belirtilen amaçlarını gerçekleştirmek için, Kanun’un 8. ve 9. maddelerine uygun olarak, yurtiçinde veya yurtdışındaki, gerçek veya tüzel kişi olabilecek, aşağıda belirtilen üçüncü kişilere aktarabilmektedir:
• Danışmanlar
- Denetim Firmaları
- Hizmet Alınan Firmalar
- İşbirliği Yapılan Firmalar
- Müşteriler
- Tedarikçiler
- Teknopark Yönetimi (Yönetici Şirket)
- Bankalar ve Finans Kuruluşları
- Yargısal Merciler ve Kamu Otoriterleri
14. İŞLENEN KİŞİSEL VERİLER
SETCARD tarafından Kişisel Verileri işlenebilecek gerçek kişiler aşağıda detaylı olarak açıklanmış ve kategorize edilmiştir.
Veri Sahibi-Açıklamalar
Başvuran: Kişisel verilere ilişkin olanlar dahil, yazılı, sözlü veya elektronik olarak SETCARD’a başvurarak soru, talep, öneri, şikayet, başvuruları ileten gerçek kişileri ifade eder. Bu kategorizasyonda belirtilen diğer veri sahipleri de başvuran olabilir.
Çalışan: Bir iş sözleşmesine bağlı olsun olmasın SETCARD bordrosunda/adına çalışan kişileri ifade eder.
Gerçek Kişi Müşteri: Bir sözleşmeye bağlı olsun olmasın SETCARD tarafından sunulan ürün, servis veya hizmetlerden faydalanan veya faydalanması değerlendirilen ya da görüşülen gerçek kişiyi ifade eder.
Kart/Mobil Uygulama/Web Sitesi Kullanıcısı: Bir sözleşmeye bağlı olsun olmasın SETCARD tarafından sunulan ürün, servis veya hizmetlerden faydalanan veya faydalanması değerlendirilen gerçek kişiyi ifade eder.
Gerçek Kişi Tedarikçi: SETCARD tarafından ürün, servis ve/veya hizmetlerin sunulabilmesi için gerekli bir mal veya hizmeti sağlayan gerçek kişileri ve şahıs şirketlerini ifade eder.
Hizmet Alınan Gerçek Kişi Firmalar: Bir sözleşme kapsamında olsun olmasın, SETCARD’a hizmet sunan, gerçek kişileri tanımlar. Alt yükleniciler de bu kapsamda değerlendirilir.
İşbirliği Yapılan Gerçek Kişi Firma: SETCARD ile birlikte belli bir işin yapılmasını birlikte üstlenen gerçek kişi tacirleri ifade eder.
İşbirliği Yapılan Firma İlgilileri: SETCARD’ ın işbirliği yaptığı gerçek veya tüzel kişilerin, pay sahibi/ortaklarını, yetkililerini ve çalışanlarını ifade eder.
Katılımcı: SETCARD tarafından düzenlenen etkinlik, yarışma, eğitim gibi faaliyetlere katılan gerçek kişileri ifade eder.
Müşteri İlgilileri: SETCARD’ın gerçek veya tüzel kişi müşterilerinin, pay sahibi/ortaklarını, yetkililerini, çalışanlarını; bayi ve acentelerini; bayi/şube çalışanlarını ifade eder.
Potansiyel Çalışan: SETCARD bünyesinde istihdam edilmek veya stajını(zorunlu/isteğe bağlı) yapmak üzere SETCARD’a özgeçmişini ileten kişileri ifade eder.
Şirket Yetkilisi: SETCARD’ın üst düzey yönetiminde yer alan ve/veya SETCARD’ı temsile yetkili gerçek kişileri ifade eder. Yönetim kurulu üyeleri bu kapsamda değerlendirilir.
Tedarikçi İlgilileri: SETCARD’ ın gerçek veya tüzel kişi tedarikçilerinin pay sahibi/ortaklarını, yetkililerini ve çalışanlarını ifade eder.
Ziyaretçi: SETCARD internet sitesine/mobil uygulamasına giriş yapan, kullanan, verilerini buraya kaydeden, Web Sitesi ve/veya mobil uygulama üzerinden verilerini sunan veya verileri Web Sitesi kullanım koşullarına uygun olarak toplanan gerçek kişi ziyaretçileri ifade eder.
Bina Ziyaretçisi: SETCARD genel müdürlük binasına veya şubelerine gelen ve burada işlem yapan, bu ziyaret sırasında kişisel verileri alınan gerçek kişilerdir.
15. KİŞİSEL VERİLERİN GİZLİLİĞİ VE GÜVENLİĞİ
SETCARD, Kişisel Verilerin gizliliğine ve güvenliğine önem vermekte, Kişisel Verileri korumak için Kanun’un ve ilgili mevzuatın öngördüğü ölçüde hukuki, teknik ve idari tedbirler almaktadır.
15.1. Kişisel Verilerin Saklanmasını Ve İmhasını Gerektiren Sebepler
15.1.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ve Diğer Sebepler
Kişisel verilerin esas toplanma amacının veya varsa, bu Politikada belirtilen ikincil işleme dayanağının ortadan kalkması halinde Kişisel Veriler, SETCARD tarafından;
• SETCARD’ın doğmuş ya da doğabilecek yasal sorumluluklarını yerine getirebilmesi amacı ile ve kanunlarda öngörülen ölçülere ve/veya emredilen sürelere uygun olarak,
• Silinmesi ve/veya anonimleştirilmesi öngörülen veriler ise; iş sürekliliği, veri kaybının önlenmesi ve veri koruma amacıyla yedek/arşiv ve benzeri ortamlarda erişime hazır (“canlı”) olmayan şekilde,
• Silme, yok etme veya anonimleştirme yolu ile imha edilecek veriler ise en geç bir sonraki periyodik imha tarihine kadar saklanmaya devam edilecektir.
15.1.2. Kişisel Verilerin İmhasını Gerektiren Hukuki, Teknik ve Diğer Sebepler
• Kişisel Verilerin işlenmesini gerektiren tüm amaçların ve saklanmasını gerektiren sebeplerin
ortadan kalkması,
• Kişisel Verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• Veri Sahibi’nin, Kanun’un 11. maddesinde ve bu Politika’nın 21. maddesinde belirtilen haklarını kullanarak Kişisel Verilerinin imha edilmesini talep etmesi ve yapılan başvurunun SETCARD tarafından kabul edilmesi veya bu talebin reddi üzerine Kurul’a şikayet sonucu talebin Kurul tarafından uygun bulunması,
• Kişisel Verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
16. TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki[1] ilkeler çerçevesinde, tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
a. İdari Tedbirler:
SETCARD idari tedbirler kapsamında;
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
- Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
- Çalışanlarla ve üçüncü şahıslarla akdedilecek sözleşmelerde, verilerin gizliliğini koruma altına alan hükümlerin yanında, Kişisel Verilerin işlenme amaçları, kapsamı ve süresi belirlenmekte, tarafların sorumlulukları açıkça düzenlenmekte, hukuka ve sözleşme hükümlerine aykırı işleme faaliyetlerini yaptırıma bağlayan hükümler eklenmektedir.
b. Teknik Tedbirler:
SETCARD teknik tedbirler kapsamında;
- Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
- Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.
- Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
- Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.
- Sistemlerini başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı tutar.
- Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
- Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.
Kişisel Verilere hem şirket içerisinden hem de dışarıdan hukuka aykırı bir müdahalenin önlenmesi için veri kayıt ortamları virüs koruma programları başta olmak üzere çeşitli yazılımlar/donanımlar ve şifreler aracılığıyla korunmaktadır.
17. KİŞİSEL VERİLERİN İMHA ŞARTLARI VE USULLERİ
Türk Ceza Kanunu’nun 138. Maddesinde, KVK Kanunu’nun 7. Maddesinde ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesinde düzenlendiği üzere; ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Şirketimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Müşterinin talep etmesi üzerine anonimleştirilen veriler ve SETCARD’ ın yasal yükümlülükleri ile haklı menfaatinin mevcut olduğu durumlar hariç olmak üzere kişisel verilerin tamamı talebin iletilmesini takiben 30 gün içerisinde silinecektir.
17.1. Kişisel Verilerin Silinmesi
Kişisel Verilerin silinmesi, Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
SETCARD, Kişisel Verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemleri kullanabilir:
- Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
- Bulut Sisteminde İlgili Verilerin Silme Komutu Verilerek Silinmesi: merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.
- Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.
- Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
- Silme Komutu Verme
- Karartma
- Dosyanın Bulunduğu Dizin Üzerinde İlgili Kullanıcının Erişim Haklarını Kaldırma
- Yazılım Aracılığıyla Silme
- Veri Tabanı Komutuyla Silme
17.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
SETCARD, Kişisel Verileri yok etmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
- De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
- Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.
- Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir
- “Block Erase” Komutu İle Yok Etme
- Kağıt İmha Makinesi İle Yok Etme
- Şifreleme Anahtarlarının Tüm Kopyalarını Yok Etme
17.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel Verilerin anonim hale getirilmesi, Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel Verilerin anonim hale getirilmiş olması için; kişisel verilerin; SETCARD, verilerin aktarıldığı üçüncü kişi veya kişiler tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
SETCARD Kişisel Verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
- Değişkenleri Çıkartma
- Kayıtları Çıkartma
- Alt Ve Üst Sınır Kodlama
- Bölgesel Gizleme
- Örnekleme
- Mikro-Birleştirme
- Veri Değiş-Tokuşu
- Gürültü Ekleme
- K-Anonimlik
- L-Çeşitlilik
- T-Yakınlık
18. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
SETCARD, Kişisel Verileri işlendikleri amaç için sözleşme süresi boyunca ve meşru saklama süresi devam ettiği sürece saklar.
Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda SETCARD bu tarihi takip eden ilk periyodik imha işleminde, Kişisel Verileri siler, yok eder veya anonim hale getirir.
19. PERİYODİK İMHA SÜRELERİ
SETCARD’ın periyodik imha süresi 12 aydır. SETCARD, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu süreyi kısaltabilir.
20. Üçüncü Taraf Kuruluşlara Ait Ürün ve Hizmetler
SETCARD’ın sunduğu ürün, servis ve hizmetler ile sahibi olduğu Web Sitesi ve Uygulamalar; SETCARD’ın sahibi olmadığı ve işletimini kontrol etmediği, üçüncü taraf kuruluşlar tarafından işletilen web sitesi, ürün ve hizmetler içerebilir ve bunlara bağlantı sağlanabilir.
Bu web sitesi, ürün ve hizmetlerden faydalanmanız durumunda kişisel verileriniz üçüncü taraf kuruluşlara aktarılabilir. SETCARD’ın erişim sağlanan bu web sitesi, ürün ve hizmetlere ilişkin, içerik, uygunluk, güvenlik, gizlilik politikaları ve iletişimin sürekli sağlanacağına dair herhangi bir garantisi ya da özel bir taahhüdü yoktur. Herhangi bir işlem yapılmadan önce söz konusu firmalara ait güvenlik ve gizlilik koşulları okunmalıdır.
21. VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI USULLERİ
21.1. Veri Sahibinin Hakları
Veri Sahibi, Kanun’un 11. maddesi uyarınca SETCARD’a başvurarak kendisiyle ilgili;
- Kişisel Verilerinin işlenip işlenmediğini öğrenme,
- Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel Verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
21.2. Kanunun Uygulanmayacağı ve Veri Sahibinin Haklarını Kullanamayacağı Haller
Kanun’un 28. Maddesinin 1. fıkrası uyarınca Kanun’un hükümleri aşağıda belirtilen hallerde uygulanmayacaktır:
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28. maddesinin 2. fıkrası uyarınca ise, aşağıdaki hallerde Veri Sahibi zararın giderilmesini talep etme hakkı hariç bu Politika’nın 21.1 maddesinde belirtilen haklarını kullanamaz:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mal çıkarlarının korunması için gerekli olması.
21.3. Veri Sahibinin Haklarını Kullanma Usulleri
Veri Sahibi, bu Politika’nın 21.1 maddesinde belirtilen haklarını, SETCARD internet sitesinde yayınlanan başvuru formunu doldurup, ıslak imzalı olarak, noter veya KEP aracılığıyla, Kısıklı Mah. Alemdağ Cad. No: 34 Üsküdar/İSTANBUL adresine göndermek veya aynı adrese bizzat ya da vekili aracılığıyla elden ulaştırmak veya setkurumsal@hs02.kep.tr mail adresine gönderilmek suretiyle kullanabilir.
Kimliğini tevsik edici belgelerin, varsa talebi destekleyici belgelerin, Veri Sahibinin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, bu konuda özel yetkiyi içeren vekâletname suretinin formun ekinde SETCARD’ a iletilmesi zorunludur.
21.4. Veri Sahibinin Başvurusuna Cevap Verilmesi
Form ile gönderilen talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak cevaplandırılacaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurul tarafından belirlenen tarifedeki ücret alınabilir.
Başvuruda; bilgilerin eksik veya yanlış paylaşılması, talebin açık ve anlaşılır bir şekilde dile getirilmemiş olması, talebi destekleyici nitelikteki belgelerin hiç veya gereği gibi iletilmemesi, vekil suretiyle yapılan başvurularda vekâletname suretinin eklenmemesi gibi durumlarda SETCARD talepleri karşılamakta güçlük yaşayabilecek ve araştırma sürecinde gecikmeler yaşanabilecektir. Bu nedenle Kanun’un 11. Maddesinde belirtilen hakları kullanımında bu hususlara riayet edilmesi önem arz etmektedir. Aksi durumda yaşanacak gecikmelerden SETCARD sorumlu tutulamayacaktır.
Hatalı, gerçeğe/hukuka aykırı ve/veya kötü niyetli başvurular karşısında SETCARD’ın yasal hakları saklıdır.
21.5. Veri Sahibinin Kurula Şikâyet Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Veri Sahibi, SETCARD’ın cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunma hakkına sahiptir.