Bu Kişisel Verilerin Korunması Politikası’nın (“Politika”) amacı, Erdem & Erdem Ortak Avukatlık Bürosu, Erdem & Erdem Danışmanlık A.Ş. ve Erdem & Erdem B.V. (“Erdem & Erdem” veya “E&E”) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ve ilgili mevzuata uygun olarak yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda bilgi vermektir. Bu kapsamda müvekkillerimiz ve iş ortaklarımız, çalışanlarımız, çalışan adaylarımız, internet sitesi ziyaretçilerimiz, e-bülten ve Exlibris abonelerimiz, tedarikçi, ziyaretçi ve iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile ilgili diğer üçüncü kişiler başta olmak üzere kişisel verileri işlenen kişileri aydınlatmak hedeflenir.
1. Kişisel Veri İşlemenin Hukuki Sebebi
Erdem & Erdem, kişisel verileri ancak (i) kanunlarda açıkça öngörülmesi durumunda, (ii) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olduğunda, (iii) bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesi gerektiğinde, (iv) Erdem & Erdem’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması durumunda, (v) veri sahibi tarafından alenileştirildiğinde, (vi) bir hakkın tesisi, kullanılması veya korunması için gerektiğinde, (vii) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Erdem & Erdem’in meşru menfaatleri için gerekmesi durumunda veya (viii) veri sahibinin açık rızası varsa işler.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin işlenmesi ve aktarımı ise ilgili kişilerin açık rızası ile mümkündür.
Sağlık ve cinsel hayata ilişkin olmayan kişisel veriler ise, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
2. Kişisel Verilerin İşlenme Amacı ve Yöntemi
Erdem & Erdem, kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, finans, mesleki deneyim, görsel ve işitsel kayıtlar, sağlık bilgileri, biyometrik veri ve yazışma bilgileri kategorilerinde yer alan kişisel verileri elektronik posta, internet sitesi, faks, telefon, posta, kurye, elden teslim gibi yöntemlerle elde eder ve kişisel verilerin korunmasına dair ilkelere ve aşağıdaki amaçlara uygun olarak işlemeyi taahhüt eder:
- Müvekkil ve iş ortaklarımıza dair kişisel veriler, her türlü avukatlık ve hukuki danışmanlık faaliyetinin yerine getirilmesi, iletişim faaliyetlerinin yürütülmesi, müvekkil/iş ortağı ilişkilerinin yönetilmesi, sözleşme öncesi görüşme ve teklif süreçlerinin yürütülmesi, iletişim ve aktivite yönetimi, raporlama ve analiz yapılması, finans ve muhasebe süreçlerinin yönetilmesi, çeşitli hukuki gelişmelere ilişkin bilgi verilmesi, E&E tarafından düzenlenen toplantı veya hukuki eğitimlerin organizasyonu, hukuki yükümlülüklerin yerine getirilmesi, hizmetlerin geliştirilmesi ve geri bildirim süreçlerinin etkin bir şekilde yürütülmesi ve bilgi ve fiziksel mekân güvenliğinin sağlanması amaçlarıyla işlenir.
- Çalışan ve çalışan adaylarına dair kişisel veriler, insan kaynakları politikaları çerçevesinde ve iş sözleşmesinin ifası, iş, iş sağlığı ve güvenliği, sosyal güvenlik, vergi vb. her türlü mevzuatta öngörülen haklarının kullanılması ve/veya yükümlülüklerinin yerine getirilmesi, tanıtım, bilgilendirme ve kurumsal iletişim faaliyetlerinin yürütülmesi, etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, insan kaynakları süreçlerinin planlanması, yönetimi ve icrası, görevlendirme süreçlerinin yürütülmesi, özlük faaliyetlerinin yerine getirilmesi, performans değerlendirmesi, acil durum yönetimi, bilgi güvenliğinin sağlanması, çalışan sağlığının ve işyeri güvenliğinin sağlanması amaçlarıyla işlenir.
- Tedarikçi ve iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişilere dair kişisel veriler; operasyonel ve ticari faaliyetlerin yürütülmesi, iletişim faaliyetlerinin ve sözleşme ilişkisinden doğan yükümlülüklerin yerine getirilmesi, yetkili kurum ve kuruluşlar nezdinde vergi ve beyanname süreçlerinin yürütülmesi amaçlarıyla işlenir.
- İnternet sitemizin ziyaretçilerine dair kişisel veriler, internet sitemizin temel işlevlerini sürdürmek, gezinmeyi kolaylaştırmak ve verimini/performansını artırmak, faaliyet ve hizmetlerimizi optimize etmek amaçlarıyla işlenir.
- Erdem & Erdem e-bülten ve Exlibris abonelerine dair kişisel veriler, E&E’ye ilişkin güncel gelişmeler hakkında bilgi verilmesi, Exlibris Dergisi paylaşımı, güncel hukuki gelişmelere ilişkin duyuruların gönderilmesi, E&E etkinlik ve eğitimlerinin bildirilmesi ve müşteri ilişkilerinin yönetimi amaçlarıyla işlenir.
3. Kişisel Verilerin Yurt içinde Aktarımı
Politika madde 1’de belirtilen hukuka uygunluk nedenlerinden birinin varlığı halinde, kişisel veriler açık rızaya gerek olmaksızın aktarılır. Aksi takdirde, ilgili kişinin açık rızası olmaksızın aktarım yapılmaz.
Erdem & Erdem, kişisel verileri madde 1’de yer alan hukuki sebeplerin varlığı halinde ve madde 2’de yer alan amaçlar doğrultusunda, Türkiye’de yerleşik hizmet sağlayıcılarına ve tedarikçilerine, iş ortaklarına, müvekkillerine, bankalara, kolluk kuvvetlerine, mahkemelere, noterlere, Sosyal Güvenlik Kurumu’na, ilgili meslek odaları, vergi daireleri ve özel ve resmi kurum ve kuruluşlara aktarır.
4. Kişisel Verilerin Yurt Dışına Aktarımı
4.1. KVKK Uyarınca Yurt Dışına Aktarım
Erdem & Erdem, kişisel veri sahiplerinin açık rızasının varlığı durumunda kişisel verileri yurt dışında işleyebilir ve yurt dışına aktarabilir. Ancak işbu Politika madde 1’de belirtilen hukuka uygunluk nedenlerinden birinin varlığı halinde ve kişisel verinin aktarılacağı yabancı ülkede (i) Kişisel Verilerin Korunması Kurulu’nca (“Kurul”) belirlenerek ilan edilen yeterli korumanın bulunması durumunda veya (ii) yeterli korumanın bulunmaması durumunda Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması durumunda ilgili kişinin rızası aranmaksızın yurt dışına aktarım yapılabilir.
Uluslararası sözleşme hükümleri saklı kalmak üzere, ülkenin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir.
Erdem & Erdem, elde ettiği kişisel verileri madde 1’de belirtilen hukuki sebeplere dayanarak ve yukarıda yer alan amaçlar doğrultusunda, Erdem & Erdem B.V.’ye, yurt dışında yerleşik müvekkil ve/veya iş ortaklarına, arasında sözleşme ilişkisi bulunan hizmet sağlayıcılarına, bulut ve e-posta hizmeti sunan yurt dışında yerleşik sağlayıcılara, yetkili kamu kurum ve kuruluşlarına ve özel hukuk kişilerine aktarır.
4.2. GDPR Kapsamında Aktarım
Erdem & Erdem elde ettiği kişisel verileri, Avrupa Ekonomik Alanı (“EEA”) dışındaki ülkelere aktarabilir.
Kural olarak, kişisel verilerin EEA dışındaki ülkelere yasaya uygun şekilde aktarılabilmesi için, aktarım yapılacak ülkenin Avrupa Komisyonu tarafından yeterli düzeyde koruma sağlayan güvenli ülke olarak ilan edilmesi gerekir. Alıcı tarafın yeterli düzeyde koruma sağlayan ülkeler arasında sayılmaması halinde ise, Erdem & Erdem (i) bağlayıcı şirket kurallarına, (ii) Avrupa Komisyonu tarafından yayınlanan ve/veya onaylanan standart sözleşme maddelerine dayanarak veri aktarımı gerçekleştirebilir.
Yukarıda belirtilen aktarım koşullarının bulunmaması durumunda, GDPR uyarınca ancak aşağıda belirtilen istisnai durumların varlığı halinde aktarım yapılır:
- Veri sahibinin açık rızası,
- Veri sahibinin yurt dışına veri aktarımının gerekli olduğu bir sözleşme ilişkisine girmesi,
- Bir veri sorumlusu ile üçüncü bir taraf arasında veri sahibinin menfaatine bir sözleşmenin imzalanması veya yürütülmesi,
- Kamu yararı,
- Yasal talep oluşturma, uygulama veya savunma yapılması amacıyla,
- Veri sahibi veya üçüncü kişilerin hayati çıkarlarının korunması için gerekli olması.
Yukarıda sayılan koşullardan herhangi birinin mevcut olmadığı ve aktarımların bir yeterlilik kararına veya uygun güvencelere dayandırılamadığı hallerde ise, aktarım Erdem & Erdem’in meşru menfaatleri için gerekliyse, yurt dışı aktarımı süreklilik arz etmeyecekse ve sınırlı sayıda veri sahibini ilgilendiriyorsa gerçekleştirilir.
Erdem & Erdem, kişisel verileri madde 1’de sıralanan hukuki sebeplere dayanarak ve yukarıda belirtilen amaçlar doğrultusunda, Türkiye’de yerleşik Erdem & Erdem Ortak Avukatlık Bürosu ve Erdem & Erdem Danışmanlık A.Ş.’ye, EEA dışında yerleşik müvekkil ve/veya iş ortaklarına, arasında sözleşme ilişkisi bulunan hizmet sağlayıcılarına, bulut ve e-posta hizmeti sunan EEA dışında yerleşik sağlayıcılara, yetkili kamu kurum ve kuruluşlarına ve özel hukuk kişilerine aktarır.
5. Kişisel Verilerin Saklanması, Güvenliği ve Korunmasına İlişkin Önlemler
Erdem & Erdem, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin hukuka uygun olarak muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Bu kapsamda Erdem & Erdem, örnek olarak sıralananlar ile sınırlı olmaksızın aşağıdaki tedbirleri uygulamaktadır:
- Kişisel verilerin işlenmesine dair süreç ve prosedürler, Kalite Yönetim Sistemi içinde tanımlanmakta olup periyodik olarak denetlenir ve uyum sürekliliği sağlanır.
- Erdem & Erdem çalışanlarının, kişisel verilerin korunması hakkındaki ilgili mevzuat ile ilgili farkındalıklarını artırmak amacıyla düzenli olarak bilgilendirme ve eğitimler düzenlenir.
- Kişisel veri işleme ve aktarım süreçlerine dahil olan tüm taraflar ile gizlilik taahhütnamesi imzalanır.
- Dokümanların basılı versiyonları, gizliliği sağlayabilmek amacıyla şifre ile korunan odalarda ve dolaplarda saklanır.
- Kişisel veriler ayrı olarak muhafaza edilir; bu verilere ilişkin saklama süreleri sistematik olarak izlenir ve yasal süresi ya da veri işleme amacı sona eren kişisel verilere ilişkin imha süreçleri yürütülür.
- Bilgi ve alt yapı güvenliği için düzenli sistem raporları alınır, teknolojik gelişmeler izlenerek bilgi sistemleri yenilenir ve güncellenir.
Erdem & Erdem, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde ve idari ve teknik tedbirlerin alınması hususunda, diğer veri işleyenlerle birlikte müştereken sorumludur.
Herhangi bir şekilde veri ihlali meydana gelmesi durumunda, Erdem & Erdem bu durumu en geç 72 saat içerisinde KVKK ve GDPR uyarınca gerekli kurum ve kuruluşlara ve veri sahiplerine mevzuata uygun şekilde bildirir.
6. Veri Sahibinin Hakları
Veri sahipleri, Erdem & Erdem’e başvurarak kişisel verilerine ilişkin KVKK uyarınca aşağıdaki hakları kullanabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK m. 7 çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
- Düzeltme, silme ve yok edilme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
GDPR Bölüm 3 uyarınca ise veri sahipleri aşağıdaki haklara sahiptir:
- Kişisel veri işleme faaliyetleri hakkında bilgi alma,
- İşlenen kişisel verilerinize ve işleme faaliyetine erişme,
- Kişisel verilerinizin düzeltilmesini talep etme,
- Kişisel verilerinizin silinmesini talep etme (unutulma hakkı),
- Kişisel veri işleme faaliyetlerinin kısıtlanmasını talep etme,
- Kişisel verilerinizin düzeltilmesi veya silinmesi ya da işlenmesinin kısıtlanmasına ilişkin işlemlerin, kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerinizin başka bir veri sorumlusuna taşınmasını talep etme,
- İtiraz etme.
- Kendiniz ile ilgili yasal etkiler doğuran veya benzer şekilde sizi önemli ölçüde etkileyen profilleme de dahil olmak üzere münhasıran otomatik işlemeye dayalı bir karara konu olmama.
Yukarıda belirtilen hakların kullanılabilmesi için, veri sahipleri söz konusu taleplerini veya aşağıda yer alan başvuru formunun doldurulmuş versiyonunu kimliklerinin tespitini sağlayacak bilgiler ile birlikte aşağıdaki iletişim yollarından birini kullanarak yazılı şekilde Erdem & Erdem’e iletebilir:
a. istanbul@erdem-erdem.av.tr veya izmir@erdem-erdem.com adreslerine, elektronik posta vasıtasıyla; veya
b. Ferko Signature, Büyükdere Caddesi, No. 175, Kat. 3, 34394 Esentepe- Şişli, İstanbul adresine posta ile.
Başvurunun daha hızlı cevaplandırılabilmesi için başvuru zarfının üzerine “Kişisel Veri Bilgi Talebi” yazılması gerekir.
Erdem & Erdem’e iletilmiş olan başvurular talebin niteliğine göre talebin bizlere ulaştığı tarihten itibaren otuz gün içinde yanıtlanır. Erdem & Erdem’e sunulan bilgi ve belgelerin eksik olması ya da anlaşılamaz olması halinde, başvurunun netleştirilmesi amacıyla başvuru sahibiyle iletişime geçeceğiz.
Erdem & Erdem Veri Sahibi Başvuru formunu buradan indirebilirsiniz.
7. Kişisel Verilerin Korunması Politikasında Yapılacak Değişiklikler
Erdem & Erdem işbu politikada, veri işleme süreçleri ya da mevzuat hükümleri değiştiğinde gerekli gördüğü değişiklikleri yapabilir. Söz konusu değişiklikler, güncellenmiş politika metninin www.erdem-erdem.av.tr sitesinde yayımlanması ile birlikte geçerlilik kazanır.