Enerji ve mühendislik çözümlerimizle müşterilerimizin yolculuklarını kişiselleştiriyor; verimli, güvenli ve sürdürülebilir projeler üretiyoruz.

İletişim Bilgileri
Telefon +90 (312) 911 50 86
E-posta info@gmrmuhendislik.com
Ofis Konum Kızılırmak Mah. Next Level No: 3A/10 Çankaya/ Ankara
Fabrika Konum Saray Mah. 687 Cad. No:16/C Kahramankazan/Ankara
Bizi Takip Edin
İletişim Bilgileri
Telefon +90 (312) 911 50 86
E-posta info@gmrmuhendislik.com
Ofis Konum Kızılırmak Mah. Next Level No: 3A/10 Çankaya/ Ankara
Bizi Takip Edin

Gizlilik Politikası

Anasayfa Gizlilik Politikası

GİZLİLİK POLİTİKASI GMR Enerji Mühendislik

Yürürlük Tarihi: 13 Kasım 2025
Son Güncelleme: 13 Kasım 2025

GMR Enerji Mühendislik olarak kişisel verilerinizin gizliliğine ve güvenliğine büyük önem veriyoruz. Bu Gizlilik Politikası, Şirketimizin kurumsal web sitesi üzerinden toplanan kişisel verilerin Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR), Türkiye Cumhuriyeti Kişisel Verilerin Korunması Kanunu (KVKK), Amerika Birleşik Devletleri Kaliforniya Tüketici Gizliliği Yasası (CCPA/CPRA), Brezilya Genel Veri Koruma Yasası (LGPD) başta olmak üzere ilgili tüm veri koruma mevzuatına uyumlu olarak nasıl işlendiğini açıklar. Politika kapsamında:

  • Hangi kişisel verileri topladığımız,
  • Bu verileri hangi yöntemlerle ve hangi hukuki dayanaklarla topladığımız,
  • Verilerinizi hangi amaçlarla kullandığımız,
  • Çerez ve benzeri teknolojilerin kullanımı,
  • Kişisel verilerin kimlerle paylaşılabileceği (üçüncü taraflar ve uluslararası aktarımlar dahil),
  • Verileri ne kadar süre sakladığımız ve güvenlik önlemlerimiz,
  • Veri sahiplerinin hakları ve bölgesel ek haklar (Türkiye, AB/AEA, Kaliforniya, Brezilya için),

gibi konularda sizleri bilgilendirmeyi amaçlıyoruz. Bu Gizlilik Politikası aynı zamanda KVKK m.10 uyarınca hazırlanmış bir aydınlatma metni niteliğindedir.

Veri Sorumlusunun Kimliği ve İletişim Bilgileri
KVKK ve diğer veri koruma yasaları uyarınca “veri sorumlusu”, toplanan kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen kuruluş olup GMR Enerji Mühendislik’tir.

Unvan: GMR Enerji Mühendislik
Adres: Kızılırmak Mah. Dumlupınar Blv. Next Level No: 3A/10, Çankaya, Ankara, Türkiye
Telefon: +90 (312) 911 50 86
E-posta: info@gmrmuhendislik.com

Herhangi bir soru, talep veya geri bildirim için yukarıdaki iletişim bilgileri üzerinden bizimle iletişime geçebilirsiniz.

1. Toplanan Kişisel Veriler

Web sitemizi kullandığınızda veya bizimle iletişime geçtiğinizde farklı kategorilerde kişisel veri toplayabiliriz:

  • Kimlik ve İletişim Bilgileri: Ad, soyad, e-posta adresi, telefon numarası (eğer formda istenirse), çalıştığınız şirket veya kurum bilgisi gibi veriler. Bu bilgiler genellikle internet sitemizdeki iletişim ve başvuru formları aracılığıyla sizlerin doğrudan sağladığı verilerdir.
  • Mesaj ve İçerik Bilgileri: İletişim formları veya başvuru formları üzerinden bize ilettiğiniz mesajların içeriği, talepleriniz veya geri bildirimleriniz. Bu kısımda bize sağladığınız bilgiler arasında talebinizle ilgili diğer kişisel veriler bulunabilir (örneğin bir iş başvurusuysa özgeçmişinizdeki veriler gibi).
  • Kullanım Verileri: Web sitemizi ziyaret ettiğinizde otomatik olarak toplanan bazı bilgiler vardır. IP adresiniz, tarayıcı tipiniz, cihaz türünüz, işletim sistemi, sitemizde hangi sayfaları ziyaret ettiğiniz ve ziyaret tarih-saat gibi log kayıtları ve analitik veriler bu kapsamdadır. Bu veriler çerezler ve benzeri izleme teknolojileri aracılığıyla elde edilebilir.
  • Tercih Bilgileri: Web sitemizde tercih ettiğiniz dil seçimi veya diğer tercihleriniz gibi, kullanıcı deneyiminizi özelleştirmeye yönelik veriler (çerezler vasıtasıyla tutulabilir).
  • Pazarlama İletişim Verileri: Eğer e-bülten aboneliği veya kampanya bildirimi almak üzere kaydolduysanız, bu kapsamda toplanan ad, soyad, e-posta ve ilgili tercihleriniz. Pazarlama onayı vermeniz halinde toplanır.
  • Teknik Veriler: Güvenlik ve sistem sağlığı amaçlarıyla toplanan cihaz tanımlayıcıları, sistem hata kayıtları gibi teknik veriler. Örneğin, site güvenliğini sağlamak için güvenlik duvarı servisleri kullanıyorsak, şüpheli hareketler için IP ve cihaz bilgileri toplanabilir.

Belirtilen verilerin bir kısmını (iletişim formları verileri gibi) doğrudan siz sağlarken, bir kısmı da (çerezler yoluyla alınan kullanım verileri gibi) otomatik yöntemlerle toplanmaktadır. Mümkün olduğunca yalnızca gerekli ve amaca uygun verileri toplamaya özen gösteriyoruz. Hassas nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, din, sağlık bilgileri, biyometrik veriler vb.) web sitemiz üzerinden bilinçli olarak toplamıyoruz. Mesajlarınızda böyle hassas bilgiler paylaşmamanızı öneririz.

2. Kişisel Verilerin Toplanma Yöntemleri ve Hukuki Dayanaklar

Toplama Yöntemleri: Kişisel verileriniz, başlıca şu yollarla elde edilmektedir:

  • Formlar: Web sitemizdeki iletişim veya başvuru formlarını doldurduğunuzda, sağladığınız bilgiler (kimlik, iletişim ve mesaj içerikleri) sistemimize iletilir.
  • Otomatik Teknolojiler: Sitemizi ziyaretiniz sırasında tarayıcınıza yerleştirilen çerezler ve benzeri teknolojiler aracılığıyla kullanım verileriniz otomatik olarak toplanır. Ayrıca sunucu logları ve güvenlik araçları da ziyaretiniz hakkında otomatik veri toplayabilir.
  • Doğrudan İletişim: Bize e-posta gönderirseniz veya telefonla ulaşırsanız, bu kanallar üzerinden paylaştığınız kişisel veriler toplanabilir.
  • Üçüncü Taraf Kaynaklar: Genel olarak web sitemiz üzerinden başka kaynaklardan kişisel veri toplamıyoruz. Ancak, örneğin bir sosyal medya hesabımız üzerinden bizimle iletişime geçerseniz o platform bize bazı bilgiler iletebilir (kullanıcı adınız gibi). Bu durumda söz konusu platformun gizlilik ayarlarına göre veriler alınır.

Hukuki Dayanaklar: Kişisel verilerinizi ilgili yasalara uygun şekilde, aşağıdaki hukuki sebeplere dayanarak işliyoruz:

  • Açık Rıza: Bazı durumlarda verilerinizi işleyebilmemiz için önceden onay vermeniz gerekir. Özellikle pazarlama e-postaları göndermek (e-bülten aboneliği) veya analitik/tercihe dayalı çerezleri çalıştırmak için sizden açık rıza talep ederiz. Açık rızanızı her zaman geri çekme hakkınız bulunmaktadır.
  • Sözleşmenin Kurulması veya İfası: Sitemizde yer alan formlar aracılığıyla sunduğunuz talepler, bir ürün/hizmet teklifi alma veya iş başvurusu gibi durumlar, ileride bir sözleşmeye dönüşebilecek talepler olabilir. Bu gibi durumlarda kişisel verileriniz, talebiniz doğrultusunda sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması halinde işlenmektedir.
  • Meşru Menfaat: Web sitemizin güvenliğini sağlamak, dolandırıcılık ve kötüye kullanım girişimlerini engellemek, bize ulaştırdığınız soruları yanıtlamak gibi konularda meşru menfaatlerimiz kapsamında verilerinizi işleyebiliriz. Örneğin, iletişim formunu doldurmanız halinde talebinize cevap verebilmek için iletişim bilgilerinizi kullanmak bizim meşru menfaatimize dayalıdır. Meşru menfaatlerimize dayanırken, sizin temel hak ve özgürlüklerinize olası etkisini değerlendiriyor ve dengeyi gözetiyoruz.
  • Hukuki Yükümlülük: Bazı hallerde kanuni yükümlülüklerimizi yerine getirmek amacıyla verilerinizi işlemek zorunda kalabiliriz. Örneğin, yetkili makamların yasal taleplerine cevap vermek veya KVKK/GDPR uyarınca sizlere karşı şeffaflık yükümlülüğümüzü yerine getirmek amacıyla gerekli işlemleri yapmak hukuki yükümlülük kapsamındadır.
  • Kanunda Öngörülme & Diğer Sebepler: KVKK m.5 ve GDPR m.6 gibi düzenlemelerde belirtilen diğer hukuki dayanaklar çerçevesinde, kanunların açıkça öngördüğü hallerde, hayati tehlike durumlarında, bir hakkın tesisi, kullanılması veya korunması için gerekli olduğunda ya da verilerin kamuya alenileştirildiği durumlarda da kişisel verileri işleyebilmekteyiz. Örneğin, KVKK’da öngörülen istisnalar kapsamında, sizden ayrıca onay almaksızın kanunun izin verdiği ölçüde veri işleyebiliriz.

Bilgilendirme: Kişisel bilgilerinizi talep ettiğimiz her durumda, bu bilgileri neden talep ettiğimizi ve hangi hukuki zemine dayandığımızı size açıklamaya çalışıyoruz. Veri sağlamanız tamamen gönüllülük esasına dayalıdır; ancak gerekli alanları doldurmamamız halinde talep ettiğiniz hizmeti sunamayabilir veya size dönüş yapamayabiliriz.

3. Kişisel Verilerin Kullanım Amaçları

Topladığımız kişisel verileri aşağıdaki amaçlarla kullanmaktayız:

  • İletişim Kurma ve Geri Bildirim: İletişim veya başvuru formu aracılığıyla bizimle paylaştığınız bilgileri, taleplerinizi karşılamak, sorularınızı yanıtlamak ve sizinle iletişim kurmak için kullanıyoruz. Örneğin, web sitemiz üzerinden bir teklif talebi iletirseniz, size dönüş yapabilmek için iletişim bilgilerinizi kullanacağız.
  • Hizmet ve Bilgi Sağlama: Talep ettiğiniz bilgiler, dokümanlar veya hizmetler hakkında sizi bilgilendirmek, döküman göndermek veya randevu ayarlamak gibi amaçlarla verilerinizi işleyebiliriz. Örneğin, proje başvurusu yaptıysanız değerlendirme süreci hakkında sizi bilgilendirmek.
  • Pazarlama İletişimleri: Açık rızanız olması koşuluyla, e-posta adresinize şirket haberleri, e-bültenler, yeni hizmetlerimiz veya kampanyalarımız hakkında bilgiler gönderebiliriz. Bu tür pazarlama iletişimlerini almak istemediğinizde, dilediğiniz zaman abonelikten çıkabilirsiniz.
  • Web Sitesi Deneyimini İyileştirme: Çerezler ve analitik araçlarla elde ettiğimiz kullanım verilerini, web sitemizi nasıl kullandığınız hakkında analiz yapmak için kullanıyoruz. Bu analizler sayesinde site performansını artırmak, içeriklerimizi geliştirmek ve kullanıcı deneyimini iyileştirmek amaçlanmaktadır. Örneğin, en sık ziyaret edilen sayfaları veya içerikleri tespit ederek navigasyonu geliştirebiliriz.
  • Kişiselleştirme: Tercih ettiğiniz dil gibi ayarlarınızı hatırlayarak size daha kişiselleştirilmiş bir deneyim sunmak için verilerinizi kullanabiliriz. Örneğin, siteyi tekrar ziyaret ettiğinizde tercihlerinize göre içerik sunulması.
  • Güvenlik ve Dolandırıcılık Önleme: Sistemlerimizin güvenliğini sağlamak, hileli veya kötü niyetli faaliyetleri tespit etmek ve engellemek için verilerinizi işlemleriz. IP adresleri ve log kayıtları, potansiyel tehditleri izlemek için kullanılabilir. Bu sayede, hem sizin hem de bizim verilerimizi korumak için gerekli tedbirleri alırız.
  • Yasal Yükümlülüklere Uyum: Muhasebe, vergi, resmi raporlama veya bir mahkeme kararı ya da idari talep sonucunda kişisel verilerin paylaşılması gibi yasal gerekliliklerin yerine getirilmesi amacıyla verilerinizi kullanabiliriz. Ayrıca, KVKK ve GDPR kapsamındaki aydınlatma yükümlülüğümüz ve veri güvenliği yükümlülüklerimiz doğrultusunda kayıt tutma, yetkili mercilere bildirim yapma gibi amaçlarla veri işleme söz konusu olabilir.
  • İç Raporlama ve İdari Amaçlar: Hizmet kalitemizi değerlendirmek, iş süreçlerimizi analiz etmek, istatistiksel raporlar hazırlamak gibi iç amaçlarla da verilerden yararlanabiliriz. Bu tür işlemlerde, mümkünse veriler anonim hale getirilmeye veya kişisel kimlik bilgileriniz çıkarılmaya çalışılır.
  • Kanuni Hakların Kullanılması: Olası bir hukuki uyuşmazlık durumunda, kanuni haklarımızın tesisi, kullanılması veya savunulması için gerekli olması halinde ilgili kayıtları ve bilgileri kullanabiliriz. Örneğin, geçmiş iletişimlerimize dair log kayıtları, bir ihtilaf durumunda delil olarak kullanılabilir.

Belirtilen amaçlar dışında, kişisel verilerinizi farklı bir amaçla işlememiz gerekirse, bunu yalnızca yasal olarak izin veriliyorsa yapacağız ve gerekirse önceden sizden onay alacağız. Kişisel verileriniz hiçbir şekilde işbu politikada belirtilen amaçlar dışında kullanılmayacaktır.

4. Pazarlama İletişimleri ve Açık Rıza

Pazarlama Onayı: Web sitemiz üzerinden sağladığınız iletişim bilgilerini (özellikle e-posta) sizlere pazarlama amaçlı elektronik ileti göndermek için kullanmamız, yasal olarak açık rızanıza tabidir. Örneğin, bir bültene abone olurken veya iletişim formunda “bilgilendirme almak istiyorum” gibi bir seçeneği işaretleyerek onay verdiğiniz takdirde sizlere e-posta yoluyla bülten, duyuru veya kampanya bilgileri gönderebiliriz. Aksi halde, onayınız olmadan tanıtım veya pazarlama içerikli e-postalar alınazsınız.

İletişimleri Nasıl Yapıyoruz: Pazarlama iletişimlerimiz genellikle e-posta bültenleri şeklinde olacaktır. Zaman zaman SMS veya telefon araması gibi yöntemler de kullanılabilir; ancak bu tür yöntemler de yine ilgili yasal mevzuata (ör. Türkiye’de 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun) uygun şekilde ve gerektiğinde onayınız alınarak yapılır.

Abonelikten Çıkma: Bir kez pazarlama iletişimi almak için onay vermiş olsanız dahi, fikrinizi değiştirme hakkınız saklıdır. Tarafımızdan gönderilen e-postaların alt kısmında abonelikten çıkma linki bulunur. Bu linke tıklayarak veya bize doğrudan ulaşarak (örneğin, e-postayla “artık almak istemiyorum” diyerek) dilediğiniz zaman pazarlama e-postalarını durdurabilirsiniz. Talebinizi aldığımızda, yasal süreler içinde (örneğin Türkiye’de en geç 3 iş günü içinde) sizi listenizden çıkaracağız. Rızanızı geri çekmeniz, o ana kadarki işlemlerin hukuka uygunluğunu etkilemez.

Hedefli Reklamlar: Şu an için web sitemizde üçüncü taraf reklam ağları üzerinden hedefli reklam gösterimi yapmıyoruz. Dolayısıyla, pazarlama amaçlı çerezler veya benzeri takip araçlarıyla kişiselleştirilmiş reklam sunumu söz konusu değildir. İleride böyle bir uygulamaya geçecek olursak, bunun için önceden onayınızı alacak ve size “reklam çerezlerini” kontrol etme imkanı sunacağız.

Arkadaşlarınızla Paylaşım: Web sitemiz, içeriklerimizi sosyal medyada paylaşmanız için butonlar içerebilir. Bir içeriği paylaşarak dolaylı şekilde bize ziyaretçi yönlendirirseniz, bu bir pazarlama faaliyeti sayılabilir; fakat bu durumda dahi sizin kişisel verileriniz tarafımızca ek bir işleme tabi tutulmaz. Sadece sosyal medya platformunun kendi gizlilik ayarları çerçevesinde bilgileriniz kullanılır.

Özetle, izin vermediğiniz sürece sizlere herhangi bir reklam, promosyon veya toplu e-posta göndermiyoruz. Pazarlama tercihlerinizi dilediğiniz zaman güncelleyebilir veya tamamen iptal edebilirsiniz.

5. Çerezler (Cookies) ve İzleme Teknolojileri

Web sitemizde, kullanıcı deneyimini iyileştirmek, site trafiğini analiz etmek ve belirli fonksiyonları sağlamak için çerezler ve benzeri izleme teknolojileri kullanılmaktadır. Bu bölümde çerez kullanımımız ve sizin tercihleriniz açıklanmaktadır.

Çerez Nedir? Çerez, bir web sitesini ziyaret ettiğinizde tarayıcınız aracılığıyla cihazınıza yerleştirilen küçük bir metin dosyasıdır. Bu dosya, siteye ilişkin bazı bilgiler içerir ve daha sonraki ziyaretlerinizde cihazınızın tanınmasını sağlar. Çerezler sayesinde, örneğin siteye tekrar girdiğinizde önceki tercihlerinizi hatırlamak veya oturumunuz açık tutmak mümkün olur.

Kullandığımız Çerez Türleri:

  • Zorunlu Çerezler: Web sitesinin çalışması için kesinlikle gerekli olan çerezlerdir. Bu çerezler olmadan site düzgün çalışamaz, bu nedenle kullanıcı onayına tabi değildirler. Örneğin, oturum çerezleri, güvenlik çerezleri veya form doldururken sizi hatırlayan çerezler bu gruptadır.
  • Analitik Çerezler: Ziyaretçilerimizin siteyi nasıl kullandığına dair anonim veriler toplar. Hangi sayfaların daha çok ilgi gördüğü, sitede geçirilen süre gibi istatistikleri elde etmek için kullanılır. Bu bilgiler, sitemizin performansını ve içeriğini geliştirmemize yardımcı olur. Örneğin, Google Analytics gibi üçüncü taraf analitik araçları kullanılabilir. Analitik çerezlerin kullanımı çoğu ülkede kullanıcının onayına tabidir, bu nedenle sitemize ilk girişinizde analitik çerezlere onay vermeniz istenir.
  • Tercihe Dayalı (İşlevsel) Çerezler: Sizin tercihlerinizi hatırlayarak site deneyiminizi özelleştiren çerezlerdir. Dil seçeneğiniz, sayfa düzen tercihleri veya site üzerinde yaptığınız diğer özelleştirmeleri hatırlamamızı sağlar. Bu çerezler, fonksiyonelliği artırır ancak zorunlu değildir; bu nedenle onayınıza tabi olabilir.
  • Hedefleme Çerezleri: (Şu an için uygulanmamakla birlikte) reklam ve pazarlama amaçlı kullanılabilecek çerezlerdir. Sizin ilgi alanlarınıza yakın içerikler ve reklamlar göstermek veya site ziyaretiniz sonrası farklı platformlarda reklamlarımızı sunmak için kullanılabilirler. Eğer bu tür çerezleri ileride kullanırsak, açık rızanıza başvuracağız.
  • Üçüncü Taraf Çerezleri: Web sitemizde, üçüncü taraf sağlayıcılara ait çerezler de çalışabilir. Örneğin, YouTube’da barındırılan bir videoyu sitemiz üzerinden izlerseniz, YouTube kendi çerezlerini cihazınıza yerleştirebilir. Aynı şekilde, “Paylaş” butonları veya sosyal medya eklentileri de ilgili platformların çerezlerini ayarlayabilir. Üçüncü taraf çerezlerin kullanımı ilgili tarafların kendi gizlilik politikalarına tabidir.

Çerez Tercihleri: Web sitemize ilk geldiğinizde, size çerez kullanımımız hakkında bilgi veren bir bildirim gösterilebilir (çerez uyarısı). Bu bildirime onay vererek analitik ve tercihe dayalı çerezleri kabul edebilirsiniz. İstemyorsanız, reddetme veya özelleştirme seçeneğiniz olacaktır. Ayrıca, tarayıcı ayarlarınızdan çerezleri tamamen engelleyebilir veya daha önce yerleştirilen çerezleri silebilirsiniz. Ancak bu durumda sitemizin bazı fonksiyonlarının düzgün çalışmayabileceğini hatırlatmak isteriz. Zorunlu çerezler haricindeki çerezleri reddetmeniz, siteyi genel olarak kullanmanızı engellemeyecektir; fakat örneğin dil tercihiniz gibi ayarları her ziyaretinizde yeniden yapmanız gerekebilir.

Çerezlerin Saklanma Süreleri: Bazı çerezler tarayıcı oturumunuz boyunca (siz siteyi kapatana kadar) aktif kalırken, bazıları daha uzun süre cihazınızda kalabilir. Tarayıcınızın ayarlarından site bazlı çerezleri görüntüleyebilir ve ömürlerini öğrenebilirsiniz. Ayrıca, dilediğiniz zaman tarayıcı geçmişinizi ve çerezlerinizi temizleyebilirsiniz.

Çerez Politikası: Çerez kullanımıyla ilgili daha detaylı bilgi için Çerez Politikamıza göz atabilirsiniz (eğer mevcutsa). Bu Gizlilik Politikası ile entegre bir yapıda, çerez kullanımlarımız şeffaf şekilde sunulmaktadır.

6. Kişisel Verilerin Paylaşımı ve Üçüncü Taraflara Aktarım

Kişisel verilerinizi kendi bünyemizde gizli tutmayı ve üçüncü taraflarla gereksiz paylaşım yapmamayı taahhüt ediyoruz. Verilerinizi hiçbir durumda üçüncü taraflara satmıyor, kiralamıyor veya bu veriler üzerinden gelir elde etmiyoruz. Ancak, faaliyetlerimizi sürdürebilmek ve sizlere hizmet verebilmek için bazı durumlarda verilerinizi üçüncü taraf hizmet sağlayıcılarla veya iş ortaklarımızla paylaşmamız gerekebilir. Bu kısımda, verilerin paylaşılabileceği taraflar ve sebeplerini açıklıyoruz:

  • Barındırma ve Bilişim Hizmetleri: Web sitemizin barındırıldığı sunucu altyapısını sağlayan şirket (hosting hizmeti) ve bakım, yedekleme gibi teknik hizmetler aldığımız diğer bilişim firmaları verilerinize teknik olarak erişebilir. Örneğin, web sitemizin bulunduğu sunucunun yurtiçinde veya yurtdışında bir veri merkezinde olması durumunda, bu veri merkezinin işletmecisi IP adresinizi veya form iletilerinizi sunucu loglarında görebilir. Bu hizmet sağlayıcılarla yapılan sözleşmelerde gizlilik ve veri koruma yükümlülükleri tanımlanmıştır.
  • E-posta ve İletişim Servisleri: İletişim formları veya e-posta yoluyla gönderilen mesajlarınız, e-posta servis sağlayıcımızın sunucularından geçer. Örneğin, şirket e-posta hizmeti için Microsoft Office 365, Google Workspace gibi bir hizmet kullanıyorsak, mesaj içerikleri bu servislerin sunucularında işlem görebilir. Benzer şekilde, e-bülten gönderimleri için bir üçüncü taraf e-posta gönderim servisi (Mailchimp, Sendinblue vb.) kullanılırsa, ad ve e-posta bilgileriniz bu platforma yüklenebilir.
  • Müşteri İlişkileri Yönetimi (CRM) ve Veri Tabanları: Müşteri ve iletişim bilgilerimizi düzenli tutmak için bir CRM yazılımı veya bulut tabanlı bir hizmet kullanıyorsak, sizin bizimle paylaştığınız veriler bu sistemlere kaydedilebilir. Bu tür sistemlerin sağlayıcıları (örneğin, Salesforce, HubSpot gibi) veri işleyen sıfatıyla bilgilerinize teknik erişim imkanına sahip olabilir ancak bizim talimatlarımız dışında kullanamazlar.
  • Analitik ve İzleme Araçları: Daha önce bahsedilen Google Analytics gibi analiz araçları, ziyaretçi verilerini toplar ve raporlar. Bu kapsamda Google gibi şirketler, sizin tarayıcınıza yerleşen çerezler aracılığıyla kullanım verilerinizi (IP adresi, ziyaret süresi, sayfa etkileşimleri vb.) kendi sunucularına iletir ve rapor haline getirir. Ancak bu veriler genellikle isim, e-posta gibi sizi doğrudan tanımlamayan anonim istatistiklerdir. Yine de IP adresi gibi veriler söz konusu olabileceğinden, bu tür paylaşımlar da veri aktarımı olarak değerlendirilebilir. Bu sağlayıcılarla yapılan anlaşmalar, verilerin yalnızca bizim adımıza ve tarif ettiğimiz amaçlarla kullanılmasını temin eder.
  • Ödeme ve Faturalama Sistemleri: (Her ne kadar sitemiz üzerinden doğrudan online sipariş veya ödeme alınmasa da, ileride bir hizmet satışı olması durumunda) çevrimiçi ödeme altyapısı sağlayıcıları (iyzico, PayPal, Stripe vb.) veya faturalama entegrasyonları kişisel verileri işleyebilir. Bu gibi hallerde, ödeme bilgileri gibi hassas veriler genelde doğrudan ilgili ödeme kuruluşunca alınır ve Şirketimiz bu verilere tam erişim sağlamaz.
  • Hukuk, Finans ve Danışmanlık Hizmetleri: İhtiyaç duyulduğunda avukatlar, denetçiler veya danışmanlarla çalışabiliriz. Örneğin bir hukuki uyuşmazlıkta avukatımıza ilgili iletişim kayıtlarınızı vermemiz gerekebilir veya bir denetim sırasında belli kayıtlar denetçiler tarafından incelenebilir. Bu durumlarda da, bu profesyoneller gizlilik yükümlülüğü altındadır ve bilgilerinizi yalnızca ilgili amaç için kullanabilirler.
  • Grup Şirketleri: (Eğer GMR Enerji Mühendislik bir grup şirketinin parçasıysa) belirli idari işlemler veya müşterek servisler için veriler grup içerisindeki diğer şirketlerle paylaşılabilir. Şu an için böyle bir paylaşım söz konusuysa, ilgili şirketler de en az bizim kadar veri koruma yükümlülüğü altındadır.
  • Yasal Yükümlülükler Gereği Alıcılar: Kanunen yetkili kılınmış kamu kurum ve kuruluşları (mahkemeler, savcılıklar, emniyet birimleri, Kişisel Verileri Koruma Kurumu gibi) talepleri halinde veya bir yasal zorunluluk doğduğunda, kişisel verilerinizi bu alıcılarla paylaşabiliriz. Bu paylaşım, sadece ilgili yasal zorunluluk kapsamında ve talep edilen kadarıyla sınırlı olacaktır (örneğin, bir mahkeme kararıyla belirli kayıtların sunulması).
  • İşlemeler ve İş Transferleri: Şirketimizin bir birleşme, devralma, yeniden yapılandırma veya varlık satışı gibi kurumsal bir işlemi söz konusu olursa, kişisel verileriniz de devredilen varlıklar arasında yer alabilir. Böyle bir durumda, alıcı taraf verilerinizi bu politikaya uygun şekilde işlemeyi devam ettirmekle yükümlü olacaktır.

Veri İşleyenlerle İlişkiler: Kişisel verilerinizi paylaştığımız üçüncü tarafların birçoğu veri işleyen statüsündedir; yani verilerinizi sadece bizim adımıza ve talimatlarımız doğrultusunda işlerler. Bu taraflarla yaptığımız sözleşmelerde (örn. gizlilik anlaşmaları, veri işleme ekleri) verilerinizin korunması için gerekli maddeler bulunur. Özellikle, verilerin amacı dışında kullanılmaması, yeterli güvenlik önlemlerinin alınması ve sözleşme bitiminde verilerin silinmesi gibi yükümlülükler tanımlanmıştır.

Üçüncü Taraf Siteler: Web sitemizden başka sitelere (iş ortaklarımızın siteleri, sosyal medya platformları v.b.) bağlantılar verebiliriz. Bu sitelerin kendilerine ait gizlilik politikaları vardır ve biz bu sitelerin içerik veya uygulamalarından sorumlu değiliz. Bir üçüncü taraf sitesine gittiğinizde, kendi gizlilik tercihlerinizi ve o sitenin koşullarını gözden geçirmenizi tavsiye ederiz.

Veri Satışı Yapmıyoruz: Özellikle vurgulamak isteriz ki, kullanıcı verilerinizi hiçbir koşulda satmaz, lisanslamaz veya ticari kazanç amacıyla üçüncü taraflarla paylaşmayız. Paylaşımlar sadece yukarıda belirtilen meşru amaçlar çerçevesinde ve gerekli olduğu kadarıyla yapılır. Örneğin, bir hizmeti sunmak için teknik altyapı sağlayan firma ile veriler paylaşılabilir ancak sizin onayınız olmadan pazarlama amacıyla verileriniz başka bir şirkete verilmez. Kaliforniya Eyaleti kanunları (CCPA/CPRA) uyarınca “satış” sayılabilecek bir işlem gerçekleştirmiyor, ayrıca kişisel bilgilerinizi çapraz bağlamda hedefli reklam için üçüncü taraflarla “paylaşmıyoruz”.

7. Uluslararası Veri Transferleri

GMR Enerji Mühendislik olarak, faaliyetlerimizin doğası gereği ve kullandığımız teknolojik altyapılar sebebiyle, kişisel verilerinizi yurt dışına aktarabileceğimiz durumlar olabilmektedir. Farklı ülkelerde sunucular, bulut hizmetleri veya iş ortakları ile çalışmaktayız. Bu nedenle, Türkiye’de toplanan bir verinin yurtdışındaki bir sunucuda işlenmesi veya Avrupa Birliği’nden gelen bir talebin Türkiye’de işlenmesi gibi senaryolar söz konusu olabilir.

Türkiye Dışı Aktarımlar (KVKK): KVKK’nın 9. maddesi uyarınca, kişisel verilerin yurt dışına aktarılması belirli şartlara tabidir. Şirket olarak, verilerinizi Türkiye dışındaki bir ülkeye aktarırken:

  • Kurul Tarafından Yeterli Koruma Kararı Verilmiş Ülkeler: Kişisel Verileri Koruma Kurumu (KVKK Kurulu) tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere aktarım yapabiliriz. (Not: KVKK Kurulu henüz böyle bir “güvenli ülke” listesi ilan etmemiştir, dolayısıyla bu yol fiilen bulunmamaktadır.)
  • Yeterli Koruma Yoksa: Eğer veriyi aktaracağımız ülkede yeterli koruma yoksa, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları olarak gerekli korumayı yazılı olarak taahhüt eder ve Kurul’un iznini alırız veya ilgili veri aktarımı için açık rızanızı talep ederiz. Uygulamada, kullandığımız uluslararası hizmetler için sizden genellikle açık rıza almaktayız (örneğin, analitik çerezleri kabul ederek verinin yurt dışına gitmesine de rıza göstermiş olursunuz).
  • KVKK’nın öngördüğü diğer istisnalar (açık rıza yoksa dahi Kanun’un 5(2) veya 6(3) maddelerindeki şartlar) var ise, bu durumda da uluslararası aktarım mümkün olabilir. Örneğin, bir sözleşmenin ifası için zorunlu ise veya hukuki bir talep varsa.

Avrupa Ekonomik Alanı (EEA) / Birleşik Krallık Dışı Aktarımlar (GDPR): Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) uyarınca, AB/AEA sınırları dışına kişisel veri aktarırken benzer şekilde önlemler alıyoruz. Eğer verilerinizi Avrupa dışındaki bir ülkeye (örneğin ABD’ye) göndereceksek:

  • Adequacy Decision (Yeterlilik Kararı): Avrupa Komisyonu tarafından yeterli koruma düzeyine sahip olduğu belirlenen ülkelere aktarımda ek izne gerek yoktur. (Örneğin, Birleşik Krallık, AB tarafından yeterli görülmüştür; İsviçre vb. bazı ülkeler de listeye dahildir.)
  • Uygun Güvenceler (Standart Sözleşme Klozları vs.): Eğer ülke yeterli değilse, alıcı tarafla Standart Sözleşme Maddeleri (Standard Contractual Clauses) gibi GDPR Madde 46’da belirtilen uygun güvenceleri uygularız. Bu sözleşmeler, verilerin alındığı ülkede bile AB seviyesinde koruma görmesini şart koşar. Gerekirse ek teknik/organizasyonel tedbirler de alınır (örneğin, verileri şifreleyerek aktarmak gibi).
  • İstisnai Durumlar: GDPR Madde 49’daki istisnalar çerçevesinde (açık rıza, bir sözleşmenin ifası, hukuki talep vs.) da yurt dışına veri aktarımı yapılabilir. Özellikle, sizin açık rızanız bulunduğunda AB dışı aktarım gerçekleştirilebilir.
  • Her halükârda, uluslararası veri aktarımlarında mahremiyetinizi korumak için gerekli tüm tedbirleri alıyoruz. Örneğin, bir hizmet sağlayıcımız ABD’de ise ve bu sağlayıcıyla SCC (Standart Sözleşme Maddeleri) imzaladıysak, bu durum verilerinizin korunmasına yönelik bağlayıcı sözleşmesel güvenceler olduğu anlamına gelir.

Brezilya Dışı Aktarımlar (LGPD): Brezilya’nın LGPD yasası da benzer şekilde, kişisel verilerin yurt dışına transferini düzenlemektedir. Eğer Brezilya’dan elde edilen bir veri başka ülkeye aktarılacaksa, ilgili ülkede yeterli koruma olmalı veya Brezilya Veri Koruma Otoritesi (ANPD) tarafından onaylanmış güvenlik güvenlik önlemleri uygulanmalıdır (örneğin standart sözleşmeler veya şirket bağlayıcı kuralları). Şirketimiz, Brezilya’dan gelen verileri de ancak LGPD’nin izin verdiği şartlarda ülke dışına aktarır.

Hangi Durumlarda Aktarım Olur?: Pratikte, en sık karşılaşılan uluslararası aktarım örnekleri şunlardır:

  • Web sitemizin ve e-posta hizmetimizin barındırıldığı sunucu Avrupa dışında bir ülkedeyse (ör. ABD veya başka bir bölge).
  • Kullandığımız üçüncü taraf hizmetlerinin (Google, Microsoft, Mailchimp vb.) sunucuları yurt dışında ise.
  • Siz siteyi Türkiye dışından ziyaret ediyorsanız, verileriniz doğal olarak Türkiye’ye ve diğer konumlara iletilecektir.
  • Bir talep çerçevesinde verilerinizi yurt dışındaki iş ortaklarımıza iletmemiz gerekirse (ör. uluslararası bir proje için iş birliği yaptığımız bir şirketle iletişim bilgilerinizi paylaşmak).

Şeffaflık: Kişisel verilerinizin hangi ülkelere aktarılabileceği konusunda sorularınız olursa, bizimle iletişime geçerek detay talep edebilirsiniz. Örneğin, “Analitik verilerim ABD’ye gidiyor mu?” diye sorabilirsiniz; biz de size kullandığımız aracın hangi ülkede veri işlediğini bildireceğiz.

Açık Rıza Gerektiren Haller: Bazı durumlarda, hem KVKK hem de GDPR’ye uyum için veri aktarımı konusunda sizden açık rıza almamız en güvenli yol olabilir.

Örneğin, AB mevzuatının tam uyumlu olmadığı bir ülkeye veri aktarımı gerekiyorsa, sitenin başında buna dair bir onay isteyebiliriz. Bu rızayı vermemeyi tercih ederseniz, mümkün olduğunca verilerinizi Türkiye/AB içinde tutmaya çalışacağız veya ilgili hizmetleri sizin için kısıtlayacağız (örneğin analitik yapmayacağız).

Örnek: Diyelim ki web sitemizin barındırma hizmeti ABD merkezli bir şirketten alınıyor. Bu durumda, web sitemize girdiğinizde IP adresiniz ve gezinti verileriniz ABD’deki sunuculara iletilecektir. GDPR açısından bu bir veri transferi sayılır. Biz de bu şirketle SCC imzalayarak ve teknik güvenlik önlemleri alarak (şifreleme vb.), verilerinizin güvende kalmasını sağlarız. Aynı zamanda çerez bildiriminde “Bu siteyi kullanarak verilerinizin ABD’ye aktarılmasını da kabul etmiş olursunuz” gibi bir uyarı ile açık rızanızı almış olabiliriz.

Özetle, hangi ülkede olursa olsun kişisel verilerinizi koruma altına alıyoruz. Uluslararası veri aktarımlarında yürürlükteki tüm yasal düzenlemelere riayet ediyoruz ve verilerinizin güvenliği için sözleşmesel, teknik ve idari tedbirler uyguluyoruz.

8. Kişisel Verilerin Saklanma Süresi

Topladığımız kişisel verileri, ilgili amaçların gerektirdiği süre boyunca ve yürürlükteki mevzuata uygun şekilde saklıyoruz. Saklama sürelerini belirlerken, verinin niteliğini, işleme amacını ve tabi olduğu yasal yükümlülükleri dikkate almaktayız. Genel hatlarıyla saklama politikamız şöyledir:

İletişim Verileri: İletişim formları aracılığıyla ilettiğiniz mesajlar ve iletişim bilgileriniz, talebinizi yanıtlamak ve gerekli takibi yapmak için gereken süre boyunca saklanır. Örneğin, tarafınıza bir dönüş yapıldıktan sonra, yazışmalarımızı kalite kontrolü veya ileride doğabilecek uyuşmazlıklarda delil olarak kullanmak amacıyla makul bir süre daha tutabiliriz. Bu süre tipik olarak 2 yıldan fazla olmamak kaydıyla belirlenir, ancak devam eden bir iş ilişkisi doğmuşsa (örneğin siz bizim müşterimiz olduysanız) verileriniz müşteri dosyanızın parçası olarak daha uzun süre tutulabilir.

  • İletişim Verileri: İletişim formları aracılığıyla ilettiğiniz mesajlar ve iletişim bilgileriniz, talebinizi yanıtlamak ve gerekli takibi yapmak için gereken süre boyunca saklanır. Örneğin, tarafınıza bir dönüş yapıldıktan sonra, yazışmalarımızı kalite kontrolü veya ileride doğabilecek uyuşmazlıklarda delil olarak kullanmak amacıyla makul bir süre daha tutabiliriz. Bu süre tipik olarak 2 yıldan fazla olmamak kaydıyla belirlenir, ancak devam eden bir iş ilişkisi doğmuşsa (örneğin siz bizim müşterimiz olduysanız) verileriniz müşteri dosyanızın parçası olarak daha uzun süre tutulabilir.
  • Pazarlama Verileri: E-posta adresiniz gibi pazarlama iletişimleri için işlediğimiz verileri, siz abonelikten çıkana veya ilgili pazarlama faaliyeti son bulana dek saklarız. Abonelikten çıktığınızda, artık size e-posta göndermemek adına adresinizi “engellenmiş” listede tutmamız gerekebilir (yeniden yanlışlıkla eklememek için). Ancak, aktif olarak pazarlama için kullanılmaz. Kanunların öngördüğü azami süreler de bu konuda dikkate alınır.
  • Çerez Verileri: Çerezler, belirli sürelerle tarayıcınızda kalacak şekilde ayarlanmıştır. Örneğin, oturum çerezleri tarayıcıyı kapattığınızda silinirken, bazı tercih çerezleri birkaç ay veya yıl boyunca cihazınızda kalabilir. Sitemizde kullanılan çerezlerin ömür bilgileri, çerez politikasında veya tarayıcı ayarlarınızda görülebilir. Analitik verileri ise genellikle anonimleştirilmiş olarak uzun vadeli trend analizleri için saklayabiliriz; ancak bu veriler kişi bazında sizi tanımlamaz.
  • İş Başvuruları: Web sitemiz üzerinden bir iş başvurusu yaparsanız (başvuru formu veya e-posta ile CV gönderme), bu başvuru belgelerinizi işe alım süreci boyunca ve sonrasında makul bir süre saklarız. Eğer başvurunuz olumsuz sonuçlanırsa, gelecekte doğabilecek fırsatlar için özgeçmişinizi saklamak isteyebiliriz, fakat bunun için genellikle açık rıza talep ederiz. Rızanız yoksa, mevzuata uygun olarak en geç 2 yıl içinde CV’nizi siliyoruz.
  • Yasal Süreler: Bazı veriler, ilgili yasal düzenlemelerin öngördüğü sürelerce saklanmalıdır. Örneğin, muhasebe kayıtları (içinde kişisel veri barındırabilir, fatura bilgileri gibi) Türk Ticaret Kanunu ve Vergi Usul Kanunu gereği 10 yıl saklanır. Benzer şekilde, KVKK gereği tutulması gereken imha politikası kayıtları, açık rıza kayıtları vb. belirli süreler saklanır.
  • Hak İddiaları Durumu: Tarafımız ile aranızda hukuki bir uyuşmazlık çıkması ihtimaline karşı, zamanaşımı süreleri boyunca gerekli olabilecek verileri saklayabiliriz. Örneğin, KVKK uyarınca yapacağınız bir başvuru ve bizim vereceğimiz cevap yazıları, ileride KVKK Kurumu inceleme yaparsa ispat için gerekeceğinden, bu süreçler tamamlanana dek silinmez.
  • Anonimleştirme: Verilere artık ihtiyacımız kalmadığında ve yasal olarak da saklama zorunluluğumuz yoksa, bu verileri tamamen siler, yok eder veya anonim hale get

Saklama süresi dolan veriler, periyodik imha süreçlerimiz kapsamında güvenli şekilde silinir, yok edilir veya anonimleştirilir. KVKK ve ilgili yönetmeliklere uygun olarak, periyodik imha süreçlerimiz yılda en az 2 kere yürütülür. Daha detaylı bilgi için kurum içi Veri Saklama ve İmha Politikamızı talep edebilirsiniz (eğer ilgili bir politikamız mevcutsa).

9. Kişisel Verilerin Güvenliği

Kişisel verilerinizin güvenliği bizim için vazgeçilmez bir önceliktir. Bu amaçla, teknik ve idarî anlamda bir dizi güvenlik önlemi uygulamaktayız. Verilerinizin yetkisiz erişim, ifşa, değiştirilme veya imha risklerine karşı korunmasını sağlamak üzere aldığımız önlemlerden bazıları şunlardır:

  • Şifreleme: Web sitemiz üzerinden iletilen hassas veriler, güvenli iletişim protokolleri (SSL/TLS) kullanılarak şifrelenmektedir. Tarayıcınızın adres çubuğunda gördüğünüz kilit simgesi, site ile aranızdaki trafiğin şifreli olduğunu gösterir. Ayrıca, veritabanlarımızda kritik bilgiler mümkün olduğunca kriptografik yöntemlerle korunur.
  • Erişim Kontrolleri:Şirket içinde, kişisel verilere erişimi yalnızca işin gereği bu verilere ihtiyacı olan yetkili çalışanlar ile sınırlandırıyoruz. Bu çalışanlar için de rol tabanlı erişim kontrolü uygulanmakta olup, herkes her veriye erişemez. Örneğin, müşteri iletişim bilgilerine sadece müşteri ilişkileri departmanı ulaşabilirken, sunucu loglarına yalnızca BT departmanı erişebilir.
  • Fiziksel Güvenlik:Verilerimizin tutulduğu sunucular, güvenli veri merkezlerinde barındırılmaktadır. Bu veri merkezleri yangın, deprem gibi fiziksel risklere karşı korunaklı olup 7/24 güvenlik, kamera izleme ve erişim kontrol sistemlerine sahiptir. Şirket ofisimizde bulunan herhangi bir fiziki evrak veya yerel sunucu da kilitli dolaplar, alarm sistemleri gibi önlemlerle korunur.
  • Anti-virüs ve Güvenlik Yazılımları:Sistemlerimiz kötü amaçlı yazılımlara karşı güncel anti-virüs programları ile korunmaktadır. Ayrıca, web uygulamamız için güvenlik duvarları (firewall), saldırı tespit ve önleme sistemleri (IDS/IPS) ve DDoS koruma gibi ek teknik önlemler uygulanmaktadır.
  • Güncelleme ve Bakım:Kullandığımız yazılımlar ve sunucu sistemleri düzenli olarak güncellenir. Güvenlik açıklarına karşı yayınlanan yamalar en kısa sürede uygulanır. Eski ve desteklenmeyen sistemler kullanmamaya özen gösteririz. Web sitemiz de güvenli kodlama prensiplerine uygun geliştirilir ve periyodik olarak zafiyet taramasından geçirilir.
  • Kayıt ve İzleme:Sistemlerimizdeki yetkili erişimleri ve önemli işlemleri logluyoruz. Bu sayede olası bir yetkisiz erişim veya veri sızıntısı girişimi olduğunda inceleme yapabilir ve izini sürebiliriz. Erişim logları belirli bir süre saklanır ve sadece güvenlik amaçlarıyla kullanılır.
  • Çalışan Eğitimleri ve Politikalar:Çalışanlarımıza düzenli olarak veri gizliliği ve bilgi güvenliği eğitimleri veriyoruz. Şirket içinde uygulanan bir Bilgi Güvenliği Politikası mevcut olup, tüm personelimizin uyması beklenen kurallar tanımlanmıştır. Örneğin, harici bellek kullanımı, şifre politikaları, ekran gizliliği gibi konularda prosedürlerimiz vardır.
  • Veri İhlali Müdahale Planı: Her ne kadar en üst düzeyde koruma sağlamaya çalışsak da, bir güvenlik ihlali ihtimaline karşı hazırlıklıyız. Olası bir veri ihlali durumunda, Veri İhlali Müdahale Planımız devreye girer. Bu plan çerçevesinde, ilgili kullanıcıları ve makamları haberdar etme (örneğin, KVKK veya AB’de ilgili denetleyici otoriteler), hasarı azaltma ve tekrarını önleme adımları tanımlanmıştır.
  • Üçüncü Taraf Güvenliği:Hizmet aldığımız üçüncü tarafların da veri güvenliğine uygun davranmasını sözleşmelerle teminat altına alıyoruz. Örneğin, bulut hizmeti sağlayıcılarımızın uluslararası güvenlik sertifikasyonlarına (ISO 27001 gibi) sahip olmasına dikkat ediyoruz. Ayrıca zaman zaman bu sağlayıcılardan güvenlik kontrollerine dair raporlar talep edebiliriz.

Tüm bu önlemlere rağmen, internet ve dijital sistemler üzerinde “%100 güvenlik” diye bir kavram olmadığını belirtmek isteriz. Biz elimizden gelen en üst düzey korumayı sağlasak da, yeni ortaya çıkan saldırı yöntemleri veya öngörülemeyen zafiyetler nedeniyle ihlal riski hiçbir zaman sıfır değildir. Ancak kullanıcılar olarak sizler de güvenliğinize katkı sağlayabilirsiniz:

  • Lütfen web sitemizde bir hesap oluşturmuyor olsanız bile, bizimle iletişimde kullandığınız cihazların güvenliğinden emin olun (güncel anti-virüs yazılımı, güçlü şifreler, kamusal Wi-Fi’da temkinli olma gibi).
  • Şüpheli bir durum fark ederseniz (örneğin, sizin adınıza bizden beklenmedik bir e-posta gelmesi gibi), derhal bizimle iletişime geçerek bildirmenizi rica ederiz.

Özetle:Kişisel verilerinizi korumak için hem uluslararası standartlara uygun teknik güvenlik önlemleri hem de şirket içi politikalar uyguluyoruz. Yetkisiz erişim veya kötüye kullanımı önlemek adına sürekli tetikteyiz. Herhangi bir güvenlik ihlali durumunda, ilgili yasal prosedürleri izleyerek siz kullanıcılarımızı ve yetkili kurumları bilgilendireceğiz.

10. Veri Sahibi Hakları

Kişisel verileriniz üzerinde kontrol sahibi olmanız için yasalar sizlere çeşitli haklar tanımıştır. GMR Enerji Mühendislik olarak, tüm veri sahibi taleplerine saygıyla yaklaşıyor ve gerekli işlemleri yasal süreler içinde yerine getiriyoruz. Tarafımızca işlenen kişisel verilerinize ilişkin olarak aşağıdaki haklara sahipsiniz:

  • Bilgi ve Erişim Hakkı: Hakkınızda kişisel veri işleyip işlemediğimizi öğrenme; işleniyorsa buna ilişkin bilgi talep etme hakkınız vardır. Başka bir deyişle, hangi verilerinizi tuttuğumuzu, bu verileri ne amaçla kullandığımızı ve bu verileri kimlerle paylaştığımızı sizlere bildirebiliriz. Örneğin, “sistemde kayıtlı e-posta adresim ve form mesajlarım nelerdir?” diye sorabilirsiniz.
  • Düzeltme Hakkı: Eksik veya yanlış işlendiğini düşündüğünüz kişisel verilerinizin düzeltilmesini isteme hakkınız bulunmaktadır. Örneğin, adınızda bir yazım hatası varsa veya iletişim bilgileriniz değiştiyse, güncelleme talep edebilirsiniz.
  • Silme (Unutulma) Hakkı: Belirli koşullar altında kişisel verilerinizin silinmesini veya yok edilmesini talep edebilirsiniz. Örneğin, işlenme amacı ortadan kalkmış veya yasal olarak artık saklanması gerekmiyorsa, verilerinizin silinmesini isteyebilirsiniz. KVKK m. 7 ve GDPR m.17 kapsamında bu hakkınız tanınmıştır. Biz de mevzuata uygun olarak talebinizi değerlendirip, gerekli işlemleri yapacağız. (Not: Bazı durumlarda, örneğin kanunen belirli verileri saklama yükümlülüğümüz varsa, hemen silemeyebiliriz; ancak bu durumda da sizi bilgilendiririz.)
  • İşlemeyi Kısıtlama Hakkı: GDPR kapsamında bir hakkınız olmakla birlikte, KVKK’da doğrudan düzenlenmemiştir; ancak siz yine de belirli durumlarda verilerinizin işlenmesinin geçici olarak durdurulmasını talep edebilirsiniz. Örneğin, verilerinizin doğruluğuna itiraz ettiyseniz, talebiniz sonuçlanana kadar verilerin sadece saklanıp başka amaçla işlenmemesini isteyebilirsiniz.
  • Veri Taşınabilirliği Hakkı:GDPR ve kısmen LGPD kapsamında, bize sağladığınız kişisel verilerin yapılandırılmış, yaygın olarak kullanılan bir formatta size veya sizin belirleyeceğiniz başka bir hizmet sağlayıcısına iletilmesini isteyebilirsiniz. Örneğin, bizde tuttuğunuz belirli profil verileri varsa (e-bülten aboneliği gibi) bunu size CSV/Excel formatında verebilir veya teknik olarak mümkünse doğrudan başka bir platforma aktarmamızı talep edebilirsiniz.
  • İtiraz Hakkı:Kişisel verilerinizin işlendiği belirli durumlara itiraz etme hakkınız bulunmaktadır. Özellikle, verilerinizin doğrudan pazarlama amacıyla işlenmesine (örneğin adınıza e-posta reklam gönderilmesine) dilediğiniz zaman itiraz edebilirsiniz; bu durumda pazarlama amacıyla işleme derhal durdurulur. Bunun dışında, meşru menfaat hukuki sebebine dayalı işlemlerde de durumunuza özgü nedenlerle itiraz hakkınız saklıdır. Ayrıca, KVKK m.11 uyarınca işlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç doğmasına itiraz edebilirsiniz.
  • Rıza Geri Çekme Hakkı: Kişisel verilerinizin işlenmesi için daha önce vermiş olduğunuz bir rıza bulunuyorsa (örneğin pazarlama izni veya çerez izni), istediğiniz anda rızanızı geri çekme hakkınız vardır. Rızanızı geri çektiğiniz andan itibaren, ilgili işleme faaliyeti durdurulur ve mümkünse verileriniz silinir veya anonimleştirilir. Rızanızı geri çekmek, geri çekme öncesinde gerçekleşmiş işlemlerin hukuka uygunluğunu etkilemez.
  • Şikayette Bulunma Hakkı: Kişisel verilerinizin korunması konusunda herhangi bir ihlal olduğunu düşünüyorsanız, ilgili denetleyici otoritelere şikayette bulunabilirsiniz. Türkiye’de Kişisel Verileri Koruma Kurumu’na (KVKK Kurulu) başvurabilir; Avrupa Birliği ülkelerindeyseniz kendi ülkenizin veri koruma denetçisine (Data Protection Authority) şikayet dilekçesi verebilirsiniz. Brezilya’da ANPD (Ulusal Veri Koruma Otoritesi)’ye, Kaliforniya’da ise California Privacy Protection Agency veya Eyalet Adalet Bakanlığı’na başvuru hakkınız bulunmaktadır. Biz, herhangi bir şikayetiniz olmadan önce sizlere yardımcı olabilmek adına iç çözüm mekanizmalarımızı çalıştırmayı tercih ederiz, bu yüzden önce bizimle iletişime geçmenizden memnuniyet duyarız.
  • Tazminat Talep Etme:KVKK m.11 uyarınca, kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle bir zarara uğramanız hâlinde bu zararın giderilmesini talep etme hakkınız vardır. Benzer şekilde GDPR kapsamında da ihlal sonucu zarara uğrayan kişilerin tazminat talep etme hakları saklıdır. Umarız böyle bir durum hiçbir zaman yaşanmaz; ancak eğer yaşanırsa, yasal süreçlerde haklarınızı kullanabileceğinizi hatırlatırız.

Haklarınızı Nasıl Kullanabilirsiniz?

Yukarıdaki haklarınızı kullanmak veya kişisel verilerinizle ilgili herhangi bir talepte bulunmak için bizimle her zaman iletişime geçebilirsiniz. KVKK m.13 ve ilgili mevzuat uyarınca, başvurularınızı yazılı veya KVKK Kurulu’nun belirlediği diğer yöntemlerle tarafımıza iletebilirsiniz. Kolaylık olması açısından, bize e-posta yoluyla ulaşmayı tercih edebilirsiniz. Taleplerinizi iletmek için info@gmrmuhendislik.com adresine konu kısmına “KVKK Başvurusu” ya da “Veri Talebi” yazarak e-posta gönderebilirsiniz. Mümkünse, kimliğinizi doğrulayabilmemiz için ad-soyad ve ilgili talebe dair detayları belirtiniz. (Örneğin, farklı bir e-posta adresinden yazıyorsanız, sistemimizde kayıtlı e-posta adresinizi de ekleyin ki sizi bulabilelim.)

Aldığımız talepleri en geç 30 gün içinde sonuçlandırıyoruz (KVKK gereği). GDPR kapsamındaki talepler için bu süre genellikle 1 ay olup, gerekirse 2 aya kadar uzatılabilir; ancak uzatma durumunda sizi bilgilendiririz. Talepler kural olarak ücretsiz olarak işleme alınır. Ancak, KVKK ve GDPR, talebiniz aşırı ve gereksiz tekrar içeriyorsa veya ek kopyalar talep ediyorsanız makul bir ücret isteme hakkı tanır. Şu ana kadar hiçbir kullanıcıdan böyle bir ücret talep etmiş değiliz; amacımız da her zaman ücretsiz ve hızlı şekilde sizlere yardımcı olmaktır.

Başvurunuzla ilgili olarak, kimliğinizi doğrulamak amacıyla ek bilgi talep edebiliriz. Örneğin, e-posta ile yapılan bir başvuruda, kayıtlarımızdaki telefon numaranıza doğrulama kodu göndermek veya resmi kimlik suretinizi istemek gibi. Bu, verilerinizi korumak adına yaptığımız bir tedbirdir; zira başkası sizin adınıza haksız bir talepte bulunmasın isteriz.

Taleplerinizi yanıtlarken, talebin niteliğine göre, işlemi gerçekleştirdiğimizi veya gerekçesiyle birlikte neden gerçekleştiremediğimizi size yazılı olarak bildiririz. Örneğin, “kişisel verileriniz sistemimizden silinmiştir” veya “filanca yasal yükümlülük nedeniyle şu veriyi şu süre daha saklamak zorundayız” gibi bir geri dönüş alacaksınız.

Sonuç olarak: Kişisel verileriniz üzerindeki haklarınıza saygılıyız ve şeffaflığı önemsiyoruz. Her türlü soru ve talebinizde yardımcı olmaya hazırız. Haklarınız konusunda daha detaylı bilgi almak isterseniz, ilgili yasal metinlere (KVKK m.11, GDPR m.15-22, CCPA Sec.1798.100 ve devamı vb.) göz atabilir veya doğrudan bize sorabilirsiniz. Unutmayın, veriler sizin verilerinizdir; biz sadece emanetçisiyiz.

Türkiye’ye Özgü Ek Bilgiler (KVKK)

Türkiye Cumhuriyeti’nde ikamet eden kullanıcılarımız ve verileri Türkiye’de işlenen ilgili kişiler bakımından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuat uyarınca ek bazı bilgilendirmeler aşağıda sunulmuştur:

  • Veri Sorumlusu: KVKK m.10 gereği, veri sorumlusu olarak kimliğimizi yukarıda “Veri Sorumlusunun Kimliği” başlığı altında açıkladık. GMR Enerji Mühendislik, Ankara merkezli bir şirket olup iletişim bilgilerimiz aynen orada belirtildiği şekildedir. Dilerseniz yazılı taleplerinizi şirket adresimize iadeli taahhütlü posta ile gönderebilir veya noter kanalıyla iletebilirsiniz. (Başvuru usulleri konusunda detaylı bilgi için “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e bakabilirsiniz.)
  • Aydınlatma Yükümlülüğü: İşbu politika metni ile KVKK’nın 10. maddesine uygun şekilde sizleri aydınlatıyoruz. Topladığımız/verdiğiniz kişisel verilerin; işleme amaçları, aktarılabilecek taraflar, hukuki sebepleri ve haklarınız konularında gerekli bilgilendirme yapılmıştır. Bu metinde yer almayan ve KVKK uyarınca talep ettiğiniz başka bilgiler olursa, bunları da size sağlamaya hazırız.
  • KVKK Kapsamındaki Haklar: KVKK madde 11, veri sahiplerine belirli haklar tanımaktadır (yukarıda “Veri Sahibi Hakları” bölümünde genel olarak aktardık). Özellikle tekrar hatırlatmak gerekirse, KVKK madde 11 uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili; kişisel verilerinin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, amaçlarını öğrenme, yurt içinde/yurt dışında aktarıldığı üçüncü kişileri bilme, eksik/yanlış işlendi ise düzeltilmesini, işleme sebepleri ortadan kalktıysa silinmesini veya yok edilmesini isteme, yapılan işlemlerin üçüncülere bildirilmesini isteme, otomatik sistemler ile analiz sonucu aleyhe bir durum çıkarsa itiraz etme, kanuna aykırı işleme sebebiyle zarara uğrarsa tazminat talep etme haklarına sahiptir. Bu hakları kullanma yöntemlerinizi yukarıda belirttik; KVKK’ya uygun olarak taleplerinizi en geç 30 gün içinde sonuçlandıracağız.
  • Verilerin Yurtdışına Aktarımı: Kişisel verilerinizin Türkiye dışına aktarımı konusunda KVKK’nın 8 ve 9. maddelerine tabiyiz. Yukarıdaki “Uluslararası Veri Transferleri” bölümünde belirttiğimiz gibi, veriler yurt dışına aktarılırken KVKK’nın gerektirdiği güvencelere başvuruyoruz. Henüz Kurul tarafından açıklanmış bir güvenli ülke listesi bulunmadığından, pratikte çoğu yurtdışı aktarım için açık rızanıza başvuruyoruz. Örneğin, web sitemizdeki çerez pop-up’ında “yurt dışına aktarımı kabul ediyorum” seçeneğini işaretleyerek onay vermeniz gibi. Onay vermediğiniz takdirde, mümkün mertebe verilerinizi Türkiye sınırları içinde işlemeye çalışacağız.
  • Başvuru ve Şikayet Mekanizmaları: KVKK kapsamında haklarınızı kullanmak için öncelikle veri sorumlusu olarak bize başvurmanız gerekmektedir. Başvurunuza yanıt aldıktan sonra tatmin olmazsanız veya 30 gün içinde cevap alamazsanız, KVKK Kurumu’na şikayette bulunabilirsiniz. Kurum’un adresi ve başvuru usulleri KVKK’nın resmî sitesinde yer almaktadır. Biz, anlaşmazlıkları dostane yollarla çözmeyi arzu ediyoruz; dolayısıyla herhangi bir sorunuzu veya şikayetinizi önce bize iletebilirsiniz.
  • Veri Güvenliği İhlalleri: Türkiye’deyken verilerinizle ilgili bir güvenlik ihlali olması durumunda (örneğin veri sızıntısı), KVKK m.12’ye uygun olarak bunu en kısa sürede sizlere ve Kurul’a bildireceğiz. Böyle bir durum hiç yaşanmaması için azami gayreti gösteriyoruz, ancak teori olarak bilgilendirme yükümlülüğümüzü vurgulamak istedik.
  • İlgili Diğer Mevzuat: Kişisel verilerin korunması konusunda Türkiye’de KVKK dışında da uygulanan düzenlemeler vardır. Örneğin, elektronik pazarlama mesajları için 6563 sayılı Kanun ve İleti Yönetim Sistemi (İYS) kuralları geçerlidir. Biz bu tür tüm mevzuata uyumlu hareket etmeye özen gösteriyoruz. Açık rızanızı almadan tarafınıza ticari elektronik ileti göndermiyoruz, İYS üzerinden ret hakkınızı kullanmanıza saygı duyuyoruz.
  • Çocuklar: Türkiye’de çocukların kişisel verilerinin işlenmesi konusunda özel bir yaş sınırı KVKK’da belirtilmemiştir. Ancak, 18 yaşından küçük kullanıcıların verilerini işlemeye ihtiyaç duyarsak, mümkünse veli/vasi izni alacağız. Zaten web sitemiz genel itibariyle yetişkinlere yöneliktir; 16 yaş altı bireylerden bilerek veri talep etmiyoruz. Eğer bir ebeveyn, çocuğunun bize veri sağladığını fark ederse lütfen bize ulaşsın, gereğini yapalım (silme vs.).

AB/AEA ve Birleşik Krallık İçin Ek Bilgiler (GDPR)

Avrupa Birliği üyesi ülkelerde veya Avrupa Ekonomik Alanı (AEA) kapsamındaki bölgelerde ikamet eden kullanıcılarımız (ayrıca benzer şekilde Birleşik Krallık’ta ikamet edenler) için, Genel Veri Koruma Tüzüğü (GDPR) ve Birleşik Krallık GDPR’sine uyum çerçevesinde bazı ek noktaları vurgulamak isteriz:

  • Veri Sorumlusunun Temsilcisi: Şirketimizin AB sınırları içinde bir tüzel varlığı veya temsilcisi bulunmuyorsa, GDPR md.27’ye göre bir AB temsilcisi atamamız gerekebilir. Şu an itibariyle, AB’de bir temsilcimiz yoktur çünkü ana hedef kitlemiz Türkiye’dedir ve AB’de sistematik bir faaliyetimiz bulunmamaktadır. Ancak, ileride AB pazarına yönelik faaliyetlerimiz artarsa, bir temsilci atayarak bu bilgiyi gizlilik politikamıza ekleyeceğiz.
  • Yasal Dayanaklar: GDPR kapsamında her bir veri işleme faaliyeti için belirli bir yasal dayanağa dayanıyoruz (GDPR md.6). Yukarıda “Hukuki Dayanaklar” bölümünde hangi durumlarda hangi dayanağa başvurduğumuzu genel hatlarıyla açıkladık. Özetle: sözleşme (md.6/1-b), meşru menfaat (md.6/1-f), yasal yükümlülük (md.6/1-c), rıza (md.6/1-a) ve gerektiğinde hayati çıkarlar (md.6/1-d) veya kanunen yetkili kamu yararı durumları (md.6/1-e) gibi uygun maddelere dayanıyoruz. AB’deki kullanıcılar için özellikle vurgulamak isteriz ki, pazarlama e-postaları ve çerezler için rıza almaktayız; meşru menfaat iddiasıyla izinsiz pazarlama yapmıyoruz.
  • Haklarınız: GDPR, ilgili kişilere kapsamlı haklar tanır (erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz, otomatik kararların etkisini kaldırma). Bu hakların tamamına saygı duyuyoruz. Yasal olarak AB’de ikamet eden bir birey bizden talepte bulunduğunda, GDPR’nin gerektirdiği prosedürleri izleriz. Örneğin, erişim talebinize genellikle 30 gün içinde ücretsiz olarak yanıt veririz. Türkiye’deki prosedürlere paralel olmakla birlikte, GDPR’nin farklılık gösterdiği noktalara dikkat ediyoruz. Örneğin, veri taşınabilirliği KVKK’da yok ama GDPR’de var; AB’den böyle bir talep gelirse yerine getireceğiz.
  • Şikayet Hakkı (DPA): AB içinde, kişisel verilerinizin işlenmesiyle ilgili bir memnuniyetsizliğiniz olursa, ikamet ettiğiniz ülkenin denetim otoritesine (Data Protection Authority) şikayette bulunabilirsiniz. Örneğin Almanya’da FDPIC, Fransa’da CNIL, Hollanda’da Autoriteit Persoonsgegevens gibi kurumlar bulunmaktadır. Birleşik Krallık için, Information Commissioner’s Office (ICO) yetkili kurumdur. Web sitemizin AB vatandaşlarına doğrudan mal/hizmet pazarlamadığını düşünsek de (GDPR md.3 kapsamında değerlendirme), eğer sitemizi AB’den ziyaret eden kullanıcılarımız olursa bu hakka sahip olduklarını belirtmek isteriz.
  • Uluslararası Transferler: AB/AEA dışına (ör. Türkiye’ye veya ABD’ye) veri transferi konusunda GDPR’nin 44-49. maddelerine tabiyiz. Yukarıda “Uluslararası Veri Transferleri” başlığı altında aktardığımız önlemleri (Standart Sözleşme Klozları vs.) AB verileri için de uygulamaktayız. Örneğin, AB’deki bir kullanıcının verisi Türkiye’deki sunucularımıza geliyorsa, bu ABD’ye aktarmak kadar olmasa da teknik olarak bir üçüncü ülke transferi sayılır. Bu durumda Türkiye’nin henüz AB tarafından “yeterli ülke” olarak tanınmadığını biliyoruz; bu nedenle SCC’lere veya istisnalara başvuruyoruz. Yine de, sizlerle aramızdaki ilişki daha çok bir defalık iletişim bazında olduğundan, fiilen bu transferlerin minimal düzeyde ve düşük riskli olduğunu değerlendiriyoruz.
  • Çerezler (ePrivacy): AB’de çerezler ve benzeri teknolojiler ePrivacy Direktifi (2002/58/EC) ve ilgili ülke mevzuatlarıyla düzenlenir. Bu çerçevede, AB’li ziyaretçilerimize çerezleri reddetme seçeneği sunuyoruz ve analitik/tercih çerezlerini ancak rıza verdiklerinde kullanıyoruz. Çerez yönetimi aracımız varsa (örneğin “onayla” ve “reddet” seçenekli banner), AB için özelleştirilmiş olarak tüm çerezleri önceden bloklamaktayız. Ayrıca Do Not Track sinyallerine tarayıcı bazında saygı duymaya çalışıyoruz (imkan dahilinde).
  • Profil Çıkarma ve Otomatik Kararlar: Web sitemiz üzerinden kullanıcıları profil çıkarma amacıyla izlemiyor veya onlar hakkında otomatik kararlar vermiyoruz. GDPR md.22 kapsamında, kullanıcılarınızı önemli ölçüde etkileyen otomatik karar mekanizmaları varsa bunun bilgisini vermeniz gerekiyor. Bizim hizmetimizde böyle bir durum yoktur; herhangi bir kredi skoru, otomatik ret/kabul gibi sonuç doğuran algoritmalar kullanmıyoruz. Eğer ileride böyle bir uygulama olursa (diyelim ki otomatik CV eleme sistemi vs.), bunun detaylarını ve itiraz hakkınızı ayrıca belirteceğiz.
  • Veri Koruma Yetkilisi (DPO): GDPR md.37’ye göre, faaliyetlerimizin ölçeği gerektirirse bir Veri Koruma Görevlisi (DPO) atamamız gerekebilir. Şu an için, ana faaliyetlerimiz kapsamındaki veri işleme operasyonlarımız büyük ölçekli özel nitelikli veri içermediğinden veya kamusal bir otorite olmadığımızdan, DPO atama zorunluluğumuz bulunmamaktadır. Ancak, içerden bir sorumlu belirlemiş durumdayız (KVKK uyum sorumlusu diyebileceğimiz kişi) ve veri koruma konularını bu kişi koordine ediyor. AB’de işimiz genişlerse, bir DPO atamayı değerlendireceğiz.
  • Yükümlülüklere Uyum: GDPR’nin getirdiği pek çok uyum yükümlülüğü vardır (veri envanteri tutma, DPIA yapma, ihlal bildirimleri, sözleşmeler vs.). Şirket ölçeğimiz doğrultusunda bu yükümlülüklere uyum sağlıyoruz. Özellikle, bir veri ihlali durumunda 72 saat içinde ilgili DPA’ye bildirim yapmamız gerektiğinin farkındayız ve gerekli hazırlıklara sahibiz. Yine de, böyle bir ihlal yaşanmaması için var gücümüzle çalışıyoruz.
  • İngiltere Spesifik: Birleşik Krallık GDPR’si, AB GDPR’si ile büyük ölçüde aynıdır. ICO’ya kayıt gerekliliği, eğer orada belirli bir iş yapıyor olsaydık gündeme gelebilirdi. Şu an için İngiltere pazarına aktif bir hizmet sunmuyoruz, ancak web sitemiz İngiltere’den erişime açık elbette. İngiltere’den gelen kullanıcılar için de aynı AB standartlarında koruma uyguluyoruz. ICO rehberliklerine de uygun adımlar atmaktayız.
  • Eldeki Bulundurmama Prensibi: AB ilkeleri gereği (data minimization, purpose limitation vs.) yalnızca gerekli veriyi, gerekli süre kadar tutuyoruz. Bu prensipleri zaten KVKK ile de benimsemiştik; AB kitlesi için de aynen geçerlidir.
  • Dil ve Anlaşılabilirlik: Bu politikayı Türkçe hazırladık çünkü ana kitlemiz Türkçe okuyor; ancak AB’de Türkçe bilmeyen birine de saygısızlık etmek istemeyiz. Gerektiğinde politikanın İngilizce bir özetini veya tam çevirisini sağlayabiliriz. Zaten şirket faaliyetlerimiz AB’de genişlerse, gizlilik politikamızı çok dilli hale getirmemiz doğal olacaktır.

Özetle, GDPR’nin yüksek standartlarını karşılamaya yönelik gerekli tüm adımları atmaktayız. Avrupa’daki kullanıcılarımız, Türkiye’deki kullanıcılarla aynı hak ve korumalardan yararlanır, hatta GDPR’nin sağladığı ek avantajlar da gözetilir. Herhangi bir sorunuz olursa veya AB mevzuatına özel danışmak istediğiniz bir konu olursa, çekinmeden bizimle iletişime geçebilirsiniz.

Kaliforniya, ABD İçin Ek Bilgiler (CCPA/CPRA)

Eğer Kaliforniya Eyaleti sakini (California resident) iseniz, Kaliforniya tüketici gizliliği yasaları kapsamında (California Consumer Privacy Act - CCPA, güncellenmiş haliyle California Privacy Rights Act - CPRA) kişisel verilerinizle ilgili bazı ek hak ve korumalara sahipsiniz. Kaliforniya yasaları, “California sakini” kavramını geniş şekilde tanımlar: Kaliforniya’da ikamet eden veya geçici bir süre için orada olmayan gerçek kişiler bu kapsamdadır.

Şirketimizin CCPA/CPRA kapsamına girip girmediği (yıllık gelir, veri işleme hacmi gibi kriterlere göre) teknik bir değerlendirme konusu olsa da, biz şeffaflık ve kullanıcı haklarına saygı gereği Kaliforniya sakini kullanıcılarımıza da bu hakları tanıyoruz. İşte Kaliforniya’ya özgü bazı önemli noktalar:

Son 12 Ayda Topladığımız Kişisel Bilgi Kategorileri: CCPA gereği, son 12 ay içinde tüketicilerden topladığımız kişisel bilgi kategorilerini ve kaynaklarını açıklmamız beklenir. Bu Gizlilik Politikasının ilgili bölümlerinde aslında bunları detaylı anlattık, ancak özetlemek gerekirse:

  • Tanımlayıcılar: İsim, soyisim, e-posta adresi, telefon numarası gibi sizi tanımlayan bilgiler (sizden doğrudan iletişim formları vs. aracılığıyla toplandı).
  • İnternet veya Diğer Elektronik Ağ Aktivite Bilgileri: Çerezler ve benzeri araçlarla toplanan gezinme geçmişiniz, IP adresiniz, site üzerinde tıkladığınız sayfalar vb. kullanım verileri (otomatik yollarla toplandı).
  • Ticari Bilgiler: Web sitemiz bir e-ticaret sitesi değildir, bu nedenle satın alma geçmişi, kredi kartı bilgisi gibi ticari veri toplamıyoruz. Ancak, bir talep gönderdiyseniz o talebe dair kayıtlar (ör. teklif talebiniz) bu kapsama girebilir.
  • Mesleki veya Eğitim Bilgileri: Sitemizde bir iş başvurusu yaptıysanız, özgeçmişinizdeki eğitim ve iş deneyimi bilgilerini işlemiş olabiliriz.
  • Coğrafi Konum Verileri: Tam coğrafi konumuzu (GPS koordinatı gibi) toplamıyoruz. IP adresinizden yaklaşık bir konum çıkarımı (şehir bazında) yapılabilir, ancak hassas konum verisi elde etmiyoruz.
  • Görsel/İşitsel Bilgi: Web sitemiz sizden fotoğraf, video, ses gibi kayıtlar talep etmez, dolayısıyla bu kategoride veri işlemiyoruz.
  • Biyometrik Bilgi: Toplanmıyor.
  • İnferanslar (Çıkarımlar): Sizin hakkınızda belirli tercihler veya özellikler çıkaracak bir profil oluşturma faaliyetimiz bulunmuyor. Örneğin, tarama geçmişinizden bir ilgi alanı profili çıkarmıyoruz (her ne kadar Google Analytics genel ilgi raporları verse de, bunlar bireysel düzeyde değil, toplu düzeydedir).

Kişisel Bilgi Kaynakları: Yukarıdaki veriler doğrudan sizden, sitenin kullanımıyla otomatik sistemlerden ve eğer bir iş başvurusuysa muhtemelen yine doğrudan sizden gelmiştir. Üçüncü bir veri broker’ından veya kamusal bir kaynaktan veri toplamıyoruz.

İş Amaçlarıyla Paylaşım: Topladığımız kişisel bilgileri “iş amaçları” doğrultusunda hizmet sağlayıcılarımızla paylaştık. Yukarıda “Veri Paylaşımı” kısmında anlattığımız gibi, barındırma, e-posta, analitik gibi hizmet sağlayıcılarına verileriniz aktarılmış olabilir. Bu hizmet sağlayıcılar CCPA kapsamında “service provider” olarak kabul edilir ve onlarla yaptığımız sözleşmeler CCPA’nin gerektirdiği şekilde, bilgilerinizi sadece bizim adımıza ve tarif ettiğimiz amaçlarla işlemelerini şart koşar. Son 12 ay içinde herhangi bir kişisel bilginizi üçüncü bir tarafa satmadık veya hedeflenen reklam amacıyla “paylaşmadık”. Bu nedenle, web sitemizde “Do Not Sell or Share My Personal Information” şeklinde bir link bulunmamaktadır. Zira yasal olarak bunu gerektiren bir faaliyetimiz yoktur. Not: “Satış” terimi CCPA’de geniş tanımlansa da, bizim faaliyetimizde bunun bir örneği yoktur; ne para karşılığı ne de başka bir çıkar karşılığı kullanıcı verilerini vermiyoruz.

Kaliforniya Tüketici Haklarınız:

  • Bilme Hakkı (Right to Know): Son 12 ay içinde hakkınızda hangi kişisel bilgileri topladığımızı, bunların kategorilerini, kaynaklarını, kullanım amaçlarını ve kimlerle paylaşıldığını bizden öğrenme hakkınız vardır. Talep halinde, sizin hakkınızda tuttuğumuz spesifik verilerin bir kopyasını da iletebiliriz.
  • Silme Hakkı (Right to Delete): Belli istisnalar dışında, bizden topladığımız kişisel bilgilerin silinmesini talep edebilirsiniz. Yasal zorunluluk yoksa sileriz.
  • Düzeltme Hakkı (Right to Correct): CPRA ile eklenen bu hak sayesinde, hakkınızdaki yanlış bilgilerin düzeltilmesini isteyebilirsiniz.
  • Satıştan/Paylaşımdan Vazgeçme Hakkı (Right to Opt-Out): Kişisel bilgilerinizin üçüncü taraflara satılmamasını veya hedefli reklam amacıyla paylaşılmamasını talep edebilirsiniz. Biz zaten böyle bir işlem yapmıyoruz. İleride olursa “Do Not Sell or Share” linki ekleyeceğiz.
  • Hassas Bilgilerin Kullanımını Kısıtlama Hakkı: CPRA kapsamında, eğer hassas veri işlersek kullanımını sınırlayabilirsiniz. Şu anda hassas veri işlemiyoruz.
  • Ayrımcılığa Uğramama Hakkı: Haklarınızı kullandığınız için size karşı ayrımcılık yapmayız.

Haklarınızı Kullanma (Kaliforniya): Haklarınızı e-posta yoluyla bizimle iletişime geçerek kullanabilirsiniz. Talepler doğrulanmalıdır; kimlik doğrulaması için ek bilgi isteyebiliriz. CCPA gereği 45 gün içinde yanıt veririz (gerekirse 45 gün daha uzatabiliriz).

Yetkili Temsilci: Kaliforniya’da bir temsilci aracılığıyla haklarınızı kullanabilirsiniz. Temsilcinin yetkisini doğrulamak için belge isteyebiliriz.

Parlak Işık Yasası (Shine the Light): Kişisel verilerinizi üçüncü tarafların doğrudan pazarlama amaçları için paylaşmadığımızı beyan ederiz. Yine de talep ederseniz yılda bir kez bilgi sağlayabiliriz.

Özetle, Kaliforniya tüketici haklarını gözetiyor ve saygı duyuyoruz. Faaliyetlerimiz bu yasaların tam hedefinde olmasa bile, kullanıcı dostu yaklaşımımız gereği bu prensipleri benimsiyoruz. Kaliforniya’daki kullanıcılar, bu politikada belirtilen tüm genel haklara ek olarak CCPA/CPRA ile getirilen haklarını da bizden talep edebilirler. Herhangi bir uyuşmazlık durumunda Kaliforniya Eyalet Başsavcılığı’nın veya Kaliforniya Gizlilik Koruma Ajansı’nın rehberliklerine uygun hareket edeceğiz.

Çocukların Gizliliği

Web sitemiz ve hizmetlerimiz, genel olarak yetişkinlere ve iş dünyasına yöneliktir. 16 yaşın altındaki çocuklardan bilerek kişisel veri toplamıyoruz veya talep etmiyoruz. Eğer 16 yaşından küçük olduğunuzu biliyorsak, verilerinizi sistemlerimizde tutmamaya özen gösteririz. Benzer şekilde, 18 yaşın altındaki reşit olmayan bireylerin de web sitemizi ebeveyn veya vasileri nezaretinde kullanmaları tavsiye olunur.

Ebeveyn Onayı: 16 yaş altı bir çocuğun (örneğin velisi siz olan bir çocuğunuzun) bizimle iletişim kurması gereken bir durum varsa, lütfen bu iletişimi onun yerine siz yapınız veya açık rızanızı sağladığınızdan emin olunuz. Çocukların gizliliğini korumak amacıyla, eğer bir çocuğun bize kişisel bilgi verdiğini fark edersek, ilgili bilgileri kayıtlarımızdan silmek veya anonimleştirmek için gerekli adımları atacağız.

COPPA (Çocukların Çevrimiçi Gizliliğinin Korunması Yasası): ABD’de 13 yaş altı çocukların verilerinin toplanması COPPA’ya tabidir. Biz COPPA kapsamına giren bir faaliyet yürütmüyoruz, zira 13 yaş altına yönelik herhangi bir çevrimiçi hizmet sunmuyoruz. Bilmeden 13 yaş altından veri aldığımız takdirde, COPPA gereklilikleri uyarınca derhal ebeveyn izni almaya çalışır veya veriyi sistemimizden çıkarırız.

Veri Silme Talepleri (Çocuklar): Eğer bir ebeveyn veya veli olarak, çocuğunuzun (16 yaş altı) bizimle paylaştığını düşündüğünüz verileri hakkında endişeleriniz varsa, bizimle iletişime geçerek bu verilerin silinmesini talep edebilirsiniz. Böyle bir talebi aldığımızda, öncelikle söz konusu verinin gerçekten çocukla bağlantılı olup olmadığını teyit ederiz ve sonra gerekli işlemi yaparız.

Reşit Olmayanların Hakları: 18 yaşından küçük olup da Kaliforniya’da ikamet eden kullanıcılar, platformumuzda yayınladıkları içeriklerin kaldırılmasını talep etme hakkına sahiptir (California Business & Professions Code § 22581). Ancak bizim sitemiz kullanıcıların içerik yayınlamasına izin veren bir platform değildir; dolayısıyla bu yasanın pratik bir uygulaması bulunmamaktadır.

Özetle, çocukların gizliliğini korumak için gereken tüm hassasiyeti gösteriyoruz. Hizmetlerimiz çocuklara yönelik değildir ve elimizde bilerek çocuk verisi bulundurmuyoruz. Eğer bunun aksine bir durum ortaya çıkarsa, lütfen bizi haberdar edin ki gereğini yapabilelim.

Politika Güncellemeleri

Bu Gizlilik Politikası, zaman zaman güncellenebilecek yaşayan bir belgedir. Teknolojinin, hizmetlerimizin veya yasal gereksinimlerin değişmesiyle birlikte içerikte değişiklik yapmamız gerekebilir.

Değişiklik Durumları: Örneğin, yeni bir üçüncü taraf hizmet kullanmaya başlarsak, ek veri kategorileri toplamaya başlar veya veri paylaşımı pratiklerimizde değişiklik yaparsak, bu politikayı güncelleyeceğiz. Yine, yürürlükteki yasalardaki değişikliklere uyum sağlamak amacıyla politika metnini revize etmemiz gerekebilir.

Bildirim: Önemli değişiklikler yaparsak, web sitemiz üzerinden belirgin bir bildirim sunacağız (örn. ana sayfada banner, pop-up veya duyuru şeklinde). Ayrıca, eğer iletişim bilgileriniz bizde mevcutsa ve izin verdiyseniz, e-posta yoluyla da güncelleme bilgisini iletebiliriz. Örneğin, e-posta bültenimize abone olanlara “Gizlilik Politikamızı güncelledik, lütfen göz atın” şeklinde bir mesaj gönderebiliriz.

Yürürlük Tarihi: Sayfanın başında “Son Güncelleme” tarihi belirtilmiştir. Yeni bir sürüm yayınlandığında bu tarihi güncelliyoruz. Güncellenen politika, web sitemizde yayınlandığı anda yürürlüğe girmiş sayılır. Bu nedenle, periyodik olarak bu politikayı gözden geçirmenizi öneririz. Önemli değişiklikler için ayrıca bildirsek de, kendi kendinize de arada bir kontrol etmek iyi bir fikirdir.

Eski Kayıtlar: Önemli politika değişikliklerinde, önceki sürümlerin bir arşivini tutabiliriz. Talep halinde önceki sürümleri incelemenizi sağlarız. Ancak, genellikle, politika değiştikten sonra, yeni politika geleceğe dönük olarak uygulanır ve geçmiş işlemleri etkilemez (yasal olarak gerekmedikçe).

Kullanımın Devamı: Güncellenen Gizlilik Politikasının yayınlanmasının ardından web sitemizi kullanmaya devam etmeniz, değişiklikleri kabul ettiğiniz anlamına gelecektir. Eğer herhangi bir değişiklikten memnun değilseniz, lütfen bunu bize iletin veya gerektiğinde hesabınızı kapatma/verilerinizi sildirme yoluna gidin. Ancak, politikamızdaki değişikliklerin çoğu genellikle pozitif veya şeffaflığı artırıcı yönde olur.

İletişim ve Başvuru

Gizlilik Politikamız veya genel olarak kişisel verilerinizin işlenmesiyle ilgili sorularınız, endişeleriniz veya talepleriniz için bizimle dilediğiniz zaman iletişime geçebilirsiniz. Veri koruma ile ilgili konularda ulaşabileceğiniz iletişim bilgilerimiz:

  • E-posta: info@gmrmuhendislik.com
  • Telefon: +90 (312) 911 50 86 (hafta içi mesai saatlerinde)
  • Posta: GMR Enerji Mühendislik – Kızılırmak Mah. Dumlupınar Blv. Next Level No: 3A/10, Çankaya, Ankara, Türkiye.

Başvurularınızı aldıktan sonra en geç 30 gün içinde sonuçlandıracağımızı yeniden hatırlatırız. Başvurunuzun mahiyetine göre, sizden ek bilgi isteyebilir veya talebinizi daha detaylı anlamak için sizinle irtibata geçebiliriz.

Ayrıca, haklarınızı kullanma kapsamındaki talepler dışında, genel sorular için de bize ulaşabilirsiniz. Örneğin, bu politikada anlamadığınız bir bölüm varsa açıklama isteyebilirsiniz. Veya kişisel verilerinizi korumaya yönelik aldığımız önlemler hakkında daha fazla detay merak ediyorsanız, makul ölçüde sizinle paylaşabiliriz.

Son olarak, gizlilik politikamızı okuduğunuz için teşekkür ederiz. Kişisel verilerinizin güvenliği ve gizliliği konusunda bize duyduğunuz güveni takdir ediyoruz. Bu güveni sürdürebilmek adına tüm yasal yükümlülüklerimize uyacak ve şeffaflık ilkemize bağlı kalacağız.

Geleceğin Enerjisini Bugün Tasarlıyoruz.

Bizi Arayın
GMR Solar - Güneş panelleriyle sürdürülebilir enerji yatırımı görseli