Kişisel Verilerin İşlenme Amaçları ve Yöntemleri

Büromuz, kişisel verilerinizi 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Avrupa
Birliği Genel Veri Koruma Tüzüğü (GDPR) hükümlerine uygun olarak, KVKK Madde 5, GDPR
Madde 6 ve özel nitelikli kişisel veriler için KVKK Madde 6, GDPR Madde 9 kapsamında işler.
Kişisel verileriniz, kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, finans, mesleki deneyim,
görsel ve işitsel kayıtlar, sağlık bilgileri, biyometrik veriler ve yazışma bilgileri kategorilerinde, e-
posta, internet sitesi, faks, telefon, posta, kurye veya elden teslim yoluyla toplanır. Bu veriler,
aşağıda belirtilen amaçlarla, gizlilik, güvenlik, amaçla sınırlılık, orantılılık ve doğruluk ilkelerine
bağlı kalınarak işlenir. Kişisel verileriniz, yalnızca yasal zorunluluklar veya açık rızanız
doğrultusunda üçüncü taraflara aktarılır.

1. Müvekkil ve İş Ortaklarına Ait Kişisel Veriler
(KVKK Madde 5/2-c, 5/2-ç, 5/2-f; GDPR Madde 6/1-b, 6/1-c, 6/1-f)
Müvekkil ve iş ortaklarının kişisel verileri, avukatlık ve hukuki danışmanlık hizmetlerinin
yürütülmesi, iletişim süreçlerinin yönetilmesi, sözleşme öncesi görüşme ve teklif süreçlerinin
düzenlenmesi, finans ve muhasebe işlemlerinin gerçekleştirilmesi, hukuki raporlama ve analiz
yapılması, hukuki gelişmeler hakkında bilgilendirme, toplantı ve eğitim organizasyonlarının
planlanması, hukuki yükümlülüklerin yerine getirilmesi, hizmet kalitesinin artırılması, geri bildirim
süreçlerinin yönetimi ve bilgi ile fiziksel mekân güvenliğinin sağlanması amacıyla işlenir.

2. Çalışan ve Çalışan Adaylarına Ait Kişisel Veriler
(KVKK Madde 5/2-c, 5/2-ç; GDPR Madde 6/1-b, 6/1-c)
Çalışan ve çalışan adaylarının kişisel verileri, insan kaynakları süreçlerinin planlanması ve
yürütülmesi, iş sözleşmelerinin kurulması ve ifası, iş sağlığı ve güvenliği önlemlerinin alınması,
sosyal güvenlik ve vergi yükümlülüklerinin yerine getirilmesi, kurumsal iletişim faaliyetlerinin
düzenlenmesi, performans değerlendirme ve kariyer planlama süreçlerinin desteklenmesi, acil
durum yönetimi, özlük işlemlerinin yürütülmesi ve işyeri güvenliğinin sağlanması amacıyla işlenir.

3. Tedarikçi, İş birliği Yapan Kurumların Çalışanları, Hissedarları, Yetkilileri ve Üçüncü Kişilere Ait Kişisel Veriler
(KVKK Madde 5/2-c, 5/2-ç; GDPR Madde 6/1-b, 6/1-c)
Tedarikçi, iş birliği yapılan kurumların çalışanları, hissedarları, yetkilileri ve üçüncü kişilerin kişisel
verileri, ticari ve operasyonel faaliyetlerin yürütülmesi, sözleşme yükümlülüklerinin yerine
getirilmesi ve vergi ile beyanname süreçlerinin yönetimi amacıyla işlenir.

4. İnternet Sitesi Ziyaretçilerine Ait Kişisel Veriler
(KVKK Madde 5/2-f; GDPR Madde 6/1-f)
İnternet sitesi ziyaretçilerinin kişisel verileri, web sitesinin işlevselliğinin sürdürülmesi, kullanıcı
deneyiminin iyileştirilmesi, hizmetlerin optimize edilmesi ve site performansının artırılması
amacıyla işlenir.

5. E-Bülten Abonelerine Ait Kişisel Veriler
(KVKK Madde 5/1, 5/2-f; GDPR Madde 6/1-a, 6/1-f)
E-bülten abonelerinin kişisel verileri, açık rıza temelinde toplanarak, hukuki gelişmeler ve mevzuat
değişiklikleri hakkında bilgilendirme, etkinlik ve eğitim duyuruları ile müşteri ilişkilerinin yönetimi
amacıyla işlenir.

6. Özel Nitelikli Kişisel Veriler
(KVKK Madde 6/2, 6/3; GDPR Madde 9/2-a, 9/2-h)
Sağlık bilgileri, biyometrik veriler ve diğer özel nitelikli kişisel veriler, ilgili kişinin açık rızasıyla
veya kamu sağlığı, tıbbi teşhis, tedavi, bakım hizmetleri ve sağlık hizmetlerinin yönetimi amacıyla,
sır saklama yükümlülüğü altındaki kişiler tarafından rıza aranmaksızın işlenir.

Do-Not-Track (DNT) Sinyalleri:
Sizi izlemiyor ve üçüncü taraf web siteleri veya çevrimiçi hizmetler üzerinden bilgilerinizi
toplamıyoruz. Bu nedenle, Do-Not-Track sinyalleri veya diğer benzer sinyalleri almıyoruz. Bu tür
sinyalleri alsak dahi, hizmetimizin bir fonksiyonu olmadığı için bu sinyallere uymayacağız.

Kişisel Verilerin Yurt İçinde Aktarılması
Büromuz, kişisel verilerin yurt içinde aktarılmasında 6698 sayılı Kişisel Verilerin Korunması
Kanunu (KVKK) Madde 8 ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Madde 6 ile 9
hükümlerine uygun hareket eder. Kişisel veriler, KVKK Madde 5/2 ve GDPR Madde 6/1
kapsamında belirtilen hukuki sebeplerden birinin varlığı halinde, ilgili kişinin açık rızası
aranmaksızın aktarılır. Bu sebepler mevcut değilse, aktarım yalnızca ilgili kişinin açık rızasıyla
gerçekleştirilir. Büromuz, kişisel verileri, KVKK Madde 5 ve GDPR Madde 6’da belirtilen hukuki
dayanaklara ve daha önce ifade edilen işleme amaçlarına uygun olarak, Türkiye’de yerleşik hizmet
sağlayıcıları, tedarikçiler, iş ortakları, müvekkiller, bankalar, kolluk kuvvetleri, mahkemeler,
noterler, Sosyal Güvenlik Kurumu, meslek odaları, vergi daireleri ve diğer resmi veya özel kurum
ve kuruluşlarla paylaşır.

Kişisel Verilerin Yurt Dışına Aktarımı
KVKK Kapsamında Yurt Dışına Aktarım
GÜLSEREN ÖNGÜN Avukatlık Bürosu, kişisel verilerin yurt dışına aktarımını 6698 sayılı
Kişisel Verilerin Korunması Kanunu’nun ("KVKK") 9. maddesi ve ilgili mevzuat hükümleri
çerçevesinde gerçekleştirir.
Kişisel verilerin yurt dışına aktarılması, genel kural olarak ilgili kişinin açık rızası temelinde
mümkün olur. Ancak, bu Politika’nın 1. maddesinde belirtilen hukuki sebeplerden birinin varlığı
halinde, aktarım açık rıza olmaksızın da gerçekleştirilebilir. Bu durumda, KVKK madde 9/2
hükmüne göre şu iki koşuttan birinin karşılanması zorunludur:
– Aktarım yapılacak yabancı ülkede, Kişisel Verilerin Korunması Kurulu ("Kurul")
tarafından yeterli koruma düzeyinin bulunduğu ilan edilmiş olması ya da yeterli
korumanın bulunmadığı ülkelerde, Türkiye’deki veri sorumlusu ile alıcı ülke veri
sorumlusunun yazılı olarak yeterli korumayı taahhüt etmesi ve bu taahhüdün Kurul’un
izniyle onaylanması.
– Uluslararası anlaşmalarla düzenlenen özel düzenlemeler saklı kalmak üzere, aktarımın
ülkenin veya ilgili kişinin menfaatini ciddi şekilde zarara uğratacağı değerlendirildiği
durumlarda, aktarım yalnızca yetkili kamu kurum veya kuruluşunun görüşü alınarak ve
Kurul’un izni ile gerçekleştirilebilir.
GÜLSEREN ÖNGÜN, topladığı kişisel verileri, yukarıda belirtilen yasal temellere ve amaçlara
dayanarak, aşağıdaki alıcılarla yurt dışında paylaşılabileceğini bildirir:
– Yurt dışında yerleşik müvekkiller ve iş ortakları,
– Sözleşme ilişkisi içinde bulunan yurt dışı hizmet sağlayıcılar,
– Bulut bilişim ve e-posta hizmeti sunan yurt dışı teknoloji sağlayıcıları,
– Yetkili kamu kurum ve kuruluşları,
– Diğer özel hukuk tüzel kişileri.

Tüm bu aktarımlar, veri sahiplerinin hakları ve veri güvenliği korunarak, yalnızca meşru iş
gereklilikleri doğrultusunda ve gerekli teknik ve idari önlemler alınmak kaydıyla yapılır.

GDPR Kapsamında Yurt Dışına Aktarım
GÜLSEREN ÖNGÜN, Avrupa Ekonomik Alanı ("EEA") dışında yerleşik kişilere veya
kuruluşlara veri aktarımı yapması durumunda, Avrupa Birliği Genel Veri Koruma Yönetmeliği
(GDPR) hükümlerine tam uyum içinde hareket eder.
GDPR madde 44 ve takip eden maddelerine göre, kişisel verilerin EEA dışına aktarılması yalnızca
aşağıdaki yollarla yasal olarak mümkün olabilir:

Yeterlilik Kararı: Avrupa Komisyonu tarafından alıcı ülkenin "yeterli koruma düzeyi" sağladığına
dair bir karar alınmışsa (örneğin İsviçre, Japonya), aktarım bu temelde gerçekleştirilebilir.

Uygun Güvenceler: Alıcı ülkenin yeterlilik kararı kapsamına girmemesi durumunda, aktarım
aşağıdaki güvencelerden biri ile desteklenmelidir:
– Bağlayıcı Kuruluş Kuralları (BCRs),
– Avrupa Komisyonu tarafından onaylanmış Standart Sözleşme Maddeleri (SCCs),
– Kuruluş içi politikalar, sertifikasyonlar veya diğer yasal mekanizmalar.
Bu genel koruma mekanizmalarının uygulanamadığı durumlarda, GDPR madde 49 uyarınca
istisnai hallerde veri aktarımı yapılabilir. Bu istisnalar şunlardır:
– İlgili kişinin açık ve bilinçli rızası,
– Veri aktarımının, veri sahibi ile veri sorumlusu arasında bir sözleşmenin kurulması veya
ifası için zorunlu olması,
– Bir üçüncü taraf lehine, veri sahibinin menfaatine yönelik bir sözleşmenin ifası için veri
aktarımının gerekli olması,
– Kamu yararına önemli hizmetlerin yürütülmesi,
– Yasal talep oluşturma, savunma veya yargı sürecine katılım için veri aktarımının zorunlu
olması,
– Veri sahibinin veya başkalarının hayati çıkarlarının korunması amacıyla acil durumlarda
veri aktarımının gerekliliği.
–
Yukarıdaki yasal temellerin hiçbiri geçerli değilse ve aktarım yeterlilik kararı veya uygun
güvencelerle desteklenemiyorsa, GDPR madde 49/1 f uyarınca, aktarım yalnızca şu koşullar
birlikte varsa yapılabilir:
– Aktarım, GÜLSEREN ÖNGÜN’ ün meşru iş menfaatleri için gerekliyse,
– Bu aktarım süreklilik arz etmiyor ve sınırlı sayıda veri sahibini etkiliyorsa,
– Veri sahibine, aktarımın riskleri ve hakları hakkında yeterli bilgi verilmişse.
GÜLSEREN ÖNGÜN, GDPR kapsamında toplanan kişisel verileri, yukarıda belirtilen yasal
temellere dayanarak ve yalnızca iş amaçlarıyla orantılı olarak, aşağıdaki alıcılarla paylaşabilir:
Türkiye merkezli bağlı kuruluşlar: GÜLSEREN ÖNGÜN Avukatlık Bürosu
– EEA dışında yerleşik müvekkiller, iş ortakları ve danışmanlar,
– Sözleşmeli yurt dışı hizmet sağlayıcılar,
– Bulut depolama ve e-posta hizmeti sunan EEA dışı teknoloji firmaları,
– Yetkili kamu kurumları ve mahkemeler,

– Diğer özel hukuk kişileri.

Kişisel Verilerin Saklama Süreleri
GÜLSEREN ÖNGÜN Avukatlık Bürosu, 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“KVKK”) ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (“GDPR”) hükümlerine uygun
olarak, kişisel verilerin yalnızca işlenme amaçları doğrultusunda gerekli olan süre boyunca ve
minimum süreyle saklandığı bir yaklaşım benimser. Bu süre, veri işleme amacının sona ermesi
veya yasal saklama yükümlülüğünün bitmesiyle birlikte sona erer.
Aşağıda, farklı veri kategorileri için uygulanan saklama süreleri ve bu sürelerin yasal dayanakları
açıklanmaktadır.

1. KVKK Kapsamında Saklama Süreleri ve Yasal Dayanaklar
KVKK madde 7/1, kişisel verilerin işlenme amacına ulaşılması için gerekli olan süreyi aşmamak
kaydıyla işlenmesine izin verir. Aynı madde, amaca ulaşıldığında verilerin silinmesi, yok edilmesi
veya anonim hâle getirilmesi gerektiğini hükme bağlar.
Ayrıca, KVKK’nın 1. ekli “Veri İşleme Yöntem ve Usulleri ile İlgili Tebliğ”de yer alan “Verilerin
Saklanması” başlıklı bölüm, veri saklamanın yasal bir yükümlülük veya meşru bir amaç
doğrultusunda yapılması gerektiğini vurgular.
Bu çerçevede, verilerin saklama süresi aşağıdaki kriterlere göre belirlenir:
Kişisel verilerin saklama süreleri, işlenme amaçları ve yasal yükümlülükler dikkate alınarak
belirlenmektedir. Müvekkil ve iş ortaklarına ait veriler, sözleşme süresinin sona ermesinden
sonra ek 10 yıl daha saklanmakta olup, bu süre; Vergi Usul Kanunu’nun 105, 109 ve 231.
maddeleri (defter ve belgelerin 5 ila 10 yıl arası saklanması), Borçlar Kanunu’nun 83. maddesi
(tahakkuk süresi) ile Ticaret Kanunu’nun 42. maddesi (ticari defterlerin saklanması) tarafından
desteklenmektedir. Çalışanlar ve çalışan adaylarına ilişkin veriler ise işten ayrılma tarihinden
itibaren 10 yıl boyunca korunmaktadır. Bu süre, Sosyal Sigortalar ve Genel Sağlık Sigortası
Kanunu’nun 80. maddesi, Vergi Usul Kanunu’nun 105. maddesi ve İş Kanunu’nun 74. maddesi
(işyeri defterleri ve ücret bordrolarının saklanması) gereğince belirlenmiştir. Muhasebe ve finans
verileri, vergi mevzuatına uygun olarak 5 ila 10 yıl arasında saklanmaktadır ve bu süre yine Vergi
Usul Kanunu’nun 105, 109 ve 231. maddeleriyle düzenlenmiştir. Sözleşme ve yazışma kayıtları da
sözleşme süresinin bitiminden sonra 10 yıl daha muhafaza edilmekte olup, bu uygulamanın
hukuki dayanağı Borçlar Kanunu’nun 83. maddesi ile Ticaret Kanunu’nun 42. maddesidir.
Fiziksel mekân güvenliği kapsamında oluşturulan gözetim kayıtları (CCTV), Kişisel
Verilerin Korunması Kanunu’nun 1. Ek Tebliği’nin “Veri İşleme Usulleri” başlıklı 4.3. maddesi
gereği, maksimum 30 gün sakananmaktadır. E-posta ve diğer iletişim kayıtları ise 5 yıl boyunca
saklanmakta olup, bu süre Vergi Usul Kanunu’nun 105. maddesi ile Elektronik Ticaret
Yönetmeliği’nin 10. maddesiyle düzenlenmiştir. İnternet sitesi ziyaretçi verileri (log kayıtları)
ise sistem güvenliği ve hizmet yönetimi amacıyla 1 yıl süreyle saklanmakta ve bu uygulamanın
dayanağı E-İmza Kanunu’nun 5. maddesi ile KVKK 1. Ek’in 4.3. maddesidir.
Not: Yasal bir saklama süresi öngörülmeyen veriler, işlenme amacının sona ermesiyle birlikte en
geç 1 yıl içinde silinir, yok edilir veya anonimleştirilir.

2. GDPR Kapsamında Saklama Süreleri ve Yasal Dayanaklar

GDPR madde 5 (f) ilkesi olan “sınırlı saklama” (storage limitation), kişisel verilerin doğrulanabilir
kimliklerle sınırlı olarak, işleme amacına ulaşıldığında silinmesi veya anonimleştirilmesi gerektiğini
belirtir. Bu ilke, verilerin “sürekli” veya “belirsiz süreyle” saklanmasını yasaklar.
GDPR madde 13 ve 14, veri sahiplerine saklama süresinin veya bu sürenin belirlenme kriterinin
bildirilmesini zorunlu kılar. Bu nedenle, GÜLSEREN ÖNGÜN, GDPR kapsamında veri
toplarken veya toplandıktan sonra saklama süresini açıkça ifade eder.
Saklama süresi, aşağıdaki kriterlere göre belirlenir:
– Yasal bir yükümlülüğün gerektirdiği süre,
– Sözleşme ilişkisinin süresi ve tazminat talep süresi,
– Veri sorumlusunun meşru menfaatleri (örneğin hukuki savunma, müşteri ilişkileri
yönetimi),
– Veri sahibinin açık rızası (bu durumda rıza geri çekildiğinde veri silinir).

3. İmha ve Anonimleştirme Süreçleri
Saklama süresi dolan veya işleme amacı sona eren kişisel veriler, KVKK madde 7/1 ve GDPR
madde 17 (“Silme Hakkı”) uyarınca:
– Yazılı veriler kesici veya yakma yöntemiyle,
– Dijital veriler kalıcı silme (secure erase) veya şifreleme anahtarının imhası yoluyla,
– CCTV kayıtları otomatik silme protokolleri ile kalıcı ve geri dönüşü olmayacak şekilde
imha edilir.
Bu süreçler, iç kontrol mekanizmalarıyla kayıt altına alınır ve gerektiğinde denetim amaçlı
belgelenir.

4. Veri Saklama İlkeleri
GÜLSEREN ÖNGÜN, veri saklama süreçlerinde aşağıdaki temel ilkeleri uygular:
Asıl Amaçla Sınırlılık: Veriler yalnızca toplandıkları amaçla orantılı ve sınırlı süreyle saklanır.
Minimum Veri Saklama: Gereğinden fazla veri saklanmaz.
Periyodik Gözden Geçirme: Saklama süreleri yılda en az bir kez gözden geçirilir ve güncellenir.
Şeffaflık: Veri sahipleri, hangi verilerinin ne kadar süreyle saklandığına ilişkin bilgi talep edebilir.
Ancak internet üzerinden iletim %100 güvenli değildir.
GÜLSEREN ÖNGÜN, kişisel verilerin saklanması konusunda hem KVKK hem de GDPR’nin
“sınırlı saklama” ilkesine tam uyum sağlar. Tüm veri saklama süreleri, yasal mevzuat, sözleşme
ilişkileri ve meşru iş gereklilikleri dikkate alınarak bilimsel ve hukuki temellere dayandırılır.
Verilerin gerekli süreden fazla saklanmaması, hem bireysel hakların korunması hem de kurumsal
uyum açısından temel bir öncelik olarak değerlendirilir.

Veri Koruma ve Güvenlik Yönetimi
GÜLSEREN ÖNGÜN Avukatlık Bürosu, 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“KVKK”) madde 12 ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (“GDPR”) madde 5, 24,
25, 32 ile diğer ilgili hükümler uyarınca, kişisel verilerin hukuka aykırı işleme, yetkisiz erişim, kayıp,

değiştirilme, imha veya zarar görme risklerine karşı korunması için uygun güvenlik düzeyinin
sağlanmasını temel bir yükümlülük olarak benimser.
Bu kapsamda, veri işleme faaliyetlerimizde teknik ve idari düzeyde gerekli tüm önlemler alınmakta
ve veri güvenliği, süreklilik içinde izlenmekte ve denetlenmektedir. Alınan önlemler yalnızca bu
metinde örnek olarak sayılanlarla sınırlı olmayıp, veri işleme amaçları, veri türleri ve risk
değerlendirmeleri dikkate alınarak dinamik bir şekilde güncellenmektedir.
Uygulanan Güvenlik ve Koruma Önlemleri
Aşağıdaki tedbirler, KVKK ve GDPR’nin “uygun güvenlik” ve “veri sorumluluğu” ilkeleri
doğrultusunda sistematik olarak uygulanmaktadır:
Süreç Yönetimi ve Kalite Güvencesi:
Kişisel verilerin işlenmesine ilişkin tüm süreçler, uluslararası standartlara uygun bir Kalite
Yönetim Sistemi (KYS) çerçevesinde tanımlanmış, dokümante edilmiş ve periyodik olarak iç
denetimlere tabi tutulmuştur. Bu sayede, veri işleme faaliyetlerinin mevzuata uygunluğu ve
sürekliliği sağlanmaktadır.
Çalışan Bilinçlendirme ve Eğitim:
GÜLSEREN ÖNGÜN çalışanları, KVKK, GDPR ve kişisel veri koruma mevzuatına ilişkin
düzenli eğitimler ve bilgilendirme programlarına tabidir. Bu eğitimler, veri işleme süreçlerinde
farkındalığı artırmak, hata riskini en aza indirmek ve kurumsal uyum kültürünü güçlendirmek
amacıyla yılda en az bir kez güncellenir.
Gizlilik Taahhüdü:
Kişisel verilerin işlenmesine dahil olan tüm çalışanlar, iş ortakları, hizmet sağlayıcılar ve üçüncü
taraflarla yazılı gizlilik taahhütnamesi imzalanır. Bu taahhütler, veri ihlali durumunda hukuki
sorumluluğun belirlenmesi açısından kritik öneme sahiptir.
Fiziksel Güvenlik Önlemleri:
Basılı kişisel veri içeren dokümanlar, yalnızca yetkili personelin erişebileceği, şifreli kilitli dolaplar
ve erişimi kontrol altındaki özel odalarda saklanır. Fiziksel erişim, kimlik doğrulama sistemleri
(kart, şifre, biyometrik vb.) ile sınırlandırılır.
Veri Saklama ve İmha Politikası:
Kişisel veriler, işlenme amaçları doğrultusunda minimum süreyle ve gerekli ölçüde saklanır. Her
veri kategorisi için yasal saklama süresi (örneğin vergi, iş hukuku, sözleşme kayıtları) belirlenmiş
olup, bu süreler sistematik olarak takip edilir. Amaç sona erdiğinde veya yasal saklama süresi
dolduğunda, veriler KVKK ve GDPR’ye uygun şekilde güvenli imha veya anonimleştirme
süreçlerine tabi tutulur.
Bilgi Sistemleri ve Teknolojik Güvenlik:
Dijital ortamdaki kişisel veriler, şifreleme (encryption), güvenlik duvarları (firewall), antivirüs
yazılımları, erişim kontrol sistemleri ve düzenli yedekleme mekanizmalarıyla korunur.

Sistemlerdeki güvenlik açıkları, düzenli olarak güvenlik raporları ve zafiyet taramaları ile izlenir.
Teknolojik gelişmeler dikkate alınarak bilgi sistemleri periyodik olarak güncellenir ve modern
güvenlik standartlarına uygun hâle getirilir.

Alt Yüklenici ve Üçüncü Taraf Yönetimi:
Kişisel verilerin GÜLSEREN ÖNGÜN adına başka bir gerçek veya tüzel kişi tarafından
işlenmesi (örneğin bulut hizmeti, IT destek, muhasebe hizmetleri) durumunda, söz konusu veri
işleyenlerle veri işleme sözleşmeleri yapılır. Bu sözleşmelerle, üçüncü tarafların da KVKK ve
GDPR kapsamında aynı güvenlik düzeyini sağlaması ve veri sorumluluğunu paylaşması sağlanır
(KVKK madde 4/d; GDPR madde 28).
Veri İhlali Durumunda Bildirim Yükümlülüğü
Her ne kadar alınan önlemler en yüksek güvenlik seviyesini hedeflese de, veri ihlali (data breach)
gibi beklenmedik durumlarla karşılaşılabileceği göz önünde bulundurularak, acil durum
protokolleri hazırlanmıştır.
Herhangi bir veri ihlali meydana gelmesi halinde, GÜLSEREN ÖNGÜN:
KVKK madde 13 ve GDPR madde 33 uyarınca, ihlalin tespitinden itibaren en geç 72 saat içinde
Kişisel Verilerin Korunması Kurulu’na ve ilgili yasal düzenlemelere göre yetkili otoritelere ihlal
bildiriminde bulunur.
İhlalin bireylerin hak ve özgürlüklerini yüksek düzeyde tehlikeye soktuğu değerlendirilirse, veri
sahiplerine doğrudan ve açıklayıcı şekilde (örneğin e-posta ile) bilgi verilir.
Bu bildirimler, ihlalin doğası, etkilenen veri türleri, olası sonuçlar ve alınan düzeltici önlemler
hakkında şeffaf ve zamanında bilgilendirme içerir.
Kişisel Veri Sahiplerinin Hakları
GÜLSEREN ÖNGÜN Avukatlık Bürosu, 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“KVKK”) madde 11 ve Avrupa Birliği Genel Veri Koruma Yönetmeliği (“GDPR”) madde
12–22 hükümleri uyarınca, kişisel verilerinizin korunmasına ilişkin haklarınızın bilincinde olarak,
bu hakların kullanımını kolaylaştırmak için gerekli tüm prosedürleri hazırlamıştır.
Veri sahipleri, KVKK ve GDPR çerçevesinde belirlenen haklarını, aşağıda detaylandırıldığı şekilde
kullanabilir ve taleplerini bize iletirler.
Üçüncü Taraf Bağlantılar
Sitemiz, devlet kurumları, barolar, mahkemeler veya diğer resmi kurumlara yönlendirme yapabilir.
Bu sitelerin gizlilik politikalarından sorumlu değiliz.
KVKK Kapsamında Veri Sahibinin Hakları
(KVKK Madde 11)

KVKK uyarınca, kişisel verileriniz GÜLSEREN ÖNGÜN tarafından işleniyor olsa dahi, sizlere
tanınan aşağıdaki hakları kullanma imkânı sunulur:
– İşleme Durumunu Öğrenme: Kişisel verilerinizin işlenip işlenmediğini öğrenme hakkı,
– Bilgi Talep Etme: Kişisel verileriniz işlenmişse, bunlara ilişkin bilgi talep etme hakkı,
– İşleme Amacını Bilme: Verilerinizin hangi amaçla işlendiğini, bu amaçlara uygun olarak
kullanılıp kullanılmadığını öğrenme hakkı,
– Üçüncü Taraf Bildirimi: Verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişiler
hakkında bilgi talep etme hakkı,
– Düzeltme Talep Etme: Kişisel verileriniz eksik veya yanlış işlenmişse, bunların
düzeltilmesini isteme hakkı,
– Silme veya Yok Etme Talep Etme: KVKK madde 7’de belirtilen şartlar çerçevesinde,
verilerinizin silinmesini veya yok edilmesini isteme hakkı,
– Üçüncü Tarafa Bildirim: Düzeltme, silme veya yok etme işlemleri yapılmışsa, bu durumun
verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı,
– Otomatik Karşıya İtiraz: Kişisel verilerinizin yalnızca otomatik sistemlerle analiz edilmesi
sonucu, sizin aleyhinize karar verilmesine itiraz etme hakkı,
– Zararın Giderilmesini Talep Etme: Kişisel verilerinizin kanuna aykırı işlenmesi sonucu
zarar görmeniz halinde, bu zararın tazmin edilmesini talep etme hakkı.
GDPR Kapsamında Veri Sahibinin Hakları
(GDPR Madde 15–21)
GDPR kapsamında, Avrupa Ekonomik Alanı (EEA) içinde yaşayan veya GDPR’nin kapsamına
giren bireyler olarak, kişisel verilerinize ilişkin aşağıdaki haklara sahipsiniz:
– Bilgilendirme Hakkı: Kişisel veri işleme faaliyetleri, hukuki temeller, saklama süreleri ve
üçüncü taraf aktarımları hakkında şeffaf bilgi alma hakkı (GDPR Madde 13, 14),
– Erişim Hakkı: İşlenen kişisel verilerinize ve bu işleme süreçlerine ilişkin erişim talep etme
hakkı (GDPR Madde 15),
– Düzeltme Hakkı: Yanlış veya eksik verilerinizin düzeltilmesini isteme hakkı (GDPR
Madde 16),
– Silme Hakkı (Unutulma Hakkı): Belirli koşullar altında kişisel verilerinizin silinmesini talep
etme hakkı (GDPR Madie 17),
– İşleme Kısıtlama Hakkı: Belirli durumlarda (örneğin doğruluğu itiraz edildiğinde) veri
işleme faaliyetlerinin geçici olarak sınırlandırılmasını isteme hakkı (GDPR Madde 18),
– Üçüncü Tarafa Bildirim: Düzeltme, silme veya kısıtlama işlemleri yapılmışsa, bu
değişikliklerin verilerinize erişen üçüncü taraflara bildirilmesini isteme hakkı (GDPR
Madde 19),
– Veri Taşınabilirliği Hakkı: Kişisel verilerinizi bir veri sorumlusundan diğerine teknik olarak
aktarılmasını isteme hakkı (GDPR Madde 20),
– İtiraz Hakkı: Meşru menfaat temelli veri işleme faaliyetlerine karşı itirazda bulunma hakkı
(GDPR Madde 21),
– Profillemeye Karşı Koruma: Yalnızca otomatik işlemeye dayalı, sizinle ilgili yasal etkiler
doğuran veya sizi önemli ölçüde etkileyen bir karara tabi olmama hakkı (GDPR Madde
22).
Hakların Kullanımı ve Başvuru Süreci

Yukarıda belirtilen haklarınızı kullanmak istiyorsanız, aşağıdaki iletişim kanallarından birini
kullanarak yazılı olarak bize başvurabilirsiniz:

Elektronik Posta:
Büromuz, KVKK ve GDPR kapsamında kişisel verilerinizin güvenliğini sağlamak için gerekli
teknik ve idari önlemleri almakta, veri işleme süreçlerinde şeffaflığı ve hesap verilebilirliği ilke
edinmektedir. Kişisel verilerinizin işlenmesiyle ilgili sorularınız veya KVKK ve GDPR
kapsamındaki haklarınızı kullanmak için lütfen privacy@gulserenongun.com adresinden veya web
sitemizdeki iletişim formu aracılığıyla veri sorumlumuzla iletişime geçiniz.
Posta Yoluyla:
KAZIM ÖZALP MAH. NENEHATUN CAD. 101/4 ÇANKAYA/ANKARA 06680 adresine,
kimlik belgenizin fotokopisi eklenerek yazılı başvuru göndererek.
Not: Başvurunuzun daha hızlı ve etkin bir şekilde değerlendirilmesi için, zarfınıza veya e-posta
konusuna lütfen “Kişisel Veri Bilgi Talebi” yazınız.
Başvurularınız, teslim tarihinden itibaren en geç 30 (otuz) gün içinde sonuçlandırılır. Gerekli
görülmesi halinde bu süre, veri işleme sürecinin karmaşıklığı veya çok sayıda talep olması gibi
nedenlerle, ek 30 gün uzatılabilir. Uzatma durumunda, başvuru sahibi bu süreye ilişkin
gerekçelerle birlikte bilgilendirilir.
Eğer gönderdiğiniz belgeler eksik, anlaşılır değil veya kimlik doğrulama sağlanamıyorsa, sizinle
iletişime geçerek başvurunuzu netleştirmeniz için bilgi talep edilecektir.
Başvuru Formu
Haklarınızı kullanmak için Veri Sahibi Başvuru Formu’ nu buradan indirebilirsiniz. Formun
doldurulmuş ve imzalanmış hâli, kimlik belgenizle birlikte yukarıdaki iletişim yollarından biriyle
bize iletilebilir.
Genel İlkeler
GÜLSEREN ÖNGÜN, veri sahiplerinin haklarının korunmasını temel bir ilke olarak benimser.
Tüm başvurular, gizlilik, şeffaflık ve mevzuata uygunluk ilkeleri çerçevesinde titizlikle
değerlendirilir. KVKK ve GDPR kapsamında tanınan bu haklar, yalnızca yasal sınırlamalar
dahilinde uygulanabilir olup, üçüncü kişilerin hak ve özgürlüklerine zarar vermemesi esastır.
Politika Değişiklikleri
Bu politika, yasal değişikliklere veya hizmet ihtiyaçlarımıza göre güncellenebilir. Değişiklikler
sitemizde yayınlanır.