Yeni Nesil Yazılım Çözümleri

ELEKTROSOFT BİLİŞİM KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

1.GİRİŞ

2.POLİTİKANIN AMACI VE KAPSAMI

3.KURUM TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

4.KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

7.KİŞİSEL VERİLERİ İŞLENEN KİŞİLER

8.VERİ KATEGORİLERİ

9.KURUMUN YÜKÜMLÜLÜKLERİ

10.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

12.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

13.KURUM TARAFINDAN KİŞİSEL VERİLERİN AKTARILMASI

14.BAĞLI ŞİRKETLER TARAFINDAN İŞLENMEKTE OLAN KİŞİSEL VERİLERİN KURUM TARAFINDAN İŞLENMESİ

15.KURUM BÜNYESİNDE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ ORGANİZASYON YAPISI 16.RİSK ANALİZİ VE POLİTİKA DIŞI UYGULAMALAR

17.POLİTİKANIN YÜRÜRLÜĞÜ

 

 

 

1.GİRİŞ

Elektrosoft Bilişim (“Kurum”) kişisel verilerin korunması hususunda azami hassasiyet göstermekte ve kişisel veri sahiplerinin Türkiye Cumhuriyeti Anayasası ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile koruma altına alınan haklarının korunması için gereken tüm tedbirleri almaktadır. Veri sorumlusu Kurumun merkezi, “KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli” adresidir. Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Kurum tarafından KVKK’da öngörülen kişisel verilerin işlenmesi ve korunmasına ilişkin düzenlemelere uyum hususunda uygulanacak olan ilkeleri ve kuralları ortaya koymak için hazırlanmıştır.

 

2.POLİTİKANIN AMACI VE KAPSAMI

Bu Politika ile Kurum tarafından işlenen kişisel verilerin; işlenme ilkelerinin, işlenmesinin yasal dayanaklarının ve işlenme amaçlarının, veri toplama yöntemlerinin; verilerin aktarılması, saklanması, anonimleştirilmesi, silinmesi, yok edilmesi ve veri güvenliğinin sağlanmasına ilişkin alınan önlemlerin ve kişisel veri sahiplerinin hakları ile bu hakları kullanma yöntemlerinin açıklanması amaçlanmaktadır. Kurum tarafından kişisel verilerin güvenliğine ve gizliliğine önem verilmekte, bunların güvenli bir şekilde ve hukuka uygun olarak alınması, kaydedilmesi, işlenmesi, paylaşılması, korunması ve gerektiğinde silinmesi veya anonim hale getirilmesi konusunda gerekli idari ve teknik önlemler alınmaktadır. Bu politika ile Kurum’un KVKK ile getirilen düzenlemelerin ve kişisel verilerin işlenmesinin disiplin altına alınması, içselleştirmesi ve bu düzenlemelere uygun davranmalarının sağlanması amaçlanmıştır. Politika, Kurumun sahibi olduğu ve yönettiği tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Kurum tarafından faaliyet konusuna ilişkin olarak kişisel verileri işlenen bütün gerçek kişiler bu Politikanın kapsamı içindedir. Tüzel kişilerin gerçek kişi yetkilileri ve çalışanlarına ait olan kişisel veriler de bu Politika kapsamındadır. Kişisel verilerin korunması ve işlenmesi konusunda yürürlükte olan mevzuat uygulama alanı bulacaktır. Yürürlükte olan mevzuat ve işbu Politika arasında uyumsuzluk olması durumunda, Kurum yürürlükteki mevzuatın uygulanacağını kabul etmektedir.

3.KURUM TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel veriler, Kurum tarafından özel hayatın gizliliği başta olmak üzere kişisel veri sahiplerinin temel hak ve özgürlükleri, mahremiyet ve bilgi güvenliği hakkı korunarak ilgili mevzuatta belirtilen şartlar dâhilinde ve belli amaçlarla işlenmektedir. Kurum KVKK’ya uyum için gerekli tedbirleri almakta, uygulamalarını KVKK’ya uygun hale getirmekte ve bu konuda farkındalığın oluşması için özen göstermektedir. Bu kapsamda kişisel veriler, burada sayılanlarla sınırlı olmamak üzere, Kurum tarafından aşağıdaki amaçlarla işlenmektedir:

• Bilgi Güvenliği Süreçlerinin Yürütülmesi

• Müşteri Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

• Denetim / Etik Faaliyetlerinin Yürütülmesi

• Eğitim Faaliyetlerinin Yürütülmesi

• Erişim Yetkilerinin Yürütülmesi

• Faaliyetlerin Mevzuata Uygun Yürütülmesi

• Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

• İletişim Faaliyetlerinin Yürütülmesi

• İş Faaliyetlerinin Yürütülmesi / Denetimi

• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

• Organizasyon Ve Etkinlik Yönetimi

• Performans Değerlendirme Süreçlerinin Yürütülmesi

• Risk Yönetimi Süreçlerinin Yürütülmesi

• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

• Stratejik Planlama Faaliyetlerinin Yürütülmesi

• Talep / Şikayetlerin Takibi

• Ücret Politikasının Yürütülmesi

• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

• Yönetim Faaliyetlerinin Yürütülmesi

• Diğer kişisel veri işleme amaçları

 

4.KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kurum; kişisel verileri, her türlü sözlü, yazılı ve elektronik ortamda ve işbu Politika’da belirtilen amaçlar çerçevesinde, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, ilgili kişinin kendisinin alenileştirmiş olması veya veri sahibinin açık rızası gibi hukuki sebeplerden bir veya birkaçına dayalı olarak otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplamakta, Kanun’da belirtilen şartlara uygun olarak işlemektedir.

 

5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Kişisel verilerin işlenmesinde, Kurum tarafından dikkate alınacak ilkeler aşağıda başlıklar halinde belirtilmiştir.

5.1. HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA İLKESİ Kurum hukuka ve dürüstlük kuralına uygun olma ilkesi uyarınca veri işlemedeki amaçlarına ulaşmaya çalışırken, veri sahiplerinin çıkarlarını ve makul beklentilerini dikkate almaktadır. Kurum ayrıca veri işleme faaliyetini şeffaf şekilde gerçekleştirmekte, bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmekte ve kişisel veriler Kurum faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

5.2.KİŞİSEL VERİLERİN DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMASINI SAĞLAMA İLKESİ Kurum, kişisel verilerin doğru ve güncel bir şekilde tutulmasını sağlamakta ve bunun için gerekli tedbirleri almaktadır. Bu kapsamda Kurum, kişisel veri sahiplerinin kişisel verilerini düzeltme, doğruluğunu teyit etme ve güncelleştirmelerine yönelik bir sistem kurmuştur.

5.3. BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLEME İLKESİ Kurum, öncelikle kişisel verileri belirli şekilde, meşru ve hukuka uygun olarak işlemekte ve kişisel veri işleme amacını kişisel veri işleme faaliyetinden önce açık ve kesin olarak belirlemektedir.

5.4. KİŞİSEL VERİLERİN, İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMASI İLKESİ Kurum, işlenen verileri belirlenen amaçların gerçekleştirilebilmesine elverişli olarak ölçülü şekilde işlemekte, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulmaktadır.

5.5. İLGİLİ MEVZUATTAÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİOLAN SÜRE KADAR MUHAFAZA ETME İLKESİ Kurum kişisel verinin işlenmesi için öncelikle mevzuatta öngörülmüş bir süre varsa bu süreye riayet etmekte; şayet böyle bir süre öngörülmemişse kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verinin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, mevzuatta bir süre öngörülmüşse bu süre kadar, yoksa kişisel verinin işlendiği amaç için gereken süre kadar ilgili kişisel veri saklanmaktadır. Saklama sürelerinin sonunda kişisel veri, periyodik imha sürelerine veya veri sahibinin başvurusuna göre ve belirlenmiş olan imha yöntemlerine göre silinmekte, yok edilmekte ya da anonim hale getirilmektedir. Kurum ileride tekrar kullanılabileceğini düşünerek ya da herhangi bir başka gerekçe ile kişisel verileri muhafaza etme yoluna gitmemektedir.

 

6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler, Kurum tarafından KVKK’nın 5 ve 6. maddeleri ile ilgili mevzuata uygun olarak kişisel veri ve özel nitelikli kişisel veri ayrımı yapılarak işlenmektedir.

6.1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI Kişisel veriler, Kurum tarafından KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarına uygun olarak işlenmektedir. Bu kapsamda Kurum kişisel veri işleme faaliyetlerini yürütürken faaliyetin bu şartlardan birinin kapsamına girip girmediğini değerlendirmekte ve bu şartlardan birine uygun olmayan kişisel veri işleme faaliyetini sonlandırmaktadır. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir:

• Kişisel Veri Sahibini Açık Rızasının Bulunması 5 Kişisel veriler, veri sahibinin bilgilendirilmeye dayalı ve özgür iradeye dayalı açık rızasının varlığı durumunda işlenebilmektedir. Bunun için kişisel veri sahiplerinin ispata elverişli yöntemler ile açık rızaları alınmaktadır. Veri sahibinin açık rızası olmasa da aşağıdaki şartlardan herhangi birinin varlığı durumunda kişisel veriler işlenebilmektedir.

• Kanunlarda Açıkça Öngörülmesi Kanunlarda açıkça öngörüldüğü durumlarda Kurum bu hüküm kapsamında kişisel verileri işleyebilmektedir.

• Fiili İmkânsızlık Nedeniyle Açık Rızanın Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

• Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür. Örneğin, bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması veya sözleşme gereği satıcının, malı teslim borcunu yerine getirmesi için alıcının adresini kaydetmesi ya da maaş ödemesini gerçekleştirmek amacıyla çalışanların banka bilgilerini elinde bulundurması, bu kapsamda değerlendirilebilecektir.

• Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.

• İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.

• Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Örneğin, bir Kurumun kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması gibi. Ayrıca, sözleşme sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması da bu kapsamda değerlendirilecektir.

• Veri Sorumlusunun Meşru Menfaati İçin Zorunlu Olması Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür.

 

6.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Özel nitelikli kişisel veriler KVKK’nın 6. maddesinde belirtildiği üzere; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. KVKK gereğince;

• Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın işlenebilecektir.

• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilecektir. Diğer hallerde veri sahibinin özel nitelikli kişisel verilerinin işlenebilmesi için veri sahibinin açık rızasının alınması gerekmektedir. Kurum KVKK’da “özel nitelikli kişisel veri” olarak belirlenen kişisel verilerin korunmasında daha hassas ve özenli davranmaktadır. Veri sahibinin açık rızası olmaksızın özel nitelikli kişisel veriler, Kurum ve bağlı şirketler tarafından işlenmemektedir. Kurum, çalışanlarının ve çalışan adaylarının adli sicille ilgili verileri ile sağlık raporları, engelli olma durumları özlük dosyasına konulmak üzere veya görevlendirme yaparken sağlık durumuna uygun şekilde görevlendirme yapabilmek için ilgili mevzuat gereği ve mevzuat tarafından belirlenecek olan yeterli önlemleri alarak işlemektedir. Çalışanların kan grubu verileri iş sağlığı ve güvenliği kapsamında herhangi bir acil müdahale esnasında ihtiyaç duyulması halinde kullanılabilmesi için işlenmektedir.

 

7.KİŞİSEL VERİLERİ İŞLENEN KİŞİLER

Kurum; çalışanlar, çalışan adayları, stajyerler, mal ve hizmet satın alınan gerçek kişiler ile tüzel kişilerin çalışanları ve yetkilileri, mal ve hizmet satın alan kişiler, katılımcılar ve ziyaretçilerin kişisel verilerini toplamaktadır. Veri sahibi kategorileri aşağıdaki tabloda gösterilmiştir.

 

İLGİLİ KİŞİ	AÇIKLAMA
Çalışanlar	Kurum çalışanlarını ifade eder.
Çalışan Adayları	Kuruma herhangi bir yolla iş başvurusunda bulunan ya da iş başvurusunda bulunmamakla birlikte özgeçmiş ve diğer bilgilerini Kurum ile paylaşmış olan kişileri ifade eder.
Hissedar / Ortak	Tedarikçilerin veya diğer tüzel kişilerin ortaklarını ifade eder.
Potansiyel Ürün Veya Hizmet Alıcısı	Potansiyel ürün veya hizmet alıcısını ifade eder.
Tedarikçi Yetkilisi	Tedarikçilerin yetkililerini ifade eder.
Ürün Veya Hizmet Alan Kişi	Ürün veya hizmet alıcısını ifade eder.
Veli / Vasi / Temsilci	Veli, vasi veya temsilen işlem yapanları ifade eder.
Ziyaretçi	Kurum ziyaretçilerini ifade eder.

 

8.VERİ KATEGORİLERİ

Kurum tarafından kişisel veri işleme amaçlarına uygun olarak aşağıda belirtilen kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, finans, fiziksel mekân güvenliği, işlem güvenliği, mesleki deneyim, pazarlama, görsel ve işitsel veriler ile özel nitelikli kişisel verilerden sağlık ile ceza mahkûmiyeti ve güvenlik tedbirleri bilgileri işlenmektedir.

 

VERİ TİPİ	AÇIKLAMA
Kimlik	Kişilerin adı, soyadı, T.C. kimlik numarası, uyruk, pasaport, doğum yeri, doğum tarihi, cinsiyet, vergi numarası, unvan, vb. kimliklerinde yer alan bilgileri kimlik verileridir.
İletişim	Kişinin adresi, telefon numarası, e-posta adresi, KEP adresi gibi iletişim için kullanılan bilgileri iletişim verileridir.
Lokasyon	Kişinin hizmet talebinde bulunduğu bölgeyi tanımlayan konum verileridir.
Özlük	Kişinin özlük dosyasında yer alan bilgilerdir. Bordro bilgileri, disiplin soruşturması, adli sicil kayıt bilgileri, işe giriş-çıkış kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları gibi bilgiler bu kategoride değerlendirilir.
Hukuki İşlem	Adli makamlarla yapılan yazışmalardaki bilgiler, dava dosyasındaki bilgiler bu kategoride değerlendirilir.
Müşteri İşlem	Verilen hizmetler için kesilen faturalar, adisyonlar, senet ve çek bilgileri, sipariş ve talep bilgileri vb. veriler müşteri işlem verileridir.
Fiziksel Mekân Güvenliği	Ziyaretçi kayıtları, çalışan ve ziyaretçilerin giriş çıkış kayıtları, kamera kayıtları, araç bilgisi vb. bilgiler fiziksel mekân güvenliğine ilişkin kişisel verilerdir.
İşlem Güvenliği	IP bilgisi, internet sitesi giriş çıkış bilgileri, sistem logları, şifre ve parola bilgileri bilgi işlem güvenliği verisi olarak değerlendirilir.
Finans	Kişilerin Banka Bilgileri, IBAN No’su, hesap bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri finansal veridir.
Mesleki Deneyim	Diploma bilgileri, eğitim sertifikaları, katılım belgeleri, gidilen kurslar, belirli bir konuya ilişkin uzmanlık belgeleri, daha önce çalışılan iş ve iş tecrübelerine ilişkin bilgiler, gerçekleştirilen projeler vb. mesleki deneyim verisidir.
Görsel ve İşitsel Veriler	Video kayıtları, fotoğraflar, ses kayıtları, kamera görüntüleri görsel ve işitsel verileri oluşturur.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler, özel nitelikli kişisel veridir. Kurum bu kapsamda sadece ceza ve güvenlik tedbirleri verisi ile sağlık verisini toplamaktadır.
Risk Yönetimi	Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgilerdir.
Sendika Üyeliği	Sendika üyeliği bilgilerinden oluşmaktadır.
Sağlık Bilgileri	Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi sağlık verilerinden oluşmaktadır.
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri	Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi verilerdir.

 

 

9.KURUMUN YÜKÜMLÜLÜKLERİ

Kurumun, kişisel verilerin işlenmesi açısından KVKK ve ilgili mevzuat çerçevesindeki yükümlükleri aşağıdaki şekildedir:

9.1. KİŞİSEL VERİ SAHİBİNİ AYDINLATMA YÜKÜMLÜLÜĞÜ

Kurum kişisel verilerin elde edilmesi sırasında veri sahiplerini, verilerinin ne şekilde işleneceği konusunda aydınlatmaktadır. KVKK’nın 10. maddesi kapsamında Kurum kişisel veri sahiplerine;

• Veri sorumlusu olarak Kurum’un Bilgisi,

• Kişisel verilerin hangi amaçla işleneceği,

• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

• Kişisel veri sahibinin KVKK’nın 11. maddesinde sahip olduğu haklar, konusunda bilgi vermektedir. Kurum işbu yükümlülük gereğince, hazırlamış olduğu aydınlatma metni ile ilgili kişileri bilgilendir ve söz konusu bilgilendirme ilgili kişi ile ilk iletişime geçildiği anda yapılır.

9.2. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kurum KVKK’nın 12. maddesine uygun olarak;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Kurum, Kişisel Verileri Koruma Kurumunun veri güvenliğine ilişkin yükümlülükler hakkındaki rehberleri uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmek amacıyla gerekli özeni göstermekte ve gerekli idari ve teknik tedbirleri almaktadır. Kurum bünyesinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaya veya yaptırmaya yönelik sistemleri oluşturur. Bu kapsamda gerekli olan organizasyon yapısı Kurum tarafından kurulmaktadır. Söz konusu denetim sonuçları Kurum bünyesinde oluşturulan organizasyon yapısı içinde değerlendirilerek gerekli önlemler alınmaktadır. Kurum bu kapsamda kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazasının sağlanması ve hukuka aykırı erişimin engellenmesi için aşağıdaki idari ve teknik tedbirleri almaktadır:

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Gizlilik taahhütnameleri yapılmaktadır.

• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir

• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri güvenliğinin takibi yapılmaktadır.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır

• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

• Mevcut risk ve tehditler belirlenmiştir.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

• Çalışanlar için yetki matrisi oluşturulmuştur.

• Erişim logları düzenli olarak tutulmaktadır.

• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

• Saldırı tespit ve önleme sistemleri kullanılmaktadır.

• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

• Şifreleme yapılmaktadır.

• Sızma testi uygulanmaktadır.

• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

 

9.3. KİŞİSEL VERİ SAHİPLERİ TARAFINDAN YAPILAN BAŞVURULARIN SONUÇLANDIRILMASI YÜKÜMLÜLÜĞÜ

Kurum, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesi uyarınca kişisel veri sahipleri tarafından yapılan başvuruları cevaplandırmakla yükümlüdür. Kişisel veri sahipleri, bu çerçevede KVKK’nın uygulanması ile ilgili taleplerini yazılı olarak veya aşağıda belirtilen diğer yöntemlerle Kurum’a iletebilirler.

 

BAŞVURU YÖNTEMİ	BAŞVURUDA GEREKENLER	BAŞVURU ADRESİ	DİĞER İSTENENLER
Şahsen Başvuru	Kurumumuzun faaliyet gösterdiği adrese kimliğinizi doğrulayarak şahsen veya vekâletname ibraz etmek suretiyle bir vekil aracılığıyla başvuruda bulunabilirsiniz. Başvuru, başvuru formu veya bir dilekçe ile yapılabilir; ancak ıslak imzalı olmalıdır.	Elektrosoft Bilişim KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli	Başvuru kapalı zarf ile yapılmalı, zarfın üzerine “Kişisel Verileri Koruma Kanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır.
Posta Yoluyla Başvuru	Islak imzalı başvuru formu veya dilekçe posta yoluyla gönderilerek de başvuruda bulunulabilir. Noter onaylı imza sirküsü ile başvuru vekil aracılığıyla yapılmışsa vekâletnamenin aslının da zarfa konulması gereklidir.	Elektrosoft Bilişim KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli	Zarfın üzerine “Kişisel Verileri Koruma Kanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır.
Noter Yoluyla	Başvuru Bizzat veya vekil aracılığıyla noter kanalıyla başvuru da yapılabilir. Bu başvuruda cevabın hangi yöntemle alınmak istendiği de belirtilmelidir.	Elektrosoft Bilişim KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli

 

Kurum, kişisel veri sahipleri tarafından kendisine iletilen KVKK’nın uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, Kurum, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretleri başvuruda bulunan kişisel veri sahibinden isteyebilir. Başvuran kişisel veri sahibinin kimliğini ispat edecek olan belge ve dokümanlarla başvuruda bulunması gerekmektedir. Bu belgelerin teyidi yapılmaksızın başvuruya olumlu cevap verilmez. Başvuran tarafından aksi belirtilmedikçe başvuruda kullanılan yöntem ile Kurum tarafından cevap verilir. Kurum, kişisel veri sahibinin talebini kabul edebilir veya gerekçesini açıklayarak reddedebilir ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin Kurum tarafından kabul edilmesi hâlinde gereği yine Kurum tarafından yerine getirilir. Başvurunun Kurum’un hatasından kaynaklanması hâlinde varsa alınan ücret ilgili kişiye iade edilir. Kurum tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, Kurum’un cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

 

9.4. VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ Kurum, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgeleri ile birlikte Veri Sorumluları Sicili’ne kayıt olur. Veri işleme koşullarındaki değişiklik halinde Veri Sorumluları Sicilinde ilgili değişiklikler gerçekleştirilir.

 

10.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

Kişisel veri sahipleri KVKK’nın 11. maddesinde belirtilen ve aşağıda yer alan haklara sahiptirler:

a. Kişisel verilerinin işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

e. Kişisel verileri eksik veya yanlış işlenmişse bunların düzeltilmesini isteme, KVKK’da öngörülen şartlar çerçevesinde bunların silinmesini veya yok edilmesini ve bu işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f. İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

g. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel veri sahiplerinin bu haklarını kolaylıkla kullanmaları için Kurum tarafından her türlü önlem alınmaktadır. Ancak Kişisel Verileri Koruma Kurumunun yayınlamış olduğu Veri Sorumlusuna Başvuru Usul 12 ve Esasları Hakkında Tebliğ uyarınca kişisel veri sahiplerinin başvurularında aşağıdaki bilgilerin bulunması zorunlu görülmüştür:

• Ad, soyad ve başvuru yazılı ise imza,

• Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası,

• Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

• Tebligata esas yerleşim yeri veya iş yeri adresi,

• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

• Talep konusu.

Yukarıdaki bilgileri içeren bir dilekçeyi kişisel veri sahipleri kendileri hazırlayabilecekleri gibi Kurumumuzdan veya https://www.ktb.gov.tr ‘den edinecekleri başvuru formunu kullanarak da haklarını kullanabilirler. Kişisel veri sahiplerinin eksik bilgi içermeyen başvuruları, otuz günü geçmemek üzere hukuka ve dürüstlük kurallarına uygun olarak Kurum tarafından sonuçlandırılır. Başvuruda eksik bilgi bulunması durumunda ek bilgiler kişisel veri sahibinden talep edilerek başvuru cevaplandırılır. Öte yandan kişisel veri sahibinin ancak açık rızası ile işlenebilecek veriler açısından, veri sahibi vermiş olduğu açık rızayı her zaman geri çekme hakkına sahiptir. Bu durumda bu tür kişisel veriler; silinir, yok edilir veya anonim hale getirilir.

11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Kurum, kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklamaktadır. Mevzuatta kişisel verilerin saklanmasına ilişkin herhangi bir süre öngörülmemiş ise, kişisel veriler ticari hayatın teamülleri gereğince işlenmesinin gerektiği ya da işlendikleri amaç için gerekli olan süre kadar işlenmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verinin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, mevzuatta bir süre öngörülmüşse bu süre kadar, yoksa kişisel verinin işlendiği amaç için gereken süre kadar ilgili kişisel veri saklanmaktadır. Saklama sürelerinin sonunda kişisel veri, periyodik imha sürelerine veya veri sahibinin başvurusuna göre ve belirlenmiş olan imha yöntemlerine göre silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

12. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kurum tarafından KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verilerin Korunması Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde;

• İlgili mevzuatta kişisel verilerin işlenmesinde uyulması gerekli görülen genel ilkelere,

• Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri kapsamında alınması gereken idari ve teknik tedbirlere,

• Kişisel Verileri Koruma Kurulu kararlarına,

• Kişisel verilerin saklanmasın ve imhası politikasına uygun hareket edilmektedir. Kurum, ayrıca Kişisel Verileri Saklama ve İmha Politikası kapsamında ayrıntılı olarak ele alınacak teknik ve idari tedbirleri de almaktadır.

12.1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.

12.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kurum, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.

12.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiyi işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır. Kurum, kişisel verilerin silinmesi veya yok edilmesi yerine anonim hale getirilmesi sürecinde gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verilerin Korunması Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.

 

13.KURUM TARAFINDAN KİŞİSEL VERİLERİN AKTARILMASI

Kurum, KVKK ile uyumlu olarak ve kişisel veri işleme amaçları çerçevesinde kişisel veri sahiplerinin kişisel verilerini yetkili kurum ve kuruluşlara, hizmet sağlayıcılarımıza ve ilgili kişilere aktarabilmektedir.

13.1. KİŞİSEL VERİLERİN YURT İÇİNDE AKTARILMASI

Kişisel verilerin yurt içinde aktarılması için KVVK m. 8. Uyarınca, aşağıdaki şartlardan en az birinin sağlanması durumunda veri sahibinin açık rızası olmasa da kişisel veriler aktarılabilmektedir:

• Kişisel veri aktarımının kanunlarda açıkça öngörülmesi,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri aktarılmasının zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri aktarılmasının zorunlu olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş olması kaydıyla alenileştirme amacıyla sınırlı olarak kişisel veri aktarımının yapılması,

• Bir hakkın tesisi, kullanılması veya korunması için kişisel veri aktarılmasının zorunlu olması,

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için kişisel veri aktarılmasının zorunlu olması.

Yukarıdaki durumlardan biri mevcut değilse, kişisel veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması gerekmektedir.

Özel nitelikli kişisel verilerin yurt içinde aktarılabilmesi için ise aşağıdaki hallerden birinin bulunması gerekmektedir:

• İlgili kişinin açık rızasının alınması,

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması,

• Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

Yukarıda belirtilen durumlar dışında Kurum tarafından kişisel veriler, üçüncü kişilere hiçbir şekilde aktarılmamaktadır. Kişisel verilerin işlenme şartları ve veri işleme amaçlarımıza uygun olarak kişisel veriler; iş faaliyetlerin sürdürülmesi, vatandaş taleplerinin karşılanması ve en iyi şekilde hizmet verilebilmesi amacıyla, tedarikçilerimize, hizmet sağlayıcılarımıza (teknoloji hizmetleri, personel servis hizmetleri vb.) ve yasal yükümlülüklerin yerine getirilmesi amacıyla; gerektiğinde yetkili kurum ve kuruluşlar ile yargı mercilerine ve güvenlik birimlerine aktarılabilmektedir.

13.2. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

KVKK m. 9 göre yurtdışına veri aktarımı aşağıdaki durumlarda gerçekleştirilebilir:

• İlgili kişinin açık rızasının bulunması,

• Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanun’da belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar),

• Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar), yabancı ülkedeki veri sorumluları tarafından yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması.

Kurumun yurtdışında bulunan ve veri sorumlusu durumunda bulunan üçüncü kişilere veri aktarması söz konusu olur ise KVVK m. 9 gereğince asgari şartlarını Kişisel Verileri Koruma Kurumu’nun belirlediği, her iki tarafın da veri sorumlusu olduğu duruma ilişkin, her iki tarafın imza ettiği bir taahhütname Kişisel Verileri Koruma Kurumuna sunulacaktır. Kişisel Verileri Koruma Kurumunun onayı ile söz konusu veri aktarımı yapılacak ve bu onay alınmaksızın Kurum tarafından söz konusu üçüncü kişilere veri aktarımı yapılmayacaktır.

14.BAĞLI KURUMLAR TARAFINDAN İŞLENMEKTE OLAN KİŞİSEL VERİLERİN KURUM TARAFINDAN İŞLENMESİ

Bağlı Kurumlar tarafından işlenmekte olan kişisel verilerin bazı durumlarda Kurum tarafından işlenmesi gereği de ortaya çıkabilmektedir. Bu durumda Kurum ve Kuruma bağlı Şirketler arasındaki veri aktarımı, KVKK kapsamında veri sorumlusundan veri sorumlusuna veri aktarımı olarak gerçekleşmektedir. Bağlı Kurum aydınlatma yükümlülüğü kapsamında, ilgili kişisel verinin toplanması aşamasında kişisel verilerinin Kuruma gönderilebileceği konusunda ilgili kişiyi aydınlatmaktadır.

 

15.KURUM BÜNYESİNDE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ

Kurum organizasyon yapısında işbu politika ile korunan esaslar ve değerler kapsamında ve işbu politika ile bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere “Veri Sorumlusu İrtibat Kişisi”, “KVKK Uyum Koordinatörü” ve “Kişisel Verilerin Korunması Komitesi”nden oluşan üç farklı rol bulunmaktadır.

15.1. KVKK UYUM KOORDİNATÖRÜ KVKK Uyum Koordinatörünün aşağıda belirtilen görev ve sorumlulukları bulunmaktadır:

• Veri Sorumlusu İrtibat Kişisinin ve müdürlüklerin görevlerini KVKK’ya, ilgili diğer mevzuata ve Kurumun politika belgelerine uygun olarak yerine getirip getirmediğinin denetlenmesini koordine eder.

• KVKK ile ilgili çalışmaların gerçekleştirilmesi, KVKK uyum süreçlerinin yürütülmesini koordine eder.

15.2. VERİ SORUMLUSU İRTİBAT KİŞİSİ

Veri Sorumlusu İrtibat Kişisinin aşağıda belirtilen görev ve sorumlulukları bulunmaktadır:

• Veri Sorumlusu İrtibat Kişisi Kurumun resmi ve iç denetim süreçlerinde Veri Sorumlusunu temsil eder, gerekli görülen iş ve işlemlerin yerine getirilmesini ve sonuçlandırılmasını sağlar.

• Kurumu Kişisel Verilerin Korunması Kurumu ile iletişimde temsil eder.

• Herhangi bir veri ihlalinin söz konusu olması halinde Kurum Başkanlığını ve Kişisel Verilerin Korunması Komitesini bilgilendirerek gerekli iş ve işlemlerin yapılmasına öncülük eder. Bu alanda gerekli bildirimlerin usulüne uygun bir şekilde yapılmasını sağlar.

• Kurum’un VERBİS kayıtlarında herhangi bir değişiklik olması halinde meydana gelen değişiklikleri gecikmeksizin VERBİS üzerinden Kişisel Verilerin Korunması Kurumuna bildirir.

• Veri Sorumlusu ve ilgili birim veya kişilerin veri işleme faaliyetlerinde meydana gelen değişiklik ve düzenleme bildirimlerini Kişisel Verilerini Korunması Komitesi ile birlikte değerlendirerek envanterde gerekli güncellemelerin yapılmasını sağlar.

• Kendisine işbu Politika ve diğer politika ve belgelerde verilen diğer görevleri yerine getirir.

15.3. KİŞİSEL VERİLERİN KORUNMASI KOMİTESİ

Kişisel Verilerin Korunması Komitesinin kişisel verilerin korunması ve işlenmesi bakımından görevleri şunlardır:

• Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları hazırlamak ve Kurumun KVKK kapsamındaki yükümlülüklerini yerine getirmesi için Kurum içinde gerekli düzenlemeleri yapmak,

• Belirlenen temel politika ve aksiyon adımlarını hazırlamak ve icrasını sağlamak,

• Kurum’un kişisel veri politikasının mevzuatla uyumunu sağlamak ve takibini yapmak,

• Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların uygulanmasını sağlamaya yönelik gerekli görevlendirmelerin yapılmasını sağlamak,

• Kurumun kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmeyi sağlamak,

• Kurum çalışanlarının kişisel verilerin korunması ve işlenmesi ve ayrıca bu konuda oluşturulan Politikalar konusunda eğitim almalarının temin edilmesini sağlamak,

• Kişisel veri sahiplerinin başvurularını karara bağlamak,

• Kişisel Veri Koruma Kurumu ve Kişisel Veri Koruma Kurulu ile olan ilişkileri İrtibat Kişisi ile birlikte yönetmek.

 

16.RİSK ANALİZİ VE POLİTİKA DIŞI UYGULAMALAR

Kurum iç denetim mekanizmaları aracılığıyla bünyesinde düzenli olarak gerçekleştirilen denetimler neticesinde ortaya çıkan risk bulguları, Kişisel Verilerin Korunması Komitesi tarafından değerlendirilir. Tespit edilen riskler için yapılması gerekenler Kişisel Verilerin Korunması Komitesi tarafından değerlendirilerek gerekli idari ve teknik tedbirleri alması için Başkanlık ve Kurum KVKK Uyum Koordinatörü bilgilendirilir. İşbu politika kapsamında yer alanlar dışında kişisel verilerin korunması ve işlenmesi açısından farklı durum ve uygulamaların bulunduğu tespitini yapan kişiler, Kişisel Verilerin Korunması Komitesi’ne yazılı olarak bilgi verirler.

 

17.POLİTİKANIN YÜRÜRLÜĞÜ

Kurum tarafından kişisel verilerin işlenmesi faaliyetlerinde uygulanmak üzere yürürlükteki mevzuatla uyumlu olarak hazırlanan bu Politika, Kurum kararı ile yürürlüğe konulmuştur.

Bu politika Kurumun internet sayfasında yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Bu Politika, kurumsal ya da mevzuattan kaynaklanan içerik değişiklik gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilip gerektiğinde güncellenir. Güncel versiyon, Kurum’un internet sayfasında yayınlanır.

Kurum, KVKK, Kişisel Verileri Koruma Kurulu kararları uyarınca ya da iş faaliyetlerindeki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler, derhal metne işlenir ve yayımlanarak yürürlüğe girer.

ELEKTROSOFT BİLİŞİM KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

1.GİRİŞ

2.POLİTİKANIN AMACI VE KAPSAMI

3.KURUM TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

4.KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

7.KİŞİSEL VERİLERİ İŞLENEN KİŞİLER

8.VERİ KATEGORİLERİ

9.KURUMUN YÜKÜMLÜLÜKLERİ

10.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

12.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

13.KURUM TARAFINDAN KİŞİSEL VERİLERİN AKTARILMASI

14.BAĞLI ŞİRKETLER TARAFINDAN İŞLENMEKTE OLAN KİŞİSEL VERİLERİN KURUM TARAFINDAN İŞLENMESİ

15.KURUM BÜNYESİNDE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ ORGANİZASYON YAPISI 16.RİSK ANALİZİ VE POLİTİKA DIŞI UYGULAMALAR

17.POLİTİKANIN YÜRÜRLÜĞÜ

 

 

 

1.GİRİŞ

Elektrosoft Bilişim (“Kurum”) kişisel verilerin korunması hususunda azami hassasiyet göstermekte ve kişisel veri sahiplerinin Türkiye Cumhuriyeti Anayasası ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile koruma altına alınan haklarının korunması için gereken tüm tedbirleri almaktadır. Veri sorumlusu Kurumun merkezi, “KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli” adresidir. Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Kurum tarafından KVKK’da öngörülen kişisel verilerin işlenmesi ve korunmasına ilişkin düzenlemelere uyum hususunda uygulanacak olan ilkeleri ve kuralları ortaya koymak için hazırlanmıştır.

 

2.POLİTİKANIN AMACI VE KAPSAMI

Bu Politika ile Kurum tarafından işlenen kişisel verilerin; işlenme ilkelerinin, işlenmesinin yasal dayanaklarının ve işlenme amaçlarının, veri toplama yöntemlerinin; verilerin aktarılması, saklanması, anonimleştirilmesi, silinmesi, yok edilmesi ve veri güvenliğinin sağlanmasına ilişkin alınan önlemlerin ve kişisel veri sahiplerinin hakları ile bu hakları kullanma yöntemlerinin açıklanması amaçlanmaktadır. Kurum tarafından kişisel verilerin güvenliğine ve gizliliğine önem verilmekte, bunların güvenli bir şekilde ve hukuka uygun olarak alınması, kaydedilmesi, işlenmesi, paylaşılması, korunması ve gerektiğinde silinmesi veya anonim hale getirilmesi konusunda gerekli idari ve teknik önlemler alınmaktadır. Bu politika ile Kurum’un KVKK ile getirilen düzenlemelerin ve kişisel verilerin işlenmesinin disiplin altına alınması, içselleştirmesi ve bu düzenlemelere uygun davranmalarının sağlanması amaçlanmıştır. Politika, Kurumun sahibi olduğu ve yönettiği tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır. Kurum tarafından faaliyet konusuna ilişkin olarak kişisel verileri işlenen bütün gerçek kişiler bu Politikanın kapsamı içindedir. Tüzel kişilerin gerçek kişi yetkilileri ve çalışanlarına ait olan kişisel veriler de bu Politika kapsamındadır. Kişisel verilerin korunması ve işlenmesi konusunda yürürlükte olan mevzuat uygulama alanı bulacaktır. Yürürlükte olan mevzuat ve işbu Politika arasında uyumsuzluk olması durumunda, Kurum yürürlükteki mevzuatın uygulanacağını kabul etmektedir.

3.KURUM TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kişisel veriler, Kurum tarafından özel hayatın gizliliği başta olmak üzere kişisel veri sahiplerinin temel hak ve özgürlükleri, mahremiyet ve bilgi güvenliği hakkı korunarak ilgili mevzuatta belirtilen şartlar dâhilinde ve belli amaçlarla işlenmektedir. Kurum KVKK’ya uyum için gerekli tedbirleri almakta, uygulamalarını KVKK’ya uygun hale getirmekte ve bu konuda farkındalığın oluşması için özen göstermektedir. Bu kapsamda kişisel veriler, burada sayılanlarla sınırlı olmamak üzere, Kurum tarafından aşağıdaki amaçlarla işlenmektedir:

• Bilgi Güvenliği Süreçlerinin Yürütülmesi

• Müşteri Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

• Denetim / Etik Faaliyetlerinin Yürütülmesi

• Eğitim Faaliyetlerinin Yürütülmesi

• Erişim Yetkilerinin Yürütülmesi

• Faaliyetlerin Mevzuata Uygun Yürütülmesi

• Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

• İletişim Faaliyetlerinin Yürütülmesi

• İş Faaliyetlerinin Yürütülmesi / Denetimi

• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

• Organizasyon Ve Etkinlik Yönetimi

• Performans Değerlendirme Süreçlerinin Yürütülmesi

• Risk Yönetimi Süreçlerinin Yürütülmesi

• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

• Stratejik Planlama Faaliyetlerinin Yürütülmesi

• Talep / Şikayetlerin Takibi

• Ücret Politikasının Yürütülmesi

• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

• Yönetim Faaliyetlerinin Yürütülmesi

• Diğer kişisel veri işleme amaçları

 

4.KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kurum; kişisel verileri, her türlü sözlü, yazılı ve elektronik ortamda ve işbu Politika’da belirtilen amaçlar çerçevesinde, kanunlarda açıkça öngörülmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, ilgili kişinin kendisinin alenileştirmiş olması veya veri sahibinin açık rızası gibi hukuki sebeplerden bir veya birkaçına dayalı olarak otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplamakta, Kanun’da belirtilen şartlara uygun olarak işlemektedir.

 

5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Kişisel verilerin işlenmesinde, Kurum tarafından dikkate alınacak ilkeler aşağıda başlıklar halinde belirtilmiştir.

5.1. HUKUKA VE DÜRÜSTLÜK KURALLARINA UYGUN OLMA İLKESİ Kurum hukuka ve dürüstlük kuralına uygun olma ilkesi uyarınca veri işlemedeki amaçlarına ulaşmaya çalışırken, veri sahiplerinin çıkarlarını ve makul beklentilerini dikkate almaktadır. Kurum ayrıca veri işleme faaliyetini şeffaf şekilde gerçekleştirmekte, bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmekte ve kişisel veriler Kurum faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

5.2.KİŞİSEL VERİLERİN DOĞRU VE GEREKTİĞİNDE GÜNCEL OLMASINI SAĞLAMA İLKESİ Kurum, kişisel verilerin doğru ve güncel bir şekilde tutulmasını sağlamakta ve bunun için gerekli tedbirleri almaktadır. Bu kapsamda Kurum, kişisel veri sahiplerinin kişisel verilerini düzeltme, doğruluğunu teyit etme ve güncelleştirmelerine yönelik bir sistem kurmuştur.

5.3. BELİRLİ, AÇIK VE MEŞRU AMAÇLAR İÇİN İŞLEME İLKESİ Kurum, öncelikle kişisel verileri belirli şekilde, meşru ve hukuka uygun olarak işlemekte ve kişisel veri işleme amacını kişisel veri işleme faaliyetinden önce açık ve kesin olarak belirlemektedir.

5.4. KİŞİSEL VERİLERİN, İŞLENDİKLERİ AMAÇLA BAĞLANTILI, SINIRLI VE ÖLÇÜLÜ OLMASI İLKESİ Kurum, işlenen verileri belirlenen amaçların gerçekleştirilebilmesine elverişli olarak ölçülü şekilde işlemekte, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulmaktadır.

5.5. İLGİLİ MEVZUATTAÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİOLAN SÜRE KADAR MUHAFAZA ETME İLKESİ Kurum kişisel verinin işlenmesi için öncelikle mevzuatta öngörülmüş bir süre varsa bu süreye riayet etmekte; şayet böyle bir süre öngörülmemişse kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verinin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, mevzuatta bir süre öngörülmüşse bu süre kadar, yoksa kişisel verinin işlendiği amaç için gereken süre kadar ilgili kişisel veri saklanmaktadır. Saklama sürelerinin sonunda kişisel veri, periyodik imha sürelerine veya veri sahibinin başvurusuna göre ve belirlenmiş olan imha yöntemlerine göre silinmekte, yok edilmekte ya da anonim hale getirilmektedir. Kurum ileride tekrar kullanılabileceğini düşünerek ya da herhangi bir başka gerekçe ile kişisel verileri muhafaza etme yoluna gitmemektedir.

 

6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler, Kurum tarafından KVKK’nın 5 ve 6. maddeleri ile ilgili mevzuata uygun olarak kişisel veri ve özel nitelikli kişisel veri ayrımı yapılarak işlenmektedir.

6.1. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI Kişisel veriler, Kurum tarafından KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarına uygun olarak işlenmektedir. Bu kapsamda Kurum kişisel veri işleme faaliyetlerini yürütürken faaliyetin bu şartlardan birinin kapsamına girip girmediğini değerlendirmekte ve bu şartlardan birine uygun olmayan kişisel veri işleme faaliyetini sonlandırmaktadır. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir:

• Kişisel Veri Sahibini Açık Rızasının Bulunması 5 Kişisel veriler, veri sahibinin bilgilendirilmeye dayalı ve özgür iradeye dayalı açık rızasının varlığı durumunda işlenebilmektedir. Bunun için kişisel veri sahiplerinin ispata elverişli yöntemler ile açık rızaları alınmaktadır. Veri sahibinin açık rızası olmasa da aşağıdaki şartlardan herhangi birinin varlığı durumunda kişisel veriler işlenebilmektedir.

• Kanunlarda Açıkça Öngörülmesi Kanunlarda açıkça öngörüldüğü durumlarda Kurum bu hüküm kapsamında kişisel verileri işleyebilmektedir.

• Fiili İmkânsızlık Nedeniyle Açık Rızanın Alınamaması Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

• Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür. Örneğin, bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması veya sözleşme gereği satıcının, malı teslim borcunu yerine getirmesi için alıcının adresini kaydetmesi ya da maaş ödemesini gerçekleştirmek amacıyla çalışanların banka bilgilerini elinde bulundurması, bu kapsamda değerlendirilebilecektir.

• Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.

• İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.

• Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Örneğin, bir Kurumun kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması gibi. Ayrıca, sözleşme sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması da bu kapsamda değerlendirilecektir.

• Veri Sorumlusunun Meşru Menfaati İçin Zorunlu Olması Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür.

 

6.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Özel nitelikli kişisel veriler KVKK’nın 6. maddesinde belirtildiği üzere; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. KVKK gereğince;

• Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın işlenebilecektir.

• Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında olan kişiler veya yetkili kurum ve kuruluşlar tarafından veri sahibinin açık rızası aranmaksızın işlenebilecektir. Diğer hallerde veri sahibinin özel nitelikli kişisel verilerinin işlenebilmesi için veri sahibinin açık rızasının alınması gerekmektedir. Kurum KVKK’da “özel nitelikli kişisel veri” olarak belirlenen kişisel verilerin korunmasında daha hassas ve özenli davranmaktadır. Veri sahibinin açık rızası olmaksızın özel nitelikli kişisel veriler, Kurum ve bağlı şirketler tarafından işlenmemektedir. Kurum, çalışanlarının ve çalışan adaylarının adli sicille ilgili verileri ile sağlık raporları, engelli olma durumları özlük dosyasına konulmak üzere veya görevlendirme yaparken sağlık durumuna uygun şekilde görevlendirme yapabilmek için ilgili mevzuat gereği ve mevzuat tarafından belirlenecek olan yeterli önlemleri alarak işlemektedir. Çalışanların kan grubu verileri iş sağlığı ve güvenliği kapsamında herhangi bir acil müdahale esnasında ihtiyaç duyulması halinde kullanılabilmesi için işlenmektedir.

 

7.KİŞİSEL VERİLERİ İŞLENEN KİŞİLER

Kurum; çalışanlar, çalışan adayları, stajyerler, mal ve hizmet satın alınan gerçek kişiler ile tüzel kişilerin çalışanları ve yetkilileri, mal ve hizmet satın alan kişiler, katılımcılar ve ziyaretçilerin kişisel verilerini toplamaktadır. Veri sahibi kategorileri aşağıdaki tabloda gösterilmiştir.

 

İLGİLİ KİŞİ	AÇIKLAMA
Çalışanlar	Kurum çalışanlarını ifade eder.
Çalışan Adayları	Kuruma herhangi bir yolla iş başvurusunda bulunan ya da iş başvurusunda bulunmamakla birlikte özgeçmiş ve diğer bilgilerini Kurum ile paylaşmış olan kişileri ifade eder.
Hissedar / Ortak	Tedarikçilerin veya diğer tüzel kişilerin ortaklarını ifade eder.
Potansiyel Ürün Veya Hizmet Alıcısı	Potansiyel ürün veya hizmet alıcısını ifade eder.
Tedarikçi Yetkilisi	Tedarikçilerin yetkililerini ifade eder.
Ürün Veya Hizmet Alan Kişi	Ürün veya hizmet alıcısını ifade eder.
Veli / Vasi / Temsilci	Veli, vasi veya temsilen işlem yapanları ifade eder.
Ziyaretçi	Kurum ziyaretçilerini ifade eder.

 

8.VERİ KATEGORİLERİ

Kurum tarafından kişisel veri işleme amaçlarına uygun olarak aşağıda belirtilen kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, finans, fiziksel mekân güvenliği, işlem güvenliği, mesleki deneyim, pazarlama, görsel ve işitsel veriler ile özel nitelikli kişisel verilerden sağlık ile ceza mahkûmiyeti ve güvenlik tedbirleri bilgileri işlenmektedir.

 

VERİ TİPİ	AÇIKLAMA
Kimlik	Kişilerin adı, soyadı, T.C. kimlik numarası, uyruk, pasaport, doğum yeri, doğum tarihi, cinsiyet, vergi numarası, unvan, vb. kimliklerinde yer alan bilgileri kimlik verileridir.
İletişim	Kişinin adresi, telefon numarası, e-posta adresi, KEP adresi gibi iletişim için kullanılan bilgileri iletişim verileridir.
Lokasyon	Kişinin hizmet talebinde bulunduğu bölgeyi tanımlayan konum verileridir.
Özlük	Kişinin özlük dosyasında yer alan bilgilerdir. Bordro bilgileri, disiplin soruşturması, adli sicil kayıt bilgileri, işe giriş-çıkış kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları gibi bilgiler bu kategoride değerlendirilir.
Hukuki İşlem	Adli makamlarla yapılan yazışmalardaki bilgiler, dava dosyasındaki bilgiler bu kategoride değerlendirilir.
Müşteri İşlem	Verilen hizmetler için kesilen faturalar, adisyonlar, senet ve çek bilgileri, sipariş ve talep bilgileri vb. veriler müşteri işlem verileridir.
Fiziksel Mekân Güvenliği	Ziyaretçi kayıtları, çalışan ve ziyaretçilerin giriş çıkış kayıtları, kamera kayıtları, araç bilgisi vb. bilgiler fiziksel mekân güvenliğine ilişkin kişisel verilerdir.
İşlem Güvenliği	IP bilgisi, internet sitesi giriş çıkış bilgileri, sistem logları, şifre ve parola bilgileri bilgi işlem güvenliği verisi olarak değerlendirilir.
Finans	Kişilerin Banka Bilgileri, IBAN No’su, hesap bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri finansal veridir.
Mesleki Deneyim	Diploma bilgileri, eğitim sertifikaları, katılım belgeleri, gidilen kurslar, belirli bir konuya ilişkin uzmanlık belgeleri, daha önce çalışılan iş ve iş tecrübelerine ilişkin bilgiler, gerçekleştirilen projeler vb. mesleki deneyim verisidir.
Görsel ve İşitsel Veriler	Video kayıtları, fotoğraflar, ses kayıtları, kamera görüntüleri görsel ve işitsel verileri oluşturur.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler, özel nitelikli kişisel veridir. Kurum bu kapsamda sadece ceza ve güvenlik tedbirleri verisi ile sağlık verisini toplamaktadır.
Risk Yönetimi	Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgilerdir.
Sendika Üyeliği	Sendika üyeliği bilgilerinden oluşmaktadır.
Sağlık Bilgileri	Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi sağlık verilerinden oluşmaktadır.
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri	Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi verilerdir.

 

 

9.KURUMUN YÜKÜMLÜLÜKLERİ

Kurumun, kişisel verilerin işlenmesi açısından KVKK ve ilgili mevzuat çerçevesindeki yükümlükleri aşağıdaki şekildedir:

9.1. KİŞİSEL VERİ SAHİBİNİ AYDINLATMA YÜKÜMLÜLÜĞÜ

Kurum kişisel verilerin elde edilmesi sırasında veri sahiplerini, verilerinin ne şekilde işleneceği konusunda aydınlatmaktadır. KVKK’nın 10. maddesi kapsamında Kurum kişisel veri sahiplerine;

• Veri sorumlusu olarak Kurum’un Bilgisi,

• Kişisel verilerin hangi amaçla işleneceği,

• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

• Kişisel veri sahibinin KVKK’nın 11. maddesinde sahip olduğu haklar, konusunda bilgi vermektedir. Kurum işbu yükümlülük gereğince, hazırlamış olduğu aydınlatma metni ile ilgili kişileri bilgilendir ve söz konusu bilgilendirme ilgili kişi ile ilk iletişime geçildiği anda yapılır.

9.2. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER

Kurum KVKK’nın 12. maddesine uygun olarak;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

• Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Kurum, Kişisel Verileri Koruma Kurumunun veri güvenliğine ilişkin yükümlülükler hakkındaki rehberleri uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmek amacıyla gerekli özeni göstermekte ve gerekli idari ve teknik tedbirleri almaktadır. Kurum bünyesinde KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaya veya yaptırmaya yönelik sistemleri oluşturur. Bu kapsamda gerekli olan organizasyon yapısı Kurum tarafından kurulmaktadır. Söz konusu denetim sonuçları Kurum bünyesinde oluşturulan organizasyon yapısı içinde değerlendirilerek gerekli önlemler alınmaktadır. Kurum bu kapsamda kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazasının sağlanması ve hukuka aykırı erişimin engellenmesi için aşağıdaki idari ve teknik tedbirleri almaktadır:

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Gizlilik taahhütnameleri yapılmaktadır.

• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir

• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri güvenliğinin takibi yapılmaktadır.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır

• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

• Mevcut risk ve tehditler belirlenmiştir.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

• Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

• Çalışanlar için yetki matrisi oluşturulmuştur.

• Erişim logları düzenli olarak tutulmaktadır.

• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

• Saldırı tespit ve önleme sistemleri kullanılmaktadır.

• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

• Şifreleme yapılmaktadır.

• Sızma testi uygulanmaktadır.

• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

 

9.3. KİŞİSEL VERİ SAHİPLERİ TARAFINDAN YAPILAN BAŞVURULARIN SONUÇLANDIRILMASI YÜKÜMLÜLÜĞÜ

Kurum, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesi uyarınca kişisel veri sahipleri tarafından yapılan başvuruları cevaplandırmakla yükümlüdür. Kişisel veri sahipleri, bu çerçevede KVKK’nın uygulanması ile ilgili taleplerini yazılı olarak veya aşağıda belirtilen diğer yöntemlerle Kurum’a iletebilirler.

 

BAŞVURU YÖNTEMİ	BAŞVURUDA GEREKENLER	BAŞVURU ADRESİ	DİĞER İSTENENLER
Şahsen Başvuru	Kurumumuzun faaliyet gösterdiği adrese kimliğinizi doğrulayarak şahsen veya vekâletname ibraz etmek suretiyle bir vekil aracılığıyla başvuruda bulunabilirsiniz. Başvuru, başvuru formu veya bir dilekçe ile yapılabilir; ancak ıslak imzalı olmalıdır.	Elektrosoft Bilişim KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli	Başvuru kapalı zarf ile yapılmalı, zarfın üzerine “Kişisel Verileri Koruma Kanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır.
Posta Yoluyla Başvuru	Islak imzalı başvuru formu veya dilekçe posta yoluyla gönderilerek de başvuruda bulunulabilir. Noter onaylı imza sirküsü ile başvuru vekil aracılığıyla yapılmışsa vekâletnamenin aslının da zarfa konulması gereklidir.	Elektrosoft Bilişim KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli	Zarfın üzerine “Kişisel Verileri Koruma Kanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır.
Noter Yoluyla	Başvuru Bizzat veya vekil aracılığıyla noter kanalıyla başvuru da yapılabilir. Bu başvuruda cevabın hangi yöntemle alınmak istendiği de belirtilmelidir.	Elektrosoft Bilişim KOÜ Teknopark Vatan Cad. D Blok No : 83 İç Kapı No : 208 Başiskele Kocaeli

 

Kurum, kişisel veri sahipleri tarafından kendisine iletilen KVKK’nın uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, Kurum, işlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretleri başvuruda bulunan kişisel veri sahibinden isteyebilir. Başvuran kişisel veri sahibinin kimliğini ispat edecek olan belge ve dokümanlarla başvuruda bulunması gerekmektedir. Bu belgelerin teyidi yapılmaksızın başvuruya olumlu cevap verilmez. Başvuran tarafından aksi belirtilmedikçe başvuruda kullanılan yöntem ile Kurum tarafından cevap verilir. Kurum, kişisel veri sahibinin talebini kabul edebilir veya gerekçesini açıklayarak reddedebilir ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin Kurum tarafından kabul edilmesi hâlinde gereği yine Kurum tarafından yerine getirilir. Başvurunun Kurum’un hatasından kaynaklanması hâlinde varsa alınan ücret ilgili kişiye iade edilir. Kurum tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, Kurum’un cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

 

9.4. VERİ SORUMLULARI SİCİLİNE KAYDOLMA YÜKÜMLÜLÜĞÜ Kurum, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilecek süre içinde, KVKK’da sayılan başvuru bilgi ve belgeleri ile birlikte Veri Sorumluları Sicili’ne kayıt olur. Veri işleme koşullarındaki değişiklik halinde Veri Sorumluları Sicilinde ilgili değişiklikler gerçekleştirilir.

 

10.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI

Kişisel veri sahipleri KVKK’nın 11. maddesinde belirtilen ve aşağıda yer alan haklara sahiptirler:

a. Kişisel verilerinin işlenip işlenmediğini öğrenme,

b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d. Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,

e. Kişisel verileri eksik veya yanlış işlenmişse bunların düzeltilmesini isteme, KVKK’da öngörülen şartlar çerçevesinde bunların silinmesini veya yok edilmesini ve bu işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f. İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

g. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Kişisel veri sahiplerinin bu haklarını kolaylıkla kullanmaları için Kurum tarafından her türlü önlem alınmaktadır. Ancak Kişisel Verileri Koruma Kurumunun yayınlamış olduğu Veri Sorumlusuna Başvuru Usul 12 ve Esasları Hakkında Tebliğ uyarınca kişisel veri sahiplerinin başvurularında aşağıdaki bilgilerin bulunması zorunlu görülmüştür:

• Ad, soyad ve başvuru yazılı ise imza,

• Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası,

• Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

• Tebligata esas yerleşim yeri veya iş yeri adresi,

• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

• Talep konusu.

Yukarıdaki bilgileri içeren bir dilekçeyi kişisel veri sahipleri kendileri hazırlayabilecekleri gibi Kurumumuzdan veya https://www.ktb.gov.tr ‘den edinecekleri başvuru formunu kullanarak da haklarını kullanabilirler. Kişisel veri sahiplerinin eksik bilgi içermeyen başvuruları, otuz günü geçmemek üzere hukuka ve dürüstlük kurallarına uygun olarak Kurum tarafından sonuçlandırılır. Başvuruda eksik bilgi bulunması durumunda ek bilgiler kişisel veri sahibinden talep edilerek başvuru cevaplandırılır. Öte yandan kişisel veri sahibinin ancak açık rızası ile işlenebilecek veriler açısından, veri sahibi vermiş olduğu açık rızayı her zaman geri çekme hakkına sahiptir. Bu durumda bu tür kişisel veriler; silinir, yok edilir veya anonim hale getirilir.

11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Kurum, kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklamaktadır. Mevzuatta kişisel verilerin saklanmasına ilişkin herhangi bir süre öngörülmemiş ise, kişisel veriler ticari hayatın teamülleri gereğince işlenmesinin gerektiği ya da işlendikleri amaç için gerekli olan süre kadar işlenmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verinin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, mevzuatta bir süre öngörülmüşse bu süre kadar, yoksa kişisel verinin işlendiği amaç için gereken süre kadar ilgili kişisel veri saklanmaktadır. Saklama sürelerinin sonunda kişisel veri, periyodik imha sürelerine veya veri sahibinin başvurusuna göre ve belirlenmiş olan imha yöntemlerine göre silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

12. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

Kurum tarafından KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verilerin Korunması Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde;

• İlgili mevzuatta kişisel verilerin işlenmesinde uyulması gerekli görülen genel ilkelere,

• Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri kapsamında alınması gereken idari ve teknik tedbirlere,

• Kişisel Verileri Koruma Kurulu kararlarına,

• Kişisel verilerin saklanmasın ve imhası politikasına uygun hareket edilmektedir. Kurum, ayrıca Kişisel Verileri Saklama ve İmha Politikası kapsamında ayrıntılı olarak ele alınacak teknik ve idari tedbirleri de almaktadır.

12.1. KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.

12.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kurum, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.

12.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiyi işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır. Kurum, kişisel verilerin silinmesi veya yok edilmesi yerine anonim hale getirilmesi sürecinde gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verilerin Korunması Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.

 

13.KURUM TARAFINDAN KİŞİSEL VERİLERİN AKTARILMASI

Kurum, KVKK ile uyumlu olarak ve kişisel veri işleme amaçları çerçevesinde kişisel veri sahiplerinin kişisel verilerini yetkili kurum ve kuruluşlara, hizmet sağlayıcılarımıza ve ilgili kişilere aktarabilmektedir.

13.1. KİŞİSEL VERİLERİN YURT İÇİNDE AKTARILMASI

Kişisel verilerin yurt içinde aktarılması için KVVK m. 8. Uyarınca, aşağıdaki şartlardan en az birinin sağlanması durumunda veri sahibinin açık rızası olmasa da kişisel veriler aktarılabilmektedir:

• Kişisel veri aktarımının kanunlarda açıkça öngörülmesi,

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri aktarılmasının zorunlu olması,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması,

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için kişisel veri aktarılmasının zorunlu olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş olması kaydıyla alenileştirme amacıyla sınırlı olarak kişisel veri aktarımının yapılması,

• Bir hakkın tesisi, kullanılması veya korunması için kişisel veri aktarılmasının zorunlu olması,

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için kişisel veri aktarılmasının zorunlu olması.

Yukarıdaki durumlardan biri mevcut değilse, kişisel veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması gerekmektedir.

Özel nitelikli kişisel verilerin yurt içinde aktarılabilmesi için ise aşağıdaki hallerden birinin bulunması gerekmektedir:

• İlgili kişinin açık rızasının alınması,

• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması,

• Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

Yukarıda belirtilen durumlar dışında Kurum tarafından kişisel veriler, üçüncü kişilere hiçbir şekilde aktarılmamaktadır. Kişisel verilerin işlenme şartları ve veri işleme amaçlarımıza uygun olarak kişisel veriler; iş faaliyetlerin sürdürülmesi, vatandaş taleplerinin karşılanması ve en iyi şekilde hizmet verilebilmesi amacıyla, tedarikçilerimize, hizmet sağlayıcılarımıza (teknoloji hizmetleri, personel servis hizmetleri vb.) ve yasal yükümlülüklerin yerine getirilmesi amacıyla; gerektiğinde yetkili kurum ve kuruluşlar ile yargı mercilerine ve güvenlik birimlerine aktarılabilmektedir.

13.2. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

KVKK m. 9 göre yurtdışına veri aktarımı aşağıdaki durumlarda gerçekleştirilebilir:

• İlgili kişinin açık rızasının bulunması,

• Yeterli korumanın bulunduğu ülkelere (Kurul tarafından güvenli kabul edilen ülkeler) veri aktarımında, Kanun’da belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar),

• Yeterli korumanın bulunmadığı ülkelere veri aktarımında Kanunda belirtilen hallerin varlığı (Kanunun 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar), yabancı ülkedeki veri sorumluları tarafından yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması.

Kurumun yurtdışında bulunan ve veri sorumlusu durumunda bulunan üçüncü kişilere veri aktarması söz konusu olur ise KVVK m. 9 gereğince asgari şartlarını Kişisel Verileri Koruma Kurumu’nun belirlediği, her iki tarafın da veri sorumlusu olduğu duruma ilişkin, her iki tarafın imza ettiği bir taahhütname Kişisel Verileri Koruma Kurumuna sunulacaktır. Kişisel Verileri Koruma Kurumunun onayı ile söz konusu veri aktarımı yapılacak ve bu onay alınmaksızın Kurum tarafından söz konusu üçüncü kişilere veri aktarımı yapılmayacaktır.

14.BAĞLI KURUMLAR TARAFINDAN İŞLENMEKTE OLAN KİŞİSEL VERİLERİN KURUM TARAFINDAN İŞLENMESİ

Bağlı Kurumlar tarafından işlenmekte olan kişisel verilerin bazı durumlarda Kurum tarafından işlenmesi gereği de ortaya çıkabilmektedir. Bu durumda Kurum ve Kuruma bağlı Şirketler arasındaki veri aktarımı, KVKK kapsamında veri sorumlusundan veri sorumlusuna veri aktarımı olarak gerçekleşmektedir. Bağlı Kurum aydınlatma yükümlülüğü kapsamında, ilgili kişisel verinin toplanması aşamasında kişisel verilerinin Kuruma gönderilebileceği konusunda ilgili kişiyi aydınlatmaktadır.

 

15.KURUM BÜNYESİNDE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ

Kurum organizasyon yapısında işbu politika ile korunan esaslar ve değerler kapsamında ve işbu politika ile bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere “Veri Sorumlusu İrtibat Kişisi”, “KVKK Uyum Koordinatörü” ve “Kişisel Verilerin Korunması Komitesi”nden oluşan üç farklı rol bulunmaktadır.

15.1. KVKK UYUM KOORDİNATÖRÜ KVKK Uyum Koordinatörünün aşağıda belirtilen görev ve sorumlulukları bulunmaktadır:

• Veri Sorumlusu İrtibat Kişisinin ve müdürlüklerin görevlerini KVKK’ya, ilgili diğer mevzuata ve Kurumun politika belgelerine uygun olarak yerine getirip getirmediğinin denetlenmesini koordine eder.

• KVKK ile ilgili çalışmaların gerçekleştirilmesi, KVKK uyum süreçlerinin yürütülmesini koordine eder.

15.2. VERİ SORUMLUSU İRTİBAT KİŞİSİ

Veri Sorumlusu İrtibat Kişisinin aşağıda belirtilen görev ve sorumlulukları bulunmaktadır:

• Veri Sorumlusu İrtibat Kişisi Kurumun resmi ve iç denetim süreçlerinde Veri Sorumlusunu temsil eder, gerekli görülen iş ve işlemlerin yerine getirilmesini ve sonuçlandırılmasını sağlar.

• Kurumu Kişisel Verilerin Korunması Kurumu ile iletişimde temsil eder.

• Herhangi bir veri ihlalinin söz konusu olması halinde Kurum Başkanlığını ve Kişisel Verilerin Korunması Komitesini bilgilendirerek gerekli iş ve işlemlerin yapılmasına öncülük eder. Bu alanda gerekli bildirimlerin usulüne uygun bir şekilde yapılmasını sağlar.

• Kurum’un VERBİS kayıtlarında herhangi bir değişiklik olması halinde meydana gelen değişiklikleri gecikmeksizin VERBİS üzerinden Kişisel Verilerin Korunması Kurumuna bildirir.

• Veri Sorumlusu ve ilgili birim veya kişilerin veri işleme faaliyetlerinde meydana gelen değişiklik ve düzenleme bildirimlerini Kişisel Verilerini Korunması Komitesi ile birlikte değerlendirerek envanterde gerekli güncellemelerin yapılmasını sağlar.

• Kendisine işbu Politika ve diğer politika ve belgelerde verilen diğer görevleri yerine getirir.

15.3. KİŞİSEL VERİLERİN KORUNMASI KOMİTESİ

Kişisel Verilerin Korunması Komitesinin kişisel verilerin korunması ve işlenmesi bakımından görevleri şunlardır:

• Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları hazırlamak ve Kurumun KVKK kapsamındaki yükümlülüklerini yerine getirmesi için Kurum içinde gerekli düzenlemeleri yapmak,

• Belirlenen temel politika ve aksiyon adımlarını hazırlamak ve icrasını sağlamak,

• Kurum’un kişisel veri politikasının mevzuatla uyumunu sağlamak ve takibini yapmak,

• Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların uygulanmasını sağlamaya yönelik gerekli görevlendirmelerin yapılmasını sağlamak,

• Kurumun kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmeyi sağlamak,

• Kurum çalışanlarının kişisel verilerin korunması ve işlenmesi ve ayrıca bu konuda oluşturulan Politikalar konusunda eğitim almalarının temin edilmesini sağlamak,

• Kişisel veri sahiplerinin başvurularını karara bağlamak,

• Kişisel Veri Koruma Kurumu ve Kişisel Veri Koruma Kurulu ile olan ilişkileri İrtibat Kişisi ile birlikte yönetmek.

 

16.RİSK ANALİZİ VE POLİTİKA DIŞI UYGULAMALAR

Kurum iç denetim mekanizmaları aracılığıyla bünyesinde düzenli olarak gerçekleştirilen denetimler neticesinde ortaya çıkan risk bulguları, Kişisel Verilerin Korunması Komitesi tarafından değerlendirilir. Tespit edilen riskler için yapılması gerekenler Kişisel Verilerin Korunması Komitesi tarafından değerlendirilerek gerekli idari ve teknik tedbirleri alması için Başkanlık ve Kurum KVKK Uyum Koordinatörü bilgilendirilir. İşbu politika kapsamında yer alanlar dışında kişisel verilerin korunması ve işlenmesi açısından farklı durum ve uygulamaların bulunduğu tespitini yapan kişiler, Kişisel Verilerin Korunması Komitesi’ne yazılı olarak bilgi verirler.

 

17.POLİTİKANIN YÜRÜRLÜĞÜ

Kurum tarafından kişisel verilerin işlenmesi faaliyetlerinde uygulanmak üzere yürürlükteki mevzuatla uyumlu olarak hazırlanan bu Politika, Kurum kararı ile yürürlüğe konulmuştur.

Bu politika Kurumun internet sayfasında yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Bu Politika, kurumsal ya da mevzuattan kaynaklanan içerik değişiklik gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilip gerektiğinde güncellenir. Güncel versiyon, Kurum’un internet sayfasında yayınlanır.

Kurum, KVKK, Kişisel Verileri Koruma Kurulu kararları uyarınca ya da iş faaliyetlerindeki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler, derhal metne işlenir ve yayımlanarak yürürlüğe girer.