KİŞİSEL VERİLERİN İŞLENMESİ, KORUNMASI VE İMHASI POLİTİKASI

VERİ GİZLİLİĞİ TAAHHÜDÜ

İş bu Veri Gizliliği ve Güvenliği Politikası (Politika), Dr. ÖZLEM SÜRÜCÜ (Veri Sorumlusu) tarafından, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (K.V.K.K.) ve ilgili diğer mevzuat uyarınca, veri koruma yükümlülükleri yerine getirilirken ve kişisel veriler işlenirken veri sorumlusu Veri Sorumlusu tarafından uyulması gereken esasları belirlemektedir.

Veri Sorumlusu, kendi bünyesinde bulunan kişisel veriler için yeterli ve makul güvenlik düzeyini uygulamayı, kişisel verilerin gizliliğine saygı duymayı ve iş bu Politika’ ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

POLİTİKANIN AMACI

İş bu Politika’ nın temel amacı, Veri Sorumlusu tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri Veri Sorumlusu tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.

POLİTİKANIN KAPSAMI

İş bu Politika, Veri Sorumlusu’ nun tüm departmanlarını ve çalışanlarını kapsamaktadır.

İş bu Politika, Veri Sorumlusu’ nun kişisel verileri işlemekte olduğu tüm faaliyetleri kapsayacak olup, her türlü olay ve eylemde uygulanacaktır.

İş bu Politika, anonim hale getirilmiş ya da kişisel veri olmayan veriler hakkında uygulanmayacaktır.

Yeni mevzuatlar ile belirlenmesi durumunda, Veri Sorumlusu kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde daha yüksek bir güvenlik seviyesi sağlayacak ve mevzuat gerekliliklerine uyacaktır.

İş bu Politika’ nın Veri Sorumlusu tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Veri Sorumlusu uygulayacağı adımları, gerek görülmesi durumunda Kişisel Verileri Koruma Kurumu’na da danışarak, yeniden belirleyecektir.

TANIMLAR

İş bu Politika’ da kullanılan tanımlar aşağıda yer almaktadır:

Açık rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim hale getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
K.V.K.K.	6698 Sayılı Kişisel Verilerin Korunması Kanunu
K.V.K. Kurumu	Kişisel Verileri Koruma Kurumu
Özel nitelikli kişisel veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Veri işleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Kişisel veri sahibi	K.V.K.K.’ da ilgili kişi olarak addedilen, kişisel verisi işlenen gerçek kişi
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. İş bu Politika Belgesi’nde belirtilen Veri Sorumlusu Dr. ÖZLEM SÜRÜCÜ’ dür.
Veri Sorumluları Sicili	Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından tutulan veri sorumluları sicili (VERBİS)
Veri Envanteri	Veri Sorumlusu’ ın iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, kişisel verilerin aktarıldığı alıcı grubu ve ilgili kişisel veri sahibi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanter
Alıcı Grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemidir.
Kişisel veri işleme envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.

KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Veri Sorumlusu nezdinde, Veri Sorumlusu’ nun meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, K.V.K.K.’ nın 5. Maddesi’ nde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. Madde’ de belirtilen ilkeler olmak üzere, K.V.K.K.’ da belirtilen genel ilkelere ve düzenlenen tüm yükümlülüklere uyularak ve iş bu Politika kapsamındaki kişisel veri sahipleri (danışanlar (Ürün veya hizmet alan kişiler), onların veli/vasi/temsilcileri, çalışanlar, çalışan adayları, ziyaretçiler) ile sınırlı olarak:

Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekân Güvenliğinin Temini
Hukuk İşlerinin Takibi ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Ücret Politikasının Yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
Ziyaretçi Kayıtlarının Oluşturulması ve Takibi ile tarafınıza kesintisiz olarak daha iyi ve güvenilir hizmet verilebilmesi amaçlarıyla K.V.K.K.’ nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

Veri Sorumlusu, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır.

Bu kapsamda, Veri Sorumlusu içerisinde aşağıdaki türlerde veri kategorileri bu türlerle sınırlı olmamakla beraber bulunmaktadır:

Kimlik Bilgisi, İletişim Bilgisi, Müşteri İşlem, Özlük, Hukuki İşlem, Fiziksel Mekân Güvenliği, İşlem Güvenliği, Risk Yönetimi, Mesleki Deneyim, Irk ve Etnik Köken, Felsefi İnanç, Din, Mezhep ve Diğer İnançlar, Kılık ve Kıyafet, Sağlık Bilgileri, Cinsel Hayat, Genetik Veri, Ceza Mahkûmiyeti ve Güvenlik Tedbirleri.

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Hukuka Uygunluk

Veri Sorumlusu, Anayasa başta olmak üzere, K.V.K.K. ve ilgili mevzuata uygun olarak, kişisel verileri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun olarak yürütür.

Verilerin Doğru ve Gerektiğinde Güncel Olması

Veri Sorumlusu, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmakta, doğruluğu ve güncelliğini sağlamaya yönelik her türlü idari ve teknik tedbirler alınmaktadır.

Belirli, Meşru ve Açık Amaç

Veri Sorumlusu, yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Veri Sorumlusu tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel Veri Envanteri” ne de işlenmektedir.

Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Veri Sorumlusu tarafından kişisel veriler, belirlenen amaçların gerçekleştirilebilmesi için gerektiği ölçüde işlenmektedir. Sonradan kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir. Bu kapsamda süreçler sürekli gözden geçirilmekte, kişisel verilerin azaltılması ilkesi hayata geçirilmeye çalışılmaktadır.

Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi

Veri Sorumlusu, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda Veri Sorumlusu öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Veri Sorumlusu tarafından “Veri İmha Politikası” na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler yalnızca aşağıda belirtilen yasal dayanaklar kapsamında toplanabilir, işlenebilir veya kullanılabilir.

Açık Rıza

Kişisel verilerin korunması Anayasal bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. Maddesi’ nin 3. Fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Veri Sorumlusu tarafından, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenmektedir:

ï Açık rıza özgür irade ile verilmelidir, aksi durumda hükümsüzdür.

ï İlgili kişiden yazılı olarak veya elektronik ortamda açık rıza alınacaktır. Bu durumlara ek olarak kayıt alınması durumlarda sözlü rıza da kabul edilebilir. Bu şekilde açık rızalar ispatlanabilir şekilde kaydedilecektir. Açık rıza alınmadan önce kişilere ilgili hakları bildirilecektir.

ï Özel nitelikli kişisel verilerin işlenmesi gerekli durumlarda açık rızalar yazılı olarak alınacaktır.

ï Kişisel veri işleyen çalışanlar, işledikleri kişisel veriler toplanırken ilgili veri sahibinin açık rızasının varlığının ve geçerliliğinin kontrolünü sağlamakla yükümlüdür. Açık rıza olmadığının tespit edilmesi durumunda veri işleme faaliyeti durdurulacaktır.

Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

Veri sahibinin kendisi tarafından alenileştirilmiş olması,

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler yalnızca veri sahibinin açık rızasının bulunması ya da kanunlarda açıkça öngörüldüğü hallerde işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza almaksızın işlenebilir. Bu tarz bir işleme durumunda, veri işleyen sır saklama yükümlülüğü altındadır.
Özel nitelikli kişisel veriler işlenirken, Kurul tarafından belirlenen yeterli önlemler alınacaktır.

Özel nitelikli kişisel verilerin işlenmesi gereken her durumda Veri Sorumlusu bilgilendirilecektir.

Çalışanların Verilerinin İşlenmesi

Yukarıda belirlenen tüm kişisel veri işleme ilkeleri, çalışanların kişisel verileri üzerinde de uygulanacaktır.

CV toplama kanallarını kullanmadan iş başvurusunda bulunan kişilerin kişisel verileri iş ilişkisini başlatmak amacı ile açık rızaları bulunmaksızın işlenebilir. Bu şekilde gelen bir başvurunun uygun görülen bir pozisyon için değerlendirilmesinin ardından olumsuz sonuçlanması halinde ilgili kişinin kişisel verileri silinecektir. Ancak çalışan adayının açık rızası halinde saklanacaktır.

İş ilişkisi ile bağlantılı ve sözleşmenin ifası ile ilgili olan çalışan kişisel verileri çalışanların açık rızası olmadan işlenebilir. Aksi durumlarda, çalışanın onayı, hukuki hükümlülük, meşru menfaat ve benzeri bir gerekçe olmalıdır.

SORUMLULUK

Veri Sorumlusu, iş bu Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, eğitim ve farkındalığın arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumludur.

KAYIT ORTAMLARI

Kişisel veriler, Veri Sorumlusu tarafından aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik Ortamlar	Elektronik Olmayan Ortamlar
Sunucular (Dahili bellek, yedek bellek vb.) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.)	Kâğıt, defter, ajanda Diğer manuel veri kayıt sistemleri (ziyaretçi giriş defteri vb.) Fiziki olarak bulunan yazılı, basılı, görsel ortamlar

KİŞİSEL VERİLERİN AKTARILMASI

Türkiye’de Bulunan Üçüncü Kişilere Aktarım

Kişisel veriler yalnızca ilgili kişinin açık rızası bulunduğu durumlarda Türkiye’de bulunan üçüncü kişilere aktarılabilir.
K.V.K.K.’ nın 5. Maddesi’ nin 2. Fıkrası’ nda belirtilen koşullardan en az birinin geçerli olması halinde, kişinin açık rızası olmadan Türkiye’de bulunan üçüncü kişilere aktarılabilir.

Kişisel verilerin Türkiye içerisindeki aktarımı sırasında uyulacak yükümlülüklere uygunluğun sağlanmasından Veri Sorumlusu sorumludur.

Yurt Dışında Bulunan Üçüncü Kişilere Aktarım

Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, K.V.K.K.’ nın 9. Maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır.

Veri Sorumlusu tarafından yurtdışına veri aktarımı yapılmamaktadır.

Kişisel Sağlık Verilerinin Aktarımı

Kişisel sağlık verileri anonim hale getirilmeden, mevzuata uygun olmadan, gerekli izin ve onaylar alınmadan üçüncü kişilere aktarılamaz.

Kişisel sağlık verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları çerçevesinde ve kanunlarda açıkça öngörülmüş olması durumunda kamu kurum ve kuruluşlarına aktarılabilir.

Sağlık verilerinin aktarımı sırasında uyulacak yükümlülüklere uygunluğun sağlanmasından Veri Sorumlusu sorumludur.

İLGİLİ KİŞİLERİN HAKLARI

Veri Sorumlusu kişisel verisini elinde bulundurduğu ilgili kişilerin aşağı belirtilen taleplerine kanunda belirtilen sürelerde karşılık verecektir:

Kişisel verilerini işleyip işlemediğinin bilgisi,

Hangi kişisel verilerini işlediğinin bilgisi,

Kişisel verilerini aktarıp aktarmadığının bilgisi,

Kişisel verilerini aktardığı üçüncü kişileri ve üçüncü kişilerin irtibat kişilerinin bilgisi,
Kişisel verilerini işleme amacı,

Kişi ilgili kişisel verilerinin güncellenmesini istediğinde cevap verilmesi,

Kişisel verilerinin anonimleştirilmesi, silinmesi veya yok edilmesi isteği,

Veri Sorumlusu’ ta bulunan kişisel verilerinin bir kopyasını alma

Veri sahipleri haklarını kullanmak ve/veya Veri Sorumlusu’ nun verilerini işlerken iş bu Politika kapsamında hareket etmediğini düşündüğü durumlarda aşağıdaki Veri Sorumlusu ile iletişim bilgilerini kullanarak irtibat kurabilirler.

GİZLİLİK

Veri Sorumlusu tarafından, kanun kapsamında işlenen kişisel verilerin tamamı gizlidir. Çalışanlar, kişisel veriler üzerinde yalnızca kendilerine tanımlanan yetki dahilinde toplama, işleme, aktarım, kullanım, silme, yok etme, anonimleştirme faaliyetlerini yürütebilir. Aksi durumda çalışanların bu faaliyetleri yürütmesi yasaktır. Ek olarak çalışanlar kişisel verileri bireysel veya ticari amaçlarla kullanamaz.

GÜVENLİK

Kişisel verilerin güvenliği Veri Sorumlusu sorumluluğundadır. Kişisel verilerin kaybolmasına, hukuka aykırı olarak işlenmesine, kötüye kullanılmasına, yetkisiz kişilerce her türlü işleme alınmasına karşı korunması gerekmektedir. Bu güvenlik önlemleri elektronik ve fiziki olarak saklanan kişisel verilerin tamamını kapsamaktadır. Veri Sorumlusu, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan Teknik Tedbirler

Veri Sorumlusu, kişisel verilerinizi korumak amacıyla her türlü teknik, teknolojik güvenlik önlemlerini almış ve olası risklere karşı kişisel verilerinizi korumaktadır. Örneğin:

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Şifreleme yapılmaktadır.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan İdari Tedbirler

Kişisel verilerin işlenmesi, korunması ve imhasına ilişkin ana esaslar, politika ve prosedürler belirlenmiştir.

İşlenen kişisel veriler kapsamında mevcut risk ve tehditler belirlenmiştir.

Çalışanlar için kişisel veri güvenliği konusunda eğitim ve farkındalık çalışmaları yapılmaktadır.

Çalışanların bilgi güvenliği sorumluluklarının farkında olmaları ve yerine getirmelerini temin etmek üzere veri güvenliğine ilişkin rol ve sorumluluklar belirlenmiştir.

Çalışanlar için, güvenlik, Politika, ana esaslar ve prosedürlerine uyulmaması durumunda devreye girecek bir disiplin süreci mevcuttur.

Gizlilik taahhütnameleri yapılmaktadır.

Çalışan, çalışan adayları, danışan ve danışan veli/vasi/temsilcisi için aydınlatma metni yayımlanmıştır.

Açık rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.

Veri Sorumlusu içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir.

İşleme amacı bakımından anılan kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.

Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede Veri Sorumlusu’ na bildirmek üzere çalışanlar tarafında gerekli önlemler alınmaktadır.

Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Veri Sorumlusu bu durumu en kısa sürede (Maksimum 72 saatte) ilgili veri sahibine bildirecektir.

VERİ SORUMLUSU İŞYERİ GİRİŞLERİ İLE İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

Veri Sorumlusu tarafından güvenliğin sağlanması amacıyla, Veri Sorumlusu işyeri binalarında güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Veri Sorumlusu tarafından kişisel veri işleme faaliyeti yapılmaktadır.

Veri Sorumlusu, güvenlik kamerası ile izleme faaliyeti kapsamında; Veri Sorumlusu ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır.

Veri Sorumlusu tarafından K.V.K.K.’ nın 12. Maddesi’ ne uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Mahremiyetin yüksek olduğu yerlerde ise görüntüleme yapılmamaktadır.

KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI

Türk Ceza Kanunu’nun 138. Maddesi’ nde, K.V.K.K.’ nın 7. Maddesi’ nde ve Kurum tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Veri Sorumlusu’ nun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Veri Sorumlusu bu konuda yönetmelik hükümlerine göre bir Politika oluşturmuş ve bu Politika uyarınca verinin niteliğine göre imha yapılmaktadır. Bu Yönetmelik uyarınca Veri Sorumlusu tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.

KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Veri Sorumlusu tarafından veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

Kişisel Verilerin Silinmesi veya yok edilmesi

Kişisel veriler, Veri Sorumlusu tarafından aşağıdaki tabloda gösterilen yöntemlerle silinir veya yok edilir.

VERİNİN KAYITLI OLDUĞU ORTAM	VERİNİN SİLİNME VEYA YOK EDİLME YÖNTEMİ
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilerek gerçekleştirilir.

SAKLAMA VE İMHA SÜRELERİ

Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanteri’ nde,
Veri kategorileri bazında saklama süreleri VERBİS’ e kayıtta ve
Süreç bazında saklama süreleri ise iş bu Kişisel Verilerin İşlenmesi, Korunması ve İmhası Politikası’ nda yer almaktadır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Sorumlusu tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler üzerinde, Veri Sorumlusu tarafından re’sen silme, yok etme veya anonim hale getirme işlemi uygulanır.

Süreç bazında saklama ve imha süreleri tablosu

VERİ KATEGORİSİ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Kimlik	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Özlük	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlem	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Fiziksel Mekân Güvenliği	3 Ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İşlem Güvenliği	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Risk Yönetimi	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Mesleki Deneyim	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Irk ve Etnik Köken	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kılık ve Kıyafet	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sağlık Bilgileri	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Cinsel Hayat	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Genetik Veri	20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

PERİYODİK İMHA SÜRESİ

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. Maddesi gereğince Veri Sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Veri Sorumlusu’ ta her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

İHLAL OLAYLARI

Veri Sorumlusu’ nun her bir çalışanı, K.V.K.K. ve iş bu Politika kapsamında belirtilen kısıtlamalara aykırı olduğunu düşündüğü bir eylem veya olayı Veri Sorumlusu’ na derhal aktarmak ile yükümlüdür. Yapılan bilgilendirmeler sonucunda Veri Sorumlusu mevzuatı dikkate alarak ihlal eylemi veya olayına ilişkin olarak ilgili kişi veya yetkili Kurum’ a bildirim yapmakla yükümlü tutulmuştur.

SORUMLULUKLAR

Çalışanlar kendi çalışma alanları içerisinde bulunan basılı veya bilgisayar ortamındaki tüm kişisel verilerden sorumludur ve bu veriler üzerindeki her türlü işlemede Kanun’ da ve iş bu Politika’ da belirtilen şartlara uyacaktır.

Çalışanlar kişisel veriler ile ilgili yeni veri işleme, veri silme, belirsizlik ve benzeri her türlü durumda Veri Sorumlusu’ nu derhal bilgilendirmekle yükümlüdür.

YÜRÜTME

İş bu Politika’ nın yürütülmesi ve K.V.K.K. düzenlemelerine uygun hareket edilmesi Veri Sorumlusu tarafından sağlanmaktadır.

POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İş bu Politika 31/12/2021 tarihinde yürürlüğe girmiştir.