KVKK
TÜRKİYE SİBER GÜVENLİK KÜMELENMESİ
KİŞİSEL VERİLERİN KORUNMASI, İŞLENMESİ VE GİZLİLİK POLİTİKASI
1-Şirketimiz, Türkiye Siber Güvenlik Kümelenmesi (“Şirket”), bu (“Politika”) ile tüm muhataplarının, kişisel verilerinin elde edilmesi, işlenmesi, silinmesi, yok edilmesi veya anonimleştirilmesinde tabi olduğu yükümlülükleri ile uyacağı usul ve esasları belirlemektedir.
Bu doğrultuda kişisel veriler bakımından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında Çalışan Adayları, Müşteriler, Şirket Hissedarları, Şirket Yetkilileri, Ziyaretçiler, İşbirliği İçinde Olduğumuz Kurumların, Alt İşverenlerin ve Tedarikçilerin Çalışanları, Hissedarları ve Yetkilileri ile Üçüncü Kişiler başta olmak üzere (“Veri Sahibi”) sıfatına sahiptir.
Kanun uyarınca şirket tarafından (“Veri Sorumlusu”) gerçekleştirilen kişisel veri işlemesine konu faaliyetler hakkında koşul ve şartlara yer verilmiş olup veri sahiplerinin bilgilendirilerek şeffaflığın sağlanması ve aşağıda belirtilen durumlar kapsamında açık rızalarının temini hedeflenmektedir. Gizlilik Politikası, şirketimizin internet sitesinde (siberkume.org.tr) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
Bu doğrultuda, işbu Gizlilik Politikası (“Politika”), kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile tamamen uyumlu bir şekilde işlenmesi ve veri sahiplerini bu bağlamda bilgilendirmek amacıyla hazırlanmıştır. İşbu Politikadan ayrı olarak şirket çalışanları için “ Türkiye Siber Güvenlik Kümelenmesi Çalışanlarının Kişisel Verilerinin İşlenmesine İlişkin Politika” düzenlenmiştir.
2-Bu Politika; Çalışan Adayları, Müşteriler, Şirket Hissedarları, Şirket Yetkilileri, Ziyaretçiler, İşbirliği İçinde Olduğumuz Kurumların, Alt İşverenlerin ve Tedarikçilerin Çalışanları, Hissedarları ve Yetkilileri ile Üçüncü Kişiler başta olmak üzere otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde kişisel veri sahipleri gruplarına ilişkin işbu Politika’nın uygulama kapsamı Politikanın tamamı olabileceği gibi yalnızca bir kısım hükümleri de olabilecektir.
3-Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Şirket yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
4-Politika’nın kapsamı dahilinde kişisel verileri işlenen veri sahipleri aşağıdaki şekilde kategorize edilmiştir:
Çalışan Adayları | Şirkete iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Şirkete erişilebilir kılan gerçek kişiler. |
İşbirliği içinde Olduğumuz Kurumların, Alt İşverenlerin, Tedarikçilerin Çalışanları, Hissedarları ve Yetkilileri |
Şirket ile iş ilişkisi içerisinde bulunan kurumların, alt işverenlerin, tedarikçilerin çalışanları, hissedarları ve yetkilileri |
Müşteriler | Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Şirket tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler. |
Ziyaretçiler | Şirketin fiziksel tesislerine çeşitli amaçlarla girmiş olan, ziyaret eden gerçek kişiler. |
Üçüncü Kişiler | Politikada tanımlanmamış olmasına rağmen işbu Politika çerçevesinde kişisel verileri işlenen diğer gerçek kişiler. |
Şirket Hissedarı | Şirketin hissedarı gerçek kişiler. |
Şirket Yetkilisi | Şirketin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler. |
5- Bu Politika’nın uygulanmasında;
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgidir. |
Özel Nitelikte Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Kişisel Verinin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul | Kişisel Verileri Koruma Kurulu |
Politika | Şirketin Kişisel Verilerin Korunması Ve İşlenmesi Politikası’dır. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur. |
ifade eder.
6-Şirketimiz’in Çalışan Adayları, Müşteriler, Şirket Hissedarları, Şirket Yetkilileri, Ziyaretçiler, İşbirliği İçinde Olduğumuz Kurumların, Alt İşverenlerin ve Tedarikçilerin Çalışanları, Hissedarları ve Yetkilileri ile Üçüncü Kişilere ilişkin kişisel verilerin işlenmesine ilişkin hususlar Kanun’a uygun şekilde işbu Politika metni kapsamında düzenlenmektedir.
7- Veri sahibinin rızasıyla ya da Kanun’da sayılan diğer meşru nedenler gereği elde edilmiş kişisel veriler, veri ilgilisinin işbu politikada belirtilen ve aydınlatılmış rızasında belirtilen amaç veya kanuni dayanağın gerektirdiği ölçü ile sınırlı olarak işlenir. Kanuni dayanak ortadan kalktıktan sonra rızanın olmadığı veya geri alındığı durumlarda tüm kişisel verileriniz silinecek, yok edilecek veya anonimleştirilecektir.
8-Gizlilik Politikası ile
- Veri Sahibine ait olan hangi bilgilerin toplandığını ve söz konusu veriler ile ne yapıldığını ne yapılmadığını ortaya koymak,
- Kanun kapsamında Veri Sahibinin, Veri Sorumlusunun ve üçüncü kişilerin haklarını ve gizliliğini koruma konusunda sorumluluklarını tespit etmek,
- İşlevsel ve yararlı bir hizmet sunmak amacıyla paylaşılan bilgilerin kullanım şeklini açıklamak, amaçlanmaktadır.
9- İşbu metin ile veri sahipleri, kişisel verilerinin işlenmesi ve gizlilik politikası hakkında aydınlatılmış olduğunu ve kişisel verilerinin burada belirtilen şekilde kullanılmasına onay verdiğini kabul etmektedir.
10-Veri Sorumlusunun işlediği kişisel veriler aşağıda belirtilen şekilde Kişisel Verilerin Korunması Kanunu’na (Kanun) uygun olarak kategorize edilmiştir. Aksi açıkça belirtilmedikçe, işbu Gizlilik Politikası kapsamında arz edilen hüküm ve koşullar kapsamında “Kişisel Veri” ifadesi aşağıda yer alan bilgileri kapsayacaktır.
Kimlik Bilgisi | Ad-soyad, TC Kimlik numarası, uyruk bilgisi, anne-baba adı, doğum yeri, doğum tarihi, cinsiyet ve SGK numarası ile sınırlı olmamak kaydıyla; ehliyet, nüfus cüzdanı, ikametgâh gibi dokümanlarda yer alan tüm bilgiler |
İletişim Bilgisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e- mail adresi, faks numarası, IP adresi gibi bilgiler. |
Müşteri Bilgisi | Ticari faaliyetlerimiz ve bu çerçevede iş birimlerimizin yürüttüğü operasyonlar neticesinde ilgili kişi hakkında elde edilen ve üretilen bilgiler. |
Müşteri İşlem Bilgisi | Ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ile müşterinin ürün ve hizmetleri kullanımı için gerekli olan talimatları ve talepleri gibi bilgiler. |
İşlem Güvenliği Bilgisi | Ticari faaliyetlerinin yürütülmesi sırasında teknik, idari, hukuki ve ticari güvenliğin sağlanması için işlenen kişisel veriler. |
Risk Yönetimi Bilgisi | Ticari, teknik ve idari risklerimizi yönetebilmemiz için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler |
Finansal Bilgi | Kişisel veri sahibi ile kurulan hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler |
Çalışan Aday Bilgisi | Şirket çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği şirketimizin insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler. |
Hukuki İşlem Bilgisi | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası kapsamında işlenen kişisel veriler. |
Teftiş Bilgisi | Şirketin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler |
Özel Nitelikli Kişisel Veri | KVK Kanunu’nun 6 maddesinde belirtildiği üzere; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, |
Pazarlama Bilgisi | Ürün ve hizmetlerimizin kişisel veri sahibinin kullanım alışkanlıkları, beğenisi ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler ve bu işleme sonuçları neticesinde yaratılan rapor ve değerlendirmeler |
Fiziksel Mekan Güvenlik Bilgisi |
Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları ve güvenlik noktasında alınan kayıtlar v.b. |
Görsel/İşitsel Bilgi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; fotoğraf ve kamera kayıtları (Fiziksel Mekan Güvenlik Bilgisi kapsamında giren kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyası niteliğindeki belgelerde yer alan veriler. |
Talep / Şikayet Yönetim Bilgisi | Yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler. |
11-Kişisel Verilerin Korunması Kanunu 3 ve 7 maddeleri uyarınca anonim hale getirilen veriler, kişisel veri olarak kabul edilmeyecek ve bu verilere ilişkin işleme faaliyetleri işbu Gizlilik Politikası hükümleri ile bağlı olmaksızın gerçekleştirecektir.
12- Şirketimiz tarafından Kişisel Verileri Koruma Kanunu Madde 4’teki temel ilkelere ve bu Politika’da belirlenen esaslara uygun olarak kişisel verileri işlemektedir. Ayrıca Kanunun 5 maddesinin 2 fıkrasında ve 6 maddenin 3 fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak da kişisel veriler işlenmektedir. Bu amaçlar ve koşullar;
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Veri sahibi ile veri sorumlusu arasında herhangi bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması,
- Kanunlarda açıkça öngörülmesi,
- Veri sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Öte yandan, Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli” veya “hassas” kişisel veri olarak tanımlamış ve bunların işlenmesi için daha ağır şartlar öngörmüştür. Buna göre, özel nitelikli kişisel veriler, veri sahibinden açık rıza alınmış bulunan haller dışında ancak aşağıdaki koşullarda işlenebilecektir:
- Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili ver ileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde işlenebilecektir.
13-Yukarıda belirtilen şartların bulunmaması halinde, Şirket, kişisel veri işleme faaliyetinde bulunmak için kişisel veri sahiplerinin açık rızalarına başvurmaktadır. Bu çerçevede kişisel veriler, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla işleyebilmektedir:
- Şirket tarafından sunulan ürün ve hizmetlerden kişisel veri sahiplerini faydalandırmak için gerekli çalışmaların yerine getirilmesi amacı doğrultusunda; sözleşme süreçlerinin takibi, müşteri ilişkileri, satış süreçlerinin yürütülmesi, hukuki takiplerin yapılması, müşteri talep ve/veya şikayetlerinin takibi,
- Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için gerekli çalışmaların yapılması, kurumsal iletişim faaliyetlerinin planlanması, iş sürekliğinin sağlanması, bilgi teknolojileri alt yapısının oluşturulması, finans işlerinin takibi, kurumsal yönetim faaliyetlerin icrası, iş faaliyetlerine ilişkin analizlerinin gerçekleştirilmesi, iş ortakları ve tedarikçilerin bilgiye erişim yetkilerinin planlanması ve icrası, iş faaliyetlerinin planlanması ve icrası, araştırma ve geliştirme faaliyetlerinin planlanması ve icrası,
- Şirketin insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi amacı doğrultusunda; çalışanların ve çalışan adaylarının iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, iş faaliyetlerinin yürütebilmesi için ihtiyacı olan ürün ve hizmetlerin temin edilmesi, iş faaliyetlerinin takibi ve denetimi, yan haklar ve menfaatlerin planlanması ve icrası, personel temin süreçlerinin yürütülmesi, performans değerlendirme süreçlerinin planlanması, şirket içi eğitim faaliyetlerinin planlanması ve icrası, insan kaynakları süreçlerinin planlanması, üretim için gerekli olan insan kaynakları ihtiyaçlarının planlanması ve icrası,
- Şirket ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda; şirket faaliyetlerinin şirket prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası, iş sağlığı ve güvenliği süreçlerinin planlanması ve icrası, yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuk işlerinin takibi, ziyaretçi kayıtlarının oluşturulması ve takibi, şirket yerleşkeleri ve/veya tesislerinin güvenliğinin temini, şirket operasyonlarının güvenliğinin temini, şirket denetim faaliyetlerinin planlanması ve icrası, verilerin doğru ve güncel olmasının sağlanması, şirketin finansal risk süreçlerinin planlanması ve icrası,
Şirket tarafından, izah edilen benzeri amaçları gerçekleştirmek için esas olarak kişilerin açık rızasının alınması hedeflenmektedir. Kanun’da sayılan istisnaların olduğu durumlarda bu amaçların gerçekleştirilmesi söz konusu istisnalar uyarınca sınırlı ve ölçülü kişisel veriler tutulmaktadır. Kişinin açık rızasının bulunmadığı durumlarda, Kanun’da belirtilen istisnalar çerçevesinde kişisel verilerin işlenmesi gerçekleştirilir. Kanun’daki istisnaların da kişisel veri işlenmesine izin vermemesi durumunda ve kişinin açık rızasının da bulunmaması halinde kişisel veriler işlenmez.
14-Söz konusu kişisel bilgiler, Veri Sahibi ile iletişime geçmek veya Veri Sahibinin kimliği ifşa edilmeksizin çeşitli istatistiksel değerlendirmeler yapma, veri tabanı oluşturma ve pazar araştırmalarında bulunma amacıyla da kullanılabilecektir.
15- Şirket, hizmet ilişkisi tesis ettiği çalışanlarının kişisel verilerini, kurulan hizmet sözleşmesinin ifası, karşılıklı edimlerin yerine getirilmesi ve başkaca Kanuni yükümlülüklerin ifası bakımından gerekli olduğu ölçüde rıza aranmaksızın işleyebilir. Şirket, çalışanlarına ait verilerin gizliliğini ve korunmasını temin eder. Bu kapsamda İşbu Politika’dan ayrı olarak şirket çalışanları için “Türkiye Siber Güvenlik Kümelenmesi Çalışanlarının Kişisel Verilerinin İşlenmesine İlişkin Politika” düzenlenmiştir.
Şirket, müstakbel çalışanları tarafından yapılan başvuru ve taleplerde ise başvuru ve talep sonuçlandırılana kadar başvuran tarafından sunulan özgeçmişler dahil tüm kişisel verileri, rıza aranmaksızın işler. Başvuru sürecinin olumsuz sonuçlanarak tamamlanmasından sonra işlenebilmesi ise ilgilinin rızasına bağlıdır. İlgilinin rıza göstermesi durumunda kişisel veriler, üçüncü kişilere aktarılabilir. Aksi durumlarda talep ve başvuru sürecinin kesin biçimde olumsuz olarak sonuçlandırılmasının ardından veri silinir, yok edilir veya anonimleştirilir. Talep veya başvurunun kısmen veya tamamen olumlu sonuçlandığı durumlarda, kişisel verilerin muhafaza ve işlenmesi, kurulan yeni hukuki ilişkinin koşullarına göre yapılır.
16- Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak yürütülmektedir.
Şirket tarafından KVK Kanunu’nun 10 Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Şirket, kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Şirket tarafından kamera ile izleme faaliyetine yönelik olarak; alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
Şirket, KVK Kanunu’nun 4 maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Şirket tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır.
Şirket tarafından KVK Kanunu’nun 12 maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda şirket çalışanının erişimi bulunmaktadır.
Şirket tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, ziyaret eden misafirlerin giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyeti gerçekleştirilmektedir. Şirketimize gelen kişilerin ad-soyad bilgileri yalnızca giriş çıkışlarının takibinin yapılması amacıyla işlenmekte ve ilgili kişisel veriler fiziki ve elektronik ortamda kayıt sistemine kaydedilmektedir.
Şirket, ticari faaliyetini sürdürdüğü yerlerin güvenliğinin sağlanması amacıyla, merkez binalarında ve tesislerinde, güvenlik kamerasıyla izleme, kayıt, giriş kartı okutma ve kimlik kaydı faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunmaktadır. Güvenlik kamerası ile izleme faaliyeti ve girişlerde kimlik kontrolü, kart okutma ve bunların kaydı Şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korunması amacını taşımaktadır, Şirket tarafından, ilgili Kanun Madde 12’ye uygun olarak, kamera ile izleme faaliyeti, kimlik kaydı sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
17- Veri sorumlusu, kişisel verileri ve bu kişisel verilerin kullanılması ile elde edilen yeni verileri, Gizlilik Politikası ve Kişisel Verileri İşlenmesine İlişkin Aydınlatma ve Rıza Metni altında belirtilen amaçların gerçekleştirilebilmesi, sunulan hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların yapılması, ticari faaliyetlerin gerçekleştirilmesi ve buna bağlı iş süreçlerinin yürütülmesi, güvenliğin temin edilmesi, hileli ya da izinsiz kullanımların tespit edilmesi, operasyonel değerlendirme araştırılması ve işbu amaçlardan herhangi birisini gerçekleştirebilmek için e-mail ve SMS gönderimi yapanlar da dahil olmak üzere dış kaynak hizmet sağlayıcıları, (hosting servisleri), hukuk büroları, şirket yetkilileri, iş ortakları, kanunen yetkili kamu kurum ve kuruluşları, özel kurumlar gibi üçüncü kişiler ile paylaşabilecektir.
18-Yukarıda belirtilen hukuki sebeplerle toplanan kişisel veriler yürürlükte bulunan mevzuat ve bu Gizlilik Politikası’nda belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir. Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan KVK Kanunu’nun 5 maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
- Kişisel veri sahibinin açık rızası var ise,
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunmasıiçin zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
19- Şirket meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket ‘in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
20- Şirket gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
21-Yukarıda belirtilen hukuki sebeplerle toplanan kişisel veriler 6698 sayılı Kanun’un 5 ve 6 maddelerinde ve bu Gizlilik Politikası’nda belirtilen amaçlarla işlenebilmekte ve aktarılabilmektedir.
22-Kanunun 11 maddesine göre kişisel veri sahipleri
- Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme,
- Kendisi ile ilgili kişisel veri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
23- KVK Kanunu’nun 13üncü maddesinin 1inci fıkrası gereğince yukarıda belirtilen haklarınızı kullanmakla ilgili talebinizi, “yazılı” veya Kişisel Verilerin Korunması Kurulunun belirlediği diğer yöntemlerle Şirketimize iletmeniz gerekmektedir.
Bu çerçevede Şirketimize KVK Kanunu’nun 11’inci maddesi kapsamında yapacağınız başvurularda, yukarıda belirtilen haklarınızı kullanmak için kimliğinizi tespit edici gerekli bilgiler ve kullanmak istediğiniz hakkınıza yönelik açıklamalarınızla birlikte talebinizi, KVK Kanunu’nun 11’inci maddesinde belirtilen hangi hakkınızın kullanımına ilişkin olduğunu da belirterek aşağıdaki adrese iadeli taahhütlü mektup yoluyla iletebilirsiniz:
TÜRKİYE SİBER GÜVENLİK KÜMELENMESİ
ADRES: ODTÜ TEKNOKENT BİM MUSTAFA KEMAL MAHALLESİ DUMLUPINAR BULVARI NO 280/G 1205-1206-1207 ÇANKAYA/ANKARA TÜRKİYE
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir. Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
24-KVK Kanunu’nun 13 maddesine uygun olarak, Şirketimiz, kişisel veri sahibinin yapmış olduğu başvuru taleplerini, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, KVK Kurulunca belirlenen tarifedeki ücretin alınması mümkündür.
Şirketimiz, kişisel veri sahibinin başvuru talebini kabul edebileceği gibi, gerekçesini açıklayarak aşağıda sayılı nedenlerle reddedebilir ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirebilir.
- Diğer kişilerin hak ve özgürlüklerini engellemesi,
- Orantısız çaba gerektirmesi,
- Bilginin kamuya açık bir bilgi olması,
- Başkalarının gizliliğini tehlikeye atması,
KVK Kanunu uyarınca kapsam dışında kalan hallerden birinin mevcut olması, Kişisel veri sahibi başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvurusuna cevap verilmemesi hallerinde, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikayette bulunma hakkına sahiptir.
Şirket, ilgili mevzuatta belirlenen veya işbu Gizlilik Politikası’nda ifade edilen şartlarda, kişisel verilerin hukuka aykırı olarak işlenmemesini, kişisel verilere hukuka aykırı olarak erişilmemesini ve kişisel verilerin muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almaktadır. Veri sorumlusu ayrıca, veri sahibinden elde ettiği kişisel verileri işbu Gizlilik Politikası ve Kişisel Verilerin Korunması Kanunu hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanmamaktadır.
25-İşbu Gizlilik Politikası değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.
26-Kanun kapsamında kişisel verilerin saklanması için herhangi bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Veri Sorumlusu Şirket, söz konusu ilkeye uygun bir şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir değerlendirme yapmaktadır. Bu doğrultuda asgari olarak yasal yükümlülüklerinin gerektirdiği süre ile ve ilgili Kanuna konu zamanaşımı süreleri dolana kadar kişisel verileri saklanmaktadır.
Kişisel veriler, Veri Sorumlusu ile aranızda doğabilecek herhangi bir uyuşmazlık durumunda, uyuşmazlık kapsamında gerekli savunmaların gerçekleştirilebilmesi amacıyla olmak üzere saklanabilecektir. Bahsi geçen sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel veriler Kanuna uygun bir şekilde anonimleştirilmekte, silinmekte veya yok edilmektedir.
27- Topladığımız kişisel verilerinizin doğru ve gerektiğinde güncel olması gerekmektedir. Bu nedenle, kişisel verilerinizde herhangi bir değişiklik meydana gelmesi halinde, bu hususu Şirketimizin ilgili birimine bildirebilirsiniz.
28-Şirketimiz, KVK Kanunu’ndaki yükümlülükleri yerine getirmek ve işbu Politikada belirtilen hususların uygulanmasına yönelik olarak Şirket içerisinde gerekli görevlendirmeleri yapmakta ve buna uygun olarak prosedürleri oluşturmaktadır.
Yukarıda sıralanan maddeleri ihtiva eden politika, “Türkiye Siber Güvenlik Kümelenmesi Kişisel Verilerinin Korunması, İşlenmesi ve Gizlilik Politikasına İlişkin Aydınlatma ve Rıza Metni” başta olmak üzere diğer ilgili aydınlatma ve rıza metinleri ile birlikte kişisel veri sahibine sunulmaktadır. Ayrıca kişisel veri sahiplerinin talebi halinde de ilgili kişilere söz konusu politika sunulmakta ve erişimine imkan sağlanmaktadır.
TÜRKİYE SİBER GÜVENLİK KÜMELENMESİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1- Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi konu usul ve esasları belirleyerek ve veri sahiplerini, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Türkiye Siber Güvenlik Kümelenmesi (“Şirket”) tarafından hazırlanmıştır.
2-Bu Politika kapsamında, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik veya otomatik olmayan yollarla işlenen gerçek kişiler olarak müşteriler, müşteri adayları, çalışan adayları, çalışanlar, şirket hissedarları, şirket yetkilileri, ziyaretçiler, iş ortakları, işbirliği içinde olduğumuz kurumların, alt işverenlerin ve tedarikçilerin çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler bulunmaktadır.
Politika, Şirketimizce yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.
3-İşbu politika şirketimizin internet sitesinde (siberkume.org.tr) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
4-Bu Politika’nın uygulanmasında kategorisini,
- İlgili Kişi: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
- İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
- Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
- Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
- Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi,
- Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
- Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini, kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
- Kurul: Kişisel Verileri Koruma Kurulu’nu,
- Kurum: Kişisel Verileri Koruma Kurumu’nu,
- Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
- Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
- Veri Saklama ve İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı,
- Kişisel Verilerin Korunması, İşlenmesi Ve Gizlilik Politikası: şirketin internet adresinde yer alan, kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı,
- Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi,
- Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
- Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.
5-Şirketin bütün birim yöneticileri, birimlerinde kişisel verilerin işlenmesi, saklanması ve imhası ile ilgili teknik ve idari önlemlerin usulüne uygun uygulanmasına etkin destek verir. Birim yöneticileri bu amaçla; birim çalışanlarının eğitimi ve farkındalıklarının artırılmasını sağlar, işlemleri izleyip denetler, kişisel verilerin hukuka aykırı olarak işlenmesinin ve işlenen verilere hukuka aykırı olarak erişilmesinin önlenmesine, veri güvenliğine yönelik teknik ve idari önlemlerin alınması ve uygulanmasına yardımcı olur.
İlgili kullanıcıların kişisel verilerin korunması hususunda bilgi ve farkındalıkları artırılarak, kişisel verilerle ilgili işleme, saklama ve imha işlemlerinin mevzuata uygun olarak yerine getirilmesine aktif destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımları şöyledir:
- Genel Müdür : Veri sorumlusu temsilcisi sıfatıyla, kişisel verilerin korunması ve imhası ile ilgili tüm işlemlerin yapılması ve politikanın uygulanmasından sorumludur.
- İnsan Kaynakları Yöneticisi : Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda
yayınlanması ve güncellenmesi, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi, eğitim ve bilgilendirmeden sorumludur.
- Muhasebe Yöneticisi : Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.
- Bilgi Sistemleri Yöneticisi : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden, politikanın uygulanmasında gereksinim duyulan teknik çözümlerin belirlenmesi ve uygulanmasından sorumludur.
- Diğer Birim Yöneticileri : Kendi birimlerinde politikanın uygulanması ve uygulamanın izlenmesi ve denetlenmesi, görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetiminden sorumludur.
- İlgili Kullanıcı ve Veri İşleyenler : Veri işleme ve saklanması ile ilgili işlemlerin usul ve yasaya uygun olmasından sorumludur.
- Özel Yetkili İlgili Kullanıcı : Prosedür veya ilgili kişinin isteği üzerine silinen kişisel verilerin yok edilinceye kadar korunması, saklanması, ilgili kullanıcılar tarafından erişilmemesinden sorumludur.
6-Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine uygun bir kayıt ortamında tutulmaktadır. Kişisel verilerin saklanması için kullanılan kayıt ortamları aşağıda belirtilmektedir. Öte yandan kişisel verilere nitelikleri gereği burada belirtilen ortamlardan farklı bir ortamda yer verilebilir. Her halde veri sorumlusu şirket, kişisel verileri Kanun’a, Kişisel Verilerin Korunması, İşlenmesi ve Gizlilik Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak uluslararası veri güvenliği prensipleri çerçevesinde işlemekte ve korumaktadır.
Elektronik Ortamlar; Sunucular, taşınabilir diskler, yazılımlar, bilgi güvenliği cihazları, çalışan bilgisayarları, optik diskler, çıkartılabilir bellekler, yazıcı, tarayıcı ve fotokopi makinesi gibi sair dijital ortamlardır.
Fiziki Ortamlar; Kağıt, manuel veri kayıt sistemleri, yazılı, basılı, görsel ortamlar gibi verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu sair ortamlardır.
Bulut Ortamlar; Şirket nezdinde yer almamakla birlikte, şirketin kullanımında olan ve şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
7- Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12 Maddesindeki ilkeler çerçevesinde, alınmış olan tüm idari ve teknik tedbirler aşağıda belirtilmiştir.
Teknik Tedbirler
Kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
- Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
- Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
- Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- Şirket nezdinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar
- Kişiselverilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
- Kanunun 12 maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemler ile korunur.
İdari Tedbirler
Kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
- Kişisel verilere erişimi olan tüm şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Şirket nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
8-Veri sahiplerine ait kişisel veriler, şirket tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması ve ifası, müşteri ilişkilerinin yönetilebilmesi ve Kişisel Verilerin Korunması,İşlenmesi Ve Gizlilik Politikasında yer alan diğer amaçlarla fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Şirket nezdinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
9-Şirket tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır.
KİŞİSEL VERİLERİN SİLİNMESİ
Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: ilgili evrak üzerindeki kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi yöntemidir.
Yazılımdan Güvenli Olarak Silme: Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel verilerin silinerek bir daha ulaşılamayacak hale getirilmesi yöntemidir.
KİŞİSEL VERİLERİN YOK EDİLMESİ
Fiziksel Yok Etme: Kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ortamında bulunan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. Kişisel veri barındıran optik ve manyetik medya ise eritilme, yakılma veya toz haline getirilme gibi fiziksel olarak yok edilir.
De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
Üzerine yazma: Özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini ortadan kaldıran yok etme yöntemidir.
KİŞİSEL VERİLERİN ANONİMLEŞTİRİLMESİ
Değişkenleri çıkarma: İlgili kişiye ait toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden yüksek dereceli betimleyici olanların çıkartılarak anonim hale getirilmesi yöntemidir.
Bölgesel gizleme: Tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. İstisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme: Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Alt ve Üst Sınır Kodlama: Önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmesi yöntemidir.
Mikro birleştirme: Tüm veriler ilk olarak anlamlı bir sıraya dizilerekgruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanır.
Veri karma ve bozma: Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
10-Saklama ve İmha Süreleri
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren 10 yıl müddetle muhafaza edilir. | Saklama süresinin bitimini takiben 180 gün içerisinde |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri | Hizmet akdinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren 10 yıl müddetle saklanır | Saklama süresinin bitimini takiben |
İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet akdinin devamında ve hitamından itibaren 10 yıl müddetle saklanır | 180 gün içerisinde |
İş sağlığı ve güvenliği uygulamaları | İş ilişkisinin sona ermesine müteakip 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması | İş ilişkisinin sona ermesine müteakip 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Personel Finansman Süreçleri | İş ilişkisinin sona ermesini müteakip 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
İş Ortağı/Çözüm Ortağı/Danışman ile şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, İş Ortağı/ÇözümOrtağı/Danışman çalışanı verileri | Şirket ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Fiziki mekanlara girişte alınan Ziyaretçi’ye ait ad, soyad, araç plakası ile kamera kayıtları, | 2 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla 2 yıl olmak üzere özgeçmişin güncelliğini kaybedeceği süre kadar saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Stajyer’e ait staj dosyasında yer alan bilgiler | Staj ilişkisinin devamında ve hitamını takip eden takvim yılı yılbaşından itibaren de 10 yıl müddetle muhafaza edilir. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Müşteri’ye ait ad, soyad, T.C.K.N., iletişim bilgileri, ödeme bilgileri ve yöntemleri, ürün/hizmet tercihleri, işlem geçmişi, | Müşteri’nin, satın almış olduğu her bir ürün/hizmetin sunulmasından itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Potansiyel Müşteri ile şirket arasındaki ticari ilişki kurulmasına dair sözleşme görüşmeleri sırasında alınan kimlik bilgisi, iletişim bilgisi, finansal bilgiler, | 2 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
İşbirliği içinde olunan kurum,firmalar ve müşteriler ile şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, şirketin işbirliği içinde olduğu kurum,firma, müşteri çalışanı verileri | Şirket ile olan iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası | İş ilişkisinin sona ermesine müteakip 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Bir Sözleşmenin Kurulması veya İfası İçin İşlenmesi Gerekli Olan veya Bu Kapsamda İşlenen Diğer Veriler | Şirket ile iş/ticari ilişkisi süresince ve sona ermesinden itibaren Türk Borçlar Kanunu md.146 ile Türk Ticaret Kanunu md.82 uyarınca 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler | 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Kaza Raporlama | 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Doküman hazırlanması | 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
Eğitim kayıtlarının dosyalanması | 10 yıl süre ile saklanır. | Saklama süresinin bitimini takiben 180 gün içerisinde |
11-Kanun kapsamında kişisel verilerin saklanması için herhangi bir süre belirlenmemiş olmakla birlikte, genel ilkeler uyarınca kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi esastır. Veri Sorumlusu Şirket, söz konusu ilkeye uygun bir şekilde saklama süreleri tespit etmek adına, her bir veri işleme süreci ile ilgili olarak yürürlükte bulunan mevzuatı ve sürecin amacını esas alarak bir değerlendirme yapmaktadır. Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir. Bu doğrultuda asgari olarak yasal yükümlülüklerinin gerektirdiği süre ve ilgili Kanuna konu zamanaşımı süreleri dolana kadar kişisel veriler saklanmaktadır.
Kişisel veriler, Veri Sorumlusu ile aranızda doğabilecek herhangi bir uyuşmazlık durumunda, uyuşmazlık kapsamında gerekli savunmaların gerçekleştirilebilmesi amacıyla saklanabilecektir. Bahsi geçen sürelerin sona ermesi durumu da dahil olmak üzere herhangi bir süreç kapsamında ilgili kişisel verinin işleme amacının ortadan kalkması ile birlikte kişisel veriler Kanuna uygun bir şekilde anonimleştirilmekte, silinmekte veya yok edilmektedir.
12- Saklama süresi sona eren veya saklama amacı ortadan kalkan kişisel veriler işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemlerle altı ayda bir imha edilmek suretiyle silinir, yok edilir veya anonim hale getirilir. Periyodik imha işlemi her yılın Ocak ve Temmuz aylarında ayrıca gerçekleştirilir.
13-Şirketimiz, KVK Kanunu’ndaki yükümlülükleri yerine getirmek ve işbu Politikada belirtilen hususların uygulanmasına yönelik olarak Şirket içerisinde gerekli görevlendirmeleri yapmakta ve buna uygun olarak prosedürleri oluşturmaktadır.
14-Şirket faaliyetleri ve işlenen kişisel veri gruplarında olabilecek değişiklikler, yasal mevzuatta yapılacak değişikler ve Kişisel Verileri Koruma Kurulu ilke kararları takip edilerek, ortaya çıkan ihtiyaca göre işbu politika gözden geçirilir ve gerekli olan bölümler güncellenir, değiştirilir veya yeniden oluşturulur