1. Amaç ve Kapsam:
Bu politika İstanbul Karamanlılar Eğitim ve Kültür Vakfı (“İKEV” ve/veya “Vakıf”) tarafından yürütülen her türlü faaliyette 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olarak kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen yöntemleri tarif etmeyi amaçlamaktadır. Kişisel Verilerin Korunması, İşlenmesi, Saklanması ve İmhası Politikası, kişisel verilerin İKEV tarafından toplanması, kullanılması, paylaşması, saklanması ve imhası süreçlerinde uygulanan prensipleri içerir.
Bu politika ile İKEV ile ilişiği bulunan ve bulunmayan tüm paydaşlarımızı, tedarikçilerimizi, müşterileri, kuruluşumuz çalışanları, stajyerleri ve ilişiği kesilmiş çalışanların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kuruluşumuzun süreçlerinde işlenen tüm kişisel verileri kapsar.
2. Yetki ve Sorumluluklar:
Kuruluşumuz içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, çözüm ortakları, iş ortakları, dış hizmet sağlayıcıları ve diğer surette kuruluşumuz nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur.
Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu veri sorumlusu irtibat kişisindedir.
Kuruluşumuz bünyesinde;
• Veri Sorumlusu: İstanbul Karamanlılar Eğitim ve Kültür Vakfı
• Veri Sorumlusu İrtibat Kişisi: Kuruluşumuzda atadığımız yetkili personelimizdir.
3. Tanımlar ve Kısaltmalar:
Açık Rıza; Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı; Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha; Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun; KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı; Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi; Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi; Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul; Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha; Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi; Kişisel verisi işlenen gerçek kişi.
Veri İşleyen; Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek
veya tüzel kişi.
Veri Sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik; 28 Ekim 2017 tarihinde Resmi Gazete ’de yayımlanan kişisel kısaltma tanım verilerin
silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik
4. Uygulama (Kişisel Verilerin İşlenmesi, Korunması, Saklanması ve İmhası Politikası)
6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 7 Nisan 2016 tarihinde yürürlüğe girmiştir. Kanun, kişisel verilerin “veri sorumlusu” olarak sınıflandırılan ve kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerce kişisel verilerin işlenmesine ilişkin usul ve esasları ortaya koymaktadır.
Kanun kapsamında kişisel veriler “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak; işleme ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.
İKEV, Kişisel Verileri korunması ve işlenmesi için gerekli tedbirleri ve uygulanan süreci politika ile somut bir şekilde ortaya koymaktadır. İlgili Kanunlar ve yönetmeliklere ile bu politikanın uyumsuz olduğu durumlarda yada güncellenen mevzuatlar doğrultusunda politikanın güncel olmaması halinde İKEV yürürlükteki mevzuata uyacağını kabul etmektedir. Kanunun, yönetmelik ve mevzuatlarda olan değişikliklere göre bu politika güncellenip, İKEV ’un yasal gereklikleri yerine getirmesi için revize edilir.
4.1. Aydınlatma ve Bilgilendirme Yükümlülüğü:
Kanun, diğer düzenlemelerinin yanı sıra, veri sorumlularına, kişisel verilerin elde edilmesi sırasında kişisel verisi işlenecek olan veri sahiplerini bilgilendirme / aydınlatma yükümlülüğü getirmiştir.
Kanun’un 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• Kanun’un 11. maddesinde sayılan diğer haklar.
konularında bilgilendirmelidir.
İşbu doküman (“Politika”), Vakfımızın veri sorumlusu olarak kişisel verilerini işlediği gerçek kişilerin yukarıda belirtilen madde kapsamında aydınlatılması amacıyla kaleme alınmıştır.
İşbu politikanın konusu vakfımızın üyeleri, kurumsal üyelerinin hissedarları, yetkilileri ve çalışanları, potansiyel üyeleri, iş ortaklarımızın ve tedarikçilerimizin hissedarları, yetkilileri ve çalışanları, Çiftçiler, Müstahsiller ile çalışan adaylarımız, vakfımızda eskiden çalışanlar ve stajyerlerimiz ile vakfımızdan emekli olan kişiler, ziyaretçilerimiz, vakıf yetkilileri ile hissedarlarımız, iş ortağı ve tedarikçi adaylarımız ve sair üçüncü kişiler olup çalışanlarımıza ilişkin kişisel verilerin işlenmesine ilişkin hususlar Kanun’a uygun şekilde çalışanlara sunulan ayrı bir politika metni kapsamında düzenlenmektedir.
4.2. Kişisel Verilerin İşlenmesine ilişkin Genel İlkeler
Kanun’un 4. maddesi uyarınca kişisel veriler, Kanun ve diğer ilgili mevzuatta öngörülen usul ve esaslara uygun bir şekilde işlenmelidir. Bu kapsamda veri sorumluları, yukarıda belirtilen aydınlatma yükümlülüğünün yerine getirilmesi dışında kişisel verilerin işlenmesi ile ilgili olarak aşağıdaki genel ilkelere uymakla yükümlü kılınmıştır:
• Hukuka ve dürüstlük kurallarına uygun olma.
• Doğru ve gerektiğinde güncel olma.
• Belirli, açık ve meşru amaçlar için işlenme.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
4.3. Kanun Kapsamında Kişisel Veri İşleme ve Paylaşım Amaçları
4.3.1. Kişisel Verilerin İşlenmesine ilişkin Amaçlar
Kanun uyarınca kişisel veriler, kural olarak veri sahibinin açık rızası bulunmaksızın işlenememektedir. Bununla birlikte Kanun, 5 ve 6. maddeleri kapsamında kişisel veriler ve özel nitelikli kişisel veriler bakımından açık rıza bulunmaksızın veri işlenebilecek birtakım durumları belirlemiştir.
5. madde uyarınca kişisel veriler,
• Veri işlemenin kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,
• Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
hallerinde veri sahibinin önceden alınmış açık rızası bulunmasa dahi (gerekli aydınlatmanın yapılmış olması koşuluyla) işlenebilecektir.
Yukarıda belirtilen durumlara dışında İKEV ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.
Öte yandan, Kanun, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli” veya “hassas” kişisel veri olarak tanımlamış ve bunların işlenmesi için daha ağır şartlar öngörmüştür.
Buna göre, özel nitelikli kişisel veriler, veri sahibinden açık rıza alınmış bulunan haller dışında ancak aşağıdaki koşullarda işlenebilecektir:
• Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde işlenebilecektir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilecektir.
4.3.2. Kişisel Verilerin Paylaşımına ilişkin Amaçlar
Veri işlemeye uygun şekilde, kişisel verilerin üçüncü bir tarafla paylaşılması (aktarım) da ilgili veri sahibinden bu doğrultuda açık rıza alınmış olmasına tabi kılınmıştır. Ancak Kanun’un 8. maddesine göre veri işlemeye izin verilen şartlarda veri aktarımı da gerçekleştirilebilmekte olup bu doğrultuda yukarıda 4.2.1. de belirtilen şartların varlığı halinde veri sahibinin rızası bulunmasa dahi kişisel veri veya özel nitelikli kişisel veri aktarımı yapılabilecektir.
Kanun, kişisel verilerin üçüncü taraflara aktarımı ile ilgili olarak yurtdışına aktarımı özel koşullara bağlamıştır. Buna göre, kişisel veriler;
• Veri sahibinin açık rızasının bulunması halinde, veya
• Veri sahibinin açık rızası bulunmadığı ancak yukarıda belirtilen diğer şartlardan bir veya birkaçının karşılandığı hallerde;
o Verilerin aktarıldığı ülkede yeterli koruma bulunması ve
o Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda veri sorumlusunun ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile yurtdışına aktarılabilmektedir
4.4. Kanun Kapsamı Dışında Kalan Haller
Kanun’un 28 (1) maddesi çerçevesinde, aşağıda sayılan durumlarda aydınlatma yükümlülüğü bulunmamaktadır:
• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
4.5. Kişisel Verilerin Vakfımız Tarafından İşlenmesi
4.4.1. Vakfımız Tarafından İşlenen Kişisel Verilerin Kategorizasyonu
Vakfımız tarafından işlenen kişisel verilerin kategorileri.
Veri Kategorisi |
Kimlik | Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan bilgiler (TCKN, pasaport no., nüfus cüzdanı seri no., ad-soyad, fotoğraf, doğum yeri, doğum tarihi, yaş, nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı örneği gibi) |
İletişim | Kişiyle iletişim kurulması amacıyla kullanılan bilgiler, Adres No, E-Posta Adresi, İletişim Adresi, Telefon No gibi |
Lokasyon | Veri sahibinin konumunu tespit etmeye yarayan veriler (Araç kullanımı sırasında edinilen lokasyon verileri) |
Özlük | Vakıfın tedarikçilerinin çalışanlarının özlük haklarının oluşmasına temel olan kişisel veriler (kanunen özlük dosyasına girmesi gereken her türlü bilgi ve belge) |
Hukuki İşlem | Adli Makamlarla Yazışmalardaki Bilgiler, Dava Dosyasındaki Bilgiler, Hukuki alacak ve hakların tespiti ve takibi ile borç ve kanuni yükümlülüklerin ifası amacıyla işlenen kişisel veriler (Mahkeme ve idari merci kararı gibi belgelerde yer alan veriler) |
Üye İşlem | Çağrı Merkezi Kayıtları, Fatura, Senet, Çek Bilgileri, Gişe Dekontlarındaki Bilgiler, Sipariş Bilgisi, Talep Bilgisi gibi |
Fiziksel Mekan Güvenliği | Fiziksel mekana girişte, fiziksel mekanın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler (örn. giriş çıkış logları, ziyaret bilgileri, kamera kayıtları vb.) |
İşlem Güvenliği | Vakfımız ve ilgili tarafların teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler (örn. kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren Internet sitesi şifre ve parola gibi bilgiler) |
Risk Yönetimi | Ticari, Teknik, İdari Risklerin Yönetilmesi İçin İşlenen Bilgiler (Ad soyad, IP adresi, Mac ID vb. kayıtlar) |
Finans | Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler (Örneğin: veri sahibinin yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, kredi tutarı, kart bilgisi, kredi ödemeleri, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi vb.) Bilanço Bilgileri, Finansal Performans Bilgileri, Kredi Ve Risk Bilgileri, Malvarlığı Bilgileri, Banka Hesap Bilgisi |
Mesleki Deneyim | Diploma Bilgileri, Gidilen Kurslar, Meslek İçi Eğitim Bilgileri, Sertifikalar, Transkript Bilgileri gibi |
Pazarlama | Vakfımız tarafından pazarlama faaliyetlerinde kullanılacak veriler (Pazarlama amacıyla kullanılmak üzere toplanan kişinin alışkanlıkları, beğenilerini gösteren raporlar ve değerlendirmeler, hedefleme bilgileri, cookie kayıtları, veri zenginleştirme faaliyetleri) |
Görsel Ve İşitsel Kayıtlar | Kişisel veri sahibiyle ilişkilendirilen görsel ve işitsel kayıtlar (Fotoğraflar, kamera kayıtları ve ses kayıtları) |
Kılık ve Kıyafet | Kılık Kıyafete İlişkin (Kişisel Koruyucu Donanım verilmesi için) Bilgiler |
Sağlık Bilgileri | Engellilik Durumuna Ait Bilgiler, Kan Grubu Bilgisi, Kişisel Sağlık Bilgileri, Kullanılan Cihaz Ve Protez Bilgileri gibi |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri | Ceza Mahkûmiyetine İlişkin Bilgiler, Güvenlik Tedbirlerine İlişkin Bilgiler gibi |
Biyometrik Veri | Parmak İzi Bilgileri |
Sigorta Bilgisi | Sigortalının Bilgileri |
Tedarikçi İşlemleri | Tedarikçilerimizin genelinin yanı sıra Çiftçiler, Müstahsillerin Bilgileri |
Taşıt Bilgisi | Araçların Bilgileri |
Aile Bilgisi | Çalışanlarımızın Aile Bireylerine ait Bilgiler, evlilik cüzdanı gibi dokümanlarda yer alan bilgiler |
Bu verilerin çoğu ilgili kanunların zorunlu kıldığı alınması gereken kişisel verilerdir. Zorunlu olmayan kişisel veriler için açık rızalar alınmaktadır
4.4.2. Kişisel Verilerin Vakfımız Tarafından İşlenme Amaçları
İKEV, yukarıda belirtilen kapsamda kişisel verileri aşağıdaki amaçlarla işlemektedir:
• Yönetim Faaliyetlerinin Yürütülmesi
• Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Yatırım Süreçlerinin Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Taşınır Mal ve Kaynakların Güvenliğinin Temini
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Sponsorluk Faaliyetlerinin Yürütülmesi
• Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
• Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Pazarlama Analiz Çalışmalarının Yürütülmesi
• Organizasyon Ve Etkinlik Yönetimi
• Üye Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• Lojistik Faaliyetlerinin Yürütülmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İnsan Kaynakları Süreçlerinin Planlanması
• İletişim Faaliyetlerinin Yürütülmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• Görevlendirme Süreçlerinin Yürütülmesi
• Fiziksel Mekan Güvenliğinin Temini
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Denetim / Etik Faaliyetlerinin Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
• Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
• Talep / Şikayetlerin Takibi
• Sözleşme Süreçlerinin Yürütülmesi
• Üye İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
• Finans ve Muhasebe İşlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
İKEVda kişisel verilerinizin bulunma şekli;
• Fiziki Ortam (Basılı Dokümanlar)
İKEV ‘un tedarikçileri, üyeleri ve çalışanlarına verdiği hizmetler için bazı durumlarda basılı doküman
ortamında kişisel veriler almaktadır. Bu tarz veriler K.V.K. Kanununda belirtilen şartlar doğrultusunda işlenmekte, belirttiği süre boyunca saklanmakta ve imha edilmektedir.
Ziyaretçilerinin Kişisel Verileri
İKEV ‘a gelen ziyaretçilerin güvenliğinin sağlanması amacıyla, gelen bütün ilgili kişilerden kişiyi belirleyici kişisel veri alınmadan sadece Ad, Soyad, Plaka, Telefon gibi bilgiler alınabilmektedir.
• Dijital Ortam
İKEV ‘un hizmet sunabilmek için gerçek kişi bilgilerini tedarikçileri, üyeleri ve çalışanlarına verdiği hizmetler için bilgileri dijital ortamda ki programlara işlemektedir.
Vakıf Veri Tabanları, Veri Depolama Sistemleri, Yedekleme Sistemleri, E-Posta Hesapları, Sunucular, Masaüstü ve Dizüstü Vakıf Bilgisayarlarında ki veriler.
Bu tarz veriler K.V.K. Kanununda belirtilen şartlar doğrultusunda işlenmekte, kanun ve kuruluşumuzun belirttiği süre boyunca saklanmakta ve imha edilmektedir.
Kamera Kaydı
İKEV tarafından güvenliğin sağlanması amacıyla, bağlı bulunan yapılar ve tesisler ile tüm fiziki alanlar güvenlik kameralarıyla izlemek faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Bu kapsamda İKEV, K.V.K. Kanunu ve ilgili diğer mevzuatlara uygun olarak hareket etmektedir.
Kuruluşumuzun bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları alınmaktadır.
Kuruluşumuzda güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliği sağlamak, kuruluşumuzun, tedarikçilerin, üyelerin ve diğer kişilerin güvenliğinin sağlaması amaçlanmaktadır.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca kuruluşumuzda yetkilendirilmiş çalışanların erişimi bulunmaktadır. Erişim yetkisi bulunan personeller ile gizlilik ihtiva eden sözleşmeler imzalanmıştır.
Kurumumuz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
İnternet Sitesi Cookie- Çerez Bilgileri
Üye portföyünün çıkarılabilmesi için anonim olarak Çerez bilgileri alınabilmektedir
4.6. Kişisel Veri Sahibinin Hakları:
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (“Başvuru Sahibi”), KVK Kanunu’nun 11’inci maddesi uyarınca kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır.
Tam metnine http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf adresinden ulaşabileceğiniz Kişisel verilerin korunması hakkında Kanun’dan kaynaklanan veri sahibi haklarınız ilgili Kanunun 11. maddesinde sayılmış olup şunlardır:
Madde 11- (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
KVK Kanunu’nun 13’üncü maddesinin birinci fıkrası uyarınca; veri sorumlusu olan Vakıfımıza bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir.
Bu çerçevede yazılı olarak Vakıfımıza yapılacak başvurular, işbu formun çıktısı alınarak;
• Başvuru Sahibi’nin şahsen başvurusu ile,
• Noter vasıtasıyla ya da
• Başvuru formu doldurulup mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanarak kvkk@ikev.org.tr e-mail adresine elektronik posta ile gönderilmesi suretiyle, tarafımıza iletilebilecektir.
4.7. Kişisel Verilerin Vâkıfımız Tarafından Aktarılması ve Veri Aktarımı Gerçekleştirilen Tarafların Kategorizasyonu
İKEV tarafından kişisel veriler, yukarıda belirtilen amaçlarla İKEV Vâkıfı içerisinde ki birimlere, Vakıf yetkililerimize, iştiraklerimize, iş ortaklarımıza, tedarikçilerimize, hissedarlarımıza, kanunen yetkili kamu kurum ve kuruluşları ile özel kurumlara aktarılabilecektir.
4.8. Kişisel Verilerin Saklanmasını ve İmhasını Gerektiren Sebepler
Vâkıfımız, kişisel veri işleme faaliyetlerinde aşağıdaki ilkeleri esas almaktadır:
• Hukuka ve dürüstlük kuralına uygun olunması,
• Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
• Belirli, açık ve meşru amaçlarla işleme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
Vâkıfımız, yukarıda bahsi geçen ilkelerle uyumlu şekilde ve aşağıda belirtilen Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmakta olup, söz konusu şartların tamamının ortadan kalkması halinde, kişisel verileri re’sen veya kişisel veri sahibinin talebi üzerine imha etmektedir.
-Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
-Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.
-Fiili İmkansızlık Sebebiyle Kişisel Veri Sahibinin Açık Rızasının Alınamaması
Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
-Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
-Hukuki Yükümlülük
Vâkıfımızın hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde kişisel veri sahibinin verileri işlenebilecektir.
-Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
-Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir
-Vâkıfımızın Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Vâkıfımızın meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Bu doğrultuda, kişisel veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
Vâkıfımız, kanunların öngördüğü süreler boyunca edindiği kişisel verileri işlemektedir.
4.9. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi Şartları:
ı. Kişisel Verilerin Silinme Yöntemleri
İKEV elde ettiği kişisel verileri kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle ve kamu düzeninin korunması için kullanması zorunlu değil ise siler, yok eder ya da anonimleştirir.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Vâkıfımız, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Vâkıfımız, kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:
Kağıt ortamında bulunan kişisel veriler: İlgili kısımların kesilmesi veya mürekkep ile karartılması şeklinde uygulanır.
Bulut e-mail hizmetleri: Silme komutları kullanılarak gerçekleştirilir.
Sunucu ve depolama sistemlerindeki veriler: İlgili dosyalar sistemler üzerinden silme komutları ile silinir veya dosyalara erişen ilgili kullanıcıların yetkileri tamamen kaldırılır.
Taşınabilir disklerdeki veriler: Taşınabilir diskler veri saklama amacıyla kullanılmaz. Kullanılması gereken durumlarda veriler şifreli olarak disk üzerinde tutulur.
Veri tabanlarındaki veriler: Kişisel verilerin bulunduğu ilgili satırlar, veri tabanı komutları ile (delete vb.) silinir.
ıı. Kişisel Verilerin Yok Edilme Yöntemleri
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Vâkıfımız, kişisel verilerin yok edilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Vâkıfımız, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır.
Fiziksel harddiskler ve optik medya (Cd, Dvd vb.): Manyetik alandan geçirme, fiziksel olarak imha etme veya low-level formatlama yöntemlerinden uygun olan ile imha edilir.
Kullanıcı bilgisayarları ve sunucular: Bilgisayar ve sunucuların bakım veya tamir amacıyla Vakıf dışına gönderildiği durumlarda, diskler üzerindeki veriler geri dönüştürülemeyecek şekilde tamamen silinerek veya diskler sökülerek Vakıf dışına gönderilir.
Kağıt Ortamlar: Kağıt ortamların imha edilmesi kağıt öğütücü cihazların kullanılması ile gerçekleştirilir.
ııı. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Vâkıfımız, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Vâkıfımız, kişisel verilerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Vâkıfımız, kişisel verileri anonim hale getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:
Veri anonimleştirme yapılması aşamasında, anonimleştirilecek verinin özellikleri, veri tabanı tablolarının yapısı, iş ihtiyaçları, operasyonel ve teknik imkanlar göz önüne alınarak uygun yöntemlerden biri ve/veya birkaçı kullanılarak anonimleştirme gerçekleştirilir;
- Değişkenlerin çıkartılması
- Kayıtların çıkartılması
- Bölgesel gizleme
- Örnekleme
- Mikro-birleştirme
- Veri-değiş tokuşu
- Gürültü ekleme
- K-anonimlik
- L-çeşitlilik
- T-yatkınlık
Burada ifade edilen yöntemler, Kişisel Veri Koruma Kurumu tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi ’nde tanımlanan yöntemler göz önüne alınarak gerçekleştirilir.
4.10. Saklama ve İmha Süreleri
Vâkıfımız, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ve imha etmektedir.
Kişisel veri sahibinin, Vakfımıza başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Vâkıfımız:
I. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:
- Kişisel veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve kişisel veri sahibine bilgi verir ve
- Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
II. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, kişisel veri sahibinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını kişisel veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
Vâkıfımız, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri imha etmektedir. Bu kapsamda Vâkıfımız, kişisel verileri imha etme yükümlülüğünün ortaya çıkması halinde kişisel verileri Nisan ve Ekim dönemlerinde olmak üzere yılda iki defa imha işlemine tabi tutmaktadır. Anılan süre, her hal ve koşulda Yönetmelik’in 11’inci maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.
4.11. Kişisel Verilerin Güvenliğinin Sağlanması
İKEV, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
KVKK ’nun 12. maddesinin 1. bendinde öngörülen;
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak.
Sartları sağlamak adına gerekli tedbirlerini almaktadır.
İKEV ’un kişisel verilerin güvenliğini sağlamak için uyguladığı tedbirler alt maddelerde detaylandırılmıştır.
4.11.1. Teknik Tedbirler
Teknolojideki gelişmelere uygun teknik önlemler alınmaktadır. Gelişen teknolojiye uygun altyapı yatırımlar yapılır. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulmasını sağlar. Kişisel veri barındıran yazılımlar üzerinde erişim yetkileri sınırlandırılmıştır. Erişim kontrolleri belirli periyodlarda yapılmaktadır. Birim bazlı belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme tanımları yapılır. Personellerin erişim sağladığı Portal ve ERP uygulamaları Log kayıtları tutulur. Sistemlerinin güncel ve bilinen açıklıklara karşı gerekli güvenlik önlemlerinin alınmış versiyonlarını kullanır. Sistemlerin güvenliğinin kontrol edilmesi sonucu elde edilen bilgileri ilgililere raporlar. Risk teşkil eden noktalar tespit edilerek gerekli teknik tedbirler alınır.
Kişisel Verilerin güvenliğinin sürdürülebilmesi için teknik tedbirleri sürekli işleyen bir model ile kurum kültürünün bir parçası olması için farkındalığı yaygınlaştırır. Alınan tedbirlerin kontroller ile sürekli yaşatılmasını sağlar. Kurum ağının güvenliğinin sağlanması için belirli periyodlarda açıklık ve sızma testleri yapılır. İKEV bünyesinde bulunan tüm donanımlar antivirüs uygulamaları ile korunur.
Yetkisiz girişlerin engellenmesi için İKEV ‘da alarm sistemleri, parmak okuyucu, güvenlik personeli ve kamera sistemleri ile korunmaktadır. Olası doğal afetlere karşı UPS, Yangın söndürme sistemleri ile kritik donanımlar korunur. Süresi dolan veriler kağıt kıyıcılar ile imha edilir.
4.11.2. İdari Tedbirler
İKEV kişisel verilerin güvenliğini sağlamak amacı ile gerekli idari tedbirleri alır ve çalışanların bu tedbirlere göre çalışmalarını denetler. Kurum içerisinde Kişisel Verilerin uygun şekilde korunması, işlenmesi, silinmesi, imha edilmesi, anonimleştirilmesi gibi faaliyetlerin güvenli yapılması için ISO 27001 standartlarına uygun hareket edilir. İKEV, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli KVKK eğitimlerini verir. Kurulan sistemler için gerekli iç kontroller yapılır. Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, bilgi güvenliği risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini işletir. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerini ve kurallarını tanımlar. Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmektedir. Çalışanlardan bu doğrultuda gerekli taahhütler alınmaktadır. Üçüncü taraflarla kişisel verilerin paylaşılmasıyla ilgili olarak kişisel verilerin paylaşıldığı kişilerle çerçeve sözleşme imzalanır ya da sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar. Verinin paylaşıldığı üçüncü tarafın faaliyetine göre bayi sözleşmelerinde KVKK yaptırımları eklenir. Kişisel veri paylaşılan üçüncü taraflar kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümleri kabul eder. Alınan önlemlere rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiği tespit edilmesi halinde veri sorumlusu irtibat kişisi tarafından ilgilisine ve KVK Kuruluna bildirir. Kişisel verinin nasıl başkaları tarafından elde edildiği araştırılır. İKEV tespit ettiği zafiyeti gidermek için gerekli idari tedbirleri uygular, ihtiyaç halinde teknik tedbirleri alır.
4.11.3. Kişisel Verilerin Güvenli Ortamda Saklanması
İKEV elde ettiği kişisel verilerini güvenli ortamlarda saklamak için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. Fiziksel veriler için; yetkili kişilerin erişebileceği arşivler oluşturulmuştur. Kurum içinde kritik verilerin tespiti için bilgi sınıflandırmaları yapılmıştır. Personel verileri sadece yetkili personellerin erişebileceği uygun ortamlarda muhafaza edilmektedir. Kişisel verilerin erişildiği uygulamalara sadece yetkili personel erişimleri mevcuttur.
4.11.4. Kişisel Verilerin Korunmasının Sürdürülebilirliği İçin Yapılan Denetimler
İKEV, Kanunu’nun 12. maddesine uygun olarak, gerekli denetimleri yapar veya yaptırır. Bilgi Güvenliği Yönetim Sistemi’nin sürdürülebilirliğini sağlamak için iç ve dış denetimlerin yapılması sağlar.
Sistemlerde oluşabilecek teknik açıklıklar için düzenli olarak sistemlere sızma testlerini gerçekleştirir. Bilgi işlem tarafından sistemler düzenli olarak izlenmektedir. Yönetim sistemleri denetimleri, uyarı sistemlerinin ürettiği veriler ve sistemlerin izlenmesi sonrası bulguların tespit edilmesi sonrası gerekli teknik ve idari tedbirler alınmaktadır. Yapılan denetimlerde kişisel verilerin hukuka aykırı erişilmesi ya da işlenmesi tespit edildiğinde Veri Sorumlusuna bilgi verilmektedir.
4.11.5. Kişisel Verilerin Yetkisiz İfşası Durumunda Alınan Tedbirler
İKEV, Kanunu’nun 12. maddesine uygun olarak işlenen kişisel verilerin yetkisiz ifşa olması halinde ilgili kişisel veri sahibine ve KVK Kurulu’na bildirir.
KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilir.
4.11.6. Üçüncü Tarafların Kişisel Verilerin Korunmasını Sağlaması İçin Uygulanan Tedbirler
İKEV, üçüncü taraflar ile yaptığı sözleşmelerde; kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasını sağlamaya yönelik gerekli yaptırım maddelerini karşılıklı olarak bulundurur. Üçüncü taraflar ile bilgi paylaşımı yapılmadan önce gizlilik sözleşmeleri imzalanır. Üçüncü taraflara farkındalığın artırılması için gerekli bilgilendirmeler yapılır.
4.11.7. Özel Nitelikli Kişisel Verilerin Koruması İçin Uygulanan Tedbirler
Özel nitelikli kişisel veriler için gerek nitelikleri itibari ile gerekse kişilerin mağduriyetine veya ayrımcılığa yol açabilmesinden dolayı yeterli önlemlerin alınması gerekmektedir. Kanunu’nun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler “Özel Nitelikli” olarak belirlenmiştir.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
İKEV, Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında gerekli tedbirleri almaktadır. Kişisel verileri korumak için alınan teknik ve idari tedbirlerde özel nitelikli kişisel veriler için hassasiyet gösterilmektedir.
İKEV işlediği özel nitelikli kişisel verileri KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla işlenmektedir. Özel nitelikli kişisel veriler işlenmeden önce veri sahibinin açık rızası alınır. Veri sahibinden açık rızası yok ise aşağıdaki kriterlere uygun olarak kanunların verdiği yetki ile işlenebilmektedir.
• Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilmektedir.
4.11.8. Kişisel Verilerin Korunmasının Sağlanması İçin Farkındalığın Yaratılması
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli bilgilendirmeler yapılmakta, eğitimler düzenlenmekte ve etkinlikleri ölçülmektedir. “Kişisel Verilerin Korunması ve İşlenmesi Politikası” ile ilgili diğer dokümanlar, kurumumuzun web sitesinde yayınlanmıştır. İKEV çalışanları bu politikadan haberdar edilmiştir.
İlgili kanun, yönetmelik ya da mevzuatlarda değişiklik olması halinden politikalar revize edilmekte ve çalışanlara tekrardan duyurulmaktadır.
4.12. Kişisel Verilerin Yurtiçindeki Kişilere Aktarılması:
İKEV, kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, Kanun’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler, veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, Kanun’da belirtilen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler; veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir.
Bu durumlar aşağıda belirtilmiştir:
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.
Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.
4.13. Kişisel Verilerin Yurtdışındaki Kişilere Aktarılması:
İKEV bünyesindeki tüm kişisel verilerin yurtdışına aktarımı sadece ihracat sürecinde lojistik operasyonlarının yürütülmesi için sadece ilgili firmalarda çalışan personellerin verileri aktarılmaktadır.
4.14. Kişisel Verilerin İmhası:
İKEV elde ettiği kişisel verilerini kişisel veri sahiplerinin talebi doğrultusunda, yasal zorunluluklar nedeniyle veya kamu düzeninin korunması için kullanması zorunlu değilse imha eder. Veri sahiplerine ait kişisel veriler, vatandaşa hizmetin devam ettirebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının ve yan haklarının planlanması gereklilikleri ortadan kalktığında kurumun alacağı karara istinaden imha edilmektedir. Kişisel verilerin imhasına ilişkin kurallar ve yöntemimiz “Veri Saklama ve İmha Politikasında” detaylandırılmıştır.
5. Ekler-İlgili Dokümanlar
-
6. Revizyonlar
Revizyon No | Revizyon Tarihi | Revizyon Açıklaması |
00 | 20.01.2023 | İlk Yayın |
| | |