KVKK Aydınlatma Metni
KVKK
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
BİRİNCİ BÖLÜM
AMAÇ-KAPSAM
1.AMAÇ-KAPSAM
2.POLİTİKANIN UYGULANMASI-YAYIMLANMASI VE SAKLANMASI-YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI-GÜNCELLENMESİ
3.KİŞİSEL VERİLERİN SINIFLANDIRILMASI
3.1 Genel Nitelikte Kişisel Veriler
3.2 Özel Nitelikte Kişisel Veriler
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİ
2.1 GENEL İLKELER
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
2.2.1 Genel Nitelikteki Kişisel Verilerin İşlenmesi
2.2.2 Özel Nitelikteki Kişisel Verilerin İşlenmesi
2.3. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
2.4. KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINA AKTARILMASI
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
3.1 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
3.2 İLGİLİ KİŞİNİN HAKLARI
3.3 VERİ GÜVENLİĞİNİN SAĞLANMASI-SAKLANMASI
DÖRDÜNCÜ BÖLÜM
BAŞVURU- ŞİKÂYET
4.1 VERİ SORUMLUSUNA BAŞVURU
4.2 BAŞVURU SONRASI KURULA ŞİKAYET
BEŞİNCİ BÖLÜM
EK BİLGİLER OLARAK
KİŞİSEL VERİ İŞLEME AMAÇLARI-HUKUKİ SEBEBİ-VERİ SAHİPLERİ-VERİ KATEGORİLERİ
EK 1. KİŞİSEL VERİ İŞLEME AMAÇLARI
EK.2 KİŞİSEL VERİ TOPLAMANIN HUKUKİ SEBEBİ
EK.3 KİŞİSEL VERİ SAHİPLERİ
EK.4 KİŞİSEL VERİ KATEGORİLERİ
BİRİNCİ BÖLÜM
AMAÇ-KAPSAM
1.AMAÇ-KAPSAM
TİM ŞİRKETLER GRUBU olarak; çalışanlar, çalışan adayları, iş bağlantıları, müşterileri, ziyaretçileri, hizmet sağlayıcıları ve sair üçüncü kişiler dahil gerçek kişilerin kişisel verilerinin, bağlı mevzuata gereği işlenmesi ve kişisel verisi işlenen ilgili kişilerin haklarının korunması ilkelerinin KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLKELERİ (Politika ) olarak ilgililere sunulmasıdır.
Bu nedenle, çalışanlar, çalışan adayları, eğitim amaçlı bulunanlar, iş bağlantıları ve müşteriler, ziyaretçiler, hizmet sağlayıcıları ve sair üçüncü kişilerin faaliyetlerimiz sırasında edindiğimiz kişisel verilerine ilişkin işlemelerini iş bu politikaya gerçekleştirmekteyiz. Politika, TİM ŞİRKETLER GRUBU tarafından uyulacak prensipleri ve kişisel verilerin işleme şartlarını belirlemektedir.
Politika; Kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta olup, KVKK( Kişisel Verileri Koruma Kanunu) ve kişisel verilere ilişkin yönetmelik, tebliğ ve ilgili diğer mevzuat gözetilerek ele alınmış ve hazırlanmıştır.
2.POLİTİKANIN UYGULANMASI-YAYIMLANMASI VE YASAKLANMASI-YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI-GÜNCELLENMESİ
Politika; ilgili ve bağlı mevzuat ile şirket uygulamaları birlikte ele alınmak suretiyle hazırlanmıştır. Politikanın uygulanması sırasında uygulamalar ile mevzuat arasında uyumsuzluk çıkması durumunda, yürürlükteki tüm mevzuat uygulanır.
İşbu politika şirketin internet sitesi olan www.timgrp.com yayımlanır. Yazılı ve imzalı bir nüshası usule uygun şirket kayıtlarında korunur.
Yürürlükte olan mevzuat çerçevesinde yayımlanarak yürürlüğe girmiştir. İlgili mevzuat süresince yürürlükte kalacaktır.
Kişisel Verileri Koruma Kanunu, ilgili yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurumu ve Kurulu Kararları ile bağlı diğer mevzuat hükümlerince gerektiği şekilde güncelleme yapılacak, yapılan güncelleme gerektiği şekilde yayımlanacaktır.
3.KİŞİSEL VERİLERİN SINIFLANDIRILMASI
3.1 Genel Nitelikte Kişisel Veriler
Veri sorumlusu olarak tarafımızdan kimliği belirli veya belirlenebilir gerçek kişiye ilişkin, ilgili ve bağlı mevzuata uygun her türlü elde edilen ve işlenen bilgiyi içermektedir.
3.2 Özel Nitelikte Kişisel Veriler
Gerçek kişilerin Irk, etnik köken, siyasi düşünce, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veri sayılacağı mevzuat düzenlemeleri doğrultusunda, veri sorumlusu olarak işbu özel nitelikteki veriler tarafımızdan gerekli koruma, saklama tedbirleri alınmak suretiyle işlenecektir.
İKİNCİ BÖLÜM
KİŞİSEL VERİLERİN İŞLENMESİ
2.1 GENEL İLKELER
2.1.1 Hukuka ve dürüstlük kurallarına uygun olma.
İlgili ve bağlı mevzuat düzenlemeleri gereği, dürüstlük kurallarına uygun açık, gerektiği kadar kişisel veri, belirlenmiş, aydınlatma metni ile bilgilendirilmiş veri işleme amaçlarına uygun olarak işlenecektir.
2.1.2 Doğru ve gerektiğinde güncel olma.
Toplanan kişisel verilerin güncel olması için veri sahibi aydınlatma metni ve benzeri yollarla bilgilendirilmekte, gerekli uyarılar yapılmakta ve güncelleme konusunda başvuruda bulunulması ilgiliye açıklanmıştır.
2.1.3 Belirli, açık ve meşru amaçlar için işlenme.
Kişisel verilerin elde edilmesi ve işlenmesi, Politika içerisinde açıklanmış, meşru amaçlar için yapılmaktadır.
2.1.4 İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
Elde edilen ve işlenen kişisel veriler, belirlenen amaç ile bağlantılı olarak açık ve kesin olarak, sınırlı ve ölçülü bir şekilde işlenecek, korunacak ve saklanacaktır.
2.1.5 İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
İlgili ve başkaca kanunlarla düzenlenmiş mevzuat gereği, elde edilen ve işlenen kişisel verilerin belirli süreler boyunca saklanmak zorunluluğu olduğundan, en az saklama süresi sonuna kadar kişisel veriler saklanacaktır. Saklama süresinin sona ermesi veya işleme amacının ortadan kalkması ile, toplamış olduğumuz kişisel veriler silinecek, yok edilecek ya da anonim hale getirilecektir.
2.2 İŞLENME ŞARTLARI
2.2.1 Genel Nitelikteki Kişisel Verilerin İşlenmesi
Kişisel veriler; ilgili ve bağlı mevzuat gereği, veri sahibinin açık rızası ile işlenebilir. Ancak;
- Kanunda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde rıza olmaksızın işlenebilir.
2.2.2 Özel Nitelikteki Kişisel Verilerin İşlenmesi
Kanunda belirtilmiş ve özel nitelik tanınmış kişisel verilerden sağlık ve cinsel hayat dışındaki veriler ancak kanunla öngörülen hallerde kişinin açık rızası alınmadan işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak;
- Kamu sağlığının korunması,
- Koruyucu hekimlik tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
İlgili kişinin açık rızası aranmaksızın işlenecektir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
2.3 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Kişisel veriler; işlenmesini gerektiren sebeplerin ortadan kalkması, saklama sürelerinin sona ermesi halinde res’en veya ilgili kişinin talebi ile veri sorumlusu olarak tarafımızdan silinir, yok edilir veya anonim hale getirilir.
Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat, Kurul Kararları ve ilgili kişinin başvuru formunda belirttiği yönteme göre ve aksi Kurul tarafından belirtilmediği sürece silme/yok etme/anonim hale getirme yöntemlerinden uygun olanını seçerek, şirketin Veri Saklama ve İmha Politikası kapsamında açıklanan ve önceden belirlenerek ortaya konulan, gerekli güvenlik tedbirleri alınmak suretiyle yerine getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlere dair kayıtlar, diğer kanun ve mevzuat hükümleri saklı kalmak üzere mevzuatta belirtilen sürede saklanır.
2.4. KİŞİSEL VERİLERİN YURT İÇİNDE VE YURT DIŞINA AKTARILMASI
İlgili mevzuat gereğince kişisel veriler, veri sahibinin açık rızası olmadan yurt içine ya da yurt dışına aktarılamaz. Ancak;
- Kanunda açıkça öngörülmesi,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, halinde açık rıza aranmaksızın ve yine nitelikli kişisel veri kategorisinde yer alan sağlık ve cinsel hayat dışındaki veriler, ancak kanunla öngörülen hallerde kişinin açık rızası alınmadan aktarılabilir. Sağlık ve cinsel hayata ilişkin veriler ise ancak yeterli önlemler alınmak kaydıyla;
- Kamu sağlığının korunması,
- Koruyucu hekimlik tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, ilgilinin açık rızası aranmaksızın aktarılabilir.
Yukarıda belirtilen şartlardan birinin varlığı ve Kişisel Verileri Koruma Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması veya yeterli korumanın bulunmaması durumunda Türkiye’de ve ilgili yabancı ülkede bulunan veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması kaydıyla, ilgili kişinin rızası aranmadan aktarma yapılabilir.
Kişisel Verileri Koruma Kanunu kapsamında yer alan hükümlere uygun olarak ve başkaca kanunlarda yer alan hükümler dikkate alınmak suretiyle, gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil, gerekli tüm güvenlik önlemleri alınarak kişisel veriler yurt içi ve yurt dışına, üçüncü kişilere aktarılacaktır.
Türkiye’nin veya ilgilinin menfaatinin ciddi bir zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurulunun izniyle aktarım yapılabilir.
Elde edilen ve işlenen kişisel veriler için veri sorumlusu olarak; teknik ve idari tedbirler kapsamında,
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturulmuştur.
- Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirler gereğince teknik uzmanlığı olan çalışanlar istihdam edilmektedir. Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirilmiş ve kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurulmuştur.
- Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmak amacıyla uzmanlar tarafından eğitim verilmesi sağlanmıştır.
- Kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin sözleşme hükümlerine yer verilmekte veya özel nitelikte sözleşmeler düzenlenmektedir.
- Kişisel veriler kapsamında aldığımız idari ve teknik tedbirler için veri sorumlusu olarak tarafımızdan hazırlanan Kişisel Verileri Saklama ve İmha Politikası hazırlanmış, mevzuat düzenlemeleri çerçevesinde düzenlenmiş metinler, ilgililere aydınlatıcı olarak sunulmuştur.
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
3.1 İLGİLİ KİŞİNİN HAKLARI
Açık rıza beyanı bulunsun ya da bulunmasın her tür kişisel verileri tarafımızdan elde edilen ve işlenen ilgili kişiler veri sorumlusu olarak tarafımıza başvurarak, kişisel verilerine ilişkin;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. Bu hakların kullanımına ilişkin başvuru ve cevap verme işlemleri iş bu politika içerisinde yer verildiği ve mevzuat düzenlemeleri gereğince yerine getirilecektir.
3.2 VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Kişisel Verileri Koruma Kanunu kapsamında veri sorumlusu veya yetkilendirdiği kişiler verileri toplanan ve işlenen ilgili kişiler tarafından yapılan başvuru ile;
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Verileri toplama yöntemi ve hukuki sebebi,
- Kişisel Verileri Koruma Kanunun kişisel verileri toplanan ve işlenen ilgili kişinin haklarının düzenlendiği ilgili maddesi gereğince sahip olduğu hakları, konusunda bilgi vermekle yükümlüdür.
3.3 VERİ GÜVENLİĞİNİN SAĞLANMASI-SAKLANMASI
İlgili mevzuat ve iş bu Politika kapsamında Veri Sorumlusu olarak:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik,
Veri sorumlusu olarak tarafımızdan ve adımıza başka bir gerçek veya tüzel kişinin veri işlemesi halinde bu kişilerle müştereken sorumlu olduğumuz bilinci ile, gerekli her türlü teknik ve idari tedbirler alınmıştır.
Sayılanlarla sınırlı olmamak üzere kişisel verileri korumak için ;
- Verileri elde edilen ve işlenen kişiler, Kişisel verileri Koruma Kanunu, ilgili tüm mevzuat hakkında aydınlatılmakta, bilgi verilmekte, kişisel veri işleme envanteri hazırlanmaktadır.
- Mevzuata uygun olarak işlenmesi ve saklanması için, şirket bünyesindeki uzman çalışanlar istihdam edilerek, teknik organizasyon yapılmaktadır.
- Kişisel verilerin saklanacağı veri tabanlarının güvenliği için, her tür teknik alt yapı oluşturulmakta, oluşturulan teknik alt yapının süreçleri takip edilmekte, periyodik olarak sistem güncellenmekte ve yenilenmektedir.
- Ortaya çıkan riskli durumları yeniden inceleyerek, gerekli teknolojik çözümleri üretmek amaçlı gerekli tedbirler alınmaktadır. Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılım- donanım programları ile güvenlik ürünleri kullanarak, teknolojik gelişmelere uygun güvenlik sistemleri kurulmaktadır.
- Kişisel verilerin hukuka uygun olarak işlenmesi, hukuka aykırı olarak erişilmesini önlemek, korunmasını sağlamak için eğitim ve bilgilendirme çalışmaları yapılmakta, uyulmaması halinde ihlal edenlere karşı idari yaptırımlar içeren iç yönerge hazırlanmaktadır.
- Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde, kişisel verileri işleyen şirketler ile yapılan sözleşmelerde gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer verilmekte ve gizlilik sözleşmeleri yapılmaktadır.
- Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde, ilgili kişiye ve KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmak ve ilgili tedbirleri almak için gerekli birimler oluşturulmakta ve görevlendirmeler yapılmaktadır. Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda, KVK Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
- Saklama süresi dolan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi süreci planlanmakta ve bu konuda imha ve saklama politikası hazırlanarak kurallar belirlenmektedir.
- Veri sorumlusu olarak şirket içerisinde, periyodik ve rastgele denetimler ile işlemler denetlenmekte veya denetimlerin yaptırılması sağlanmakta, alınan idari ve teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler belirlenerek uygulamaya alınmaktadır.
- İlgili ve bağlı mevzuat ve verilerin toplanma amaçları, kişisel verilerin belirli bir süre saklanmasını zorunlu tuttuğundan, yasal yükümlülük gereği, işlenen kişisel veriler mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre tespit edilmekte ve o süre boyunca saklanmaktadır. Yasal saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda, kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir düzenlemeleri mevzuat gereği olduğundan, hangi verinin ne kadar süre saklanacağı ve ne şeklide imha edileceği belirlenerek aydınlatma metni ile ilgililer aydınlatılmakta, veri saklama ve imha politikası hazırlanarak gerekli tüm tedbirler alınmakta, işlemler yapılmaktadır.
- Yasal bir süre bulunmadığı hallerde ise; kişisel veriler işleme amaçları için gerekli olan süre kadar saklanmaktadır.
DÖRDÜNCÜ BÖLÜM
BAŞVURU VE ŞİKAYET
4.1 VERİ SORUMLUSUNA BAŞVURU
Kişisel Verileri Koruma Kanunu kapsamında ve Kişisel verileri Koruma Kurumu tarafından yayımlanmış Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda;
Kişisel veri sahiplerinin yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna adı, soyadı ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarasını bildirmek ve talep konusunu ayrıntılı belirtmek suretiyle ve talep konusuna ilişkin bilgi ve belgeleri eklemek suretiyle veri sorumlusu olarak tarafımıza başvuru yapma hakları bulunmaktadır.
Yazılı başvurunun veri sorumlusuna tebliğ edildiği tarih, diğer yöntemlerle yapılan başvurularda başvurunun veri sorumlusuna ulaştığı tarih başvuru tarihi olarak kabul edilmektedir.
Başvuru sonrası veri sorumlusu olarak, ilgili kişinin talebi kabul edilerek ve gerek duyulması halinde ek bilgi ve belge talep edilmesi gerekiyorsa talep etmek suretiyle başvurucu ilgili veri sahibinin talepleri yerine getirebileceği gibi, gerekçesi açıklanmak suretiyle başvuru veri sorumlusu olarak tarafımızdan red edilebilir. Veri sorumlusu olarak, en kısa sürede ve en son otuz gün içerisinde başvuruyu sonuçlandırma yükümlülüğümüz yerine getirilecektir.
4.2 BAŞVURU SONRASI KURULA ŞİKAYET
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.
BEŞİNCİ BÖLÜM
EK BİLGİLER OLARAK
KİŞİSEL VERİ İŞLEME AMAÇLARI-HUKUKİ SEBEBİ-VERİ SAHİPLERİ-VERİ KATEGORİLERİ
EK 1. KİŞİSEL VERİ İŞLEME AMAÇLARI
Veri sorumlusu olarak, kuruluş sözleşmesi ve tüm yasal mevzuat çerçevesinde;
Şirketin yükümlü olduğu şekilde ticari iş stratejilerinin belirlenmesi; iş faaliyetlerinin planlanması ve icrası ile iş sürekliliğinin sağlanması; yatırım ve risk yönetim sürecinin planlanması ve uygulanması; her tür sözleşme yapılması ile bunlardan doğan yükümlülüklerin yerine getirilmesi; hukuki işlemlerin-finans veya muhasebe işlerinin takibi; yetkili kişi, kurum ve kuruluşlara bilgi verilmesi; ürün-hizmetlerin üretimi-alım-satımı-pazarlaması-lojistik faaliyeti ve satış sonrası destek hizmetlerinin sunumu, tedarik zinciri yönetimi; müşteri ilişkileri yönetimi-müşteri memnuniyetine yönelik çalışmaların yapılması; her tür talep ve şikâyetlerin takibi; sponsorluk-sosyal sorumluluk ve sivil toplum aktiviteleri-organizasyon ve etkinlik-kurumsal iletişim faaliyetlerinin gerçekleştirilmesi; saklama ve arşiv faaliyetleri; performans değerlendirme, yetenek, kariyer gelişimi; iş süreçlerinin iyileştirilmesi; ziyaretçi kayıtlarının oluşturulması ve takibi; yabancı personel çalışma ve oturma izni işlemleri; veri sorumlusu operasyonlarının güvenliğinin temini; taşınır-taşınmaz mal ve kaynakların güvenliğinin sağlanması; stratejik planlama faaliyetlerinin gerçekleştirilmesi için belirli, açık ve meşru amaçlar için veri elde edilmesi ve işlenmesi yapılmaktadır.
EK.2 KİŞİSEL VERİ TOPLAMANIN HUKUKİ SEBEBİ
Veri elde eden ve işleyen veri sorumlusu olarak; Kişisel verileri Koruma Kanunu, kanun kapsamında çıkarılan yönetmelik ve tebliğler ile Kişisel Verileri Koruma Kurumu ve Kurulu tarafından verilmiş kararlar dahil olmak üzere yasal tüm mevzuat tarafından açıkça düzenlenmiş olması, veri sorumlusuna açıkça kanunlarla yüklenmiş hukuki yükümlülüklerinin yerine getirilmesi, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, bir hakkın tesisi, kullanılması veya korunması ve ilgili kişinin temel hak ve özgürlükleri zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için zorunlu olması, hukuki sebebine dayalı olarak, hukuki sebeplerin varlığı ile sınırlı olarak toplanmaktadır.
EK.3 KİŞİSEL VERİ SAHİPLERİ
Çalışan
Şirketimizin faaliyet konusu işleri yapmak üzere çeşitli birimlerde görevlendirilmiş kişiler.
Çalışan adayı
İhtiyaç duyulan birimlerde çalışmak üzere iş başvurusunda bulunan kişiler.
Şirket hissedarı
Türk Ticaret Kanunu Hükümlerine göre şirket kurucu ortağı olan ya da daha sonra hisse satın alan kişiler.
İş Ortakları- İş birliği yapılar kurumların çalışanları ve hissedarları ile yetkilileri
Her türlü iş ilişkisi içinde bulunulan mal ve hizmet alımı yapılan müşteri, tedarikçi, üretici kişiler ……
Şirket yetkilisi
Şirketi Türk Ticaret Kanunu Hükümlerine göre temsil ve ilzama yetkili kişiler.
Ziyaretçi
Ticari veya başkaca amaçlarla işyerine geçici süreliğine gelen kişiler.
Aile bireyleri ve yakınları
Çalışan, çalışan adayı veya iş birliği içerisinde bulunduğumuz kişilerin aile ve yakın bilgisi alınan kişiler.
EK.4 KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgileri
Adı, soyadı, T.C. kimlik numarası, cinsiyet, doğum tarihi ve yeri, uyruk, medeni hal, kayıtlı olduğu il/ilçe/mahalle/köy/cilt no /aile sıra no /sıra no, nüfus cüzdanının verildiği yer/veriliş nedeni/kayıt no/veriliş tarihi, anne-baba adı, nüfus cüzdanı seri no / sıra no bilgilerini kapsayacak şekilde basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Aile Bireyleri ve Yakın Bilgisi
Eş ve çocuklar ile bakmakla yükümlü olduğu kişilerin adı-soyadı, bilgisi, doğum tarihi, eğitim durumu………….
İletişim Bilgileri
İlgili kişiler ile iletişim kurmak üzere adres, yakının adresi, GSM ya da sabit hat telefon bilgileri, e-posta adresi, sosyal medya hesap adresleri, web sayfa adresleri basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Mali Veriler
İlgililerin finansal işlemlerini yürütebilmek amacıyla ücret, maaş, banka hesap ve IBAN bilgisi, borç miktarı, kıymetli evrak bilgisi (çek-emre muharrer senet), fatura bilgileri için alınan adres, vergi numarası, MERSİS form ya da dijital olarak elde edilen ve işlenen bilgiler.
Özlük Verileri
Çalışanlardan elde edilen kimlik bilgileri, medeni durumu, sürücü ehliyeti, askerlik bilgileri, SGK bilgileri, CV’ye eklenmiş özgeçmiş bilgileri, eğitim durumunu gösterir bilgiler, adli sicil kaydı bilgileri ile iş başvurusunda bulunulması sırasında referans gösterilen kişilerin bilgileri ile iş tecrübesini gösterir geçmiş çalışılan yerlerle ilgili bilgiler iş faaliyetlerinin yürütülmesi, insan kaynakları bölümünün faaliyetleri ve işbu politikanın içeriğinde yer alan tüm amaçlar doğrultusunda yasal mevzuat gereği yükümlülükler ve sözleşme ilişkileri gereğince basılı form ya da dijital olarak elde edilen ve işlenen bilgiler.
Görsel ve İşitsel Veriler
Fotoğraf, video, kamera kaydı, ses kaydı.
Mesleki Bilgi
Eğitim bilgileri, kurs, seminer, sertifika bilgileri, yabancı dil seviyesi, CV’ye eklenen tüm bilgiler.
Poliçe Verisi
Araç plakası, motor ve şasi no, aracın türü, kullanım şekli, araç marka, model-yılı, sbm tramer no, araç tescil tarihi, taşınmaz adres, ada, parsel, pafta, inşaa yılı, kullanım şekli, bina inşa tarzı, hasar durumu, yüzölçümü, kat sayısı, seyahat edilecek ülke, seyahat süresi, vize türü, işyeri adres, faaliyet konusu, yapı tarzı, demirbaş bilgisi, vergi numarası, taşınır, taşınmaz verileri.
Diğer Veriler
Dernek, Vakıf, Spor Kulübü vb üyelikler, hobileri?
Sağlık Bilgisi
Var ise engel durumu, sağlık raporu, kan grubu, sağlık durumu beyanı, tıbbi geçmiş, engel durumu, kullanılan ilaçlar.
Çerez Politikası
Web sitemizden verimli bir şekilde faydalanabilmeniz için çerezler kullanıyoruz. Bu çerezlerin kullanılmasını istememeniz halinde tarayıcınızın ayarlarından silebilir ya da engelleyebilirsiniz. Ancak bunun web sitesinin kullanımını etkileyebileceğini hatırlatırız. Çerez ayarlarınızı değiştirmediğiniz sürece bu sitede çerez kullanımını kabul ettiğinizi varsayacağız.
- Çerez Nedir?
Çerezler bir web sitesi ziyareti ile oluşturulup bilgisayarınızda depolanan bilgilerdir. Çerezler, web sitemizin cihazınızda bilgi saklamasını ve bu bilgileri sonraki ziyaretleriniz sırasında kullanmasını mümkün kılmaktadır. Bir web sitesi tarafından oluşturulan çerezler siteye erişim için kullandığınız web tarayıcısı tarafından saklanmaktadır. Çerezlerin temel işlevleri ziyaretçinin ve tercihlerinin hatırlanması ve cihazının tanınmasıdır; neredeyse her web sitesinde çerez kullanımı söz konusudur. - Çerezler Ne Amaçla Kullanılmaktadır?
Çerezleri aşağıda sayılan amaçlar ile kullanmaktayız:
Sitemizde ziyaretiniz sırasında gezinti ve kullanım tercihlerinizi hatırlamak, sitemizin kullanımını kolaylaştırmak ve tercihlerinize göre özelleştirmek,
Sitemizin düzgün bir şekilde çalışmasını sağlamak (örneğin oturumunuzu açık tutmak),
Ziyaretçiler tarafından nasıl kullanıldığı hakkında en çok tıklanan bağlantılar, en çok ziyaret edilen sayfalar, görüntülenen hata mesajı sayısı gibi şahıs özelinde olmayan genel bilgiler toplamak ve bu bilgileri analiz ederek hatalı sayfaları işler hale getirmek, sitemizi geliştirmek, tercih edilmeyen sayfaları kaldırmak veya iyileştirmek,
Çerezler bu Politika’da belirtilen amaçlar dışında kullanılmamakta olup, tüm ilgili işlemler veri koruma mevzuatına uygun olarak yürütülmektedir.
- Çerez Türleri Nelerdir?
Çerez Türü |
Açıklama |
Geçici Çerezler |
Oturum çerezleri, internet sitesini kullanımınız sırasında geçerli olan çerezler olup web tarayıcı kapatılıncaya kadar geçerliliklerini korurlar. |
Kalıcı Çerezler |
Kalıcı çerezler tarayıcı veya uygulamayı kapattıktan sonra bilgisayar/ mobil cihazda kalır ve web sitesine döndüğümüzde sizi tanımak için kullanılır. |
Zorunlu Çerezler |
İnternet sitesinin düzgün bir şekilde çalışabilmesi, sitenin özelliklerinden ve sunulan hizmetlerden yararlanabilmeniz için kullanımı mecburi olan çerezlerdir. |
İşlevsellik Çerezleri |
İşlevsellik çerezleri, web sitesinde ziyareti kolaylaştırmak ve tarama deneyiminizi geliştirmek için kullanılan çerezlerdir. Tercih ettiğiniz dil, düzen veya renk şeması gibi belirli ayarları, hatırlamak için izin verir. |
Reklam Çerezleri |
Reklam ve kişiselleştirme çerezleri kendi kişisel çıkarları için bizim reklam ve web sitesi içeriği özelleştirmek için bizim web sitelerinin ziyaretçi tarama davranışı hakkında bilgi toplamak için kullanılır |
Takip Çerezleri |
Takip çerezleri web sitemizi ve üçüncü taraflara ait alan adlarını ziyaretiniz sırasında oluşturulan birincil ve üçüncü taraf çerezlerdir. Bu tür çerezler, reklam ve pazarlama faaliyetlerinin hedeflenmesi amacı ile kullanılmaktadır. |
Üçüncü Taraf Çerezler |
Üçüncü taraf çerezler ise ziyaret edilen web sitesi operatörü dışındaki kişiler tarafından cihaza yerleştirilen ve kontrol edilen çerezlerdir. Üçüncü parti çerezler üzerinde kontrolümüz bulunmadığından, bunları nasıl yöneteceğinize dair daha fazla bilgi için ilgili üçüncü partinin web sayfasını ziyaret edin. |
- Kullandığımız Çerezler
Politikamız hakkındaki bilgiler, Web Sitesi'ne ilk defa giriş yapıldığında pop-up ekranı ile kullanıcılara sağlanmaktadır. Sitemizi ziyaretiniz esnasında aşağıda sayılı olan amaçlarla, işbu Politikada açıklanan şekilde çerezler kullanılacaktır:
- İnternet sitemizde web tarayıcınızı kapatmanıza kadar geçerli ve web sitemizdeki gezintiniz için gerekli olan geçici oturum çerezleri,
- Kullanıcı yoğunluğunu takip eden, sitede gezinmenizi kolaylaştıran, bir önceki sayfa bilgilerini bulunduran geçici işlevsellik çerezleri,
- İlk ziyaretten sonra tarayıcıya yazılan, tekil kullanıcıları belirlemek için kullanılan kalıcı çerezleri,
- Bireysel ziyaretçileri ve onların internet sitesini kullanımını izlemesine izin vermek için kullanılan kalıcı takip çerezleri,
- net aracılığı ile, üçüncü taraflar aracılığıyla sitemizde kullanılan reklam çerezleri (DoubleClick, İnternette reklam hizmetleri sunan ve geliştiren bir reklamcılık şirketidir.)
- Oturum, sepet tanımlama ve diğer üyelik işlemleri için kullanılan zorunlu çerezler.
- Çerezlerin Yönetimi
Web tarayıcıları genellikle çerezleri otomatik olarak kabul etmektedir. Web sitemizi kullanabilmek için çerez kullanımı zorunlu değildir, fakat tarayıcınızı çerezleri kabul etmemeye ayarlamanız halinde kullanıcı deneyiminizin kalitesi düşebilir. Sitemizi ziyaret etmeye devam ederek çerezlerin cihazınıza yerleştirmesine izin vermiş oluyorsunuz.
Tarayıcınızı çerezleri tüm siteler veya belirli siteler için engelleyecek şekilde, çerez oluşturulduğunda uyarı verecek şekilde, üçüncü taraf çerezleri engelleyecek şekilde düzenleyebilirsiniz. Cihazınıza çerezler yerleştirmesini istemiyorsanız tarayıcınızın ayarları veya seçeneklerinden çerezlerin kullanımını reddedebilirsiniz.
- Çerezleri kapatmak için;
Chrome’da tarayıcı ayarlarınızda “Ayarlar/Gizlilik/İçerik Ayarları/Çerez kullanımını kapat” seçeneğini kullanabilirsiniz.
Internet Explorer kullanıcıları için: “Seçenekler/İnternet Ayarları/Gizlilik/Ayarlar” seçeneklerini kullanabilirsiniz.
Firefox kullanıcıları için: “Araçlar/ Seçenekler'/ Gizlilik/ Çerez kabul yöntemi/Firefox kapatılana kadar” seçeneklerini kullanabilirsiniz.
Eğer tarayıcınız yukarıda sayılanlardan farklı ise, çerez yönetimi işlevleri hakkında detaylı bilgi için lütfen kullandığınız tarayıcınıza ait web sitesinden bilgi alınız.
TİM ŞİRKETLER GRUBU
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
BİRİNCİ BÖLÜM
AMAÇ-KAPSAM-DAYANAK-TANIMLAR
1.1 AMAÇ
1.2 KAPSAM- DAYANAK
1.3 TANIMLAR
İKİNCİ BÖLÜM
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
2.1 KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINA İLİŞKİN ESASLAR
2.2 KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ KAPSAMI
2.2.1 Hazırlanma Amacı
2.2.2 Kayıt Ortamları
2.2.3 Hukuki ve Teknik Sebepler
2.2.4 Saklanması-Hukuka Aykırı İşlenmesi ve Erişilmesinin Önlenmesi İçin Teknik ve İdari Tedbirler
2.2.5 Hukuka Uygun İmhası İçin Teknik ve İdari Tedbirler
2.2.6 Saklama ve İmha Sürecinden Yer Alanların Tanımlanması
2.2.7 Saklama ve İmha Süreleri Tablosu
2.2.8 Periyodik İmha Süreleri
2.2.9 Güncelleme ve Değişiklikler
ÜÇÜNCÜ BÖLÜM
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
3.1 İLKELER
3.2 KİŞİSEL VERİLERİN SİLİNMESİ
3.3 KİŞİSEL VERİLERİN YOK EDİLMESİ
3.4 KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
3.5 KİŞİSEL VERİLERİ RES’EN SİLME, YOK ETME VEYA ANONİM HALE GETİRME SÜRELERİ
3.6 KİŞİSEL VERİLERİ İLGİLİ KİŞİNİN TALEBİYLE SİLME VE YOK ETME SÜRELERİ
DÖRDÜNCÜ BÖLÜM
ÇEŞİTLİ HÜKÜMLER
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
POLİTİKA’NIN GÜNCELLENME PERİYODU
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
BİRİNCİ BÖLÜM
AMAÇ-KAPSAM-DAYANAK-TANIMLAR
1.AMAÇ
TİM ŞİRKETLER GRUBU olarak; Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca, yükümlülüklerimizi yerine getirmek için, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilen saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesi için KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI İLKELERİ (Politika ) olarak ilgililere sunulmasıdır.
2.KAPSAM-DAYANAK
Kişisel Verilerin Korunması Kanunun, belirlediği veri sorumluları tarafından uygulanmak üzere, ilgili kanun ve kanun maddelerine uygun hazırlanan yönetmelikler, Kişisel Verileri Koruma kurulu kararları ve ilgili tüm mevzuat esas alınmıştır.
3.TANIMLAR
- Alıcı grubu; Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
- İlgili kullanıcı; Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
- İmha; Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
- Kanun; 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
- Yönetmelik ; 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
- Kayıt ortamı; Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
- Kişisel veri işleme envanteri; Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
- Kişisel veri saklama ve imha politikası; Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
- Kurul; Kişisel Verileri Koruma Kurulunu,
- Periyodik imha; Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
- Sicil; Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
- Veri kayıt sistemi; Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
- Veri sorumlusu; Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
- Veri İşleyen ; Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
- Anonim Hale Getirme ; Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
- EBYS ; Elektronik Belge Yönetim Sistemi
- Elektronik Ortam ; Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
- Elektronik Olmayan Ortam ; Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
- İlgili Kişi ; Kişisel verisi işlenen gerçek kişi.
- Kişisel Veri ; Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Kişisel Verilerin İşlenmesi ; Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
- Politika ; Kişisel Verileri Saklama ve İmha Politikası.
- VERBİS Veri Sorumluları Sicil Bilgi Sistemi; Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
İKİNCİ BÖLÜM
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
2.1 KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASINA İLİŞKİN ESASLAR
İlgili mevzuat gereğince, veri sorumluları siciline kayıtlı olmak yükümlüsü veri sorumlularının, kişisel veri envanterine uygun olarak “Kişisel Veri Saklama ve İmha Politikası” hazırlamak zorunluğu bulunmaktadır ve buna bağlı olarak işbu politika hazırlanmıştır. Zorunluluk kapsamında olmayan veri sorumlularının da, mevzuat düzenlemeleri gereği, kişisel veri saklama, silme yok etme ve anonim hale getirme yükümlülükleri mevzuat gereğince devam edeceği düzenleme gereğidir.
2.2 KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ KAPSAMI
Kişisel veri saklama ve imha politikası asgari olarak; kişisel veri saklama ve imha politikasının, hazırlanma amacına, düzenlenen kayıt ortamlarına, yer verilen hukuki ve teknik terimlerin tanımlarına, hukuki-teknik ya da diğer sebeplere ilişkin açıklamaya, kişisel verilerin saklanması-hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun imha edilmesi için alınmış teknik ve idari tedbirlere, tüm süreçlerde yer alanların unvanlarına, birimlerine ve görev tanımlarına, saklama ve imha sürelerini gösteren tabloya, periyodik imha sürelerine, mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe, ilişkin bilgileri kapsar.
2.2.1 Hazırlanma Amacı
Veri sorumlularının elde ettiği kişisel verileri, otomatik ya da otomatik olmayan yollarla koruması-saklaması ve gerektiğinde imha (silinmesi-yok edilmesi-anonim hale getirilmesi) kurallarının belirlenmesidir.
2.2.2 Kayıt Ortamları
Bu sayılanlarla sınırlı olmamak üzere, başkaca elektronik ve elektronik olamayan yöntemlerle, kişisel veriler kayıt altına alınır.
Elektronik Kayıt Ortamı
Sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, taşınabilir diskler, vb.), Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS, vb) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ), Kişisel bilgisayarlar (Masaüstü, dizüstü), Mobil cihazlar (telefon, tablet vb.), Optik diskler (CD, DVD vb.) , Çıkartılabilir bellekler (USB, Hafıza Kart vb.), Yazıcı, tarayıcı, fotokopi makinesi.
Elektronik Olmayan Kayıt Ortamı
Kağıt, Manuel veri kayıt sistemleri, (başvuru formları, talep yazıları, sipariş formları, anket formları, ziyaretçi giriş defteri, yazılı dökümanlar, vb) yazılı, basılı, görsel ortamlar vb.
2.2.3 Kişisel verilerin Saklanmasını ve İmhasını Gerektiren Hukuki ve Teknik Sebepler
Kişisel Verileri Koruma Kanunu ve bağlı mevzuata göre, veri sorumlusu olarak; ticari faaliyetlerin sürdürebilmesi, çalışanlara ve ticari- sosyal- kültürel ve benzeri eylemler kapsamında ilişkide bulunulan herkese karşı tüm yükümlülüklerin yapılması, hukuki yükümlülüklerin yerine getirilmesi, bir sözleşmenin kurulması ve ifasıyla doğrudan bağlantılı olması, bir hakkın tesisi-kullanılması veya korunması için gerekli olması, veri sorumlusunun meşru menfaatleri kapsamında, kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla işlemekte olduğumuz kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Hukuki yükümlülükler gereği ve Kişisel Verileri Koruma Kanunun çerçevesinde, belirlenmiş amaçlar için işlenen ve saklanan, kişisel veriler ile özel nitelikteki kişisel veriler, yasanın belirlediği süreler ile sınırlı kalmak üzere, ilgili kanunun düzenlemelerinde yer alan, kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerçekleştirilir.
2.2.4 Kişisel Verilerin Saklanması-Hukuka Aykırı İşlenmesi ve Erişilmesinin Önlenmesi İçin Teknik ve İdari Tedbirler
Mevzuat çerçevesinde hukuka uygun elde edilen ve işlenen kişisel verilerin, güvenli bir şekilde saklanması-bu verilere erişilmesinin önlenmesi-hukuka uygun olarak imha edilmesi için, ilgili tüm mevzuatın ve Kurul tarafından belirlenerek ilan edilen önlemler çerçevesinde, teknik ve idari tedbirler alınır.
Teknik Tedbirler
Kişisel veriler ve özel nitelikteki kişisel verilerle ilgili olarak; bu sayılanlara sınırlı olmamak üzere alınan teknik tedbirler ;
- Bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditlerin izlenmesi, bilişim sistemlerine yönelik, her tür risk, tehdit, zafiyet ve varsa ortaya çıkarılması ve gerekli önlemlerin alınması, güvenlik açıkları takip edilerek uygun güvenlik yamalarının yüklenmesi, güvenli kayıt tutma (loglama) sistemlerinin kullanılması, erişim ve kullanıcıların yetkilendirilmesi, bilişim sistemleri teçhizatı, yazılım ve kullanılan programlarda güncel olan, en yeni tekniklerin uygulanması,
- Bilişim sistemleri güvenliği için, donanımsal (sistemleri kullanacak personelin sınırlandırılması, belli kullanıcıları sisteme erişim izni verilmesi, sistem odasına sadece yetkili personelin girişinin sağlanması, yangın söndürme sistemi, vb) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler, güçlü parolaların kullanılması, veri yedekleme programlarının kullanılması, vb ) önlemler alınması,
- Saklama süresinin bitimi ve veri sahiplerinin başvuruları neticesi ya da mevzuatın gerektirdiği şekilde, silinen kişisel verilere bir daha erişim olmaması ve tekrar kullanılmaması için gerekli tedbirlerin alınması, uygulanacak yöntemlerin belirlenmesi, bunların düzenlemelerinin yapılarak kayıt altına alınması,
- Kişisel verilerin hukuka aykırı olarak elde edildiğinin tespiti halinde, veri sahibine ve ilgili yerlere bildirmek için gerekli tedbirlerin, ilgili birimlerin oluşturulması,
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa; evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı, gerekli önlemler alınması,
İdari Tedbirler
Kişisel veriler ve özel nitelikteki kişisel verilerle ilgili olarak alınan idari tedbirler, bu sayıla