KVKK Aydınlatma metni ve başvuru formu.
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1.GİRİŞ
TÜRKİYE SAĞLIK VE SOSYAL HİZMETLERİ KAMU GÖREVLİLERİ SENDİKASI (“VERİ SORUMLUSU”) kişisel verilerin korunması hususunda azami hassasiyet göstermekte ve kişisel veri sahiplerinin Türkiye Cumhuriyeti Anayasası ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KANUN”) ile koruma altına alınan haklarının korunması için gereken tüm tedbirleri almaktadır.
VERİ SORUMLUSU’nun merkezi, “Erzurum Mahallesi Talatpaşa Bulvarı No : 160 Kat:5 Çankaya-ANKARA” adresidir.
Kişisel Verilerin Korunması ve İşlenmesi Politikası (“POLİTİKA”), VERİ SORUMLUSU tarafından KANUN’da öngörülen kişisel verilerin işlenmesi ve korunmasına ilişkin düzenlemelere uyum hususunda uygulanacak olan ilkeleri ve kuralları ortaya koymak için hazırlanmıştır.
2.POLİTİKANIN AMACI VE KAPSAMI
Bu POLİTİKA ile VERİ SORUMLUSU tarafından işlenen kişisel verilerin; işlenme ilkelerinin, işlenmesinin yasal dayanaklarının ve işlenme amaçlarının, veri toplama yöntemlerinin; verilerin aktarılması, saklanması, anonimleştirilmesi, silinmesi, yok edilmesi ve veri güvenliğinin sağlanmasına ilişkin alınan önlemlerin ve ilgili kişilerin hakları ile bu hakları kullanma yöntemlerinin açıklanması amaçlanmaktadır.
VERİ SORUMLUSU tarafından kişisel verilerin güvenliğine ve gizliliğine önem verilmekte, bunların güvenli bir şekilde ve hukuka uygun olarak alınması, kaydedilmesi, işlenmesi, paylaşılması, korunması ve gerektiğinde silinmesi veya anonim hale getirilmesi konusunda gerekli idari ve teknik önlemler alınmaktadır.
Bu POLİTİKA ile VERİ SORUMLUSU’nun KANUN ile getirilen düzenlemelerin ve kişisel verilerin işlenmesinin disiplin altına alınması, içselleştirmesi ve bu düzenlemelere uygun davranmalarının sağlanması amaçlanmıştır.
POLİTİKA, VERİ SORUMLUSU’nun sahibi olduğu ve yönettiği tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır. VERİ SORUMLUSU tarafından faaliyet konusuna ilişkin olarak kişisel verileri işlenen bütün gerçek kişiler bu POLİTİKA’nın kapsamı içindedir. Tüzel kişilerin gerçek kişi yetkilileri ve çalışanlarına ait olan kişisel veriler de bu POLİTİKA kapsamındadır.
Kişisel verilerin korunması ve işlenmesi konusunda yürürlükte olan mevzuat uygulama alanı bulacaktır. Yürürlükte olan mevzuat ve işbu POLİTİKA arasında uyumsuzluk olması durumunda, VERİ SORUMLUSU yürürlükteki mevzuatın uygulanacağını kabul etmektedir.
3. VERİ SORUMLUSU TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kişisel veriler, VERİ SORUMLUSU tarafından özel hayatın gizliliği başta olmak üzere kişisel veri sahiplerinin temel hak ve özgürlükleri, mahremiyet ve bilgi güvenliği hakkı korunarak ilgili mevzuatta belirtilen şartlar dahilinde ve belli amaçlarla işlenmektedir.
VERİ SORUMLUSU KANUN’a uyum için gerekli tedbirleri almakta, uygulamalarını KANUN’a uygun hale getirmekte ve bu konuda farkındalığın oluşması için özen göstermektedir. Bu kapsamda kişisel veriler, burada sayılanlarla sınırlı olmamak üzere, VERİ SORUMLUSU tarafından aşağıdaki amaçlarla işlenmektedir:
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans Ve Muhasebe İşlerinin Yürütülmesi
• Fiziksel Mekan Güvenliğinin Temini
• Görevlendirme Süreçlerinin Yürütülmesi
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sağlığı Ve Güvenliği Faaliyetlerinin Yürütülmesi
• Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Talep / Şikâyetlerin Takibi
• Yönetim Faaliyetlerinin Yürütülmesi
• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
4.KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ
VERİ SORUMLUSU; kişisel verileri, her türlü sözlü, yazılı ve elektronik ortamda ve işbu POLİTİKA’da belirtilen amaçlar çerçevesinde:
• İlgili kişinin açık rızasının varlığı
• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Yukarıda sayılan hukuki sebeplerden bir veya birkaçına dayalı olarak otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla toplamakta, KANUN’da belirtilen şartlara uygun olarak işlemektedir.
5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER
Kişisel verilerin işlenmesinde, VERİ SORUMLUSU tarafından dikkate alınacak ilkeler aşağıda başlıklar halinde belirtilmiştir.
5.1. Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi
VERİ SORUMLUSU hukuka ve dürüstlük kuralına uygun olma ilkesi uyarınca veri işlemedeki amaçlarına ulaşmaya çalışırken, veri sahiplerinin çıkarlarını ve makul beklentilerini dikkate almaktadır. VERİ SORUMLUSU ayrıca veri işleme faaliyetini şeffaf şekilde gerçekleştirmekte, bilgilendirme ve uyarı yükümlülüklerine uygun hareket etmekte ve kişisel veriler VERİ SORUMLUSU faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama İlkesi
VERİ SORUMLUSU, kişisel verilerin doğru ve güncel bir şekilde tutulmasını sağlamakta ve bunun için gerekli tedbirleri almaktadır. Bu kapsamda VERİ SORUMLUSU, kişisel veri sahiplerinin kişisel verilerini düzeltme, doğruluğunu teyit etme ve güncelleştirmelerine yönelik bir sistem kurmuştur.
5.3. Belirli, Açık ve Meşru Amaçlar İçin İşleme İlkesi
VERİ SORUMLUSU, öncelikle kişisel verileri belirli şekilde, meşru ve hukuka uygun olarak işlemekte ve kişisel veri işleme amacını kişisel veri işleme faaliyetinden önce açık ve kesin olarak belirlemektedir.
5.4. Kişisel Verilerin, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması İlkesi
VERİ SORUMLUSU, işlenen verileri belirlenen amaçların gerçekleştirilebilmesine elverişli olarak ölçülü şekilde işlemekte, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulmaktadır.
5.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme İlkesi
VERİ SORUMLUSU kişisel verinin işlenmesi için öncelikle mevzuatta öngörülmüş bir süre varsa bu süreye riayet etmekte; şayet böyle bir süre öngörülmemişse kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verinin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, mevzuatta bir süre öngörülmüşse bu süre kadar, yoksa kişisel verinin işlendiği amaç için gereken süre kadar ilgili kişisel veri saklanmaktadır. Saklama sürelerinin sonunda kişisel veri, periyodik imha sürelerine veya ilgili kişinin başvurusuna göre ve belirlenmiş olan imha yöntemlerine göre silinmekte, yok edilmekte ya da anonim hale getirilmektedir.
VERİ SORUMLUSU ileride tekrar kullanılabileceğini düşünerek ya da herhangi bir başka gerekçe ile kişisel verileri muhafaza etme yoluna gitmemektedir.
6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler, VERİ SORUMLUSU tarafından KANUN’nun 5 ve 6. maddeleri ile ilgili mevzuata uygun olarak kişisel veri ve özel nitelikli kişisel veri ayrımı yapılarak işlenmektedir.
6.1. Kişisel Verilerin İşlenme Şartları
Kişisel veriler, VERİ SORUMLUSU tarafından KANUN’nun 5. maddesinde belirtilen kişisel veri işleme şartlarına uygun olarak işlenmektedir. Bu kapsamda VERİ SORUMLUSU kişisel veri işleme faaliyetlerini yürütürken faaliyetin bu şartlardan birinin kapsamına girip girmediğini değerlendirmekte ve bu şartlardan birine uygun olmayan kişisel veri işleme faaliyetini sonlandırmaktadır.
Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir:
• Açık Rızasının Bulunması
Kişisel veriler, ilgili kişinin bilgilendirilmeye dayalı ve özgür iradeye dayalı açık rızasının varlığı durumunda işlenebilmektedir. Bunun için kişisel veri sahiplerinin ispata elverişli yöntemler ile açık rızaları alınmaktadır.
İlgili kişinin açık rızası olmasa da aşağıdaki şartlardan herhangi birinin varlığı durumunda kişisel veriler işlenebilmektedir.
• Kanunlarda Açıkça Öngörülmesi
Kanunlarda açıkça öngörüldüğü durumlarda VERİ SORUMLUSU bu hüküm kapsamında kişisel verileri işleyebilmektedir.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
Kanuna göre fiili imkânsızlık halinde, kişisel verilerin işlenebilmesi için ilgili kişinin veya üçüncü bir kişinin hayatı veya beden bütünlüğünün korunması bakımından zorunluluk bulunmalıdır. Örneğin, hürriyeti kısıtlanan bir kişinin kurtarılması amacıyla kendisinin veya şüphelinin taşımakta olduğu telefon, bilgisayar, kredi kartı, banka kartı veya diğer teknik bir araç üzerinden yerinin belirlenmesi için bu verilerin işlenmesi gibi.
• Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür. Örneğin, bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarasının alınması veya sözleşme gereği satıcının, malı teslim borcunu yerine getirmesi için alıcının adresini kaydetmesi ya da işverenin maaş ödemesini gerçekleştirmek amacıyla çalışanların banka bilgilerini elinde bulundurması, bu kapsamda değerlendirilebilecektir.
• Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi İçin Zorunlu Olması
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.
• Kişisel Verilerin İlgili Kişi Tarafından Alenileştirilmiş Olması
İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir.
• Kişisel Verilerin İşlenmesinin Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür. Örneğin, bir şirketin kendi çalışanı tarafından açılan bir davada ispat için bazı verileri kullanması ya da kısıtlı bir kişinin haklarının korunması amacıyla vasisinin veya kayyumun, kısıtlının mali bilgilerini tutması gibi. Ayrıca, sözleşme sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması bu kapsamda değerlendirilecektir.
• Veri Sorumlusunun Meşru Menfaati İçin Zorunlu Olması
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür.
6.2. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Özel nitelikli kişisel veriler KANUN’nun 6. maddesinde belirtildiği üzere; Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. KANUN gereğince;
Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. VERİ SORUMLUSU KANUN’da “özel nitelikli kişisel veri” olarak belirlenen kişisel verilerin korunmasında daha hassas ve özenli davranmaktadır.
7.KİŞİSEL VERİLERİ İŞLENEN KİŞİLER
İlgili kişi kategorileri aşağıdaki tabloda gösterilmiştir.
İLGİLİ KİŞİ AÇIKLAMA
ÇALIŞAN Çalışanları ifade eder.
ÇALIŞAN ADAYI Çalışan adayını ifade eder.
POTANSİYEL ÜRÜN VEYA HİZMET ALICISI Hizmetlerden faydalanacak potansiyel kişileri ifade eder.
STAJYER Stajyer görevli çalışan personelleri ifade eder.
VELİ / VASİ / TEMSİLCİ İlgili kişilere temsilcilik eden kişileri ifade eder.
TEDARİKÇİ YETKİLİSİ Tedarikçi yetkililerini ifade eder.
TEDARİKÇİ ÇALIŞANI Tedarikçi çalışanlarını ifade eder.
ÜRÜN VEYA HİZMET ALAN KİŞİ Hizmetlerden faydalanan kişileri ifade eder.
ZİYARETÇİ Binayı ziyarete gelen kişileri ifade eder.
8.VERİ KATEGORİLERİ
VERİ SORUMLUSU tarafından kişisel veri işleme amaçlarına uygun olarak belirlenen veri kategorileri aşağıda gösterilmiştir.
VERİ KATEGORİSİ AÇIKLAMA
Kimlik Kişilerin adı, soyadı, T.C. kimlik numarası, uyruk, pasaport, doğum yeri, doğum tarihi, kimliklerinde yer alan bilgileri kimlik verileridir.
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi verilerdir.
İletişim Kişinin adresi, telefon numarası, e-posta adresi, KEP adresi gibi iletişim için kullanılan bilgileri iletişim verileridir.
Özlük Kişinin özlük dosyasında yer alan bilgilerdir. Bordro bilgileri, disiplin soruşturması, adli sicil kayıt bilgileri, işe giriş-çıkış kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları gibi bilgiler bu kategoride değerlendirilir.
Hukuki İşlem Adli makamlarla yapılan yazışmalardaki bilgiler, dava dosyasındaki bilgiler bu kategoride değerlendirilir.
Sağlık Bilgileri Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi sağlık verilerinden oluşmaktadır.
Finans Kişilerin Banka Bilgileri, IBAN No’su, hesap bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri finansal veridir.
Mesleki Deneyim Diploma bilgileri, eğitim sertifikaları, katılım belgeleri, gidilen kurslar, belirli bir konuya ilişkin uzmanlık belgeleri, daha önce çalışılan iş ve iş tecrübelerine ilişkin bilgiler, gerçekleştirilen projeler vb. Mesleki deneyim verisidir.
Görsel ve İşitsel Veriler Video kayıtları, fotoğraflar, ses kayıtları, kamera görüntüleri görsel ve işitsel verileri oluşturur.
Fiziksel Mekan Güvenliği Başkanlık binası ve Başkanlık bünyesindeki konumların güvenliği amacıyla alınan kamera kayıtlarını ifade eder.
Sendika bilgisi Personellerin sendika bilgisini ifade eder.
9. VERİ SORUMLUSU’NUN YÜKÜMLÜLÜKLERİ
VERİ SORUMLUSU’nun, kişisel verilerin işlenmesi açısından KANUN ve ilgili mevzuat çerçevesindeki yükümlükleri aşağıdaki şekildedir:
9.1. Aydınlatma Yükümlülüğü
VERİ SORUMLUSU kişisel verilerin elde edilmesi sırasında veri sahiplerini, verilerinin ne şekilde işleneceği konusunda aydınlatmaktadır.
KANUNnun 10. maddesi kapsamında VERİ SORUMLUSU kişisel veri sahiplerine;
• VERİ SORUMLUSU’nun Bilgisi,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebepleri,
• İlgili kişinin KANUN’un 11. maddesinde sahip olduğu haklar, konusunda bilgi vermektedir.
VERİ SORUMLUSU işbu yükümlülük gereğince, hazırlamış olduğu aydınlatma metni ile ilgili kişileri bilgilendir ve söz konusu bilgilendirme ilgili kişi ile ilk iletişime geçildiği anda yapılır.
9.2. Kişisel Verilerin Güvenliğine İlişkin Yükümlülükler
VERİ SORUMLUSU KANUN’un 12. maddesine uygun olarak;
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak,
Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.
VERİ SORUMLUSU, Kişisel Verileri Koruma Kurumunun veri güvenliğine ilişkin yükümlülükler hakkındaki rehberleri uyarınca veri güvenliğine ilişkin yükümlülüklerini yerine getirmek amacıyla gerekli özeni göstermekte ve gerekli idari ve teknik tedbirleri almaktadır.
VERİ SORUMLUSU bünyesinde KANUN hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmaya veya yaptırmaya yönelik sistemleri oluşturmaktadır. Bu kapsamda gerekli olan organizasyon yapısı VERİ SORUMLUSU tarafından kurulmaktadır. Söz konusu denetim sonuçları VERİ SORUMLUSU bünyesinde oluşturulan organizasyon yapısı içinde değerlendirilerek gerekli önlemler alınmaktadır.
VERİ SORUMLUSU bu kapsamda kişisel verilerin hukuka uygun olarak işlenmesi, muhafazasının sağlanması ve kişisel verilere hukuka aykırı olarak erişimi engellemek için aşağıdaki teknik ve idari tedbirleri almaktadır:
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Gizlilik taahhütnameleri yapılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Şifreleme yapılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
VERİ SORUMLUSU, her türlü idari ve teknik tedbirler alınmasına rağmen işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu öğrendiği tarihten itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kuruluna bildirir. Söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılır.
9.3. Kişisel Veri Sahipleri Tarafından Yapılan Başvuruların Sonuçlandırılması Yükümlülüğü
VERİ SORUMLUSU, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KANUN’un 13. maddesi uyarınca kişisel veri sahipleri tarafından yapılan başvuruları cevaplandırmakla yükümlüdür.
Kişisel veri sahipleri, bu çerçevede KANUN’un uygulanması ile ilgili taleplerini yazılı olarak veya aşağıda belirtilen diğer yöntemlerle VERİ SORUMLUSU’na iletebilirler.
BAŞVURU YÖNTEMİ BAŞVURUDA GEREKENLER BAŞVURU ADRESİ DİĞER İSTENENLER
Şahsen Başvuru VERİ SORUMLUSU’nun faaliyet gösterdiği adrese kimliğinizi doğrulayarak şahsen veya vekâletname ibraz etmek suretiyle bir vekil aracılığıyla başvuruda bulunabilirsiniz. Başvuru, başvuru formu veya bir dilekçe ile yapılabilir; ancak ıslak imzalı olmalıdır. TÜRKİYE SAĞLIK VE SOSYAL HİZMETLERİ KAMU GÖREVLİLERİ SENDİKASI
Erzurum Mahallesi Talatpaşa Bulvarı No : 160 Kat:5 Çankaya-ANKARA
Başvuru kapalı zarf ile yapılmalı, zarfın üzerine “Kişisel Verilerin Korunması Kanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır.
Posta Yoluyla Başvuru Islak imzalı başvuru formu veya dilekçe posta yoluyla gönderilerek de başvuruda bulunulabilir. Noter onaylı imza sirküsü ile başvuru vekil aracılığıyla yapılmışsa vekâletnamenin aslının da zarfa konulması gereklidir. TÜRKİYE SAĞLIK VE SOSYAL HİZMETLERİ KAMU GÖREVLİLERİ SENDİKASI
Erzurum Mahallesi Talatpaşa Bulvarı No : 160 Kat:5 Çankaya-ANKARA
Zarfın üzerine “Kişisel Verilerin Korunması Kanununu Kapsamında Bilgi Talebi” ibaresi yazılmalıdır.
Noter Yoluyla Başvuru Bizzat veya vekil aracılığıyla noter kanalıyla başvuru da yapılabilir. Bu başvuruda cevabın hangi yöntemle alınmak istendiği de belirtilmelidir. TÜRKİYE SAĞLIK VE SOSYAL HİZMETLERİ KAMU GÖREVLİLERİ SENDİKASI
Erzurum Mahallesi Talatpaşa Bulvarı No : 160 Kat:5 Çankaya-ANKARA
VERİ SORUMLUSU, kişisel veri sahipleri tarafından kendisine iletilen KANUN’un uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, VERİ SORUMLUSU, işlemin ayrıca bir maliyet gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.
Başvuran ilgili kişinin kimliğini ispat edecek olan belge ve dokümanlarla başvuruda bulunması gerekmektedir. Bu belgelerin teyidi yapılmaksızın başvuruya olumlu cevap verilmez.
Başvuran tarafından aksi belirtilmedikçe başvuruda kullanılan yöntem ile VERİ SORUMLUSU tarafından cevap verilir.
VERİ SORUMLUSU, ilgili kişinin talebini kabul edebilir veya gerekçesini açıklayarak reddedebilir ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin VERİ SORUMLUSU tarafından kabul edilmesi halinde gereği yine VERİ SORUMLUSU tarafından yerine getirilir. Başvurunun VERİ SORUMLUSU’nun hatasından kaynaklanması halinde varsa alınan ücret ilgili kişiye iade edilir.
VERİ SORUMLUSU tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde; ilgili kişi, VERİ SORUMLUSU’nun cevabını öğrendiği tarihten itibaren otuz ve herhalde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
9.4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü
VERİ SORUMLUSU, veri işlemeye başlamadan önce Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilecek süre içinde, KANUN’da sayılan başvuru bilgi ve belgeleri ile birlikte Veri Sorumluları Sicili ’ne kayıt olur. Veri işleme koşullarındaki değişiklik halinde Veri Sorumluları Sicilinde ilgili değişiklikler gerçekleştirilir.
10.İLGİLİ KİŞİ HAKLARI
İlgili kişiler KANUN’un 11. maddesinde belirtilen ve aşağıda yer alan haklara sahiptirler:
• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verileri eksik veya yanlış işlenmişse bunların düzeltilmesini isteme, KANUN’da öngörülen şartlar çerçevesinde bunların silinmesini veya yok edilmesini ve bu işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
Kişisel veri sahiplerinin bu haklarını kolaylıkla kullanmaları için VERİ SORUMLUSU tarafından her türlü önlem alınmaktadır. Ancak Kişisel Verileri Koruma Kurumunun yayınlamış olduğu Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca kişisel veri sahiplerinin başvurularında aşağıdaki bilgilerin bulunması zorunlu görülmüştür:
• Ad, soyad ve başvuru yazılı ise imza,
• Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası,
• Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
• Tebligata esas yerleşim yeri veya iş yeri adresi,
• Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
• Talep konusu.
Yukarıdaki bilgileri içeren bir dilekçeyi kişisel veri sahipleri kendileri hazırlayabilecekleri gibi VERİ SORUMLUSU olarak bizden veya cankiri.gov.tr web adresinden edinecekleri başvuru formunu kullanarak da haklarını kullanabilirler.
Kişisel veri sahiplerinin eksik bilgi içermeyen başvuruları, otuz günü geçmemek üzere hukuka ve dürüstlük kurallarına uygun olarak VERİ SORUMLUSU tarafından sonuçlandırılır. Başvuruda eksik bilgi bulunması durumunda ek bilgiler ilgili kişiden talep edilerek başvuru cevaplandırılır.
Öte yandan ilgili kişinin ancak açık rızası ile işlenebilecek veriler açısından, ilgili kişi vermiş olduğu açık rızayı her zaman geri çekme hakkına sahiptir. Bu durumda bu tür kişisel veriler; silinir, yok edilir veya anonim hale getirilir.
11.KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
VERİ SORUMLUSU, kişisel verileri ilgili mevzuatta belirtilen süre boyunca saklamaktadır. Mevzuatta kişisel verilerin saklanmasına ilişkin herhangi bir süre öngörülmemiş ise, kişisel veriler ticari hayatın teamülleri gereğince işlenmesinin gerektiği ya da işlendikleri amaç için gerekli olan süre kadar işlenmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verinin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, mevzuatta bir süre öngörülmüşse bu süre kadar, yoksa kişisel verinin işlendiği amaç için gereken süre kadar ilgili kişisel veri saklanmaktadır. Saklama sürelerinin sonunda kişisel veri, periyodik imha sürelerine veya ilgili kişinin başvurusuna göre ve belirlenmiş olan imha yöntemlerine göre silinmekte, yok edilmekte ya da anonim hale getirilmektedir.
12.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
VERİ SORUMLUSU tarafından KANUN ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel veriler, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re ’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verileri Koruma Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde;
• İlgili mevzuatta kişisel verilerin işlenmesinde uyulması gerekli görülen genel ilkelere,
• Veri sorumlularının veri güvenliğine ilişkin yükümlülükleri kapsamında alınması gereken idari ve teknik tedbirlere,
• Kişisel Verileri Koruma Kurulu kararlarına,
• Kişisel verilerin saklanma ve imha politikasına uygun hareket edilmektedir.
VERİ SORUMLUSU, ayrıca Kişisel Verileri Saklama ve İmha Politikası kapsamında ayrıntılı olarak ele alınacak teknik ve idari tedbirleri de almaktadır.
12.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
VERİ SORUMLUSU, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır.
12.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. VERİ SORUMLUSU, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.
12.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiyi işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır.
VERİ SORUMLUSU, kişisel verilerin silinmesi veya yok edilmesi yerine anonim hale getirilmesi sürecinde gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve Kişisel Verileri Koruma Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.
13. VERİ SORUMLUSU TARAFINDAN KİŞİSEL VERİLERİN AKTARILMASI
VERİ SORUMLUSU, KANUN ile uyumlu olarak ve kişisel veri işleme amaçları çerçevesinde kişisel veri sahiplerinin kişisel verilerini yetkili kurum ve kuruluşlara, hizmet sağlayıcılarımıza ve ilgili kişilere aktarabilmektedir.
13.1. Kişisel Verilerin Yurt İçinde Aktarılması
Kişisel verilerin yurt içinde aktarılması için KANUN madde 8 Uyarınca, aşağıdaki şartlardan en az birinin sağlanması durumunda ilgili kişinin açık rızası olmasa da kişisel veriler aktarılabilmektedir:
• İlgili kişinin açık rızasının varlığı
• Kanunlarda açıkça öngörülmesi
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
• Bir sözleşmenin kurulması veya ifasıyla doğudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• İlgili kişinin kendisi tarafından alenileştirilmiş olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
• İlgili kişinin temek hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Yukarıdaki durumlardan biri mevcut değilse, kişisel veri aktarımının yapılabilmesi için ilgili kişinin açık rızasının alınması gerekmektedir.
Özel nitelikli kişisel verilerin yurt içinde aktarılabilmesi için ise aşağıdaki hallerden birinin bulunması gerekmektedir:
• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.
Yukarıda belirtilen durumlar dışında VERİ SORUMLUSU tarafından kişisel veriler, üçüncü kişilere hiçbir şekilde aktarılmamaktadır.
Kişisel verilerin işlenme şartları ve veri işleme amaçlarımıza uygun olarak kişisel veriler; en iyi şekilde hizmet verilebilmesi amacıyla tedarikçilerimize, hizmet sağlayıcılarımıza ve yasal yükümlülüklerin yerine getirilmesi amacıyla; gerektiğinde yetkili kurum ve kuruluşlara aktarılabilmektedir.
13.2. Kişisel Verilerin Yurt Dışına Aktarılması
KANUN madde 9’a göre yurtdışına veri aktarımı aşağıdaki durumlarda gerçekleştirilebilir:
• Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
• Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
• Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
o Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
o Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
o Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
o Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
o Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
o Türkiye’nin taraf olduğu uluslararası sözleşmeler.
• Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
o Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
o Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
o Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
o Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
• Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
• Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
o İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
o Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
o Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
o Aktarımın üstün bir kamu yararı için zorunlu olması.
o Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
o Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
o Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
• Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
• Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.
• Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
• Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
14. VERİ SORUMLUSU BÜNYESİNDE KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ ORGANİZASYON YAPISI
VERİ SORUMLUSU organizasyon yapısında işbu POLİTİKA ile korunan esaslar ve değerler kapsamında ve işbu POLİTİKA ile bu POLİTİKA’ya bağlı ve ilişkili diğer politikaları yönetmek üzere “Veri Sorumlusu Üst Yönetimi” ,“Veri Sorumlusu İrtibat Kişisi” ve “Kişisel Verilerin Korunması Komitesi’nden oluşan üç farklı rol bulunmaktadır.
14.1. VERİ SORUMLUSU ÜST YÖNETİMİ
KVKK Üst Yönetimi VERİ SORUMLUSU Yönetimini ifade eder. KVKK Üst Yönetimi’nin aşağıda belirtilen görev ve sorumlulukları bulunmaktadır:
• Veri Sorumlusu İrtibat Kişisinin ve birimlerin görevlerini KANUN’a, ilgili diğer mevzuata ve VERİ SORUMLUSU’nun politika belgelerine uygun olarak yerine getirip getirmediğinin denetlenmesini koordine eder.
• VERİ SORUMLUSU ile ilgili çalışmaların gerçekleştirilmesi, KANUN uyum süreçlerinin yürütülmesini koordine eder.
14.2. Veri Sorumlusu İrtibat Kişisi
Veri Sorumlusu İrtibat Kişisinin aşağıda belirtilen görev ve sorumlulukları bulunmaktadır:
• Veri Sorumlusu İrtibat Kişisi VERİ SORUMLUSU’ nun resmi ve iç denetim süreçlerinde Veri Sorumlusunu temsil eder, gerekli görülen iş ve işlemlerin yerine getirilmesini ve sonuçlandırılmasını sağlar.
• VERİ SORUMLUSU’nu Kişisel Verileri Koruma Kurumu ile iletişimde temsil eder.
• Herhangi bir veri ihlalinin söz konusu olması halinde VERİ SORUMLUSU ve Kişisel Verilerin Korunması Komitesini bilgilendirerek gerekli iş ve işlemlerin yapılmasına öncülük eder. Bu alanda gerekli bildirimlerin usulüne uygun bir şekilde yapılmasını sağlar.
• VERİ SORUMLUSU’nun VERBİS kayıtlarında herhangi bir değişiklik olması halinde meydana gelen değişiklikleri gecikmeksizin VERBİS üzerinden Kişisel Verileri Koruma Kurumuna bildirir.
• Veri Sorumlusu ve ilgili birim veya kişilerin veri işleme faaliyetlerinde meydana gelen değişiklik ve düzenleme bildirimlerini Kişisel Verilerini Korunması Komitesi ile birlikte değerlendirerek envanterde gerekli güncellemelerin yapılmasını sağlar.
• Kendisine işbu POLİTİKA ve diğer politika ve belgelerde verilen diğer görevleri yerine getirir.
14.3. Kişisel Verilerin Korunması Komitesi
Kişisel Verilerin Korunması Komitesi VERİ SORUMLUSU içerisindeki birim sorumlularından teşekküldür. Kişisel Verilerin Korunması Komitesi’nin kişisel verilerin korunması ve işlenmesi bakımından görevleri şunlardır:
• Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları hazırlamak ve VERİ SORUMLUSU’nun KANUN kapsamındaki yükümlülüklerini yerine getirmesi için VERİ SORUMLUSU içinde gerekli düzenlemeleri yapmak,
• Belirlenen temel politika ve aksiyon adımlarını hazırlamak ve icrasını sağlamak,
• VERİ SORUMLUSU’nun kişisel veri politikasının mevzuatla uyumunu sağlamak ve takibini yapmak,
• Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların uygulanmasını sağlamaya yönelik gerekli görevlendirmelerin yapılmasını sağlamak,
• VERİ SORUMLUSU’nun kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmeyi sağlamak,
• VERİ SORUMLUSU çalışanlarının kişisel verilerin korunması ve işlenmesi ve ayrıca bu konuda oluşturulan Politikalar konusunda eğitim almalarının temin edilmesini sağlamak,
• Kişisel veri sahiplerinin başvurularını karara bağlamak,
• Kişisel Verileri Koruma Kurumu ve Kişisel Verileri Koruma Kurulu ile olan ilişkileri İrtibat Kişisi ile birlikte yönetmek.
15.RİSK ANALİZİ VE POLİTİKA DIŞI UYGULAMALAR
VERİ SORUMLUSU iç denetim mekanizmaları aracılığıyla bünyesinde düzenli olarak gerçekleştirilen denetimler neticesinde ortaya çıkan risk bulguları, Kişisel Verilerin Korunması Komitesi tarafından değerlendirilir. Tespit edilen riskler için yapılması gerekenler Kişisel Verilerin Korunması Komitesi tarafından değerlendirilerek gerekli idari ve teknik tedbirleri alması için ve Veri Sorumlusu Üst Yönetimi bilgilendirilir.
POLİTİKA kapsamında yer alanlar dışında kişisel verilerin korunması ve işlenmesi açısından farklı durum ve uygulamaların bulunduğu tespitini yapan kişiler, Kişisel Verilerin Korunması Komitesi’ne yazılı olarak bilgi verirler.
16.POLİTİKANIN YÜRÜRLÜĞÜ
VERİ SORUMLUSU tarafından kişisel verilerin işlenmesi faaliyetlerinde uygulanmak üzere yürürlükteki mevzuatla uyumlu olarak hazırlanan bu POLİTİKA, VERİ SORUMLUSU kararı ile yürürlüğe konulmuştur.
Bu POLİTİKA VERİ SORUMLUSU’nun internet sayfasında yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Bu POLİTİKA, kurumsal ya da mevzuattan kaynaklanan içerik değişiklik gereksinimlerine bakılmaksızın yılda bir kez gözden geçirilip gerektiğinde güncellenir. Güncel versiyon, VERİ SORUMLUSU’nun internet sayfasında yayınlanır.
VERİ SORUMLUSU; KANUN ve Kişisel Verileri Koruma Kurulu kararları uyarınca ya da mevzuattaki gelişmeler doğrultusunda işbu POLİTİKA ve bu POLİTİKA’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
POLİTİKA ’da yapılan değişiklikler, derhal metne işlenir ve yayımlanarak yürürlüğe girer.