KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. DEĞİŞİKLİK KAYDI

REVİZYON NO	TARİH	DEĞİŞİKLİK NEDENİ, KONUSU VE ONAYI
00	20.10.2020	İlk Yayın
01	18.08.2020	Format değişikliği
02
03
Hazırlayan		Kurumsal Servisler Direktörü
Kontrol Eden/Onaylayan		Yönetim Temsilcisi
Gözden Geçirme		Prosedür iki yılda bir, prosedüre bağlı doküman ve kayıtlar her yıl

2. AMAÇ

ICRON Teknoloji Bilişim A.Ş. (ICRON veya Şirket veya Biz) 07.04.2016 tarihli Resmi Gazete’de yayımlanarak 07.10.2016 tarihi itibariyle tüm hükümleriyle yürürlüğe giren “Kişisel Verilerin Korunması Kanunu”na (KVKK ya da Kanun) tam uyumun sağlanması için gerekli olan hassasiyeti en üst düzeyde göstermektedir. Bu kapsamda kişisel verilerin de hukuka uygun olarak işlenmesini ve korunmasını önemsemekte ve öncelikleri arasına almaktadır. İşbu sebeple ICRON, kişisel verilerin işlenmesi ve korunması faaliyetlerine ilişkin olarak sizleri şeffaf bir şekilde bilgilendirmek adına “Kişisel Verilerin İşlenmesi Ve Korunması Politikası”nı (Politika) hazırlamıştır.

3. KAPSAM

İşbu Politika, kişisel verilerin işlenmesi ve korunmasına ilişkin olarak ICRON tarafından kişisel verisi işlenen EK-1’de listesi yer alan ilgili kişilere açıklamalarda bulunmak amacıyla hazırlanmış olup, bu kapsamda kişisel verileri ICRON tarafından işlenen işbu ilgili kişiler, hangi kişisel verilerinin, hangi amaçla işlendiği, bu verilerinin hangi amaçlarla kimlere aktarılabileceği, kişisel verilerinin korunmasına yönelik hangi idari ve teknik tedbirlerin alındığı, kişisel verileri üzerinde sahip olduğu hakların neler olduğu ve bu haklara yönelik taleplerine ilişkin başvuru yöntemleri ve diğer hususlarda bilgilendirilmektir. Bu şekilde Şirket tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve işbu ilgili kişilerin kişisel verilerine dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir. ICRON çalışanlarının ve danışmanlarının kişisel verilerinin işlenmesi ve korunması faaliyetlerine ilişkin bilgilendirme “Çalışan Kişisel Verilerinin İşlenmesi Ve Korunması Politikası”nda yer almaktadır.

4. SORUMLULUK
- 4.1 Genel Müdür ve İcra Kurulu

Şirket stratejileri doğrultusunda 6698 sayılı yasanın gerekliliklerinin ICRON süreçlerinde karşılanmasını sağlamak üzere gerekli kaynakların tahsisini sağlamak, gerekirse yatırım kararı almak.

4.2 Kurumsal Servisler Direktörü

6698 sayılı KVKK kapsamında süreci yönetmek, tüm şirketin uyumu için gerekli kararların alınmasını ve işletilmesini sağlamak.

4.3 Tüm Bölüm Yöneticileri

6698 sayılı KVKK kapsamında gereksinim duyulan iyileştirme faaliyetlerine destek vermek, kendi süreçleri içinde yer alan kişisel verilerin güvenliğini prosedüre uygun gerçekleştirmek.

TANIMLAR VE KISALTMALAR

İşbu Politika’da yer alan tanımlar aşağıdaki gibidir:

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

İlgili Kişi: Kişisel verisi islenen gerçek kişiyi, (işbu Politika kapsamında çalışanlar ve danışmanların haricinde ICRON tarafından kişisel verisi işlenen EK-1’de listesi yer alan kişileri)

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri (ÖNKV): Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Kurum: Kişisel Verileri Koruma Kurumu’nu,

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

Bu Politika’da yer almayan tanımlar için Kanun’daki ve ikincil düzenlemelerdeki tanımlar geçerlidir.

6. UYGULAMA
- 6.1 Kişisel Verilerin İşlenmesinde Genel İlkeler

KVKK’nun 4. maddesinde kişisel verilerin işlenmesi için uyulması gereken genel ilkeler düzenlenmektedir. ICRON, kişisel veri işleme faaliyetleri kapsamında öncelikli olarak aşağıda açıklanan işbu genel ilkelere uygun şekilde hareket etmektedir.

Hukuka ve dürüstlük kurallarına uygun olma: ICRON, her türlü kişisel veri işleme sürecinde yürürlükte bulunan mevzuata uygun şekilde hareket etmekte ve dürüstlük kurallarına uymaktadır.

Doğru ve gerektiğinde güncel olma: ICRON, sizlerin kişisel verilerinin doğru ve güncel duruma uygun olması için gerekli tedbirleri almakta, güncellenmesi için olanak sağlamakta ve verilerin veri tabanlarına doğru şekilde aktarımını temin için gerekli önlemleri almaktadır.

Belirli, açık ve meşru amaçlar için işlenme: ICRON, kişisel veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak sizleri aydınlatma metinleri aracılığıyla açık bir şekilde bilgilendirmektedir.

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: ICRON tarafından kişisel veriler, temin edildikleri sırada sizlere bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.

İlgili mevzuatta öngörülen veya islendikleri amaç̧ için gerekli olan süre kadar muhafaza edilme: ICRON kişisel verilerinizi yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza etmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, “ICRON Teknoloji Bilişim A.Ş. Kişisel Veri Saklama ve İmha Politikası” doğrultusunda silinmekte, yok edilmekte ve anonim hale getirilmektedir.

6.2 Kişisel Verilerin İşlenme Şartları

KVKK’nın 5. maddesinde kişisel verilerin işlenme şartları, 6. maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmektedir. KVKK işbu maddelerde yazılı hallerde ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebilmesini öngörmüş ve bu işlemenin de hukuka uygun olmasına imkân tanımıştır. Bu işlenme şartları kişisel verinin özel nitelikli kişisel veri olup olmamasına ya da özel nitelikli kişisel veriler arasından sağlık ve cinsel hayata ilişkin kişisel veri olup olmamasına göre değişmektedir. Özel nitelikli kişisel veriler bireyler arasında ayrımcılık potansiyelini barındıran, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağduriyetine sebebiyet verebilecek olan verilerdir ve KVKK bu verilerin işlenmesinde Kurul tarafından belirlenecek yeterli önlemlerin alınmasını şart koşmuştur.

KVKK m.5/2 ve KVKK m. 6/3 hükümlerinde düzenlenen açık rıza aranmaksızın kişisel verilerin işlenebileceği haller aşağıda olup, ICRON, öngörülen işbu durumların haricinde açık rızanıza istinaden kişisel verilerinizi işleyebilmektedir.

KVKK m. 5/2’ye göre aşağıdaki şartlardan birinin varlığı halinde açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür:

Kanunlarda açıkça öngörülmesi.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KVKK 6/3’e göre aşağıdaki durumlarda Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla açık rıza aranmaksızın özel nitelikli kişisel verilerin işlenmesi mümkündür:

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

6.3 Kişisel Verilerin Yurt İçine Ve Yurt Dışına Aktarılma Şartları

KVKK’nın 8. maddesi kişisel verilerin yurt içindeki 3. kişilere, 9. maddesi ise yurt dışındaki 3. kişilere aktarılması hususlarını düzenlemektedir.

KVKK’nın 8. maddesine göre kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, kişisel veriler ilgili kişinin rızası olmaksızın ancak a) KVKK m.5/2, b) yeterli önlemler alınmak kaydıyla KVKK m. 6/3 hükümlerinde yer alan şartlardan birinin varlığı halinde yurt içindeki 3. kişilere aktarılabilecektir.

KVKK’nın 9. maddesine göre ise kişisel veriler açık rıza aranmaksızın ancak KVKK m.5/2 ile KVKK m. 6/3 hükümlerinde yer alan şartlardan birinin varlığı ve kişisel verilerin aktarılacağı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla yurt dışına aktarılabilir.

6.4 Toplama Yöntemleri ve Toplanan Kişisel Verileriniz

Kişisel verileriniz ICRON tarafından, sayılanlar ile sınırlı olmamak üzere; şirketimize ulaştırmak üzere CV’lerinizi vermiş/iletmiş olduğunuz çalışanlarımız/danışmanlarımız/tedarikçilerimiz kanalıyla, yine elden, elektronik posta, sosyal medya yoluyla ya da web sitesi üzerinden ilettiğiniz CV’leriniz, doldurarak teslim ettiğiniz/ilettiğiniz “iş başvuru formu/formlar, internet sitesinde girdiğiniz ve/veya görüşmeler sırasında sözlü olarak ya da elden ya da paylaştığınız kartvizitinizden ve/veya elektronik posta yoluyla bizzat iletmiş/paylaşmış olduğunuz ve/veya işvereniniz tedarikçiler tarafından iletilmiş/paylaşılmış bilgiler/belgeler, yine çalışan adaylarımızdan, aile üyeniz/yakınınız olan çalışanlarımız/danışmanlarımızdan, tedarikçilerimizden, ürün veya hizmet alan kişi yani müşterilerimizden sözlü olarak ya da elden ya da elektronik ortamdan ya da elektronik posta yoluyla iletilmiş/paylaşılmış bilgiler/formlar/belgeler üzerinden fiziki ve elektronik ortamlar aracılığıyla yine doldurduğunuz webinar kayıt formları üzerinden fiziki ve elektronik ortamlar aracılığıyla ve gerek tarafımıza ait gerekse 3. taraf çerezleri dahil diğer fiziki ve elektronik ortamlar (ropörtajlar sırasında ses/görüntü kaydedici cihazlar vs.) aracılığıyla otomatik ve otomatik olmayan yollarla toplanmakta ve toplanan kişisel verileriniz ICRON’dan talep ettiğiniz ürün hizmete, ICRON tarafından yürütülecek faaliyetler ve kanuni yükümlülüklere göre değişmektedir. Toplanan kişisel veri kategorileri ve ilgili veri kategorilerinin açılımları işbu Politika’nın ekinde (EK-2) yer almaktadır. Kişisel verisi işlenen ilgili kişiye göre işbu kişisel veri kategorileri içerisinde yer alan bilgiler değişiklik gösterebilmektedir.

6.5 Kişisel Verilerinizi İşleme Amaçlarımız

Elde edilen kişisel verileriniz ICRON tarafından KVKK’da öngörülen genel ilkelere uygun olarak; KVKK’nın 5 ve 6. maddelerinde belirtilen işleme şartları dahilinde EK-3’de sayılan amaçlar ile işlenmektedir.

6.6 Kişisel Verilerinizin Aktarılması

ICRON kişisel verilerinizin 3. kişilerle paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla KVKK’da düzenlenen şartlara uymakta, kişisel verilerinizi KVKK’da öngörülen şartlar haricinde açık rızanız temin edilmeksizin 3. kişilerle paylaşmamaktadır.

Bu çerçevede ICRON tarafından hukuka uygun olarak işlenen kişisel verileriniz; aşağıda EK-4’de belirtilen alıcı gruplarına KVKK’nın 8 ve 9. maddelerinde belirtilen işleme şartları çerçevesinde aktarılabilmektedir.

Kişisel verilerinizin paylaşıldığı bu durumlarda ICRON verilerin paylaşıldığı tarafın bu Politika’da yer alan kurallara ve mevzuatta yer alan hükümlere uygun şekilde işleme ve aktarım faaliyetinde bulunması için gerekli önlemleri alır.

6.7 Kişisel Verilerinizin Saklanması

Şirketimiz tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin resen vermiş olduğu karar veya talebinize istinaden silinir, yok edilir veya anonim hale getirilir. Şirketimiz, kişisel verilerinizin saklama sürelerini belirlerken yürürlükte bulunan mevzuatı ve işleme faaliyetine konu olan kişisel verilerinizin işleme amaçlarını göz önünde tutarak tespit yapmaktadır. Bu kapsamda kişisel verilerinizin işleme faaliyetine ilişkin yasal yükümlülükler ile ilgili zamanaşımı süreleri söz konusuysa mutlaka dikkate alınmaktadır. Kişisel veri işleme amacının ortadan kalkması halinde ise, kişisel verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinmekte, yok edilmekte ve anonim hale getirilmektedir. Detaylı bilgi ICRON’un, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı “ICRON Teknoloji Bilişim A.Ş. Kişisel Veri Saklama ve İmha Politikası”nda mevcuttur.

6.8 Sahip Olduğunuz Haklarınız Ve Bu Hakların Kullanılması

KVKK’nun 11. maddesine göre ilgili kişi olarak;

a) Kişisel verinizin şirketimiz tarafından işlenip işlenmediğini öğrenme,

b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,

f) d) ve e) bentlerinde yapılan işlemlerin, kişisel verilerin aktarıldığı 3.kişilere bildirilmesini isteme,

g) Kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkması durumunda itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle herhangi bir zarara uğramanız hâlinde zararın giderilmesini talep etme

haklarına sahipsiniz.

Bahsi geçen bu haklarınıza ilişkin taleplerinizi iletmek için “ICRON Teknoloji Bilişim A.Ş. Kı̇şisel Verı̇lere İlişkin İlgili Kişi Başvuru Formu”nu doldurarak, başvuru formunda belirtilen usullerden biriyle iletmeniz durumunda talebiniz mümkün olan en kısa sürede ve her halükarda Kanun’da öngörülen süre içerisinde değerlendirilerek sonuçlandırılacaktır. Başvurunuzun incelenmesi ve sonuçlandırılmasına ilişkin işlemin bir maliyeti gerektirmesi halinde ICRON Kurul tarafından belirlenen ücreti alabilecektir.

Sizin adınıza 3. kişilerin başvuru talebinde bulunabilmesi için sizler tarafından, başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekaletnameniz bulunmalıdır.

Şirketimiz başvuruda bulunan kişinin siz olup olmadığını tespit etmek adına sizlerden bilgi talep edebilecek başvuruda belirtilen hususları netleştirmek adına, size başvurunuz ile ilgili sorular yöneltebilecektir.

6.9 Verilerinizin Güvenliği İçin Aldığımız Tedbirler

ICRON, kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek, verilerinize hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik makul teknik ve idari önlemleri almakta, bu kapsamda Kurum’un internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi”nde belirtilen ve ayrıca Kurul’un 31/01/2018 tarih 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler İle İlgili Kararı”nı (Karar) dikkate almaktadır. ICRON tarafından alınan teknik ve idari tedbirler EK-5’te yer almaktadır.

6.10 Güncelleme ve Değişiklikler

ICRON kişisel verilerin korunması hakkındaki uygulamalar ve yasal düzenlemeler hakkında güncel bilgiler sunmak amacıyla işbu Politikada değişiklik yapma hakkını saklı tutmaktadır. Yapılan değişiklikler işbu Politika’nın 1. Maddesinde tanımlanmakta ve takip edilmektedir. Ayrıca yapılan tüm değişiklikler ISO 27001 sistemi üzerinden izlenebilirliği tanımlanmış olarak yönetilmektedir.

EKLER

EK 1- İlgili Kişi Listesi

EK 2- Veri Kategorileri ve Açılımı Tablosu

EK 3- Kişisel Veri İşleme Amaçları

EK 4- Verilerin Aktarıldığı Üçüncü Kişi Kategorileri

EK 5- Alınan Teknik ve İdari Tedbirler

EK 6- Kişisel Verileri Saklama ve İmha Süreleri

EK-1

İLGİLİ KİŞİ LİSTESİ

Çalışan Adayı

Tedarikçi Yetkilisi

Diğer

Danışman adayı
İnternet sitesi ziyaretçi
Potansiyel Ürün veya Hizmet Alıcısı yetkilisi/çalışanı
Ürün veya Hizmet Alan Kişi çalışanı/yetkilisi
Tedarikçi
3. Kişiler
- o Çalışan aile üyesi/yakını
- o Danışman aile üyesi/yakını
- o Tedarikçi çalışanı/yetkilisi
- o Ürün veya Hizmet Alan Kişi Çalışanı/Yetkilisi
- o Çalışan adayı referansları

EK-2

VERİ KATEGORİLERİ VE AÇILIMI

Kimlik Bilgisi	Ad soyadı, doğum tarihi, TC kimlik numarası, imza sirkülerindeki kimlik bilgileri, imza, pasaport fotokopisi, acil durumda haber verilecek kişi ad soyadı bilgisi, aile durum bildirimi formundaki eş/çocuk gibi kişilerin kimlik bilgileri (ad soyadı, TC kimlik numarası, doğum tarihi, cinsiyet, anne adı baba adı gibi)
İletişim Bilgisi	Adres, e-posta adresi, telefon, acil durumda haber verilecek kişi telefon bilgisi
Finans	Banka hesap bilgileri, vergi dairesi, vergi numarası, sözleşme kapsamındaki finansal bilgiler
İşlem Güvenliği	IP adresi bilgileri, internet sitesi giriş̧ çıkış̧ bilgileri gibi
Görsel ve İşitsel Kayıtlar	Video kaydı, fotoğraf
Eğitim, İş ve Profesyonel Yaşama İlişkin Bilgiler	Şirket adı/unvan, meslek, çalıştığı yer, aile durum bildirimi formundaki eş/çocuk gibi kişilerin bilgileri
Özlük	CV (özgeçmiş), aday değerlendirme bilgileri, mülakat değerlendirme bilgileri/sonucu, teklif
Pazarlama	Çerez kayıtları gibi
Tedarikçi işlem	Ödeme bilgileri (tutar vb.)
Hukuki İşlem	İmza sirküleri, sözleşme

EK-3

KİŞİSEL VERİ İŞLEME AMAÇLARI

Acil Durum Yönetimi Süreçlerinin Yürütülmesi

Bilgi Güvenliği Süreçlerinin Yürütülmesi

Çalışan Adayı/Stajyer/Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

Danışman Adayı Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

Danışman Adaylarının Başvuru Süreçlerinin Yürütülmesi

Faaliyetlerin Mevzuata Uygun Yürütülmesi

Finans Ve Muhasebe İşlerinin Yürütülmesi

Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

İletişim Faaliyetlerinin Yürütülmesi

İş Faaliyetlerinin Yürütülmesi / Denetimi

Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

Mal / Hizmet Satış Süreçlerinin Yürütülmesi

Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

Organizasyon Ve Etkinlik Yönetimi

Pazarlama Analiz Çalışmalarının Yürütülmesi

Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

Sözleşme Süreçlerinin Yürütülmesi

Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

EK-4
VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİ KATEGORİLERİ

Danışmanlar

Herkese açık

Yurtiçi/dışı tedarikçiler

Yetkili kamu kurum ve kuruluşları

EK-5

ALINAN TEKNİK VE İDARİ TEDBİRLER

İdari Tedbirler

İşlenen kişisel veriler kapsamında mevcut risk ve tehditler belirlenmiştir.

Çalışanlar için kişisel veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmiştir.

Gizlilik taahhütnameleri yapılmaktadır.

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

Kişisel veri güvenliğine ilişkin politika ve prosedürler belirlenmiştir.

Erişim, Bilgi Güvenliği, Kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

İşleme amacı bakımından anılan kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.

İhtiyaç duyulmayan kişisel veriler, kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmeliğe uygun olarak imha edilmektedir.

Veri işleyenler ile ve kişisel verilerin paylaşıldığı diğer kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin yazılı sözleşme imzalamakta yahut mevcut yazılı sözleşmesine bu kapsamda düzenlemeler yapılmaktadır.

Veri işleyenlerin veri güvenliği konusunda – veri işleyenlerle imzalanan sözleşmeler ya da mevcut sözleşmelerine konulan hükümler ile- farkındalığı sağlanmaktadır.

Veri işleyenlerin veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir.

Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmektedir.

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

Çalışanlar için özel nitelikli kişisel veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak gönderilmektedir.

Kağıt yoluyla aktarılan özel nitelikli kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

Teknik Tedbirler

İnternet gibi ortamlardan gelen saldırılara karşı ağ geçidi kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

Çalışanlara yapmakta oldukları iş ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmaktadır.

Kişisel veri içeren sistemlere kullanıcı adı ve güçlü şifre kullanılmak suretiyle erişim sağlanmaktadır.

Çalışanlar için yetki ve kontrol matrisi oluşturulmuştur.

Erişim logları düzenli olarak tutulmaktadır.

Kişisel veri içeren sistemlere erişim politika ve prosedürü oluşturulmuş ve uygulanmaktadır.

Şifre girişi deneme sayısı kısıtlanmıştır.

Düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmaktadır.

Görev değişikliği olan ya da işten ayrılan çalışanların zaman kaybetmeksizin giriş yetkileri kaldırılmakta ya da hesapları silinmekte, kendilerine tahsis edilen envanter iade alınmaktadır.

Güncel antivirüs antispam gibi ürünler kullanılmakta ve güncel tutulmaktadır.

Bilişim ağlarında hangi yazılım ve servislerin çalıştığı kontrol edilmektedir.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmuştur.

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli fiziksel güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir.

Kişisel veri içeren fiziksel ortamların dış risklere (elektrik kaçağı, yangın, sel vb.) karşı güvenliği sağlanmaktadır.

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Şifreleme yapılmaktadır.

Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

Bulutta depolanan kişisel veriler bilinmekte, yedeklenmekte ve senkronizasyonu sağlanmaktadır.

Gerek yeni Bilgi Teknolojileri sistemleri tedarik, geliştirme ve bakımı gerekse mevcut sistemlerin geliştirilmesi, iyileştirilmesi bakımı kapsamında güvenlik önlemleri alınmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.

Özel nitelikli kişisel veriler için periyodik olarak yetki kontrolleri gerçekleştirilmektedir.

Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.

Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.

EK-6

KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ

Kimlik Bilgisi	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
İletişim Bilgisi	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Aile/Yakın Bilgisi	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Araç Bilgisi	İş ilişkisinin sona ermesinden itibaren 10 yıl süreyle saklanır
Finans	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Eğitim/İş/Profesyonel Yaşama İlişkin Bilgiler	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Pazarlama	Açık rıza süresince saklanır
Mesleki Deneyim	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Özlük bilgisi	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Görsel ve işitsel Kayıtlar	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
Tedarikçi İşlem Bilgileri	Ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır
İşlem Güvenliği	İş/ticari ilişkinin sona ermesinden itibaren 1 yıl süreyle saklanır
Hukuki İşlem	İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır