-
1. DEĞİŞİKLİK KAYDI
REVİZYON NO TARİH DEĞİŞİKLİK NEDENİ, KONUSU VE ONAYI 00 20.10.2020 İlk Yayın 01 18.08.2020 Format değişikliği 02 03 Hazırlayan Kurumsal Servisler Direktörü Kontrol Eden/Onaylayan Yönetim Temsilcisi Gözden Geçirme Prosedür iki yılda bir, prosedüre bağlı doküman ve kayıtlar her yıl -
2. AMAÇ
ICRON Teknoloji Bilişim A.Ş. (ICRON veya Şirket veya Biz) 07.04.2016 tarihli Resmi Gazete’de yayımlanarak 07.10.2016 tarihi itibariyle tüm hükümleriyle yürürlüğe giren “Kişisel Verilerin Korunması Kanunu”na (KVKK ya da Kanun) tam uyumun sağlanması için gerekli olan hassasiyeti en üst düzeyde göstermektedir. Bu kapsamda kişisel verilerin de hukuka uygun olarak işlenmesini ve korunmasını önemsemekte ve öncelikleri arasına almaktadır. İşbu sebeple ICRON, kişisel verilerin işlenmesi ve korunması faaliyetlerine ilişkin olarak sizleri şeffaf bir şekilde bilgilendirmek adına “Kişisel Verilerin İşlenmesi Ve Korunması Politikası”nı (Politika) hazırlamıştır.
- 3. KAPSAM
İşbu Politika, kişisel verilerin işlenmesi ve korunmasına ilişkin olarak ICRON tarafından kişisel verisi işlenen EK-1’de listesi yer alan ilgili kişilere açıklamalarda bulunmak amacıyla hazırlanmış olup, bu kapsamda kişisel verileri ICRON tarafından işlenen işbu ilgili kişiler, hangi kişisel verilerinin, hangi amaçla işlendiği, bu verilerinin hangi amaçlarla kimlere aktarılabileceği, kişisel verilerinin korunmasına yönelik hangi idari ve teknik tedbirlerin alındığı, kişisel verileri üzerinde sahip olduğu hakların neler olduğu ve bu haklara yönelik taleplerine ilişkin başvuru yöntemleri ve diğer hususlarda bilgilendirilmektir. Bu şekilde Şirket tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve işbu ilgili kişilerin kişisel verilerine dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir. ICRON çalışanlarının ve danışmanlarının kişisel verilerinin işlenmesi ve korunması faaliyetlerine ilişkin bilgilendirme “Çalışan Kişisel Verilerinin İşlenmesi Ve Korunması Politikası”nda yer almaktadır.
- 4. SORUMLULUK
- 4.1 Genel Müdür ve İcra Kurulu
Şirket stratejileri doğrultusunda 6698 sayılı yasanın gerekliliklerinin ICRON süreçlerinde karşılanmasını sağlamak üzere gerekli kaynakların tahsisini sağlamak, gerekirse yatırım kararı almak.
- 4.2 Kurumsal Servisler Direktörü
6698 sayılı KVKK kapsamında süreci yönetmek, tüm şirketin uyumu için gerekli kararların alınmasını ve işletilmesini sağlamak.
- 4.3 Tüm Bölüm Yöneticileri
6698 sayılı KVKK kapsamında gereksinim duyulan iyileştirme faaliyetlerine destek vermek, kendi süreçleri içinde yer alan kişisel verilerin güvenliğini prosedüre uygun gerçekleştirmek.
- TANIMLAR VE KISALTMALAR
İşbu Politika’da yer alan tanımlar aşağıdaki gibidir:
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini, Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili Kişi: Kişisel verisi islenen gerçek kişiyi, (işbu Politika kapsamında çalışanlar ve danışmanların haricinde ICRON tarafından kişisel verisi işlenen EK-1’de listesi yer alan kişileri)
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri (ÖNKV): Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
Bu Politika’da yer almayan tanımlar için Kanun’daki ve ikincil düzenlemelerdeki tanımlar geçerlidir.
- 6. UYGULAMA
- 6.1 Kişisel Verilerin İşlenmesinde Genel İlkeler
KVKK’nun 4. maddesinde kişisel verilerin işlenmesi için uyulması gereken genel ilkeler düzenlenmektedir. ICRON, kişisel veri işleme faaliyetleri kapsamında öncelikli olarak aşağıda açıklanan işbu genel ilkelere uygun şekilde hareket etmektedir.
Hukuka ve dürüstlük kurallarına uygun olma: ICRON, her türlü kişisel veri işleme sürecinde yürürlükte bulunan mevzuata uygun şekilde hareket etmekte ve dürüstlük kurallarına uymaktadır.
Doğru ve gerektiğinde güncel olma: ICRON, sizlerin kişisel verilerinin doğru ve güncel duruma uygun olması için gerekli tedbirleri almakta, güncellenmesi için olanak sağlamakta ve verilerin veri tabanlarına doğru şekilde aktarımını temin için gerekli önlemleri almaktadır.
Belirli, açık ve meşru amaçlar için işlenme: ICRON, kişisel veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve söz konusu amaçlara ilişkin olarak sizleri aydınlatma metinleri aracılığıyla açık bir şekilde bilgilendirmektedir.
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: ICRON tarafından kişisel veriler, temin edildikleri sırada sizlere bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.
İlgili mevzuatta öngörülen veya islendikleri amaç̧ için gerekli olan süre kadar muhafaza edilme: ICRON kişisel verilerinizi yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza etmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, “ICRON Teknoloji Bilişim A.Ş. Kişisel Veri Saklama ve İmha Politikası” doğrultusunda silinmekte, yok edilmekte ve anonim hale getirilmektedir.
- 6.2 Kişisel Verilerin İşlenme Şartları
KVKK’nın 5. maddesinde kişisel verilerin işlenme şartları, 6. maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmektedir. KVKK işbu maddelerde yazılı hallerde ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebilmesini öngörmüş ve bu işlemenin de hukuka uygun olmasına imkân tanımıştır. Bu işlenme şartları kişisel verinin özel nitelikli kişisel veri olup olmamasına ya da özel nitelikli kişisel veriler arasından sağlık ve cinsel hayata ilişkin kişisel veri olup olmamasına göre değişmektedir. Özel nitelikli kişisel veriler bireyler arasında ayrımcılık potansiyelini barındıran, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağduriyetine sebebiyet verebilecek olan verilerdir ve KVKK bu verilerin işlenmesinde Kurul tarafından belirlenecek yeterli önlemlerin alınmasını şart koşmuştur.
KVKK m.5/2 ve KVKK m. 6/3 hükümlerinde düzenlenen açık rıza aranmaksızın kişisel verilerin işlenebileceği haller aşağıda olup, ICRON, öngörülen işbu durumların haricinde açık rızanıza istinaden kişisel verilerinizi işleyebilmektedir.
KVKK m. 5/2’ye göre aşağıdaki şartlardan birinin varlığı halinde açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
KVKK 6/3’e göre aşağıdaki durumlarda Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla açık rıza aranmaksızın özel nitelikli kişisel verilerin işlenmesi mümkündür:
Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
- 6.3 Kişisel Verilerin Yurt İçine Ve Yurt Dışına Aktarılma Şartları
KVKK’nın 8. maddesi kişisel verilerin yurt içindeki 3. kişilere, 9. maddesi ise yurt dışındaki 3. kişilere aktarılması hususlarını düzenlemektedir.
KVKK’nın 8. maddesine göre kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, kişisel veriler ilgili kişinin rızası olmaksızın ancak a) KVKK m.5/2, b) yeterli önlemler alınmak kaydıyla KVKK m. 6/3 hükümlerinde yer alan şartlardan birinin varlığı halinde yurt içindeki 3. kişilere aktarılabilecektir.
KVKK’nın 9. maddesine göre ise kişisel veriler açık rıza aranmaksızın ancak KVKK m.5/2 ile KVKK m. 6/3 hükümlerinde yer alan şartlardan birinin varlığı ve kişisel verilerin aktarılacağı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla yurt dışına aktarılabilir.
- 6.4 Toplama Yöntemleri ve Toplanan Kişisel Verileriniz
Kişisel verileriniz ICRON tarafından, sayılanlar ile sınırlı olmamak üzere; şirketimize ulaştırmak üzere CV’lerinizi vermiş/iletmiş olduğunuz çalışanlarımız/danışmanlarımız/tedarikçilerimiz kanalıyla, yine elden, elektronik posta, sosyal medya yoluyla ya da web sitesi üzerinden ilettiğiniz CV’leriniz, doldurarak teslim ettiğiniz/ilettiğiniz “iş başvuru formu/formlar, internet sitesinde girdiğiniz ve/veya görüşmeler sırasında sözlü olarak ya da elden ya da paylaştığınız kartvizitinizden ve/veya elektronik posta yoluyla bizzat iletmiş/paylaşmış olduğunuz ve/veya işvereniniz tedarikçiler tarafından iletilmiş/paylaşılmış bilgiler/belgeler, yine çalışan adaylarımızdan, aile üyeniz/yakınınız olan çalışanlarımız/danışmanlarımızdan, tedarikçilerimizden, ürün veya hizmet alan kişi yani müşterilerimizden sözlü olarak ya da elden ya da elektronik ortamdan ya da elektronik posta yoluyla iletilmiş/paylaşılmış bilgiler/formlar/belgeler üzerinden fiziki ve elektronik ortamlar aracılığıyla yine doldurduğunuz webinar kayıt formları üzerinden fiziki ve elektronik ortamlar aracılığıyla ve gerek tarafımıza ait gerekse 3. taraf çerezleri dahil diğer fiziki ve elektronik ortamlar (ropörtajlar sırasında ses/görüntü kaydedici cihazlar vs.) aracılığıyla otomatik ve otomatik olmayan yollarla toplanmakta ve toplanan kişisel verileriniz ICRON’dan talep ettiğiniz ürün hizmete, ICRON tarafından yürütülecek faaliyetler ve kanuni yükümlülüklere göre değişmektedir. Toplanan kişisel veri kategorileri ve ilgili veri kategorilerinin açılımları işbu Politika’nın ekinde (EK-2) yer almaktadır. Kişisel verisi işlenen ilgili kişiye göre işbu kişisel veri kategorileri içerisinde yer alan bilgiler değişiklik gösterebilmektedir.
- 6.5 Kişisel Verilerinizi İşleme Amaçlarımız
Elde edilen kişisel verileriniz ICRON tarafından KVKK’da öngörülen genel ilkelere uygun olarak; KVKK’nın 5 ve 6. maddelerinde belirtilen işleme şartları dahilinde EK-3’de sayılan amaçlar ile işlenmektedir.
- 6.6 Kişisel Verilerinizin Aktarılması
ICRON kişisel verilerinizin 3. kişilerle paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla KVKK’da düzenlenen şartlara uymakta, kişisel verilerinizi KVKK’da öngörülen şartlar haricinde açık rızanız temin edilmeksizin 3. kişilerle paylaşmamaktadır.
Bu çerçevede ICRON tarafından hukuka uygun olarak işlenen kişisel verileriniz; aşağıda EK-4’de belirtilen alıcı gruplarına KVKK’nın 8 ve 9. maddelerinde belirtilen işleme şartları çerçevesinde aktarılabilmektedir.
Kişisel verilerinizin paylaşıldığı bu durumlarda ICRON verilerin paylaşıldığı tarafın bu Politika’da yer alan kurallara ve mevzuatta yer alan hükümlere uygun şekilde işleme ve aktarım faaliyetinde bulunması için gerekli önlemleri alır.
- 6.7 Kişisel Verilerinizin Saklanması
Şirketimiz tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin resen vermiş olduğu karar veya talebinize istinaden silinir, yok edilir veya anonim hale getirilir. Şirketimiz, kişisel verilerinizin saklama sürelerini belirlerken yürürlükte bulunan mevzuatı ve işleme faaliyetine konu olan kişisel verilerinizin işleme amaçlarını göz önünde tutarak tespit yapmaktadır. Bu kapsamda kişisel verilerinizin işleme faaliyetine ilişkin yasal yükümlülükler ile ilgili zamanaşımı süreleri söz konusuysa mutlaka dikkate alınmaktadır. Kişisel veri işleme amacının ortadan kalkması halinde ise, kişisel verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinmekte, yok edilmekte ve anonim hale getirilmektedir. Detaylı bilgi ICRON’un, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı “ICRON Teknoloji Bilişim A.Ş. Kişisel Veri Saklama ve İmha Politikası”nda mevcuttur.
- 6.8 Sahip Olduğunuz Haklarınız Ve Bu Hakların Kullanılması
KVKK’nun 11. maddesine göre ilgili kişi olarak;
a) Kişisel verinizin şirketimiz tarafından işlenip işlenmediğini öğrenme,
b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
f) d) ve e) bentlerinde yapılan işlemlerin, kişisel verilerin aktarıldığı 3.kişilere bildirilmesini isteme,
g) Kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkması durumunda itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle herhangi bir zarara uğramanız hâlinde zararın giderilmesini talep etme
haklarına sahipsiniz.
Bahsi geçen bu haklarınıza ilişkin taleplerinizi iletmek için “ICRON Teknoloji Bilişim A.Ş. Kı̇şisel Verı̇lere İlişkin İlgili Kişi Başvuru Formu”nu doldurarak, başvuru formunda belirtilen usullerden biriyle iletmeniz durumunda talebiniz mümkün olan en kısa sürede ve her halükarda Kanun’da öngörülen süre içerisinde değerlendirilerek sonuçlandırılacaktır. Başvurunuzun incelenmesi ve sonuçlandırılmasına ilişkin işlemin bir maliyeti gerektirmesi halinde ICRON Kurul tarafından belirlenen ücreti alabilecektir.
Sizin adınıza 3. kişilerin başvuru talebinde bulunabilmesi için sizler tarafından, başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekaletnameniz bulunmalıdır.
Şirketimiz başvuruda bulunan kişinin siz olup olmadığını tespit etmek adına sizlerden bilgi talep edebilecek başvuruda belirtilen hususları netleştirmek adına, size başvurunuz ile ilgili sorular yöneltebilecektir.
- 6.9 Verilerinizin Güvenliği İçin Aldığımız Tedbirler
ICRON, kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek, verilerinize hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik makul teknik ve idari önlemleri almakta, bu kapsamda Kurum’un internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi”nde belirtilen ve ayrıca Kurul’un 31/01/2018 tarih 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler İle İlgili Kararı”nı (Karar) dikkate almaktadır. ICRON tarafından alınan teknik ve idari tedbirler EK-5’te yer almaktadır.
- 6.10 Güncelleme ve Değişiklikler
ICRON kişisel verilerin korunması hakkındaki uygulamalar ve yasal düzenlemeler hakkında güncel bilgiler sunmak amacıyla işbu Politikada değişiklik yapma hakkını saklı tutmaktadır. Yapılan değişiklikler işbu Politika’nın 1. Maddesinde tanımlanmakta ve takip edilmektedir. Ayrıca yapılan tüm değişiklikler ISO 27001 sistemi üzerinden izlenebilirliği tanımlanmış olarak yönetilmektedir.
EKLER
EK 1- İlgili Kişi Listesi
EK 2- Veri Kategorileri ve Açılımı Tablosu
EK 3- Kişisel Veri İşleme Amaçları
EK 4- Verilerin Aktarıldığı Üçüncü Kişi Kategorileri
EK 5- Alınan Teknik ve İdari Tedbirler
EK 6- Kişisel Verileri Saklama ve İmha Süreleri
EK-1
İLGİLİ KİŞİ LİSTESİ
Çalışan Adayı |
Tedarikçi Yetkilisi |
Diğer
|
EK-2
VERİ KATEGORİLERİ VE AÇILIMI
Kimlik Bilgisi | Ad soyadı, doğum tarihi, TC kimlik numarası, imza sirkülerindeki kimlik bilgileri, imza, pasaport fotokopisi, acil durumda haber verilecek kişi ad soyadı bilgisi, aile durum bildirimi formundaki eş/çocuk gibi kişilerin kimlik bilgileri (ad soyadı, TC kimlik numarası, doğum tarihi, cinsiyet, anne adı baba adı gibi) |
İletişim Bilgisi | Adres, e-posta adresi, telefon, acil durumda haber verilecek kişi telefon bilgisi |
Finans | Banka hesap bilgileri, vergi dairesi, vergi numarası, sözleşme kapsamındaki finansal bilgiler |
İşlem Güvenliği | IP adresi bilgileri, internet sitesi giriş̧ çıkış̧ bilgileri gibi |
Görsel ve İşitsel Kayıtlar | Video kaydı, fotoğraf |
Eğitim, İş ve Profesyonel Yaşama İlişkin Bilgiler | Şirket adı/unvan, meslek, çalıştığı yer, aile durum bildirimi formundaki eş/çocuk gibi kişilerin bilgileri |
Özlük | CV (özgeçmiş), aday değerlendirme bilgileri, mülakat değerlendirme bilgileri/sonucu, teklif |
Pazarlama | Çerez kayıtları gibi |
Tedarikçi işlem | Ödeme bilgileri (tutar vb.) |
Hukuki İşlem | İmza sirküleri, sözleşme |
EK-3
KİŞİSEL VERİ İŞLEME AMAÇLARI
Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
Bilgi Güvenliği Süreçlerinin Yürütülmesi |
Çalışan Adayı/Stajyer/Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi |
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi |
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi |
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi |
Danışman Adayı Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi |
Danışman Adaylarının Başvuru Süreçlerinin Yürütülmesi |
Faaliyetlerin Mevzuata Uygun Yürütülmesi |
Finans Ve Muhasebe İşlerinin Yürütülmesi |
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi |
İletişim Faaliyetlerinin Yürütülmesi |
İş Faaliyetlerinin Yürütülmesi / Denetimi |
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi |
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi |
Mal / Hizmet Satış Süreçlerinin Yürütülmesi |
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi |
Organizasyon Ve Etkinlik Yönetimi |
Pazarlama Analiz Çalışmalarının Yürütülmesi |
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi |
Sözleşme Süreçlerinin Yürütülmesi |
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi |
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi |
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi |
EK-4
VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİ KATEGORİLERİ
Danışmanlar |
Herkese açık |
Yurtiçi/dışı tedarikçiler |
Yetkili kamu kurum ve kuruluşları |
EK-5
ALINAN TEKNİK VE İDARİ TEDBİRLER
İdari Tedbirler |
İşlenen kişisel veriler kapsamında mevcut risk ve tehditler belirlenmiştir. |
Çalışanlar için kişisel veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
Çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmiştir. |
Gizlilik taahhütnameleri yapılmaktadır. |
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
Kişisel veri güvenliğine ilişkin politika ve prosedürler belirlenmiştir. |
Erişim, Bilgi Güvenliği, Kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
İşleme amacı bakımından anılan kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır. |
İhtiyaç duyulmayan kişisel veriler, kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmeliğe uygun olarak imha edilmektedir. |
Veri işleyenler ile ve kişisel verilerin paylaşıldığı diğer kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin yazılı sözleşme imzalamakta yahut mevcut yazılı sözleşmesine bu kapsamda düzenlemeler yapılmaktadır. |
Veri işleyenlerin veri güvenliği konusunda – veri işleyenlerle imzalanan sözleşmeler ya da mevcut sözleşmelerine konulan hükümler ile- farkındalığı sağlanmaktadır. |
Veri işleyenlerin veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir. |
Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmektedir. |
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
Çalışanlar için özel nitelikli kişisel veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak gönderilmektedir. |
Kağıt yoluyla aktarılan özel nitelikli kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. |
Teknik Tedbirler |
İnternet gibi ortamlardan gelen saldırılara karşı ağ geçidi kullanılmaktadır. |
Güvenlik duvarları kullanılmaktadır. |
Çalışanlara yapmakta oldukları iş ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmaktadır. |
Kişisel veri içeren sistemlere kullanıcı adı ve güçlü şifre kullanılmak suretiyle erişim sağlanmaktadır. |
Çalışanlar için yetki ve kontrol matrisi oluşturulmuştur. |
Erişim logları düzenli olarak tutulmaktadır. |
Kişisel veri içeren sistemlere erişim politika ve prosedürü oluşturulmuş ve uygulanmaktadır. |
Şifre girişi deneme sayısı kısıtlanmıştır. |
Düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmaktadır. |
Görev değişikliği olan ya da işten ayrılan çalışanların zaman kaybetmeksizin giriş yetkileri kaldırılmakta ya da hesapları silinmekte, kendilerine tahsis edilen envanter iade alınmaktadır. |
Güncel antivirüs antispam gibi ürünler kullanılmakta ve güncel tutulmaktadır. |
Bilişim ağlarında hangi yazılım ve servislerin çalıştığı kontrol edilmektedir. |
Kişisel veri güvenliğinin takibi yapılmaktadır. |
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmuştur. |
Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli fiziksel güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir. |
Kişisel veri içeren fiziksel ortamların dış risklere (elektrik kaçağı, yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
Şifreleme yapılmaktadır. |
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. |
Bulutta depolanan kişisel veriler bilinmekte, yedeklenmekte ve senkronizasyonu sağlanmaktadır. |
Gerek yeni Bilgi Teknolojileri sistemleri tedarik, geliştirme ve bakımı gerekse mevcut sistemlerin geliştirilmesi, iyileştirilmesi bakımı kapsamında güvenlik önlemleri alınmaktadır. |
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır. |
Özel nitelikli kişisel veriler için periyodik olarak yetki kontrolleri gerçekleştirilmektedir. |
Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır. |
Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır. |
EK-6
KİŞİSEL VERİLERİ SAKLAMA SÜRELERİ
Kimlik Bilgisi | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
İletişim Bilgisi | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Aile/Yakın Bilgisi | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Araç Bilgisi | İş ilişkisinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Finans | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Eğitim/İş/Profesyonel Yaşama İlişkin Bilgiler | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Pazarlama | Açık rıza süresince saklanır |
Mesleki Deneyim | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Özlük bilgisi | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Görsel ve işitsel Kayıtlar | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
Tedarikçi İşlem Bilgileri | Ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |
İşlem Güvenliği | İş/ticari ilişkinin sona ermesinden itibaren 1 yıl süreyle saklanır |
Hukuki İşlem | İş/ticari ilişkinin sona ermesinden itibaren 10 yıl süreyle saklanır |