IŞIK PEYZAJ MİMARLIĞI İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA

ŞİRKET İÇ POLİTİKASI


 

Tanımlar

 

  1.  Açık Rıza
 

 

  1. Anonim Hale Getirme

Belirli bir konuya ilişkin, bilgilendirmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.

 

Kişisel verilerin, başka verilerle eşleştirilerek dahi, hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder. 

 

  1.  Çalışan

IŞIK ile arasında bir hizmet sözleşmesi bulunan her bir gerçek kişiyi ifade eder. 

 

  1.  Çalışan Adayı

 

 

 

  1. Stajyer 

 

IŞIK’ın hali hazırda istihdam ettiği kişilerden olmayan ve IŞIK’a özgeçmiş ve/veya iş başvurularında gönderilmesi mutad olan diğer evrakları, IŞIK ile iş akdi yapmak maksadıyla herhangi bir şekilde, doğrudan veya aracılar vasıtasıyla gönderen tüm gerçek kişileri ifade eder.

 

IŞIK’ta eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.

  1.  Tedarikçiler

IŞIK’a ürün veya hizmet sunan gerçek kişi tedarikçileri ifade eder. 

 

  1.  Ortaklar

IŞIK’ın tüm gerçek kişi hissedarlarını ifade eder.

 

  1. İlgili Kişi

Kişisel verileri IŞIK tarafından işlenen tüm gerçek kişileri ifade eder.

 

 

  1.  Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgiyi ifade eder.

 

  1.  Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. 

 

  1. Özel Nitelikli Kişisel Veri

İlgili kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleri ile ilgili veriler ile biyometrik ve genetik verileri ifade eder. 

 

  1.  IŞIK

İstanbul Ticaret Odası nezdinde 390699 sicil numarası ile tescilli olan IŞIK PEYZAJ MİMARLIĞI İNŞAAT TURİZM GIDA SANAYİ VE TİCARET LİMİTED ŞİRKETİ’ni ifade eder.

 

  1. Veri Sorumlusu

 

 

 

 

  1. Veri Güvenliği Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. IŞIK kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında “veri sorumlusu” dur.

 

Şirket tarafından Veri Güvenli Sorumlusu sıfatıyla işbu Politikada yer alan fonksiyonları yerine getirmek üzere seçilen gerçek kişiyi ifade eder. 

 

  1. Şirket Yöneticileri

Şirketin organizasyon şeması uyarınca yönetim ve idare yetkisine sahip olan tüm gerçek kişileri ifade eder.  

 

  1.  Kişisel Veri İşleme Envanteri

Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu ilişkilendirerek oluşturduğu ve Kişisel Verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri ifade eder.

 

 

  1. AMAÇ

İşbu Kişisel Verilerin İşlenmesi Politikası (“Politika”) Işık Peyzaj Mimarlığı İnşaat Turizm Gıda Sanayi ve Ticaret Limited Şirketi (“IŞIK”) muhafaza ettiği kişisel verilere ilişkin uygulamalarının 6698s. Kişisel Verilerin Korunması Kanunu (“Kanun”) ve bu Kanuna dayanılarak yürürlüğe konulmuş olan ikincil mevzuata uygunluğunu, IŞIK tarafından kişisel verileri işlenen tüm kişilerin Kanun kapsamında kişisel verileri üzerinde sahip oldukları hakların korunmasını temin etmek üzere hazırlanmış ve yürürlüğe konulmuştur.

 

Kişisel verilerinizin korunması IŞIK’ın en önem verdiği öncelikleri arasındadır. IŞIK, genel politikasının gereği olarak gerek Türk mevzuatında yer alan kişisel verilerin korunmasına ilişkin düzenlemelere tam uyum içerisinde hareket etmeyi prensip haline getirmiş olup bu konuda azami gayret göstermektedir. İşbu Politika, IŞIK’ın bu prensibini hayata geçirebilmesi için Çalışanların, IŞIK adına hareket eden gerçek ve tüzel kişilerin, IŞIK’ın tedarikçilerinin, çözüm ortaklarının ve iş ortaklarının uyması gereken usul ve esasları içermektedir. İşbu Politika ile Şirketimiz tarafından gerçekleştirilen veri işleme, koruma ve silme, yok etme anonim hale getirme faaliyetlerinin Kanun’da yer alan düzenlemelere uyumu bakımından benimsenen temel ilkeleri açıklanmış olup kişisel veri sahiplerini kişisel verileri üzerinde Şirketimiz tarafından gerçekleştirilen faaliyetlere ilişkin usul ve esaslar hakkında bilgilendirilerek gerekli şeffaflığı sağlaması amaçlanmaktadır.

 

Şirketimiz, kişisel verilerin korunması kapsamında sorumluluğunun ve yükümlülüklerinin tam bilincinde olup kişisel verilerinizi işbu Politika kapsamında işlemekte ve korumaktadır.

 

  1. POLİTİKANIN STATÜSÜ

İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası, Şirket çalışanlarının hizmet sözleşmelerinin bir parçasını oluşturur. Çalışanların işbu politikayı ihlal etmesi Çalışanlar hakkında disiplin soruşturması yapılması ve gerçekleştirilen ihlalin niteliği ve ağırlığına göre Çalışanların hizmet sözleşmelerinin haklı nedenle feshedilmesi ile sonuçlanabilir.

 

  1. İLGİLİ KİŞİ KATEGORİLERİ

IŞIK tarafından kişisel verileri işlenen ilgili kişi kategorileri, sistematik açıdan aşağıdaki gibi ayrılmaktadır. Aşağıda yer alan tabloda, ilgili kişi kategorilerini, ilgili kişilere ilişkin açıklamalar ve bu kişilerin hangi tür kişisel verilerinin işlendiği gösterilmektedir. Şu kadar ki, aşağıda yer alan tablo, IŞIK’ın başkaca ilgili kişi kategorilerinin kişisel verilerini işleyemeyeceği veya aşağıdaki tabloda yer alan veri kategorilerinden başka kişisel veri kategorilerini işleyemeyeceği anlamına gelmemektedir. IŞIK, Kanun, ikincil mevzuat ve işbu Politika hükümlerine uygun olmak kaydıyla, operasyonlarının gerektirdiği başkaca kişisel verileri işleme hakkını saklı tutmaktadır.

 

İlgili Kişi

Açıklaması

Veri Kategorisi

Çalışanlar

IŞIK’ta çalışan gerçek kişileri ifade eder. 

Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, telefon numarası, TC Kimlik Numarası, adli sicil kaydı, hastalık ve kaza raporları, din, kan grubu, kamera kaydı, IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri, adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler

Stajyerler

IŞIK’ta eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.

Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, özgeçmiş, banka hesap bilgisi, telefon numarası, TC Kimlik Numarası, adli sicil kaydı, hastalık ve kaza raporları, din, kan grubu, kamera kaydı, IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri, adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler

Çalışan Adayları

IŞIK’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini IŞIK’ın incelemesine açmış olan gerçek kişiler

 

Özgeçmiş, eğitim bilgileri, mülakat notları kişilik testi sonuçları.

Şirket Ortakları

IŞIK’ın gerçek kişi hissedarlarını ifade eder. 

Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri.

Gerçek Kişi Tedarikçiler

IŞIK’ın ticari faaliyetlerini yürütürken IŞIK’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak IŞIK’a hizmet sunan gerçek kişiler.

Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait ad-soyad, adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri, vergi levhası.

 

Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları

IŞIK’ın ticari faaliyetlerini yürütürken IŞIK’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak IŞIK’a hizmet sunan taraf çalışanı, yetkilisi veya hissedarı olan gerçek kişileri ifade eder.

Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.

Gerçek Kişi Müşteriler

IŞIK ürün veya hizmetlerinden faydalanan gerçek kişi müşterilere ait bilgiler

Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi tedarikçilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri, vergi levhası.

 

Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları

IŞIK ürün veya hizmetlerinden faydalanan kurumsal müşterilerin gerçek kişi çalışan, yetkili veya hissedarlarına ait bilgiler

Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri, imza sirküleri.

İşbirliği İçerisinde Olduğumuz Gerçek Kişiler

IŞIK ile iş ilişkisi içerisinde bulunan gerçek kişiler (alt işverenlik ilişkisi içerisinde üst işveren, ifa yardımcısı, iş ortağı, tedarikçi, program ortağı, şubeleri vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere) 

Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri, vergi levhası.

 

İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri

IŞIK ile iş ilişkisi içerisinde bulunan kurumların (alt işverenlik ilişkisi içerisinde üst işveren, ifa yardımcısı, iş ortağı, tedarikçi, program ortağı vb. başta olmak ve fakat bunlarla sınırlı olmamak üzere) çalışanları, hissedarları ve yetkilileri olan gerçek kişiler

Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri, imza sirküleri, vergi levhası.

Ziyaretçiler 

IŞIK’ı ziyarete gelen ve web sitesini ziyaret eden gerçek kişileri ifade eder.

Kamera kaydı

 

 

 

  1. KİŞİSEL VERİLERİN KATEGORİZASYONU 

İşbu Politika kapsamında belirlenen amaçlar ve şartlar dâhilinde IŞIK tarafından yürütülen veri işleme faaliyetleri kapsamında kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen, ait olduğu gerçek kişi belirlenen ve/veya belirlenebilir olan kişisel veri kategorileri, kişisel veri kategorilerine ilişkin açıklamalar ve bu kişisel veri kategorileri içerisine giren kişisel veri tipleri aşağıdaki tabloda yer almaktadır:

 

Kişisel Veri Kategorileri

             Veri Açıklaması 

İlgili Kişisel Veri Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri

      Kimlik Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan bilgiler

Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, sicil no., vergi numarası, unvan, biyografi vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı ve pasaport gibi belgeler.

İletişim Bilgisi

 

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişiyle iletişim kurulması amacıyla kullanılan bilgiler

 

Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler

Lokasyon Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, veri sahibinin konumunu tespit etmeye yarayan veriler

 

E-mail adresi, telefon numarası, cep telefonu numarası,

adres v.b.

Özel Nitelikli Bilgiler

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

 

Kan grubu, sağlık raporu, hastalık ve kaza raporları, sabıka kaydı, din, beden ölçüler.

Tedarikçi Bilgileri

Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK’ın ticari faaliyetlerini yürütürken IŞIK’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak IŞIK’a hizmet sunan gerçek kişi tedarikçilere ve/veya kurumsal tedarikçilerin gerçek kişi çalışan, yetkili ve hissedarlarına ait kişisel veriler. 

 

Ad-soyad, TC kimlik numarası, kayıtlı oldukları vergi dairesi, vergi numarası, adres, e-posta, telefon, imza, banka hesap bilgileri, vergi levhası, imza sirküleri.

Tedarikçi İşlem Bilgileri

Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK’ın ticari faaliyetlerini yürütürken IŞIK’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak IŞIK’a hizmet sunan gerçek kişi tedarikçilere ve/veya kurumsal tedarikçilerin gerçek kişi çalışan, yetkili ve hissedarları tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler.

 

Teklif formu, fiyat bilgisi vb.

Müşteri Bilgileri

Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ürün ve hizmetlerimizden faydalanan gerçek kişi müşterilere ve/veya kurumsal müşterilerin gerçek kişi çalışan, yetkili ve hissedarlarına ait bilgiler.

 

Ad-soyad, TC kimlik numarası, kayıtlı oldukları vergi dairesi, vergi numarası, adres, e-posta, telefon, imza, banka hesap bilgileri, müşteri numarası, meslek bilgileri, vergi levhası, imza sirküleri.

Müşteri İşlem Bilgileri

Ticari faaliyetlerimiz ve bu faaliyetler kapsamında; kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ürün ve hizmetlerimizden faydalanan gerçek kişi müşteriler ve/veya kurumsal müşterilerin gerçek kişi çalışan, yetkili ve hissedarları tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler.

 

Talep ve talimatlar, sipariş bilgileri vb.

Aile Bireyleri ve Yakınları Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, ilgili şirket ve veri sahibinin hukuki menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler

Kişisel veri sahibinin çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi ve profesyonel, eğitim bilgileri v.b. bilgiler

İşlem Güvenliği Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK ve ilgili tarafların teknik, idari, hukuki ve ticari güvenliğini sağlamak amacıyla işlenen kişisel veriler

Kişisel veri sahibiyle ilişkilendirilen işlem ile o kişiyi eşleştirmeye ve kişinin o işlemi yapmaya yetkili olduğunu gösteren bilgiler (örn. Internet sitesi şifre ve parola bilgileri)

Finansal Bilgi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler

 

Veri sahibinin yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, kredi kartı borcu, kredi tutarı, kredi ödemeleri, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi, banka hesap bilgileri, kredi kartı numarası, kredi kartı güvenlik kodu, son kullanma tarihi vb.

Hissedar Bilgisi

IŞIK Hissedarlarına ait kişisel verileri ifade eder. 

Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri, imza sirkülerleri. 

Özlük Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, çalışanların özlük haklarının oluşmasına temel olan kişisel veriler.

 

Kanunen özlük dosyasına girmesi gereken her türlü bilgi ve belge (örn. Maaş miktarı, AGİ Formu, Sağlık Raporu, Sabıka Kaydı, İkametgah senedi, Askerlik Durum Belgesi, Diploma, Resim, Özgeçmiş, SGK primleri, bordrolar, İmza v.b.)

Çalışan Adayı Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait, başvuru değerlendirme sürecinde kullanılan kişisel veriler.

 

Özgeçmiş, mülakat notları, eğitim bilgileri, kişilik testleri sonuçları v.b.

Eğitim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait eğitim, sertifika, yabancı dil vb.  bilgileri.

Diploma, sertifika, yabancı dil sertifikaları vb. 

Çalışan İşlem Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, çalışanların veya işle ilgili gerçekleştirdiği her türlü işleme ilişkin kişisel veriler

 

Çalışanın işe giriş-çıkış kayıtları, iş seyahatleri, katıldığı toplantılara ilişkin bilgiler, güvenlik sorgusu, mail trafikleri izleme bilgisi, IP adresleri, şirket kredi kartı harcama bilgisi v.b.

Çalışan Performans ve Kariyer Gelişim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, çalışanların performanslarının ölçülmesi ve kariyer gelişimlerinin insan kaynakları politikaları kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler

 

Performans değerlendirme raporları, mülakat sonuçları, kariyer gelişimine yönelik eğitimler v.b.

Hukuki İşlem ve Uyum Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, hukuki alacak ve hakların tespiti ve takibi ile borç ve kanuni yükümlülüklerin ifası amacıyla işlenen kişisel veriler

 

Mahkeme ve idari merci kararları gibi belgelerde yer alan veriler

Denetim ve Teftiş Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK’ın kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler

 

Denetim ve teftiş raporları, ilgili görüşme kayıtları ve benzeri kayıtlar

Bina Giriş Çıkış Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK’ın kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel veriler

Kamera kayıtları

Talep ve Şikayet Yönetim Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, IŞIK’a yöneltilmiş olan her türlü talep veya şikayetin alınması ve değerlendirilmesine ilişkin kişisel veriler.

 

IŞIK’a yönelik her türlü talep ve şikayetler, bunlarla ilgili kayıt ve raporlar

Diğer Veriler

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, Anket yapılarak elde edilen müşteri memnuniyetinin değerlendirilmesine ilişkin kişisel veriler.

Ad-Soyad





 

 

  1. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

 

5.1. Kişisel Verilerin Güvenliğinin Sağlanması 

 

Şirketimiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Şirketimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

 

5.2. Özel Nitelikli Kişisel Verilerin Korunması 

 

Kanun ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.  

 

IŞIK tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, IŞIK tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve IŞIK bünyesinde gerekli denetimler sağlanmaktadır.  

 

Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın 6.5 (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) bölümünde yer verilmiştir.

 

5.3. IŞIK İş Birimlerinin Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi   

 

IŞIK, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

 

IŞIK çalışanlarının kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurulmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışılmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.

 

  1. KİŞİSEL VERİLERİN İŞLENMESİ

 

IŞIK yürürlükteki kanunlar ve bilgi güvenliği ile ilgili veri sahiplerini, kişisel verilerinin kullanımı ile ilgili olarak bilgilendirir/aydınlatır.

 

IŞIK kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir risk analizi yapmakta ve KVKK 12. Maddesi uyarınca işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.

 

6.1. Kişisel Verilerin İşlenmesinin Kapsamı

 

IŞIK tarafından yapılan kişisel veri işleme, hiçbir kısıtlama olmaksızın, otomatik olan, yarı otomatik olan veya otomatik olmayan yollar kullanılarak veriye yönelik gerçekleştirilen her türlü eylemi kapsar. Diğer bir ifadeyle kişisel veri işleme; transfer etme, yayma veya farklı yollarla sunma, gruplama veya birleştirme, bloke etme, silme veya imha etme amaçlarıyla veri sahibi veya üçüncü taraflardan veri alınması, toplanması, kaydedilmesi, fotoğraflanması, ses kaydı alınması, video kaydı alınması, organize edilmesi, depolanması, değiştirilmesi, eski haline getirilmesi, geri alınması veya açıklanması, verilerin tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, yurtdışına aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi anlamına gelir.

 

6.2. Kişisel Verilerin İşlenme Amaçları 

 

IŞIK tarafından herhangi bir şekilde elde edilen kişisel verilerin korunması, bunların işlenmesinin hukuka uygun olarak gerçekleştirilmesi ve bu kişisel verilere hukuka aykırı şekilde erişilmesinin engellenmesi IŞIK’ın kişisel verilere ilişkin olarak genel politikasını teşkil etmektedir. IŞIK’ın; İşbu Politika’nın 3. Maddesinde kategorize edilen İlgili Kişilere ilişkin Kişisel Verileri, aşağıda belirtilen amaçlar doğrultusunda işlemesi ve (durum gerektirdiğinde) üçüncü kişilere aktarması gerekmektedir.

 

Ana Amaçlar

Alt Amaçlar (İkincil Amaçlar)[Bİ1] 

IŞIK Şirketinin Genel Yönetimi

Şirket Yönetim Faaliyetlerin Planlanması ve İcrası

Şirket İçi İletişim Faaliyetlerinin Planlanması ve İcrası

Şirketin Finansmanı ve/veya Muhasebe İşlerinin Takibi 

Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası 

Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi 

Finansal ve İdari Planlamaların Yapılması

 

Şirket'in İnsan  Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi

 

Personel Temin Süreçlerinin Yönetilmesi

Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi

 

Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası 

Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası 

Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi 

Finans ve/veya Muhasebe İşlerinin Takibi 

Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası 

İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası 

İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası

Etkinlik Yönetimi

 

Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası

IŞIK’ın Tarafı Olduğu Sözleşmeler ve/veya Mevzuattan Kaynaklı Yükümlülüklerini Yerine Getirmesi

Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası

IŞIK’ın Sunduğu Ürün ve/veya Hizmetlerin Usulune Uygun ve Düzgün Bir Şekilde Sunulması

İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi 

Stratejik Planlama Faaliyetlerinin İcrası

İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası 

Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası  

Müşteri Talep ve/veya Şikayetlerinin Takibi

Şirketin Sunduğu Ürün ve/veya Hizmet Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası

Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası

Şirketin Sunduğu Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası

Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası

Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi

Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası

Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası 

Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası 

Hizmetlere ve Ürünlere Yönelik Tanıtım, Pazarlama, Promosyon ve Kampanya Faaliyetlerinin Yapılması,

 

IŞIK İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcrası

 

IŞIK Şirket Çalışanları İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

Çalışan Talep ve Şikayet Yönetimi 

IŞIK Ücret Yönetimine Ilişkin Analiz ve İyileştirme Faaliyetlerinin Planlanması 

IŞIK Çalışanlarına Yan Hak ve Menfaat Sağlanması Süreçlerinin Planlanması ve Destek Olunması 

IŞIK Çalışanlarının Ücret Yönetiminin Planlanması Faaliyetlerine Destek Olunması 

IŞIK Çalışanlarının Eğitim ve Kariyer Gelişimlerine İlişkin Süreçlerin Planlanması ve Destek Verilmesi 

IŞIK Çalışanlarının Memnuniyet ve Bağlılığının Artırılmasına Yönelik Süreçlerin Planlanması ve Yönetilmesi 

IŞIK Nezdinde Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası 

IŞIK Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası

IŞIK Çalışan Memnuniyetinin ve/veya Bağlılığı Süreçlerinin Planlanması ve İcrası

İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası 

 

IŞIK Stratejik İnsan Kaynakları Planlanması, Yedekleme Süreçleri ve Organizasyonel Gelişim Faaliyetleri Konusunda Destek Olunması

 

IŞIK Çalışanlarının Performans Değerlendirilmelerine İlişkin Süreçlerin Yönetilmesi 

IŞIK’ın Gelişim ve Yedekleme Planlamaları Faaliyetleri

IŞIK İçerisinde Personel ve Yöneticilerin Atama ve Terfi Süreçlerinin Yönetimine Destek Olunması

IŞIK Denetim Faaliyetlerinin Planlanması ve İcrası

IŞIK’ın Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Denetim Faaliyetlerinin Planlanması ve İcrası

IŞIK’ın ve IŞIK’la İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temini

Hukuk İşlerinin Takibi  

Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası 

Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini 

Şirket Operasyonlarının Güvenliğinin Temini 

Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi 

Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi 

Verilerin Doğru ve Güncel Olmasının Sağlanması 

Şirket Yerleşkesinin Güvenliğinin Temini 

Şirket Denetim Faaliyetlerinin Planlanması ve İcrası

İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası

 

6.3. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi

 

Kişisel Verilerin toplanmasının, depolanmasının ve işlenmesinin 6698s. 23.04.2016 tarihli Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun olabilmesi için veri toplamanın hukuka ve dürüstlük kuralına uygun olması gerekmektedir. Bu kapsamda IŞIK, Kişisel Verilerin işlenmesine ilişkin olarak mevzuatta öngörülen aşağıdaki ilkeleri benimsemiştir.

 

  1. Doğruluk ve güncellik,
  2. Belirli, açık, meşru amaçlara istinat etme,
  3. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
  4. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,
  5. İlgili kişilerin bilgi alma ve KVKK’da yer alan diğer haklarına saygı gösterme,
  6. İlgili kişilerin rızası olmaksızın üçüncü şahıslara aktarılmama, ve
  7. Gerektiğinden fazla muhafaza edilmeme,
  8. Gizlilik ve Veri Güvenliği,
  9. Hesap Verilebilirlik,
  10. Asgari Veri Muhafazası

 

IŞIK adına kişisel verileri işleyen herkes (Çalışanlar, Şirket Yöneticileri, temsilciler, iş ortakları dâhil ve fakat bunlarla sınırlı olmaksızın) Kişisel Verilerin işlenmesinde her zaman işbu ilkelere uyumlu olarak davranmakla yükümlüdür.

 

IŞIK, İlgili Kişilerin temel hak ve özgürlüklerine saygı göstermek ve KVKK ile ikincil mevzuatına uyum sağlamak amacıyla Kişisel Verilerin işlenmesi hususunda belirli prensipler dâhilinde hareket etmektedir. Bu kapsamda Kişisel Verilerin işlenmesi hususunda aşağıda sıralanan prensiplere uyum, işbu Politikanın temel taşlarını oluşturmaktadır:

 

6.3.1. Hukuka ve Dürüstlük Kuralına Uygun Olma

IŞIK adına veri işleyenler, veri işleme sırasında ilgili kişinin haklarına saygı göstermeli ve ilgili kişinin hakları korumalıdır. Kişisel verinin elde edilmesi ve işlenmesi hukuka, özellikle KVKK ve ikincil mevzuatına ve dürüstlük kuralına uygun şekilde gerçekleştirilmelidir. Bu kapsamda Kişisel Veriler, ancak ve ancak İlgili Kişinin belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açıklanan rızası ile veya 6698s. Kanun madde 5 veya Türkiye Cumhuriyeti mevzuatının diğer hükümlerinde müsaade edildiği takdirde İlgili Kişinin rızası olmaksızın işlenebilir.

 

6.3.2. Belirli Amaçla Sınırlılık

Kişisel veriler, KVKK’da yer alan istisnalar hariç, ancak ve ancak kişisel veriler elde edilirken ilgili kişinin rıza gösterdiği amaç için işlenebilir. Kişisel verilerin ilgili kişinin rıza gösterdiği amaçtan başka bir amaç için işlenmesinin gerekmesi halinde, KVKK’da yer alan istisnalar hariç, ilgili kişinin ayrıca rızası alınmalıdır.

 

Kişisel Verilerin KVKK’da yer alan istisnalara dayanarak ilgili kişinin rızasına bakılmaksızın işlenmesi halinde ise Kişisel Veriler, rıza alınma yükümlülüğünü ortadan kaldıran hukuki sebebin meşru kıldığı ölçüde ve amaç dâhilinde işlenebilir.

 

Kişisel Verilerin işlenmesine ilişkin olarak amaç yönünden getirilen bu sınırlama, işbu Politikanın uygulanmasının temelini oluşturur ve Çalışanların ve IŞIK’ın verdiği yetki ile Kişisel Veri işleyen diğer şahısların bu konuda azami dikkat ve ihtimamı göstermesi beklenmektedir.

 

6.3.3. Şeffaflık

İlgili Kişi, Kişisel Verilerinin nasıl işlendiği/işleneceği konusunda bilgilendirilmelidir. Prensip olarak Kişisel Veriler, İlgili Kişinin kendisinden elde edilmeli ve bu veriler elde edilirken İlgili Kişi:

 

  1. Veri Sorumlusunun IŞIK olduğu ve temsilcisinin adı,
  2. Kişisel Verilerin işlenmesinin amacı veya amaçları,
  3. Kişisel Verilerin kimlere ve hangi amaçla veya amaçlarla aktarılabileceği,
  4. Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
  5. İlgili Kişinin KVKK 11 inci madde uyarınca sahip olduğu diğer haklar konularında bilgilendirilmelidir.

İlgili Kişinin açık rızasına veya KVKK’daki diğer işleme şartlarına bağlı olarak ve İlgili Kişinin talep etmiş olup olmamasından bağımsız olarak Kişisel Veri işlendiği her durumda asgari olarak yukarıda beş bent halinde sayılı hususları içerecek şekilde yazılı ve/veya sözlü olarak aydınlatma yükümlülüğü yerine getirilmelidir.

 

Kişisel Veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce değişen bu amaç için aydınlatma yükümlülüğü yerine getirilmelidir.

 

IŞIK’ın farklı birimlerinde Kişisel Veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.

 

Kişisel Verilerin ilgili kişiden elde edilmemesi halinde Kişisel Verilerin elde edilmesinden itibaren en kısa süre içerisinde ilgili kişiye karşı yukarıdaki esaslara uygun şekilde aydınlatma yükümlülüğü yerine getirilmelidir.

 

6.3.4. Doğru ve Gerektiğinde Güncel Olma

IŞIK, elinde bulundurduğu Kişisel Verilerin doğru ve gerektiğinde güncel olmasını sağlamak için elinden geleni göstermeli ve buna ilişkin olarak İlgili Kişilerden gelebilecek geçerli ve makul bilgilendirmeleri mümkün olan en kısa süre içinde uygulamalıdır.

 

IŞIK, güncel olmadığı takdirde İlgili Kişilerin hak ve menfaatlerine zarar verebilecek Kişisel Verilerin güncel tutulması için azami gayreti göstermelidir.

 

6.3.5 Gerekli Olan Süre Kadar Muhafaza Etme

Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, bu sürenin sonunda işbu Politika’da yer alan prensipler uyarınca silinmeli, anonimleştirilmeli veya imha edilmelidir.

 

6.3.6 Gizlilik ve Veri Güvenliği

Kişisel veriler “gizli bilgi” olarak kabul edilmeli ve yetkisiz erişim, hukuka aykırı işleme veya dağıtım, veri kaybı, değiştirilmesi ve imha edilmesinin önlenmesi için gerekli ve uygun kurumsal ve teknik tedbirler alınmalıdır.

 

Kişisel Verilerin muhafaza edildiği fiziksel ortamların üzerine, kırmızı renkte ve rahatça okunabilir bir büyüklükte “GİZLİDİR” ibaresi veya muadili ibareler konulmalıdır.

 

6.3.7 Hesap Verilebilirlik

IŞIK, Kişisel Verilerin işlenmesine ilişkin icra ettiği faaliyetlerin kaydını tutar ve bunları Kişisel Veri İşleme Envanterinde açıklar.

 

6.3.8 Asgari Veri Muhafazası

IŞIK, faaliyetlerini icra etmek, kanuni yükümlülüklerini yerine getirmek veya haklarını korumak için muhafazası gerekli olmayan Kişisel Verileri edinmemek, eğer edinmişse bu verileri imha etmek, silmek veya anonimleştirmek hususunda azami gayreti göstermek suretiyle elinde bulundurduğu Kişisel Veri miktarını, mümkün olduğu nispette, asgari düzeyde tutar.

 

Kişisel veriler, hukuka uygun olarak toplandıkları amacın gerektirdiğinden daha uzun bir süre için muhafaza edilemez. Kişisel verilerin elde edilmeleri amacının ortadan kalkması halinde bu veriler, işbu Politika hükümlerine uygun olarak imha edilir.

IŞIK’ın faaliyetlerini icra etmesi, kanuni yükümlülüklerini yerine getirmesi ve haklarını koruması için muhafazası gerekli olmayan veriler IŞIK tarafından muhafaza edilmez. Bu bakımdan IŞIK için gereksiz hale gelen Kişisel Veriler en kısa süre içerisinde, her halde en geç işbu Politika’da belirtilen süreler içinde ve işbu Politika’da belirtilen şekilde silinmeli, imha edilmeli veya anonimleştirilmelidir.

 

6.4. Kişisel Verilerin İşlenme Şartları

 

IŞIK, Kanun’un 5. Maddesinde yer alan düzenlemeye uygun olarak, kural olarak, kişisel verileri, kişinin açık rızası olması halinde işlemektedir. Ancak Kanun’un 5. Maddesinin 2. Fıkrası uyarınca; Kanun Koyucu, açık rızanın olmadığı hallerde de kişisel verilerin işlenmesine olanak vermiş bulunmaktadır. Buna göre; aşağıdaki bentlerde yazan diğer şartlardan birinin ve/veya birkaçının varlığı halinde de kişisel veriler IŞIK tarafından işlenebilmektedir. Aşağıda belirtilen şartlardan yalnızca birinin varlığı kişisel veri işleme faaliyeti için yeterli olmakla birlikte; bahse konu şartlardan birden fazla olması da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

 

İşlenen verilerin özel nitelikli kişisel veri olması halinde uygulanacak şartlara Politika’nın 6.5 Bölümünde ayrıca değinilmektedir.

 

  1. Kişisel Veri Sahibinin Açık Rızasının Bulunması

 

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

 

Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.  

 

  1. Kanunlarda Açıkça Öngörülmesi

 

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.  

 

  1. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması 

 

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.  

 

  1. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması 

 

Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.  

 

  1. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi 

 

Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

  1. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi 

 

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

 

  1. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması 

 

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

 

  1. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması 

 

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

 

6.5.  Özel Nitelikli Kişisel Verilerin İşlenmesi  

 

6.5.1. Özel Nitelikli Kişisel Verilerin İşlenme Şartları:

 

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:  

 

  1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 

  1. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 

6.5.2. Özel Nitelikli Kişisel Verilerin Korunması

 

Kişisel Verileri Koruma Kanunu ile bir takım kişisel veriler, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle işbu Politikada ayrıca belirtilmiştir.

 

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik; Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi, gizlilik sözleşmelerinin yapılması, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması, periyodik olarak yetki kontrollerinin gerçekleştirilmesi, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması yönünde gerekli önlemler alınmaktadır.

 

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise; verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, kriptografîk anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması, verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması yönünde gerekli önlemler alınmaktadır.

 

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması, bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi yönünde gerekli önlemler alınmaktadır.

 

6.6.  Kişisel Veri Sahibinin Aydınlatılması 

 

IŞIK, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda IŞIK, kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda ilgili kişileri bilgilendirmektedir.

 

  1. VERİ GÜVENLİĞİ

    1. Veri Güvenliği Kurallarına Uyum

IŞIK, Çalışanlarından veri güvenliğine ilişkin kurallarına tam uyum göstermesini beklemektedir. Veri güvenliğine ilişkin kuralların ihlali Çalışanlar hakkında disiplin soruşturması yapılması ve gerçekleştirilen ihlalin niteliği ve ağırlığına göre Çalışanların hizmet sözleşmelerinin haklı nedenle feshedilmesi ile sonuçlanabilir. IŞIK Çalışanlarının, veri güvenliğine ilişkin olarak işbu Politika’da yer alan kurallara ve KVKK ile ikincil mevzuata aykırı davranmalarından dolayı IŞIK’ın uğrayabileceği zararlara ilişkin olarak IŞIK’ın tazminat talep hakkı saklıdır.

 

Veri güvenliğine ilişkin kurallara uyum sağlanıp sağlanmadığı Şirket tarafından denetlenir ve tespit edilen her bir ihlal, güvenlik açığı olarak değerlendirilir ve bu durumda Şirket, iç politikalarına uygun şekilde, gerekli adımları atar.

 

  1.  Özel Nitelikli Olmayan Kişisel Verilerin Güvenliği

IŞIK, Kişisel Verilerin korunması için teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıdaki gibidir:

 

  1. Teknik Tedbirler[Bİ2] 

  1. Kişisel Veriler, eğer elektronik veri olarak saklanmaları gerekmekte ise, IŞIK’ın

merkezi veri tabanlarına ve/veya IŞIK’ın bilgisayarlarına kayıt edilmeli ve Veri Güvenliği Sorumlusunun izni olmaksızın hiçbir koşulda taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kayıt edilmemelidir. Kişisel Verilerin Veri Sorumlusunun yazılı izni ile taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kaydedilmiş olması halinde bu veriler Veri Güvenliği Sorumlusunun talimatı üzerine söz konusu taşınabilir harici veri depolama aygıtlarından silinmeli ve silme işleminin gerçekleştirildiği veri sorumlusuna yazılı ve imzalı olarak teyit edilmelidir. 

 

  1. Kişisel Verileri içeren elektronik ortamlara uygun kötü amaçlı yazılımlara karşı virüs

koruma programları ve güvenlik duvarları kurulmalıdır.

 

  1. Kişisel Verilerin muhafaza edildiği elektronik ortamlar en az üç ayda bir defa test 

edilmeli, test sonuçları loglanmalıdır.

 

  1. Kişisel Verilerin muhafaza edildiği elektronik ortamlarda mevcut olan; ancak IŞIK

tarafından kullanılmayan yazılım ve servisler silinmelidir. 

 

  1. Kişisel Verilerin muhafaza edildiği elektronik ortamlara erişme yetkisi bulunan tüm 

kullanıcıların işlem hareketi kayıtları düzenli olarak tutulmalı ve arşivlenmelidir. 

 

  1. Kişisel Veriler bulut ortamlarında muhafaza edilecekse, bulut ortamlarında muhafaza 

edilecek kişisel verilerin yedeklenmeli, kriptografik yöntemlerle şifrelenmeli ve bulut ortamına şifrelendikten sonra aktarılmalıdır. Bulut bilişim hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tüm kopyaları imha edilmelidir. 

 

  1. Kişisel Verilerin muhafaza edildiği sistemin çökmesi, kötü niyetli, yazılım, servis dışı 

bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi sistem güvenliği ihlallerinde, bu hadiselere ilişkin deliller toplanmalı ve güvenli bir şekilde saklanmalıdır. 

 

  1. Sızma (Penetrasyon) testleri ile IŞIK bilişim sistemlerine yönelik risk, tehdit,

zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmalıdır.

 

  1. Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim 

sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmelidir.

 

  1. IŞIK’ın bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için 

gerekli önlemler alınmalıdır.

 

  1. Elektronik ortamda muhafaza edilen Kişisel Veriler her üç ayda bir defa  

yedeklenmelidir. Yedeklenen Kişisel Verilere erişim, yalnızca IŞIK Yöneticilerine münhasır olmalı ve yedeği alınan veriler muhakkak ağ dışında muhafaza edilmelidir.

 

  1. Elektronik ortamda muhafaza edilen Kişisel Verilerin kazara kaybolmasını 

engellemek için uygun bir yedekleme programı kullanılmalı ve yedeklenen Kişisel Verileri içeren dosyalar kriptografi yöntemi ile şifrelenmelidir.

 

  1. Kişisel Verileri ihtiva eden elektronik cihazların tamirinin veya bakımının gerekmesi 

halinde, bu cihazlar tamir için gönderilmeden önce veri depolama ortamları sökülür ve IŞIK’ın yerleşkesinde emniyete alınır. 

 

  1. Kişisel Verilere erişim yetkisi yalnızca IŞIK Yöneticilerine ait olmalıdır. Kişisel 

Verilere erişim yetkisi olan kimselerin kimliği halin icabına göre uygun kimlik doğrulama yöntemleri kullanılarak doğrulanmalıdır. Kimlik doğrulama yönteminin elektronik şifreler olması halinde, bu elektronik şifreler güçlü şifreler olmalıdır. Kullanıcılarının seçecekleri şifreler en az 6 karakterden oluşmalı, en az bir büyük harf, bir küçük harf bir de özel karakter (örneğin; &%@) içermelidir ve kullanıcılar şifrelerini kimse ile paylaşmamalıdır. Bu sistemlerin kaba kuvvet algoritması (BFA) veya benzeri siber saldırılardan korunması için şifre deneme sayısı sınırlı olmalı, belirli sayıda başarısız denemeden sonra söz konusu kullanıcının şifresi dondurulmalıdır.

 

  1. Elektronik (e-mail ve diğer elektronik haberleşme yöntemleri dahil) veri transferleri 

şifreli olarak gerçekleştirilmelidir.

 

  1. Kişisel Verilerin depolandığı elektronik depolama aygıtlarının güvenliğini sağlamak 

için söz konusu sistemlerin bakımları ve güvenlik güncelleştirmeleri düzenli olarak yapılmalı, yaptırılmalıdır.

 

  1. Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu

risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik

kontroller yapılmalıdır.

 

 

  1. Kişisel Verilerin depolandığı elektronik sistemlerin güvenliği, IŞIK tarafından 

belirlenen periyotlarda test edilir ve Şirket tarafından gerekli görülmesi halinde, bu sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığı, IŞIK Yöneticilerine raporlanır. Bu testlerin sonuçları Şirket tarafından kayıt altına alınır. Kişisel Verilerin depolandığı elektronik sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığının test edilmesinde iş birliği yapılacak üçüncü şahısların işbu Politika ve KVKK ile ikincil mevzuatına uymayı taahhüt etmesi şarttır.

 

  1. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal

(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24

çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin

sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik

duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen

sistemler vb.) önlemler alınmalıdır.

 

  1. Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz

erişimler veya erişim denemeleri kontrol altında tutulmalıdır.

 

  1. IŞIK, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar 

kullanılamaz olması için gerekli tedbirleri almalıdır.

 

  1. IŞIK, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi 

halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturmalıdır.

 

  1. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi 

sistemleri güncel halde tutulmaktadır.

 

  1. İdari Tedbirler

  1. Kişisel Verilere erişim, yalnızca Kişisel Verilere erişme yetkisi, IŞIK

Yöneticilerine münhasır olmalıdır. 

 

  1. Çalışanlara, işbu Politika ve KVKK uyarınca söz konusu olan yükümlülüklerine 

ilişkin olarak düzenli eğitimler verilmeli ve IŞIK ile aralarındaki iş ilişkisi sona erdikten sonra dahi IŞIK nezdindeki görevlerini ifa ederken öğrendikleri Kişisel Verileri üçüncü şahıslara açıklamama yükümlülüğü altında oldukları hatırlatılmalıdır.

 

  1. Çalışanlara, Kişisel Verileri hukuka aykırı olarak açıklamalarını önlemek, özellikle 

kötü amaçlı yazılımlar vasıtasıyla veya dikkatsizlik ve tedbirsizlik ile Kişisel Verilerin hukuka aykırı olarak üçüncü şahısların eline geçmesini önlemek için farkındalık yaratıcı eğitimler verilmelidir. 

 

  1. Tüm Çalışanların, Kişisel Verilerin güvenliğine ilişkin rol ve sorumlulukları, görev 

tanımlarında belirlenmeli ve Çalışanlara bu sorumlulukları yerine getirmeleri gerektiği hatırlatılmalıdır.   

 

  1. Kişisel Veriler, yalnızca gerekli olduğu hallerde kopyalanmalı ve gereklilik 

ortadan kalktığı takdirde kopyalar Kişisel Verileri Saklama ve İmha Politikasına uygun şekilde imha edilmelidir. 

 

  1. Kişisel Verilerin saklandığı fiziksel ortamlarda uygun güvenlik önlemleri alınmak 

suretiyle yetkisiz erişimlerin önüne geçilmelidir. 

 

  1. Üçüncü şahıslarla yapılan sözleşmelerde IŞIK tarafından aktarılan Kişisel 

Verilerin gizli tutulması ve bu üçüncü kişilerin söz konusu Kişisel Verilere ilişkin olarak IŞIK’ın talimatlarına uygun hareket etmesine, Kişisel Verilerin muhafaza edilmesi için gerekli önlemleri almasına yönelik hükümler derç edilmelidir. 

 

  1. Kişisel Verilerin basılı kopyalarının üzerine kırmızı renkte ve rahatça görülebilir 

büyüklükte “Gizlidir” damgası vurulmalı ve bu evraklar Kişisel Verilerin depolanmasına tahsis edilmiş bir dolapta veya kasada kilitli olarak tutulmalı ve bu dolabın veya kasanın anahtarı ve şifre kombinasyonu yalnızca Veri Sorumlusunda bulunmalıdır. 

 

  1. Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri

değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan elinde bulunan tüm Kişisel Verileri IŞIK’a iade eder.

 

  1. Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri

imzalatılmalıdır.

 

  1. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak 

disiplin prosedürü hazırlanmalıdır.

 

  1. Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma

yükümlülüğü yerine getirilmektedir.

 

  1. Kişisel veri işleme envanteri hazırlanmıştır.

 

  1. Şirket içi periyodik ve rastgele denetimler yapılmaktadır.

 

  1. Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.

 

 

  1. İnsan Faktörü

Kişisel Verilerin güvenliğine ilişkin olarak insan faktöründen kaynaklanan riskleri azaltmak için Şirket, yürürlükteki mevzuata uygun şekilde, tüm Çalışan Adayları ve Çalışanları için geçmiş sorgulaması yapabilir. Çalışan Adaylarına ve Çalışanlara ilişkin olarak bu şekilde elde edilen bilgiler de işbu politikanın uygulanması bakımından Kişisel Veri sayılır.

 

Çalışan ile Şirket arasındaki hizmet akdinin herhangi bir sebeple sona ermesi halinde Çalışan, elinde bulunan tüm Kişisel Verileri Şirkete iade etmekle ve bu Kişisel Verileri iade ettikten sonra elinde başka herhangi bir Kişisel Veri kalmadığını yazılı olarak taahhüt etmekle yükümlüdür.

IŞIK, Çalışanlarına, veri güvenliği ve kişisel verilerin korunmasına ilişkin olarak Şirket tarafından belirlenecek periyotlarda düzenli olarak eğitimler verir.

 

  1. Veri Güvenliği Sorumlusu

IŞIK, işbu Politikanın uygulanmasını gözetmesi için bir Veri Güvenliği Sorumlusu belirler. Veri Güvenliği Sorumlusu, Şirketin KVKK’nın ve ikincil mevzuatının uygulanmasından dolayı taşıdığı hukuki ve cezai sorumluluğu üstlenmeksizin işbu politikada kendisine verilen görevleri ifa eder ve genel olarak Şirketin KVKK ve ikincil mevzuat hükümlerine uygun şekilde faaliyet göstermesi için görüş ve önerilerini paylaşır.

 

  1. Özel Nitelikli Kişisel Verilerin Güvenliği

    1. Teknik Tedbirler[Bİ3] 

  1. Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan 

Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.1 başlığında belirtilen tedbirler, 4.1.1 başlığında belirtilen teknik tedbirlere ek ve ilavedir. 

 

  1. Özel Nitelikli Kişisel Veriler, Özel Nitelikli Olmayan Kişisel Verilerden farklı 

ortamlarda muhafaza edilir.

 

  1. Özel Nitelikli Kişisel Verilerin muhafaza edildiği ve/veya erişildiği elektronik 

ortamlarda Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir. Kullanılacak kriptografik yöntemin türünü ve niteliğini Veri Güvenliği Sorumlusu belirler.

 

  1. Kriptografik anahtarlar farklı ve güvenli ortamlarda muhafaza edilir.

 

  1. Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem 

kayıtları güvenli olarak loglanır.

 

  1. Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri 

sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır.

 

  1. Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişilecekse bu yazılıma ait 

kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır ve test sonuçları kayıt altına alınır. 

 

  1. Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli 

kimlik doğrulama sistemi kullanılır.

 

  1. Özel Nitelikli Kişisel Veriler elektronik posta aracılığı ile aktarılacaksa şifreli 

olarak IŞIK’ın kurumsal elektronik posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.

 

  1. Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla 

aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarlar farklı ortamlarda tutulur.

 

  1. Özel Nitelikli Kişisel Veriler farklı fiziksel ortamlardaki sunucular arasında 

aktarılacak ise, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.

 

  1. Özel Nitelikli Kişisel Veri’nin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın 

çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir

 

  1. Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği 

fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

 

  1. Özel Nitelikli Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel 

nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,

verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

 

  1. İdari Tedbirler 

  1. Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.2 başlığında belirtilen tedbirler 4.1.2 başlığında belirtilen tedbirlere ek ve ilavedir. 

 

  1. IŞIK Çalışanlarına, Özel Nitelikli Kişisel Verilerin hassasiyetine ve korunmasına ilişkin farkındalık yaratıcı eğitimler, IŞIK Yöneticileri tarafından belirlenecek periyotlarda düzenli olarak verilir. 

 

  1. Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanlar ile bu verilerin korunmasına ilişkin gizlilik sözleşmeleri imzalanır. 

 

  1. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, Özel Nitelikli Kişisel Verilere yetkisiz erişime ve bu verilerin kaybı riskine karşı yeterli önlemler alınır, özellikle, bu Özel Nitelikli Kişisel Verilerin muhafaza edildiği ortamlara yetkisiz giriş çıkış engellenir.

 

  1. Özel Nitelikli Kişisel Verilerin kâğıt ortamı yolu ile aktarılması gerekirse, evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı evrak, üzerinde kırmızı renkte ve görülebilir bir büyüklükte “GİZLİDİR” damgası taşıyan, evrakı teslim almaya kimin yetkili olduğunu belirten ve aşağıdaki uyarı metnini içeren bir kapak sayfası ile aktarılır:

 

“İşbu evrakta yalnızca muhatabını ilgilendiren, gizlilik yükümlüğü altında ve/veya kişiye veya kuruma özel GİZLİ BİLGİLER yer almaktadır. İşbu evrakı teslim almaya yetkili değilseniz, içeriğini ve varsa ekindeki dosyaları kimseye aktarmayınız veya kopyalamayınız. Böyle bir durumda lütfen evrakı derhal içeriği okunamayacak şekilde imha ediniz. Bu evrakın yetkisiz olarak çoğaltılması, gösterilmesi, teşhir edilmesi ve dağıtımı yasaktır ve bu yasak ihlal edildiği takdirde tarafınıza karşı yasal yollara başvurulacaktır.”

 

  1. Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan, elinde bulunan tüm Özel Nitelikli Kişisel Verileri IŞIK’a iade eder.

 

  1. Veri Güvenliği İhlalleri

Çalışanlar, işbu Politikanın uygulanmasında herhangi bir ihlalin meydana gelmesi halinde durumu derhal Veri Güvenliği Sorumlusuna bildirmekle yükümlüdür. Veri güvenliği ihlali nedeniyle işlenen Kişisel Veriler kanuni olmayan yollarla başkaları tarafından elde edilmişse Şirket bu durumu en kısa süre içinde Kişisel Verileri kanuni olmayan yollarla başkaları tarafından elde edilen ilgili kişiye ve Kişisel Verileri Koruma Kuruluna bildirmelidir.

  1. KİŞİSEL VERİLERİN AKTARILMASI

    1. Prensipler

IŞIK’ın İlgili Kişiler’e gerektiği gibi hizmet edebilmesi amaçlarına uygun olarak veri işleme kapsamında, İlgili Kişi’yle ve/veya İlgili Kişi’nin işaret ettiği üçüncü taraflarla ilgili verilerin aktarımı/paylaşımı gereklidir.

 

Kişisel veriler;

  • IŞIK tarafından sunulan ürün ve hizmetlerden faydalanılması için gerekli çalışmaların iş birimleri tarafından yapılması,
  • IŞIK ve IŞIK’la iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini, [IŞIK tarafından yürütülen iletişime yönelik idari operasyonlar, kuruma ait lokasyonların fiziksel güvenliğini ve denetimini sağlamak, iş ortağı/müşteri/tedarikçi (yetkili veya çalışanları) değerlendirme süreçleri, hukuki uyum süreci, denetim, muhasebe ve mali işler vb.],
  • IŞIK’ın ticari ve iş stratejilerinin belirlenmesi ve uygulanması ile Şirketin insan kaynakları politikalarının yürütülmesinin temini amaçlarıyla iş ortaklarına, tedarikçilere, IŞIK yetkililerine, hissedarlara, kanunen yetkili kamu kurumları ve özel kişilere, KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.
  • IŞIK hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir.

 

IŞIK bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. IŞIK bu Politika maddesinde belirtilen aktarma işlemi için istisnaları, Kanun’un 8. Maddesi 2. Fıkrasında belirtildiği üzere uygulamaktadır. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. 

 

Kişisel Veriler, ilgili kişinin aydınlatılmış, belirli bir amaca özgü ve açık rızası olmaksızın üçüncü kişilere aktarılamaz. İlgili Kişinin rızası, İlgili Kişinin imzasını taşıyacak şekilde yazılı olarak alınır. Bu yazılı metinde 6.3.3 [Şeffaflık] numaralı başlığa uygun şekilde aydınlatma yükümlülüğü yerine getirilmelidir.

 

Kanun Kişisel Verilerin Aktarılması husususunda yurtiçi ve yurtdışında aktarımı ve Özel Nitelikli Kişisel Verilerin ve Özel Nitelikli Olmayan Kişisel Verilerin aktarımını farklı düzenlemelere tabi tutmaktadır.

 

8.2. Kişisel Verilerin Yurtiçinde Aktarılması 

 

8.2.1. Özel Nitelikli Olmayan Kişisel Verilerin Yurtiçinde Aktarılması:

 

Özel Nitelikli Olmayan Kişisel Verilerin ilgili kişinin rızası olmaksızın IŞIK dışındaki üçüncü kişilere aktarılabileceği haller aşağıdaki gibidir:

 

  1. Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, veya

 

  1. İlgili kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa, veya

 

  1. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, veya

 

  1. Şirketin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise, veya

 

  1. Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise, veya

 

  1. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, veya

 

  1. Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin’inmeşru menfaatleri için kişisel veri aktarımı zorunlu ise.

 

Dolayısıyla, özel nitelikli olmayan Kişisel Veriler, yukarıda altı bent halinde sayılan koşullardan birinin veya birkaçının mevcudiyeti halinde ilgili kişinin rızasına bakılmaksızın aktarılabilir.

 

8.2.2. Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarımı

 

Kanun’un 8. Maddesi uyarınca Özel Nitelikli Kişisel Veriler IŞIK dışındaki üçüncü kişilere;

 

  • Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi, ve

 

  • Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi  

 

amaçlarına tabi olarak, her halükarda yeterli önlemlerin alınması sonrasında İlgili Kişi’nin rızasına bakılmaksızın üçüncü kişilere aktarılabilmektedir.

 

8.3. Kişisel Verilerin Yurtdışına Aktarımı

 

IŞIK, hukuka uygun amaçları doğrultusunda aşağıda sıralanan gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini üçüncü kişilere aktarabilmektedir:

 

  • Veri sahibinin açık rızasının bulunması halinde, veya 
  • Veri sahibinin açık rızası bulunmadığı ancak Kanun’un 5.2. veya 6.3. maddelerindeki hallerden birinin varlığında aşağıda belirtilen şartların karşılandığı hallerde;
  1. Verilerin aktarıldığı ülkede yeterli koruma bulunması ve
  2. Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili IŞIK’ın ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı  aktarılabilmektedir. 

 

Kişisel Verilerin aktarılacağı üçüncü kişilerin Kişisel Verileri gizli tutmasını ve KVKK ve ikincil mevzuatına uygun hareket etmesini sağlamak amacıyla bu kimselerle gizlilik sözleşmesi yapılmalı veya bu kimseler ile yapılan sözleşmelere veri güvenliğinin sağlanması hüküm ve etkisine sahip gizlilik maddeleri derç edilmelidir. Ayrıca, Kişisel Verilerin aktarılacağı üçüncü kişi Kişisel Verileri Koruma Kurulunun belirlediği yeterli korumayı sağlayan ülkelerden birinde değil ise Kişisel Verilerin aktarılmasından önce Kişisel Verileri Koruma Kurulu’nun izni alınmalıdır.

 

  1. Aktarım Prosedürü

Çalışanlar veya IŞIK adına hareket ederek Kişisel Veri aktarımı gerçekleştiren diğer kişiler, herhangi bir sebeple Kişisel Veri aktarılmasının gerekmesi halinde, Kişisel Verileri aktarmadan önce işbu Politikanın eki niteliğinde olan Kişisel Veri Aktarımı İzin Talep Formunu doldurduktan ve imzaladıktan sonra Veri Güvenliği Sorumlusuna teslim etmek suretiyle Veri Güvenliği Sorumlusunun iznini talep eder. Veri Güvenliği Sorumlusunun önceden izni alınmaksızın Kişisel Veri Aktarımı yapılamaz.

 

  1. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

 

IŞIK, Kanun’un 8. ve 9. maddelerine uygun olarak işlenen kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:

 

  1. IŞIK iş ve çözüm ortaklarına,
  2. IŞIK tedarikçilerine,
  3. IŞIK Hissedarlarına, Yetkililerine, Çalışanlarına,
  4. Hukuken Yetkili kamu kurum ve kuruluşlarına,
  5. Hukuken yetkili özel hukuk kişilerine,
  6. Veri aktarım şartlarına uygun olarak diğer üçüncü kişilere.

 

Yukarıda aktarımda bulunduğu belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmekte olup; IŞIK tarafından gerçekleştirilen aktarımlarda Politika’ nın 7. Bölümünde düzenlenmiş hususlara uygun olarak hareket edilmektedir.

 

 

Veri Aktarımı Yapılabilecek Kişiler

Tanımı

Veri Aktarım Amacı

IŞIK İş ve Çözüm Ortakları

IŞIK’ın ticari faaliyetlerini yürütürken IŞIK ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, muhasebe, finans ve hukuk konularında destek alınması amacıyla iş ortaklığı kurduğu ve IŞIK’ın alt işveren olduğu alt işverenlik sözleşmelerinde üst işvereni ve şubeleri sıfatında bulunan tarafları tanımlamaktadır.

 

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak

IŞIK Hissedarları, Yetkilileri, Çalışanları

 

İlgili mevzuat hükümlerine göre IŞIK’ın ticari faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan hissedarlarımız, çalışanlarımız.

İlgili mevzuat hükümlerine göre IŞIK’ın ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak

 IŞIK Tedarikçileri

 

IŞIK’ın ticari faaliyetlerini yürütürken IŞIK’ın emir ve talimatlarına uygun olarak sözleşme temelli olarak IŞIK’a hizmet sunan tarafları tanımlamaktadır.  

 

IŞIK’ın tedarikçiden dış kaynaklı olarak temin ettiği ve IŞIK’ın ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin IŞIK’a sunulmasını sağlamak amacıyla sınırlı olarak.

Hukuken Yetkili Kamu Kurum ve Kuruluşları 

İlgili mevzuat hükümlerine göre IŞIK’tan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları

 

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

Hukuken Yetkili Özel Hukuk Kişileri

İlgili mevzuat hükümlerine göre IŞIK’tan bilgi ve belge almaya yetkili özel hukuk kişileri

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

 

  1. KURUM İÇİ DENETİMLER VE EĞİTİMLER

Veri Güvenliği Sorumlusu, en az üç ayda bir defa olmak ve IŞIK’ın kişisel verilerin korunmasına ilişkin politikalarına ve mevzuata uygun hareket ettiğini teyit etmek üzere kurum içi denetimler yapar, denetim neticesinde saptadığı aksaklıkları bir rapor haline getirir ve görüş ve önerilerini Şirket Yöneticileri ile paylaşır.

 

Çalışanların Kanun ve ikincil mevzuatının uygulanmasına ilişkin bilgilendirilmesi adına IŞIK, en az üç ayda bir defa, gerek Kişisel Verilerin işlenmesine ilişkin esaslar gerekse de elektronik verilerin güvenliğinin sağlanmasına ilişkin hususlara ilişkin olarak eğitim verilmesini sağlar. Veri Güvenliği Sorumlusu bu eğitimlerin verilmesini organize eder.

 

  1. KİŞİSEL VERİLERİN SİLİNMESİ, İMHASI VE ANONİMLEŞTİRİLMESİ

    1. IŞIK’ın Kişisel Verileri Silme, İmha Etme veya Anonimleştirme Yükümlülüğü

Kişisel verilerin silinmesi, imhası ve anonimleştirilmesine ilişkin usul ve esaslar Kişisel Veri Saklama ve İmha Politikası’nda belirlenir. 6698s. Kanun’un 7 inci maddesi uyarınca IŞIK, Kanun hükümlerine uygun şekilde işlenmiş olsa dahi, işlenmesini gerektiren sebeplerin ortadan kalkması halinde re’sen veya İlgili Kişinin talebi üzerine işlenmesini gerektiren sebeplerin ortadan kalktığı Kişisel Veriler silinir, yok edilir veya anonim hale getirilir.

 

IŞIK, 8.3 başlığı altında açıklanan Kişisel Verilerin silinmesi, imha edilmesi veya anonimleştirilmesi yöntemlerinden söz konusu Kişisel Verilerin niteliğini de dikkate alarak belirler ve uygular; şu kadar ki İlgili Kişinin 9 numaralı başlıkta belirtildiği şekilde, Kişisel Verilerinin silinmesine, imha edilmesine veya anonimleştirilmesine ilişkin talebinde uygulanacak yöntemi belirtmesi halinde İlgili Kişinin bu belirlemesine uygun hareket edilir.

 

  1. Muhafaza Süreleri

 

İlgili Kişi

Veri Kategorisi

Muhafaza Süresi

Çalışanlar

Özlük dosyası, SGK Ücret Bordroları, e-posta adresi, yıllık izin belgeleri, ikametgâh senedi, askerlik durum belgesi, sağlık raporu, AGİ Formu, diploma, özgeçmiş, banka hesap bilgisi, beden ölçüleri

Hizmet akdi devam ettiği sürece ve hizmet akdinin sona ermesinden itibaren 10 yıl.

Çalışan Adayları

Özgeçmişler

İş başvurusunun olumsuz sonuçlanması durumunda 6 ay, olumlu sonuçlanması durumunda işten ayrılmasından itibaren 10 yıl. 

Stajyerler

İsim,Soyisim, adres, e-posta adresi, telefon

10 yıl

Şirket Ortakları

Şirket için alınan kararlar, banka hesap numaraları, nüfus cüzdanları, ikametgâh bilgileri, vekâletnameler, imzalar, imza beyannameleri.

Ortaklık sıfatı devam ettiği sürece ve ortaklık sıfatının sona ermesinden itibaren 10 yıl.  

Gerçek Kişi Tedarikçiler

 

 

 

Gerçek kişi tedarikçiler ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi tedarikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.

 

10 yıl

Kurumsal Tedarikçilerin Yetkililileri, Çalışanları, Hissedarları

Kurumsal tedarikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.

10 yıl

Gerçek Kişi Müşteriler

Gerçek kişi müşteri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer belgeler. Gerçek kişi müşterilere ait ad-soyad, adres, kimlik numarası, telefon numaraları, e-posta adresi, meslek bilgileri.

 

10 yıl

Kurumsal Müşterilerin Gerçek Kişi Yetkilileri, Çalışanları, Hissedarları

Kurumsal müşterilerin gerçek kişi yetkililerine ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri.

10 yıl

İşbirliği İçerisinde Olduğumuz Gerçek Kişiler

Gerçek kişi işbirlikçileri ile yapılan sözleşmelerin ekindeki imza sirküleri ve diğer ticari belgeler. Gerçek kişi işbirlikçilere ait adres, kimlik numarası, vergi numarası, kayıtlı oldukları vergi dairesi, telefon numaraları, e-posta adresi, banka hesap bilgileri.

 

10 yıl

İşbirliği İçerisinde Olduğumuz Kurumsal Çalışanları, Hissedarları ve Yetkilileri

Kurumsal işbirlikçilerin gerçek kişi yetkili, çalışan ve hissedarlarına ait ad-soyad, TC kimlik numarası, adres, telefon numarası, e-posta adresi, imza bilgileri

10 yıl

Çalışanlar, çalışan adayları,

Ziyaretçiler, hissedarlar

Kamera Kayıtları

Kaydın alınmasından itibaren 6 ay 

Çalışanlar,

Stajyerler,

Ziyaretçiler

IP adres bilgileri, İnternet sitesi giriş-çıkış bilgileri

Kaydın alınmasından itibaren 3 yıl

 

 

  1. Kişisel Verilerin Silinmesi, İmha Edilmesi veya Anonimleştirilmesi Yöntemleri

    1. Kişisel Verilerin Silinmesi

IŞIK, Kişisel Verileri belirli fiziksel ve elektronik ortamlarda muhafaza etmektedir. Bu istikamette, Kişisel Verilerin silinmesi hususunda, söz konusu Kişisel Verilerin muhafaza edildiği ortama uygun bir yöntem uygulanması icap etmektedir. IŞIK’ın, Kişisel Verilerin silinmesine ilişkin olarak, söz konusu Kişisel Verilerin muhafaza edildiği ortamlara göre takip edeceği usul aşağıdaki gibidir.

 

  1. Bulut Sistemlerinde Mevcut Veriler

Bulut sistemlerinde muhafaza edilen Kişisel Veriler, bulut sistemi ara yüzü üzerinden silme komutu verilmek suretiyle silinmelidir. Bazı bulut sistemlerinin silinen dosyaların kurtarılması imkanı sağladığı göz önünde bulundurularak silinen verinin geri getirilmesi olanağının bulunmamasına özen gösterilmelidir.

 

  1. Fiziksel Ortamda Bulunan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

 

 

 

  1. Elektronik Ortamda Bulunan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

 

  1. Merkezi Sunucuda Yer Alan Dosyalar

IŞIK merkezi sunucusunda yer alan Kişisel Verilerin, merkezi sunucunun ara yüzünde yer alan silme komutu ile silindiğinden ve silinen Kişisel Verinin önem ve hassasiyetine göre makul bir çaba ile geri getirilemeyeceğinden emin olunmalıdır.

 

  1. Taşınabilir Veri Depolama Cihazları

Taşınabilir veri depolama cihazlarında muhafaza edilen Kişisel Veriler, taşınabilir veri depolama cihazının takıldığı bilgisayarın ara yüzünde yer alan silme komutu ile silinmeli ve silinen Kişisel Verilerin önem ve hassasiyetine göre makul bir çaba ile geri getirilemeyeceğinden emin olunmalıdır.

 

  1. Kişisel Verilerin İmhası/Yok Edilmesi

IŞIK, Kişisel Verileri çeşitli fiziksel ve elektronik ortamlarda muhafaza etmektedir. Bu istikamette, Kişisel Verilerin imha edilmesi hususunda, söz konusu Kişisel Verilerin muhafaza edildiği ortama uygun bir yöntem uygulanması icap etmektedir. IŞIK’ın, Kişisel Verilerin imhasına ilişkin olarak, söz konusu Kişisel Verilerin muhafaza edildiği ortamlara göre takip edebileceği usul aşağıdaki gibidir.

 

  1. Optik ve Manyetik Medyada Yer Alan Kişisel Veriler

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’den oluşan rastgele veriler [] yazılımı kullanılarak yazılır ve eski verinin kurtarılmasının önüne geçilir. Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

  1. Fiziksel Olarak İmha Etme

Kişisel Verileri içeren elektronik ortamlar, fiziksel olarak tahrip edilmek suretiyle çalışmaz hale getirilir. Fiziksel ortamda (kağıt, kartvizit vs.) bulunan kişisel veriler, İlgili Kişiyi ayırt etmeye yarayacak verilerin karartılması veya DIN 32757 standardına uygun bir kağıt parçalama makinesi ile Kişisel Verilerin bulunduğu kağıdın parçalanması yöntemi ile silinir.

 

  1. Anonim Hale Getirme

Anonim hale getirme, bir veri setindeki İlgili Kişileri tanımlamaya yarayabilecek tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek İlgili Kişinin kimliğinin saptanabilmesinin engellenmesidir.

 

  1. Maskeleme

Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı, maskeleme ile temel belirleyici bilgilerin veri setinden çıkarılması suretiyle ortadan kaldırılır.

 

  1. Toplulaştırma

İlgili Kişilerin Kişisel Verileri, toplulaştırılmak suretiyle İlgili Kişiler ile Kişisel Veriler arasındaki bağlantı ortadan kaldırılır. Bu işlem neticesinde ortaya istatistiki veriler çıkar.

 

  1. Veri Türetme

Kişisel Veriler ile İlgili Kişiler arasındaki bağlantı Kişisel Verilerin içeriğinden daha genel bir içerik yaratılmak suretiyle ortadan kaldırılır. Bu şekilde oluşturulan yeni veri setinde İlgili Kişilerin kimliğini belirlemeye yarayan tanımlayıcı unsurlar yer almaz.

 

  1. Veri Karma

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

 

  1. İLGİLİ KİŞİLERİN HAKLARI VE HAKLARIN KULLANILMASI

    1. İlgili Kişilerin Sahip Olduğu Haklar

İlgili Kişiler Kanun madde 11 uyarınca kişisel verilerine ilişkin olarak aşağıdaki haklara sahiptir:

 

İlgili Kişilerin bu prosedüre başvurarak kullanabileceği haklar aşağıdaki gibidir:

 

  1. Kişisel Verilerinin işlenip işlenmediğini öğrenme,

 

  1. Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,

 

  1. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

 

  1. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

 

  1. Kişisel Verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

 

  1. Kişisel Verilerin elde edilmesi amacının ortadan kalkmış olması halinde bunların silinmesini veya yok edilmesini isteme,

 

  1. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

 

  1. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonuç ortaya çıkmasına itiraz etme

 

  1. Kişisel Verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararının tazminini talep etme

 

  1. İlgili Kişilerin Haklarının Kullanılması Usulü

İlgili Kişiler, Kanun madde 11 hükmünde yer alan haklarına ilişkin yöneltecekleri “yazılı”, IŞIK Veri Sahibi Başvuru Formu’nu (EK-2) doldurarak veya kayıtlı elektronik posta adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından IŞIK’a daha önceden bildirilmiş olan ve IŞIK’ın sistemine kayıtlı bulunan elektronik posta adresini kullanmak suretiyle gerçekleştirebilirler.

 

Bu şekilde yapılacak taleplerde;

 

  1. Ad, soyad ve başvuru yazılı ise imza,

 

  1. Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,

 

  1. Tebligata esas yerleşim yeri veya iş adresi,

 

  1. Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası, ve

 

  1. Talep konusu hususlar bulunmalıdır.

 

Kişisel veri sahipleri, yukarıda bahsedilen linkte bulunan formu doldurduktan sonra ıslak imzalı bir nüshasını noter aracılığı ile XX adresine veya elektronik imzalı olarak XX adresine iletebilir.

 

  1. Şirketimizin Başvurulara Cevap Vermesi 

Şirketimiz, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır.  

 

Kişisel veri sahibinin, bölüm 11.1.’de (“Kişisel Veri Sahibinin Hakları”) yer alan haklara ilişkin talebini usule uygun olarak Şirketimize iletmesi durumunda, Şirketimiz talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.  

 

IŞIK, Kanun’un 28. Maddesinde bahsedilen haller ve aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

 

  1. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
  2. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  3. Talep edilen bilginin kamuya açık bir bilgi olması.

 

 

  1. DEĞİŞİKLİKLER

IŞIK işbu Kişisel Verilerin Korunması ve Gizlilik Politikasını değiştirme hakkını saklı tutar.

 

  1. YÜRÜRLÜK TARİHİ

İşbu politika       tarihinden itibaren uygulanmaya başlar.

 

 [Bİ1]Aşağıda belirtilmiş olan amaçlar örnek olarak yazılmıştır. Eklemek ya da çıkarmak istediğiniz hususları lütfen belirtiniz.

 [Bİ2]Buradaki teknik tedbirler, örnek kabilinden yazılmış olup, gereken değişikliklerin teknik ekip tarafından yapılması gerekmektedir.

 [Bİ3]Buradaki teknik tedbirler, örnek kabilinden yazılmış olup gereken değişikliklerin teknik ekip tarafından yapılması gerekmektedir.