KİİSEL VERİLERİ KORUMA POLİTİKASI İ Merkezleri Yönetim ve ... · Sızma testi...
Transcript of KİİSEL VERİLERİ KORUMA POLİTİKASI İ Merkezleri Yönetim ve ... · Sızma testi...
1
KİŞİSEL VERİLERİ KORUMA POLİTİKASI
İş Merkezleri Yönetim ve İşletim A.Ş. (“İŞMER”) olarak sadece gerçek kişilere ait herhangi
bir şekilde edindiğimiz her türlü kişisel verinin korunmasını ve bu çerçevede 6698 sayılı Kişisel
Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat kapsamındaki gerekliliklerin eksiksiz
olarak yerine getirilmesini kurum politikalarımızdan biri olarak benimsemiş bulunuyoruz. İşbu
Kişisel Verileri Koruma Politikası (“KVK Politikası” veya sadece “Politika”), İŞMER
tarafından herhangi bir şekilde toplanan kişisel verilerin kaydedilmesi, kullanılması,
paylaşılması, saklanması, silinmesi ve imhası süreçleri ile bunlara ilişkin prensipler hakkında
İŞMER çalışanlarını, çalışan adaylarını, mevcut ve muhtemel müşterilerimizi, grup şirketi
çalışan veya müşterilerini, www.ismer.com.tr sitemizi kullananları, ziyaretçilerimizi ve
İŞMER ile ilişki içinde bulunan diğer gerçek kişileri bilgilendirmek amacıyla hazırlanmış ve
ilan edilmiştir.
İŞMER, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün
korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak
konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir.
İŞMER, kişisel verilere yetkisiz erişimi engellemek veya bu bilgilerin kaybı, hatalı kullanımı,
ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı kişisel verileri korumak için gerekli
önlemleri almaktadır.
İŞMER, herhangi bir ihlali fark ettiği anda kullanıcıları bu konuda vakit kaybetmeksizin
bilgilendirir, yasalara uygun bir şekilde takibinin yapılmasına olanak tanır ve bilgilerinin
güvenliğini elinden gelen en iyi şekilde sağlar.
1. Kişisel Veri Tanımı
İşbu KVK Politikası'nda kullanılan "Kişisel Bilgiler" terimi, bir gerçek kişinin sadece kimliğini
ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon
numarası, motorlu taşıt plakası, TC kimlik numarası, pasaport numarası, özgeçmiş, resim,
görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan
kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak
belirlenebilir kılan tüm verileri de olabilir. Ayrıca Kanunun 6. maddesi gereğince özel nitelikli
kişisel veriler; “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri”dir.
2. Kişisel Verilerin Toplanmasının Yasal Dayanağı
Kullanıcıların kişisel verilerinin kullanılması konusunda çeşitli kanunlarda düzenlemeler
bulunmaktadır. En başta Anayasa’nın 20. maddesi, 5651 sayılı “İnternet Ortamında Yapılan
Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi
Hakkında Kanun”, 6331 sayılı “İş Sağlığı ve Güvenliği Kanunu”, 6698 sayılı Kişisel Verilerin
Korunması Kanunu ve diğer kanunlar ile bağlı mevzuatta kişisel verilerin korunması esasları
belirlenmiştir.
2
3. Kişisel Verilerin Toplanma Yöntemleri
İŞMER kişisel verileri, bina ziyaretçilerinin ziyareti sırasında kendisinden, çalışanların veya
adayların işe giriş başvuru ve kabul sürecinde sağladığı belge ve bilgilerden, çalışanların özlük
dosyaları için temin ettikleri belge ve bilgilerden, sigorta evraklarından, tedarikçiler ve iş
ortaklarıyla yapılan sözleşmelerden, www.ismer.com.tr internet sitesinden, yardım
masasından, bağlı bulunduğu grup şirketlerinden, kamu kurum ve kuruluşlarıyla ve yargı
yerlerinden ve diğer meşru, yasal yollarla ve Kanuna uygun olarak toplamaktadır.
4. Kişisel Verilerin İşlenmesine İlişkin Temel Kurallar
İŞMER kişisel verileri Kanun çerçevesinde ve aşağıda belirtilmiş olan temel kurallara uygun
olarak işlemektedir.
a. Hukuka ve dürüstlük kurallarına uygun olması,
b. Doğru ve güncel olması,
c. Şeffaflık ve aydınlatma yükümlülüğünün yerine getirilmesi,
d. Veri azaltılması ve veri ekonomisinin sağlanması,
e. Belirli, açık ve meşru amaçlar için işlenmesi,
f. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
g. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza
edilmesi.
5. Kişisel Verilerin İşlenme Amaçları
Kişisel Bilgiler, Politika’nın parçası olan ve www.ismer.com.tr internet sitemizde ilan edilmiş
diğer metinlerde ve aşağıda yazılı amaçlar için kullanılacaktır, hiçbir durumda öngörülen
amacın dışında kullanılmayacaktır.
İŞMER, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar
doğrultusunda saklar.
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayları ve Stajyer Başvuru Süreçlerinin Yürütülmesi
4. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
5. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
6. Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
7. Denetim / Etik Faaliyetlerinin Yürütülmesi
8. Eğitim Faaliyetlerinin Yürütülmesi
9. Erişim Yetkilerinin Yürütülmesi
10. Faaliyetlerin Mevzuata Uygun Yürütülmesi
11. Finans ve Muhasebe İşlerinin Yürütülmesi
12. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
13. Fiziksel Mekan Güvenliğinin Temini
14. Görevlendirme Süreçlerinin Yürütülmesi
15. Hukuk İşlerinin Takibi ve Yürütülmesi
16. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
17. İletişim Faaliyetlerinin Yürütülmesi
3
18. İnsan Kaynakları Süreçlerinin Planlanması
19. İş Faaliyetlerinin Yürütülmesi / Denetimi
20. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
21. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
22. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
23. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
24. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
25. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
26. Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
27. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
28. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
29. Organizasyon ve Etkinlik Yönetimi
30. Performans Değerlendirme Süreçlerinin Yürütülmesi
31. Sözleşme Süreçlerinin Yürütülmesi
32. Talep / Şikayetlerin Takibi
33. Taşınır Mal ve Kaynakların Güvenliğinin Temini
34. Ücret Politikasının Yürütülmesi
35. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
36. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
37. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
38. Yönetim Faaliyetlerinin Yürütülmesi
39. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
40. Şirketimizin tabi olduğu Kanunlara Uyum Sağlanabilmesi
6. Kişisel Verilerin İşlenme Şartları
Kişisel veriler, ilgili kişinin açık rızasının bulunduğu durumda işlenebilir. Açık rıza olmayan
hallerde kişisel veriler ancak aşağıdaki şartların varlığı halinde işlenebilir:
a. Kanunlarda açıkça öngörülmesi,
b. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
e. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
İŞMER, özel nitelikli verileri ilgili kişinin açık rızası olmadan işlememektedir. Ancak, sağlık
ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen
hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve
cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin
varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
a. Kamu sağlığının korunması,
4
b. Koruyucu hekimlik,
c. Tıbbî teşhis,
d. İşyeri hekimliği kapsamında tedavi ve bakım hizmetlerinin yürütülmesi,
e. Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
7. Kişisel Verilerin Saklanma Süreleri
İŞMER kişisel verileri gerek faaliyet konusunun gerçekleştirilmesi gerek hukuki süreçlerin
gereği ve gerekse de resmi kurum, kuruluş ve yargı yerlerinin muhtemel talepleri nedeniyle,
fiziki evrak ve/veya dijital ortamda, ancak gerekli olduğu kadar ve güvenli ortamda
saklamaktadır. İŞMER, bir kişisel verinin kanun ve mevzuat gereği daha uzun süre
saklanmasını gerektiren haller dışında ya o kişisel verinin işlenme amacı sona erdiği veya
-kanun ve mevzuata aykırı olmamak kaydıyla- kişisel veri sahibinin talebi üzerine, söz konusu
veriyi silecek, imha edecek veya anonimleştirilecektir. Bu şekilde silinen veriler artık herhangi
bir şekilde kullanılamayacaktır.
İŞMER, kanunlar ve ilgili mevzuat daha uzun bir süre öngörmediği sürece kişisel verileri
aşağıda yazılı süreler kadar saklar:
SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Sözleşmelerin
hazırlanması
Sözleşmenin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
İletişim Faaliyetlerinin
İcrası
Faaliyetin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
İnsan Kaynakları
Süreçlerinin Yürütülmesi
Faaliyetin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Log Kayıt Takip
Sistemleri 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Donanım ve Yazılıma
Erişim Süreçlerinin
Yürütülmesi
Sisteme giriş tarihinden
itibaren 2 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Ziyaretçi ve Toplantı
Katılımcılarının Kaydı
Etkinliğin sona ermesini
takiben 2 Yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Kamera Kayıtları 2 Yıl Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Müşteri İşlem Faaliyetleri Faaliyetin sona ermesini
takiben 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Hukuki İşlem Muhaberattan çıkış tarihinden
itibaren 2 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
Finans Ticari ilişkinin/Faaliyetin
sonlanmasından itibaren 10 yıl
Saklama süresinin bitimini takip
eden ilk periyodik imha süresinde
5
8. Kişisel Verilerin Güvenliğinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler
İŞMER, kişisel verilerin hukuka uygun işlenmesi, kişisel verilere sadece yetkili kişilerin
erişiminin mümkün olması, kişisel verilerin güvenli şekilde saklanması için gerekli tüm teknik
ve idari önlemleri almıştır. İŞMER bu hususta, güvenlik seviyesini ihtiyaçlara göre
güncellemektedir. İŞMER bu teknik ve idari tedbirler kapsamında aşağıdaki önlemleri
almaktadır:
8.1. Teknik Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik
önlemleri alınmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar
hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri
kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili
evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri
alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de
sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de
yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
8.2. İdari Tedbirler
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık
çalışmaları yapılmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Gizlilik taahhütnameleri yapılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
6
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine
getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
8.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
İŞMER, Kanunun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri
yapmakta veya yaptırmaktadır. Bu denetim sonuçları İŞMER’in iç işleyişi kapsamında konu
ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler
yürütülmektedir.
8.3.1. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
İŞMER, Kanunun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla
başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine
ve Kurul’a bildirilmesini sağlayan sistemi yürütmektedir. Kurul tarafından gerek görülmesi
halinde, bu durum, Kurul’un internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
8.3.2. Kişisel Veri Sahiplerinin Yasal Haklarının Gözetilmesi
İŞMER, kişisel veri sahiplerinin KVK Politikası ve Kanunun uygulanması ile tüm yasal
haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. Kişisel veri
sahiplerinin hakları ile ilgili ayrıntılı bilgiye işbu Politika’da yer verilmiştir.
8.4. Özel Nitelikli Kişisel Verilerin Korunması
Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine
ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek,
vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve
hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına İŞMER tarafından
azami hassasiyet gösterilmektedir. Bu kapsamda, İŞMER tarafından, kişisel verilerin
korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da azami
özenle uygulanmakta ve bu konuda İŞMER bünyesinde gerekli denetimler sağlanmaktadır.
9. Kişisel Bilgilerinin Paylaşımı
İŞMER olarak herhangi bir şekilde temin edilen Kişisel Bilgiler, verilen hizmetin amacına
yönelik olup, ilke olarak üçüncü kişilerle hiçbir suretle paylaşılmaz. Bununla birlikte kişisel
veriler aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarabilecektir;
a. İŞMER iştiraklerine,
b. İŞMER’in denetimini yapan kişi ve kurumlara,
c. İlgili mevzuat hükümlerine göre İŞMER’in ticari faaliyetlerine ilişkin stratejilerin
tasarlanması ve denetim amaçlarıyla sınırlı olarak Türkiye İş Bankası A.Ş.’ye,
7
d. Kanuna uygun olarak talep ettiği amaçla sınırlı olarak Kamu kurum, kuruluşları ile yargı
yerlerine,
e. Hizmet kalitemizin artırılması ve/veya kişisel veri güvenliği amacına hizmet etmek
üzere danışman firmalara (örn. Sızma testi).
10. Kişisel Veri Sahibinin Hakları, Hakların Kullanılması ve Değerlendirilmesi
10.1 Kişisel Veri Sahibinin Aydınlatılması
İŞMER, Kanunun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel
veri sahiplerini aydınlatmaktadır. Bu kapsamda varsa, İŞMER temsilcisinin kimliği, kişisel
verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip
olduğu hakları konusunda aydınlatma yapmaktadır.
10.2 Kişisel Verilerin Korunması Kanunu uyarınca kullanıcıların hakları
Kişisel veri sahibi, Kanun uyarınca kişisel verilerinin;
a. işlenip işlenmediğini öğrenme,
b. işlenmişse bilgi talep etme,
c. işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
d. yurt içinde/yurt dışında aktarıldığı 3. kişileri bilme,
e. eksik/yanlış işlenmişse düzeltilmesini isteme,
f. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini
isteme,
g. aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin
bildirilmesini isteme,
h. münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun
ortaya çıkmasına itiraz etme,
i. Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini
talep etme haklarına sahiptir.
10.3 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kanunun 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel
veri sahipleri aşağıdaki hallerde, işbu Politika’nın 10/2. maddesinde sayılan haklarını ileri
süremezler:
a. Kişisel verilerin, 3. kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere
uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta
yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;
b. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama
ve istatistik gibi amaçlarla işlenmesi;
c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da
suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi;
d. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş
8
kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari
faaliyetler kapsamında işlenmesi;
e. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanunun 28/2. maddesi gereğince; aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın
giderilmesini talep etme hakkı hariç, işbu Politika’nın 10/2. maddesinde sayılan haklarını ileri
süremezler:
a. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
b. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi.
c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme
veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için
gerekli olması.
d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve
mali çıkarlarının korunması için gerekli olması.
10.4 Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri işbu Politika’nın 10/2. maddesinde sayılan haklarına ilişkin taleplerini
kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un
belirlediği diğer yöntemlerle www.ismer.com adresinden ulaşabilecekleri Başvuru Formunu
doldurup imzalayarak İŞMER’e ücretsiz olarak iletebileceklerdir:
(i) Başvuru Formu doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter
aracılığı ile Levent Mah. Meltem Sk. No:14/1 Pk:34330 Beşiktaş, İstanbul/Türkiye
adresine iletilmesi,
(ii) Başvuru Formu doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli
elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun
[email protected] adresine kayıtlı elektronik posta ile gönderilmesi,
(iii) Başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ve başvuru konusuna
ilişkin bilgi ve belgeler ile başvurarak İŞMER’e daha önce bildirilen ve İŞMER’in
sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle Başvuru
Formunu iletmesi.
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi
tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname
bulunmalıdır.
10.5 İŞMER’in Başvurulara Cevap Verme Usulü ve Süresi
İŞMER, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere
en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti
gerektirmesi hâlinde, KVK Kurulu tarafından belirlenen tarifedeki ücret alınabilir. İŞMER,
talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya
elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde İŞMER, talebin
gereğini yerine getirir.
9
10.6 Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve her hâlde başvuru
tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunma hakkına sahiptir.
11. Kişisel Verilerin Kaydedilmesine ilişkin Rıza
İŞMER’e açık rıza verilen veya www.ismer.com.tr adlı internet sitesinin kullanıldığı andan
itibaren toplanan tüm bilgilerin, yukarıda belirtilen şekilde ve nedenlerle, bu KVK Politikasında
anlatıldığı gibi, kullanılması kabul edilmiş olunur.
12. İŞMER’in KVK Politikası Uyarınca Yönetim Yapısı
İŞMER bünyesinde işbu Politika ve bu Politikaya bağlı ve ilişkili diğer politikaları yönetmek
üzere İŞMER üst yönetiminin kararı gereğince Kişisel Veri Komitesini oluşturmuştur. Kişisel
Veri Komitesi, Kişisel Veri Sahiplerinin verilerinin hukuka, işbu Politika ve bu Politikaya bağlı
ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri
yapmakla yetkili ve görevlidir. Kişisel Veri Komitesinde görevlendirilenler ve görevlerine dair
İŞMER internet sitesinde yayımlanan Kişisel Veri Saklama ve İmha Politikasında detaylı
düzenlemeler yer almaktadır.
13. Politika’nın güncellenmesi
Politika ve kişisel bilgileri işleme şekli muhtelif zamanlarda gözden geçirebilir, tadil edebilir
veya yenilenebilir. Güncellenmiş Politika www.ismer.com.tr adresinde bulunan
internet sitesinden yayımlanır. Yenilenen şartlar, yayımlandıkları tarihten itibaren yürürlüğe
girer.
14. İletişim bilgileri
KVK Politikası veya diğer veri koruma uygulamalarımıza ilişkin sorular için İŞMER’e
aşağıdaki adresten ulaşılabilir:
E-posta: [email protected]
İletişim adresi: Levent Mah. Meltem Sk. No:14/1 Pk:34330 Beşiktaş, İstanbul/Türkiye
Telefon numarası: 0212 316 4999
İş Merkezleri Yönetim ve İşletim A.Ş.
Son Güncelleme Tarihi: 04.12.2019
10
Ek-1: Kişisel Veri Kategorileri
Veri Kategorisi İlgili Kişisel Veri Kategorisi İçerisine Giren Kişisel Veri Tipleri
Kimlik Ad soyad, anne-baba adı, anne kızlık soyadı, doğum tarihi, doğum
yeri, medeni hali, nüfus cüzdan seri sıra no, TC kimlik no gibi.
İletişim E-posta adresi, telefon numarası, cep telefonu numarası, iletişim
adresi, kayıtlı elektronik posta adresi (KEP) gibi.
Lokasyon Bulunduğu yerin konum bilgisi
Özlük
Bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgeleri, mal
bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme
belgeleri gibi.
Hukuki İşlem Adli makamlarla yazışmalar, dava dosyasındaki bilgiler gibi.
Müşteri İşlem Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, talep ve
talimatlar, sipariş bilgileri gibi.
Fiziksel Mekan
Güvenlik Bilgisi Giriş çıkış logları, ziyaret bilgileri, kamera kayıtları gibi.
İşlem Güvenliği IP adres bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola
bilgileri gibi.
Risk Yönetimi Ticari, teknik, idari riskleri yönetilmesi için işlenen bilgiler gibi.
Finans Bilanço bilgileri, finansal performans bilgileri, kredi ve risk
bilgileri, malvarlığı bilgileri gibi.
Pazarlama Bilgisi Alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya
çalışmasıyla elde edilen bilgiler
Görsel ve İşitsel Kayıtlar Fotoğraflar, kamera kayıtları ve ses kayıtları
Mesleki Deneyim Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri,
sertifikalar, transkript bilgileri gibi.
Özel Nitelikte Veri
Irk ve etnik kökeni, siyasi düşünce bilgileri, siyasi parti üyeliği
bilgisi, felsefi, inanç, din, mezhep ve diğer inançlar verisi, kılık ve
kıyafet bilgisi, dernek üyeliği, vakıf üyeliği, sendika üyeliği, cinsel
hayat, biyometrik veri, genetik veri
Sağlık Bilgileri
(Özel Nitelikte Veri)
Engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık
bilgileri, kullanılan cihaz ve protez bilgileri gibi.
Ceza Mahkumiyeti ve
Güvenlik Tedbirleri
Ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin
bilgiler gibi.
11
Ek-2: Tanımlar
İfade Kanundaki Tanım
Açık rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle
açıklanan rıza.
Anonim hâle
getirme
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesi.
İlgili kişi Kişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade
edilmektedir).
İlgili
kullanıcı
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden
sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu
içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda
kişisel verileri işleyen kişiler.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kayıt Ortamı
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortam.
Kişisel veri
işleme
envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları
kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri
kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami
süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine
ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel
verilerin
işlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale
getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
Kurul Kişisel Verileri Koruma Kurulu
Özel nitelikte
kişisel veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri.
Periyodik
İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen
ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya
anonim hale getirme işlemi.
12
Politika
www.ismer.com.tr adresinden ulaşılabilecek, İŞMER elinde bulunan kişisel
verilerin yönetilmesine ilişkin usul ve esasları belirleyen Kişisel Veri
Saklama ve İmha Politikası.
Veri işleyen Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel
verileri işleyen gerçek veya tüzel kişi.
Veri kayıt
sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri
sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel
kişi.