Demokrasi, Barış ve Alternatif Politikalar Araştırma Derneği (DEMOS)
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
- GİRİŞ
- Amaç
- Kapsam
- Kısaltmalar ve Tanımlar
- KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
- Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi
- İşlenme Şartları
- İlgili Kişilerin Aydınlatılması Ve Bilgilendirilmesi
- Özel Nitelikli Kişisel Verilerin İşlenmesi
- İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI
- İşlenen Kişisel Veri Kategorileri
- Kişisel Veri İşleme Amaçları
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
- Teknik Tedbirler
- İdari Tedbirler
- Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar
- Çalışanlara Kişisel Verilerin Korunması ve İşlenmesi Konusunda Eğitim Verilmesi ve Denetimi
- KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
- Özel Nitelikli Kişisel Verilerin Aktarılması
- Veri Aktarım Kapsamı ve Amaçları
- KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
- KİŞİSEL VERİLERİN İMHASI (SİLİNME, YOK EDİLME VE ANONİMLEŞTİRME ŞARTLARI
- KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
- KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
- POLİTİKANIN GÜNCELLENME PERİYODU
- POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
1.GİRİŞ
1.1 Amaç
Kişisel Verileri Korunması ve İşlenmesi Politikası, Türkiye’de kurulu, Genel Merkezi Kavaklıdere Mah. Beykoz Sk. No: 14/5 Çankaya/Ankara adresinde bulunan, Kavaklıdere Vergi Dairesi, 2910832894 no’ lu vergi mükellefi Demokrasi, Barış ve Alternatif Politikalar Araştırma Derneği (DEMOS) tarafından 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularına getirilen yükümlülüklere uyumun sağlanması ve gerçekleştirilmekte olan veri işleme ve koruma faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Dernek; kişisel verilerin korunması konusundaki hassas yaklaşımı ile Dernek çalışanları, çalışan adayları, müşteriler, tedarikçiler, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir. Kişisel verilerin işlenmesi ve korunmasına ilişkin iş ve işlemler, Dernek tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
Çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, tedarikçilerimizin, hizmet sağlayıcılarının, kişisel verileri alınmış danışanlarımızın, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel veriler bu Politika kapsamında olup Derneğin sahip olduğu ya da Dernek tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. Derneğin, KVKK ve ilgili yönetmelikte yapılacak değişikler doğrultusunda değişiklik yapma hakkı saklıdır.
1.3 Kısaltmalar ve Tanımlar
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : Demos personeli.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Politika : Kişisel Verilerin Korunması ve İşlenmesi Politikası.
Dernek: Demokrasi, Barış ve Alternatif Politikalar Araştırma Derneği (DEMOS)
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Mevzuata Uygun Olarak İşlenmesi
Dernek tarafından kişisel verilerin toplanması, işlenmesi ve analiz edilmesinde aşağıdaki ilkeler benimsenmiştir.
- Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi; Dernek, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
- Kişisel verileri doğru ve gerektiğinde güncel tutma; Dernek, kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.
- Kişisel verileri belirli, açık ve meşru amaçlar için işleme; Dernek, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Dernek, yürütmekte olduğu Dernek faaliyetleri ile bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme; Dernek, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir
- Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme; Dernek, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Derneğimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.
- İlgili kişileri aydınlatma ve bilgilendirme; Veri sahipleri, kişisel verilerinin toplanması ve işlenmesi öncesinde detaylı olarak bilgilendirilmelidir.
- Kişisel verilerin korunması için gerekli tedbirleri alma;
- Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
- Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi.
2.2. İşlenme Şartları
Kişisel veriler, ilgili kişinin açık rıza vermesi haricinde, Dernek ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve mevzuata uygun olarak, Dernek tarafından doğrudan ilgili kişiden, elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir.
Her veri ilgilisi için ayrı hazırlanmış olan aydınlatma metinlerinde işbu hususlar belirtilmiş ve veri ilgililerine sunulmuştur (Çalışan ve çalışan adayları aydınlatma metni, web sitesi gizlilik ve çerez metinleri, tedarikçi aydınlatma metni, ziyaretçi aydınlatma metni vb).
İşlenen verilerin özel nitelikli kişisel veri olması halinde “Özel Nitelikli Kişisel Verilerin Korunması Politikası” içerisinde yer alan şartlar uygulanacaktır.
Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.
- Kişisel veri sahibinin açık rızasının bulunması,
- Fiili imkansızlık sebebiyle ilgilinin açık rızasının alınamaması,
- Kanunlarda açıkça öngörülmesi,
- Dernek’in hukuki yükümlülüklerini yerine getirebilmesi için işlemenin zorunlu olması,
- İlgili kişi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması,
- Dernek’in meşru menfaatleri için veri işlemenin gerekli olması.
2.3. İlgili Kişilerin Aydınlatılması Ve Bilgilendirilmesi
Dernek, Kişisel Verileri Koruma Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Dernek, veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin işlenme amacı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi, ilgili kişinin sahip olduğu haklar konusunda ilgili kişileri bilgilendirmektedir. Bu kapsamda ilgili kişilerin kolayca görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiş olup ayrıca Dernek internet sitesinde bu Politika ile birlikte ziyaretçi aydınlatma metni, çerez politikası, başvuru formu da kanuna uygun olarak yayınlanmıştır.
2.4. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler, Kurul tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla ve KVKK hükümleri çerçevesinde işlenmektedir. Irk ve etnik köken, siyasi düşünce, din, felsefi inanç, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak tanımlanmıştır.
Dernek’imiz özel nitelikli kişisel veri işlememektedir.
3.İŞLENEN KİŞİSEL VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI
3.1.İşlenen Kişisel Veri Kategorileri
- Kimlik Bilgisi; Kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, doğum yeri, doğum tarihi, cinsiyet vb. bilgiler ile ehliyet, mesleki kimlik, nüfus cüzdanı gibi belgeler
- Aile Bireyleri ve Yakın Bilgisi; Dernek ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri (eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler
- İletişim Bilgisi; Telefon numarası, adres, e-mail adresi, faks numarası vb. bilgiler
- Özlük Bilgisi; Dernek ile kurduğu hizmet akdi uyarınca çalışan sıfatıyla çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
- Hukuki İşlem ve Uyum Bilgisi; Hukuki alacak ve haklarımızın tespiti, takibi ve borçların ifası ile kanuni yükümlülüklerimiz ve Dernek politikalarına uyum kapsamında işlenen kişisel veriler
- Ziyaretçi İşlem Bilgisi; Dernek’in yürütmüş olduğu faaliyetler çerçevesinde, sunulan hizmetlerle ilgili veya Dernek’in ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla işlenen beyan bilgisi, alışveriş bilgisi, çerez kayıtları gibi veriler
- Fiziksel Mekan Güvenlik Bilgisi; Fiziksel mekana giriş-çıkış ve fiziksel mekanın içerisinde alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları vb.
- Finansal Bilgi; Dernek ve kişisel veri sahibi arasında kurulu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, gelir bilgisi, borç/alacak bilgisi gibi veriler
- Meslek Verileri; Çalışanların, adayların, başvurucuların, ziyaretçilerin iş geçmişi ve eğitim geçmişine ait bilgilerdir.
- Görsel Ve İşitsel Kayıtlar
- Özel Nitelikli Kişisel Veri; Kişilerin sağlığı, ceza mahkumiyeti, adli sicil kaydı, sağlık raporu, maluliyet ve engellilik durumu ve güvenlik tedbirleriyle ilgili verileri
3.2. Kişisel Veri İşleme Amaçları
Dernek’imizde işlenen yukarıda belirtilen kategoride yer alan kişisel verilerinizin aşağıdaki amaçlarla sınırlı olarak işleniyor olduğunu bilginize sunarız:
Kişisel verileriniz;
- Hukuki güvenliğin sağlanması,
- Derneğimiz tarafından hazırlanan aylık e-bültenlerimizin paylaşılması,
- Derneğimize gönüllü katkı sunmak isteyenlerin belirlenmesi ve iletişime geçilmesi,
- Derneğimiz yayınlarının talep edenlerin adreslerine gönderilmesi,
- Kamu kurum kuruluşları ve diğer kuruluşlarla ilişkilerin sürdürülmesi,
- Destek hizmetleri ile yükümlülüklerinin, kurumsal iletişim faaliyetlerinin yürütülmesi,
- Kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması ve icrası,
- Aplikasyonların hazırlanması ve sürdürülmesi,
- Mali konuların takip edilmesi,
- Faaliyetlerin mevzuata uygun yürütülmesi,
- Hukuk işlerinin takibi ve yürütülmesi,
- İletişim faaliyetlerinin yürütülmesi,
- İş faaliyetlerinin yürütülmesi / denetimi,
- Saklama ve arşiv faaliyetlerinin yürütülmesi,
- Sözleşme süreçlerinin yürütülmesi,
- Talep / şikayetlerin takibi,
- Veri sorumlusu operasyonlarının güvenliğinin temini,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Derneğimizin taraf olduğu dava ve icra takiplerinin yürütülmesi,
- Bilişim ve şebeke işletim sistemi alt yapısının kurulması, işletilmesi ve yedeklenmesi
amaçlarıyla KVKK 5. maddesinde belirtilen hukuki sebeplere dayalı olarak işlenmektedir KVKK 6. maddesinde belirtilen kişisel veriler ise 6. maddedeki işleme şartları ve amaçları çerçevesinde işlenmektedir.
4. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Dernek’imiz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesini, açıklanmasını, erişimini, aktarılmasını v.b. sebeplerle meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
4.1 Teknik Tedbirler
Dernek tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Dernek internet sayfasına erişimde güvenli protokol (HTTPS) kullanılmaktadır.
4.2. İdari Tedbirler
Dernek tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Anahtar yönetimi uygulanmaktadır.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- İlgili kişilere aydınlatma yükümlülükleri yerine getirilmektedir.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Dernek, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Hukuka aykırı işlem tespiti halinde ilgili kişiye ve kurula bildirilmektedir.
4.3. Özel Nitelikli Kişisel Verilerin Korunmasına İlişkin Hususlar
Kanun ile; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veri olarak nitelendirilmiştir.
Dernek’imiz özel nitelikli kişisel veri işlememektedir.
4.4. Çalışanlara Kişisel Verilerin Korunması ve İşlenmesi Konusunda Eğitim Verilmesi ve Denetimi
Dernek tarafından, kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemeye ve kişisel verilerin muhafazasını sağlamaya yönelik çalışanlara gerekli eğitimlerin düzenlenmesini sağlamaktadır. Bu doğrultuda Dernek, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir.
5. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
Dernek, kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, ilgili kişinin kişisel verilerini yurtiçinde ve yurtdışında üçüncü kişilere aktarabilmektedir. Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir. Aktarım sebepleri aşağıda açıklanmıştır:
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli olması,
- Kişisel verilerin aktarılmasının Dernek’imizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Dernek meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
- İlgili kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde aktarılması,
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Ayrıca kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilecektir.
5.1. Veri Aktarım Kapsamı Ve Amaçları
Dernek aşağıda belirtilen kişilerle, aşağıda belirtilen amaçlar doğrultusunda veri aktarımı gerçekleştirebilir.
Kişisel verileriniz, yukarıda belirtilen amaçlarla, mevzuatın izin verdiği ve dernek faaliyetlerimizin gerektirdiği ölçüde hukuki yükümlülüğün yerine getirilebilmesi, bir hakkın tesisi, kurulması veya ifası, veri sorumlusunun meşru menfaati kapsamında aktarılması gerektiren sebeplerle sınırlı olmak üzere paylaşılması gereken taraflarla ve kanunen yetkili resmi mercilerle, işbirliği yaptığımız, program ortağı olduğumuz kuruluşlarla, derneğimiz içerisinde dernek adına çalışan ve hareket eden çalışanlar ile KVKK 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde paylaşılabilecektir.
Çalışanlarımız bu verileri kanun ve gizlilik çerçevesinde kullanmakta ve işlemektedir. Bu veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirlenen politika ve prosedürlerimiz çerçevesinde, ilgili faaliyetlerimizin gerektirdiği süreyle işlenmekte olup Derneğimiz ile ilişkiniz kalmadığı, makul veya yasal bir gerekliliğin veya uygunluğun olmadığı durumlarda silinmektedir.
İstisna hükümlerine dahil olamayabileceği değerlendirilen noktalarda ise aktarılmasını gerektiren sebeplerle sınırlı olmak üzere yönetim kurulu üyeleri, danışmanlar, muhasebe ve mali birim, hukuk birimi ve denetimciler dâhil olmak üzere danışmanlık hizmeti aldığımız üçüncü kişiler, destek hizmeti alınan firmalar, sözleşme kapsamında şirketler, kargo gönderim şirketleri, bilgisayar altyapı hizmetleri vb. anlaşmalı olduğu yurtiçi/yurt dışı hizmet sağlayıcılar ve iş ortakları ile paylaşılabilecektir. Teknik ve idari altyapı ile elektronik sistemlerin (web sitenin) kurulması ile müşteri datalarının tutulmasına yönelik hizmet alınan üçüncü kişilere işin gerektirdiği ölçüde aktarılabilmektedir.
6. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
İlgili kişiler olan veri sahipleri KVKK’nın 11. maddesi gereği aşağıda yer alan haklara sahiptirler;
• Hakkında kişisel veri işleyip işlenmediğini öğrenme, eğer işleniyorsa veya işlenmişse, buna ilişkin bilgi talep edebilme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenme,
• Kişisel verilerin yurt içi veya yurt dışına aktarılıp aktarılmadığını ve kimlere aktarıldığını öğrenme,
• Yanlış ve eksik kişisel verileriniz düzeltilmesini ve bu verilerin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep edebilme,
• Kişisel verilerin KVKK madde 7’de öngörülen şartlar çerçevesinde imha edilmesini (silinmesini, yok edilmesini veya anonim hale getirilmesini) talep edebilme, (Ancak imha talebini değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre tarafımızca değerlendirilir. Bu bağlamda seçtiğimiz imha yöntemini neden seçtiğimiz ile ilgili her zaman bilgi talep edilebilir)
• Kişisel verilerin aktarıldığı veya aktarılabileceği üçüncü kişilerin söz konusu imha talebi ile ilgili bilgilendirilmesini talep edebilme,
• Münhasıran bir otomatik sistem kullanılarak oluşturulmuş kişisel veri analizinizin sonuçlarına bu sonuçlar çıkarlarına aykırıysa itiraz edebilme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması halinde zararın giderilmesini talep edebilme.
İlgili kişinin kişisel verilerinin işlenmesi ile ilgili hususlarda başvuru Dernek internet adresinde bulunan başvuru formunu doldurarak veya Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğin 5. maddesinde şartlara uymak kaydıyla aşağıdaki şekillerde yapılabilir:
- Yukarıda yer alan adresimize yazılı ve ıslak imzalı dilekçeyi posta ile,
- [email protected] adresine göndereceğiniz e-posta ile,
- Güvenli elektronik imza veya mobil imza ile imzalanmış dilekçe ile,
Dernek tarafından başvuru talebinin niteliğine ve başvuru yöntemine göre başvurunun İlgili Kişiye ait olup olmadığının belirlenmesi, kişisel haklarının ihlalinin önlenmesi ve böylece hakları koruyabilmek amacıyla ek doğrulamalar (kayıtlı telefona mesaj gönderilmesi, telefonla teyit, kimliği ispat edici belge talebi gibi) istenebilecektir.
Başvuruda yer alan talepler, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin Dernek için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğde belirlenen tarifedeki ücret alınabilir.
KVK Kanunu’n 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, Dernek tarafından oluşturulmuş olan VERİ SAHİBİ BAŞVURUSU, DEĞERLENDİRİLMESİ VE YANITLANMASI PROSEDÜRÜ oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır.
7.KİŞİSEL VERİLERİN İMHASI (SİLİNME, YOK EDİLME VE ANONİMLEŞTİRİLME ŞARTLARI
“Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Dernek’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Dernek tarafından bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapılmaktadır. Bu yönetmelik uyarınca periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek periyodik imha için gerekli takvim oluşturulmuştur.
8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
İşbu belge ile ortaya koyulan esaslar, diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.
10.POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Güncelleme yapılması halinde bu değişiklik metinde ayrıca bildirilir.
11.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, Dernek’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde Dernek tarafından iptal edilerek imzalanır ve en az 5 yıl süre ile saklanır.