ENSTİTÜ YAYINCILIK EĞİTİM VE DANIŞMANLIK HİZMETLERİ
Kişisel Verilerin Korunması (KVKK) Kanunu Kapsamında; Websitesi Ziyaretçileri, Sosyal Medya Hesapları ve E-Posta Gönderimleri için Kişisel Verilerin Korunmasına İlişkin Aydınlatma Beyanı:
İşbu Aydınlatma Beyanının amacı Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri (“Enstitü”) olarak,
ü Bilgi güvenliğinin sağlanması ve korunması ve etik değerlere saygı öncelikli prensiplerimiz arasında yer almaktadır
ü Veri Sorumlusu sıfatı ile siz ziyaretçilerimizin kişisel verilerini aşağıda belirtilen amaçlar kapsamında, hukuka ve dürüstlük kurallarına göre kaydedebilecek, saklayabilecek, sınıflandırabilecek, güncelleyebilecek ve mevzuatın elverdiği hallerde işlendikleri amaçla sınırlı olmak kaydıyla ve başta özel hayata ilişkin gizlilik olmak üzere temel hak ve özgürlüklerin korunması için alınan önlemler kapsamında işleyebilecek ve aktarabileceğiz
ü Buna bağlı olarak Kişisel Verilerin Korunması Kanunu (“KVKK”) 10. Maddesinden doğan aydınlatma yükümlülüğümüzü yerine getirmek amacı ile aşağıdaki açıklamalarımız bilgilerinize sunulmaktadır
Veri Sorumlusu
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) ’da tanımlı şekli ile “Veri Sorumlusu” sıfatına haiz olan Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri, kişisel verilerinizi aşağıda açıklanan amaçlar ve mevzuat tarafından emredilen sınırlar çerçevesinde işlemektedir.
Kapsam
Enstitü tarafından; web sitemizi ve sosyal medya hesaplarımızı ziyaret eden ziyaretçilerimiz, eposta gönderimi yapılan öğrenci/üye/müşteri ve adayı ziyaretçilerimiz, kitap/eğitim/danışmanlık satın alan üyelerimiz, Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri merkezini ziyaret eden fiziki ziyaretçilerimize ait Kişisel Veriler, internet ağını kullanarak internet hizmeti almak isteyen müşteri ve müşteri adaylarımızın sunulan hizmetlerin izlenebilirliğini ve güvenliğini sağlamak ve takip etmek, sosyal portallar üzerinden eğitim aldıklarını gösteren fotoğraf ve/veya video çekiminin paylaşılması ve dergi ve broşürlerinde bilgilendirici paylaşımlarda bulunulması amacı ile gerçekleşen fotoğraf ve/veya video çekimi yapılırken şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlarla, Enstitü tarafından elektronik, dijital ve teknik kanallar ile otomatik yada otomatik olmayan yollarla KVKK 5.maddesine uygun olarak toplanmakta, kaydedilmekte ve işlenmektedir.
Web Sitesi ve Sosyal Medya Hesaplarımızı Kullanarak Ziyaret eden Ziyaretçilerimiz, E-Posta Gönderimi Yapılan Üye/Öğrenci/Müşteri ve Adayı Ziyaretçilerimiz ve Fiziki ziyaretçilerimize ait Kişisel Veriler:
· Ad Soyad, Adres, Doğum Tarihi, TC Kimlik Numarası, E-posta Adresi, Ip Adresi, Telefon (cep) numarası, iletişim bilgileri
· Uzaktan eğitim, telekonferans, görüntülü görüşme, telefon gibi araçlarla veya yüz yüze görüşme yapılması durumunda edilen bilgilerin kayıtları,
· Sosyal organizasyonlarda, Ergün Arıkdal Ruhsal Araştırmalar Enstitüsü sosyal medya hesaplarında ve basında kullanılan görsel ve işitsel veriler,
· Mesleki bilgi, din ve inanç bilgisi, kılık kıyafet, siyasi görüş, dernek üyelikleri, sağlık bilgileri, hobiler vb. kişisel veya özel nitelikli kişisel veriler Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri tarafından talep edilmemektedir. Kişi tarafından beyan edilen evrak ve dokümanlarda bulunması halinde, herhangi bir değerlendirme ve işleme tabi tutulmayacaktır.
Kimlik Verisi : Ad, Soyad , Adres, TC Kimlik Numarası, Doğum Tarihi, vb.
İletişim Verisi : E-posta adresi, Telefon (cep) Numarası, Açık Adres Bilgisi
Görsel ve İşitsel Veriler : Sosyal aktiviteler ve organizasyonlarda üyeler ve öğrenciler ile çekilen fotoğraflar, tanıtım çekimleri ve röportajlar
İşlem Güvenliği Verisi : IP Adresi
Kişisel verilerinin toplanma ve işlenme amaçları
Enstitü tarafından kişisel verileriniz aşağıda belirtilen amaç ve hukuki sebepler gibi ancak bunlarla sınırlı olmayan benzer amaç ve sebeplerle işlenebilir:
İlgili mevzuat ile diğer kanunlar ve mevzuat kapsamında Enstitü içerisinde güvenliğin sağlanması amacıyla özellikle;
· Kurumsal iletişim ve kurumsal yönetim faaliyetlerinin planlanması ve yürütülmesi, bilgi güvenliği yönetimi hizmetlerinin yürütülmesi,
· İlgili mevzuatın gerektirdiği veya zorunlu kıldığı şekilde yasal yükümlülüklerin yerine getirilmesini sağlamak amacıyla,
· Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,
· Müşteri sözleşmelerinin ifasından doğan yükümlülük nedeniyle özellikle;
o Müşteri şikayetlerinin azaltılması, müşteri memnuniyetinin arttırılması, müşteri ihtiyacının anlaşılması ve müşteri ile ilişkili süreçlerin iyileştirilmesinin sağlanması,
o Müşteriye hizmet kalitesinin değerlendirilmesi ve çalışanlara eğitim verilmesi, gibi benzer yasal yükümlülüklerin yerine getirilebilmesi amacı ile,
o Enstitü'nün ve Enstitü ile iş ilişkisi içerisinde olan kişilerin hukuki, teknik ve ticari-iş güvenliğinin temin edilmesi,
o Enstitünün internet sitesinde gezinmeniz esnasında size ürünün niteliği ve coğrafi yakınlık bazlı tavsiyelerde bulunabilmek ve onay vermiş olmanız halinde tarafınıza ürün ve hizmetlerimiz hakkında size kampanyalar hakkında bilgilendirici duyurular gerçekleştirmek,
o Enstitü nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası,
· Şirketin yönetimi, işin yürütülmesi, şirket politikalarının uygulanması amacıyla, özellikle;
o Ziyaretçi verilerinin değerlendirilmesi, mevcut verilerin güncellenmesi
o Müşteri ve potansiyel müşterilerle iletişimin sağlanması,
o Müşteri Memnuniyet anketi ve analizlerinin yapılarak, süreç iyileştirmelerinin yapılması
Amacı ile Kişisel verileriniz Enstitü tarafından yürütülen, Ticaret Sicil Gazetesinde belirtile ve yukarıdaki başlıklarda örneklediğimiz operasyonel ve ticari faaliyetlerimizin gerçekleştirilmesi, Enstitü meşru menfaatleri kapsamındaki faaliyetleri verimli olarak yürütecek şekilde, KVKK’nın 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde ve bu amaçlarla sınırlı olarak toplanmakta ve işlenmektedir.
Kişisel Verilerinizin Yurt İçindeki Üçüncü Kişilerle Paylaşılması
· Toplanan kişisel verileriniz, yukarıda belirtilen amaçlarla kanunen yetkili kamu/özel kurum ve kuruluşlarına, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde ve Politika’da belirtilen amaçlarla sınırlı olarak aktarılabilecektir.
· Enstitü, yasalar gereği yükümlülüklerini ifa etmesi ve sizin de güvenliğinizi sağlayabilmek amacı ile kişisel verileriniz, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde, Çözüm Ortaklarımızla, iş ortaklarımızla ve tedarikçilerimizle, Kişisel Verileri Koruma Kurumu, Maliye Bakanlığı, Gümrük ve Ticaret Bakanlığı, Çalışma ve Sosyal Güvenlik Bakanlığı, Türkiye İş Kurumu, Bilgi Teknolojileri ve İletişim Kurumu gibi ilgili Kamu Kurum ve kuruluşları ve kamu tüzel kişileri ile paylaşılabilir.
Ayrıca kişisel verileriniz;
· İş sözleşmesinin ifası için gerekli amacın yerine getirilmesi,
· Hukuki yükümlülüklerimizi yerine getirmek amacı ile,
Enstitü avukatlarımıza ve hukuka ve usule uygun olması koşuluyla mahkeme kararı veya delil talebi gibi hukuki talepleri yerine getirme yükümlülüğümüz çerçevesinde ilgili kurumlarla paylaşılmaktadır.
Enstitünün idaresi, işin yürütülmesi, Enstitü politikalarının uygulanması amacı ile özellikle bağlı olduğumuz veya ortaklaşa çalıştığımız şirketler ile iç işleyişimizi sağlamak açısından söz konusu şirketlere aktarılabilmektedir.
Kişisel verileriniz, yukarıda belirtilen amaçların yerine getirilebilmesi ve veri güvenliğinizin sağlanması için gerektirdiği ölçüde ve bu amaçla sınırlı olmak kaydıyla gerekli tüm tedbirler ve (gerekmesi halinde) kişinin açık rızası Enstitümüzce alınarak, KVKK’nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilmektedir. Ayrıca kişisel veriler, yasal mevzuzat gereği bu verileri talep etmeye ve almaya yetkili olan kamu kurum ve kuruluşları ile de paylaşılabilmektedir.
Kişisel Verilerinizin Yurt Dışındaki Üçüncü Kişilerle Paylaşılması
Kişisel verileriniz, ihracat faaliyetleri, eğitim, iş gezisi amaçlı yurt dışı seyahatlerinde Enstitü nam ve hesabına sunulan ürün ve hizmetlerin ilgili kişilerin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek ilgili kişilere önerilmesi ve tanıtılması için gerekli olan aktivitelerin planlanması ve/veya icrası, iletişim sağlanması, seyahat organizasyonunun yapılması ve e-posta gönderimlerinin yapılabilmesi için veya dolaylı olarak yurtiçi ve yurtdışındaki iş ortaklarımız, tedarikçilerimiz, sosyal paylaşım siteleri ile KVKK’nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde yurt dışındaki üçüncü kişilerle paylaşılabilmektedir.
Kişisel Verilerin Toplanma Yöntemi
· Kişisel veriler Enstitü tarafından sözlü, yazılı ve/veya elektronik yollarla toplanmakta, kullanılmakta, kaydedilmekte, depolanmakta ve işlenmektedir.
· Kişisel Verileriniz yukarıda yer alan amaçların gerçekleştirilmesi için Enstitü tarafından; fiziki ortamda matbu formlar, tarafımıza iletmiş olduğunuz resmî belgeler üzerinden; elektronik ortamda ise e-mailler, cep telefonu uygulamaları, web sitelerimiz, sosyal medya hesapları, Enstitünün faaliyetlerine özgülenmiş olan yazılımlar, online iletişim formları ve Enstitünün iş birliği içerisinde olduğu iş ortakları üzerinden toplanmaktadır.
Kişisel Verilerin Saklanma Süresi, Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Kişisel verileriniz, ilgili yasal mevzuatlarda belirtilen saklama sürelerince (ilgili yasal mevzuatlarda herhangi bir süre belirlenmemişse, Enstitünün uygulamaları ve ticari yaşamının teamülleri uyarınca veya yukarıda anılan işleme amaçlarının gerekli kıldığı süre boyunca) saklanmakta ve sonrasında KVKK’ya uygun olarak silinmekte, yok edilmekte ya da anonim hale getirilmektedir. Ayrıntılar Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri EK-1, EK-2 ve EK-3 ‘de açıklanmıştır.
Ziyaretçi (Web ziyaretçisi, Fiziki Ziyaretçi, Sosyal medya ziyaretçileri) olarak Enstitüyle paylaştığınız ve otomatik yada manuel olarak elde edilen kişisel verileriniz yukarıdaki prensipler ve amaçlar doğrultusunda işlenme amaçları doğrultusunda amaçla sınırlı olarak saklanacaktır. Kişisel verileriniz Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri tarafından işlenme amacı sona erdikten veya talebiniz üzerine; Kişisel Verilerin Korunması Kanunu ve ilgili yönetmelikler kapsamındaki yöntemler ile silinecek, yok edilecek ve/veya anonim hale getirilecektir.
Kişisel Verilerinizin Güvenliği
Kişisel verilerinizin işlendikleri ve saklandıkları ortamlarda yetkisiz erişime maruz kalmamaları, kaybolmamaları ve zarar görmemelerini sağlamak amacıyla, 6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında, Kişisel Verileri Koruma Kurulu tarafından yayımlanmış Kişisel Verilerin Güvenliğine dair teknik ve idari tedbirlerin gereklilikleri düzenli olarak gözden geçirilmekte ve Enstitü tarafından bu şartlar sağlanmaktadır.
Kişisel Veri Sahibi Olarak Haklarınız
KVKK’nın 11. maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Kişisel Veri Sahibinin Hakları ile İlgili Başvuru Yöntemleri
KVKK’nın 13. maddesinin 1. fıkrası gereğince, yukarıda belirtilen haklarınızı kullanmak ile ilgili talebinizi, 10 Mart 2018 tarih ve 30356 Sayılı Resmi Gazete’de yayımlanmış “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e” istinaden aşağıdaki yöntemler ve bilgiler ile gerçekleştirebilirsiniz.
Yazılı olarak firmamıza yapılacak başvurular, web sitemizden ulaşabileceğiniz Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri KVKK Aydınlatma Başvuru Formu ’nun çıktısı alınarak;
· Başvuru Sahibi’nin şahsen başvurusu ile,
· Noter vasıtasıyla,
· Başvuru Sahibi’nce 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” ile imzalanarak aşağıda verilen elektronik posta adresine gönderilmek suretiyle, tarafımıza iletilebilecektir.
· İlgili kişi/müşteri tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle yapılabilir .
Başvuru Yöntemi |
Başvurunun Yapılacağı Adres |
Başvuru Gönderiminde Belirtilecek Bilgi |
Şahsen Başvuru (Başvuru sahibinin bizzat gelerek kimliğini tevsik edici belge ile başvurması)
|
Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Tarık Arkdal İzzetpaşa Sok. No: 9/4 Osmanbey Şişli/İSTANBUL |
Şahsen sözlü bildirim |
Noter vasıtasıyla tebligat/Yazılı olarak İadeli Taahhütlü Posta ile Başvuru Usulü ile |
Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Tarık Arıkdal MERSİS NO: 1328342148600013 İzzetpaşa Sok. No:9/4 Osmanbey Şişli/İSTANBUL |
Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır |
“Güvenli elektronik imza” ile imzalanarak Kayıtlı Elektronik Posta (KEP) Yoluyla |
Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Tarık Arıkdal KEP ADRESİ: [email protected] |
E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır |
İlgili kişi/müşteri tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresi |
Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Tarık Arıkdal mail adresi: [email protected][ |
E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır |
Tüm başvuru yöntemlerinde başvurucuya ait şu bilgiler bulunmalıdır:
Adı: |
|
Soyadı: |
|
İmza: |
|
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası: |
|
Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası: |
|
Tebligata esas yerleşim yeri veya iş yeri adresi: |
|
Varsa bildirime esas elektronik posta adresi: |
|
Telefon ve faks numarası: |
|
Talep konusu: |
|
Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası: |
|
EK-1: KVK Kurulu İç Yönerge
ENSTİTÜ YAYINCILIK EĞİTİM VE DANIŞMANLIK HİZMETLERİ KİŞİSEL VERİLERİ KORUMA KURULU İÇ YÖNERGESİ
İşbu Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Kişisel Verileri Koruma Kurulu İç Yönergesi (İç Yönerge), 07/04/2016 tarihli, 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun), Kişisel Verileri Koruma Kurumu’nun çıkardığı ve 28/10/2017 tarihli, 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (Yönetmelik), Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Kişisel Verilerin Korunması Politikası’na ve Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri Kişisel Veri Saklama ve İmha Politikası’na (bundan böyle ikisi birlikte “Politikalar” olarak anılacaktır.) uygun olarak hazırlanmıştır.
Kanun ve Yönetmelik uyarınca kişisel veri saklama ve imha süreçlerinin yürütülmesi ve gerekli aksiyonların alınması amacıyla, veri sorumlusu Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri (Enstitü) nezdinde bir Kişisel Verileri Koruma Kurulu (Kurul) kurulmuştur. Bu kapsamda, kişisel verilerin korunması düzenlemeleri ve Politikalar gereğince kişisel verilerin saklanması ve imhası için Enstitü tarafından gerekli düzenlemeler yapılmakta ve farkındalığın oluşması için ihtiyaç duyulan sistem kurulmaktadır.
BİRİNCİ BÖLÜM: AMAÇ, KAPSAM VE DAYANAK
Madde 1- İşbu İç Yönerge; Kurul’un, görevlerini, kişisel verilerin korunması düzenlemeleri ve Politikalar çerçevesinde uyması gereken esasları ve Politikalara bağlı olarak uygulayacağı prosedürleri yerine getirmesine ilişkin hususların belirlenmesi amacıyla hazırlanmıştır.
Kapsam:
Madde 2- İşbu İç Yönerge Kurul’un ve üyelerinin ilgili sorumluluk, çalışma ve faaliyetlerini kapsar.
Dayanak:
Madde 3- Bu İç Yönerge; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile İlgili Mevzuat hükümlerine dayanılarak hazırlanmıştır.
Madde 3- Bu madde boş bırakılmıştır
İKİNCİ BÖLÜM: TANIMLAR
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (Bu politika kapsamında “Kişisel Veri” ifadesi uygun düştüğü ölçüde “Özel Nitelikli Kişisel Veriler”i de kapsar.).
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu
KVK Düzenlemeleri: 6698 sayılı Kişisel Verilerin Korunması Kanunu ile kişisel verilerin korunmasına yönelik yönetmelik, tebliğ ve ilgili mevzuat, Kişisel Verilerin Korunması Kurulu kararları, mahkeme kararları ile verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuat.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi.
Veri Temsilcisi: Kanun uyarınca Veri Sorumlusunun ilgili kanun maddeleri kapsamındaki görevlerini yerine getirmek üzere atanmış gerçek kişidir.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Kişisel Veri Sahibi: Kişisel verileri Enstitü tarafından veya adına işleme sokulan gerçek kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve Kişisel Verileri Koruma Kurumunun çıkardığı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun olarak hazırlanmış, ilgili kişi (Kişisel Veri Sahibi) tarafından veri sorumlusuna yapılacak başvurulara ilişkin başvuru formu.
Ziyaretçi: Enstitü’nin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
Üye: Web sitesine üye olarak eğitim, danışmanlık, kitap, e-dergi vb hizmetlerden faydalanan, satın alan gerçek kişiler.
Kurum: Kişisel Verileri Koruma Kurumu.
Kurul: Kişisel Verileri Koruma Kurulu.
İç Yönerge: Kişisel Verileri Koruma Kurulu İç Yönergesi.
Kişisel Verileri Koruma Kurulu:
ÜÇÜNCÜ BÖLÜM: KURUL’UN OLUŞUMU
Madde 5- Kurul, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, Politikaların uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Enstitü yönetim kurulu tarafından atanır. Kurul; Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri’nin KVK Düzenlemeleri kapsamında denetim, uyumluluk ve sürdürülebilir etkinliği sağlamakla görevlidir. Kurul Üyelerinin görev dağılımları, komiteden üye çıkarılması veya eklenmesi veri sorumlusunun verdiği yetki ile komite başkanı tarafından gerçekleştirilir.
Veri Sorumlusu Temsilcisi:
Madde 6- Veri Sorumlusu, temsilcisi, Kurul içerisinden seçilir ve Enstitü’nün Kurum ile olan ilişkilerini yürütür.
Üyeler:
Madde 7- Kurulun oluşumu ve kişilere görevleri aşağıda belirlenmiştir.
ÜYELERİN KURUL İÇERİSİNDEKİ GÖREVİ
Tarık Arıkdal: Kurucu, İletişim ve Yönetişimden Sorumlu
Tarık Arıkdal: Bilgi Teknolojileri ve veri güvenliğinden sorumlusu
Av. Tomris Özkul: Kanun Risk Yönetimi, Politika ve Prosedürlerden sorumlusu
Av. Tomris Özkul: Kanun uyum ve denetim ile iş süreçlerinin planlanması-raporlama sorumlusu
DÖRDÜNCÜ BÖLÜM: KURULUN GÖREV VE SORUMLULUKLAR
Madde 8- Kişisel verilerin korunması, saklanması, işlenmesi ve kişisel verileri silme, yok etme ve anonim hale getirme süreçlerinin işletilmesinden Kurul sorumludur. Bu kapsamda gerekli prosedür Kurul tarafından oluşturulur ve anılan prosedürün uygulanmasını sağlar. Kişisel verilere ilişkin mevzuatta bir değişiklik meydana gelirse, yeni düzenlemelere uyum için Enstitü içi aksiyonların alınmasını sağlar.
· Kişisel verilerin envanterini hazırlar. (Kanun 16/3)
Kişisel verilerin envanterini periyodik olarak günceller. (Kanun m.16/4)
· Kişisel verileri işleyen üçüncü taraflar ise bu taraflarla yapılacak sözleşmeleri kontrol eder KVK Düzenlemeleri kapsamında uyumluluğunu teyit Üçüncü tarafları denetler veya denetletir. (Call Center, Hosting hizmeti verenler, mailing hizmeti verenler) (Kanun m.8)
· Kişisel verileri işleyen gerçek ve tüzel kişileri belirler ve yetkilendirir (Örnek: Eğitim, e-ticaret, fatura kesen kişi veya mali müşavir, asistanlar gibi)
Madde 9- Kurul, Enstitü içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli prosedürleri hazırlayarak Enstitü içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Kurul kişisel verilerin korunması kapsamında belirli periyotlarda kendisi veya dışarıdan denetimlerin yapılmasını sağlar. Kişisel verileri koruma ile ilgili, üst yönetimi periyodik olarak toplayarak hem mevcut durumu hem risklerin görüşülmesini sağlar. Toplantı kararlarını ıslak imza ile alarak dosyalar. Kişisel verileri koruma ile ilgili birimleri periyodik olarak portaldan / e posta / duyuru ile bilgilendirir.
Madde 10- Kurul, tüm kişisel veri işleme süreçleri bakımından Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde açık rızanın alınmasını ve muhafazasını sağlamakla yükümlüdür.
Kurul kişisel verilerin elde edilmesi sırasında;
1. Veri sorumlusunun kimliğinin duyurulmasını sağlar. (Kanun 10)
· Kişisel verilerin işlenme amaçlarının; belirli, meşru ve açık amaçlar için olmasını sağlar, denetletir ve hem çalışan hem müşterilere duyurulmasını sağlar. (Kanun 4/2.c)
· İşlenen verilerin kimlere hangi amaçla aktarılacağını açıklar. (Kanun 10/1.c)
2. Veri toplama yöntemi ve hukuki sebebi açıklar. (Kanun 10/1.ç)
· Kurul kişisel verilerin işlenmesi için kişinin açık rızasının alınma yollarını belirler ve uygulatır, (Kanun m.5/1)
· Özel nitelikli kişisel verilerin kayıt altına alınması durumunda açık rızanın alınmasını mutlaka garanti (Kanun m.6)
· Kişisel veri bulut sistemlerinde tutulacak ise veya yurtdışında saklanacak ise kişisel veri sahibinin mutlaka açık rızasının alınmasını sağlar. Kişisel verinin aktarılacağı yabancı ülkenin kurulca ilan edildiğinden emin (Kanun m.9/2 ve 9/3)
Madde 11- Kişisel verilerin üçüncü taraflara aktarılması durumunda paylaşılacak yerin/makam statüsüne göre veri sahibinden açık rıza alınacak mı alınmayacak mı belirler. Aşağıda açık rıza alınmayacak durumlar belirlenmiştir. Her durumda aşağıdaki kurumlarla hangi verinin paylaşıldığının kaydı ve aşağıdaki statüye uyan üçüncü tarafların geçerli esasa uygun olduklarını kayıt altına alır: (Kanun m.5/2)
1. Fiili imkânsızlıklar durumunda açık rıza alınamaması
2. Kendisinin veya bir başkasının hayatı veya beden bütünlüğü söz konusu olduğunda
· Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
· Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması
· Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
· Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
· Kişi, kendi verisini alenileştirmiş olması durumunda
· İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
3. Siyasi parti, vakıf, dernek veya sendika gibi kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla kendi üyelerine ve mensuplarına yönelik verilerin işlenmesi durumunda
4. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda
· Kişisel veri yurtdışına aktarılacak ise açık rıza da alınmamış ise; verinin aktarılacağı yerde yeterli korumanın olması veya yeterli koruma olmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve kurulun izninin alınması durumunda paylaşılmasını koordine (Kanun m.9/4)
· Veriyi paylaşan bu veriyi paylaştığı yer ve amacını yazılı ve onaylı olarak yapılmasını sağlatır. Öneri verinin rızası alınıp alınmadığı kontrol edilir ve Hukuk ve veri sorumlusu onayı ile alındıktan sonra paylaşılmasını sağlatır.
Madde 12- Kurul, kişisel veri sahiplerinin başvurularını değerlendirir ve başvurulara cevap için Enstitü içerisinde koordinasyonu sağlar. Kurul ile iletişim halinde olunması gereken durumlarda gerekli koordinasyonu ve iletişimi sağlar.
Kişisel veri sahibinin başvurması halinde aşağıdaki kişi haklarının yerine getirilmesini en geç 30 takvim günü içinde sağlar: (Kanun m.13/2)
1. Kişinin kendi kişisel verisinin işlenip işlenmediğini bilmesi (Kanun 11/1.a)
2. Kişisel veri ile ilgili bilgi talep etme (Kanun 11/1.b)
· İşlenme amacını açıklama (Kanun 11/1.c)
3. Yurtiçi veya yurtdışında kişisel verilerin aktarıldığı üçüncü kişileri açıklama (Kanun 11/1.ç ve f)
4. Kişisel verilerin eksik veya yanlış işlenmesi durumunda bunların düzeltilme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Kanun 11/1.d)
5. Kişinin, kişisel bilgisini silme veya yok etme taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Kanun 11/1.e)
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analizler sonucu veri sahibinin kendi aleyhine sonuç çıkması durumunda itiraz etmesi taleplerini alma ve işlem tamamlandığında geri dönüş yapma (Kanun 11/1.g)
· Kişisel verinin kanuna aykırı olarak işlenip işlenmediği kontrol etme ve kişiden gelen talepleri takip etme ve sonuçlandırma (Kanun 11/1.ğ, Kanun m.12/1.a)
Madde 13- Kurul, kişisel verilerin korunması, saklanması, işlenmesi ve imhası süreçlerinin Kanun’a ve Politikalara uyumu yönünde bir eksikliğin veya riskin tespit edilmesi halinde giderilmesi için gerekli önlemleri alır. Bu kapsamda Kurul, kendisine raporlanan her bir yeni işleme sürecinin denetimini yapar.
Madde 14- Kişisel verilerin ilgili mevzuatlarda öngörülen veya işlendikleri amaç için gerekli olan süreyi belirler. (Kanun m.4/2.d)
1. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 11/2 maddesi uyarınca, altı ayı geçmeyecek periyotlarda işlenen kişisel verileri denetleyerek silinmesi, imha edilmesi veya anonim hale getirilmesi gereken kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini sağlar.
2. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemlerin kayıt altına alınmasını sağlar ve söz konusu kayıtların, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanmasını sağlar.
3. Aşağıdaki gerekçelerden herhangi biri olduğunda; kişisel verinin silinmesi, yok edilmesi veya anonimleştirilmesini, yönetmeliklerde belirlenen usul ve esaslar çerçevesinde sağlar: (Kanun 7)
· İşlenmesini gerektiren sebeplerin ortadan kalkması halinde
· Süresi dolması halinde
· Veri sahibinin talebi halinde
Madde 15- Kurul, Enstitü’nin çalışanları tarafından kendisine raporlanan KVK Düzenlemelerine ve Politikalarda belirtilen usul ve esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemler ile ilgili ihlale yönelik KVK Düzenlemelerine ve Politikalara uygun şekilde eylem planı oluşturur. Kurul konuya ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Kişisel Veri Sahibine veya Kurum’a yapılacak bildirimi hazırlar, Kurum ile yapılacak yazışma ve iletişimi yürütür.
Madde 16- Kurulun isteyeceği belge ve bilgileri 15 takvim günü içinde gönderir ve gerektiğinde yerinde inceleme yapılmasına imkân sağlatır. (Kanun m.15/3)
16.2. Şikâyet durumunda veya herhangi bir nedenle Kurulun tebliğlerini takip eder ve 30 takvim günü içerisinde yerine getirilmesini sağlar. (Kanun m.15/5)
Madde 17- Kurul, kişisel verilerin hukuka uygun olarak işlenmesi ve imhası ile hukuka aykırı erişimin önlenmesi amacıyla Enstitü çalışanlarının bilgilendirilmesini sağlar. Enstitü’de kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli prosedürler oluşturulur ve bunun oluşturulması ve uygulanmasından Veri Sorumlusu Temsilcisi ve Kurul müteselsilen sorumludur. Özel nitelikli kişisel verilere erişim yetkisinin verildiği sınırlı çalışanlara ait liste ve listenin takibi Kurul tarafından yapılır.
BEŞİNCİ BÖLÜM: ÇEŞİTLİ HÜKÜMLER
İç Yönergenin Kabulü ve Değişiklikler
Madde 18- İşbu İç Yönerge, Enstitü tarafından yürürlüğe konulur. İç Yönergede yapılacak değişiklikler ve yönerge düzenlemesi de aynı usule tabidir.
Yürürlük
Madde 19- Enstitü Kişisel Verileri Koruma Kurulu İç Yönergesi 15/09/2021 tarihinde yürürlüğe girer.
EK-2 Kişisel Verilerin Saklama ve İmha Süreleri ile Yer Aldığı Kanunlar:
Kişisel Veri Kaynağı |
Süre |
Yasal Dayanak |
Çağrı Merkezi Ses Kayıtları |
3 Yıl |
6563 Sayılı Kanun ve İlgili Mevzuat |
Üyelik ve Rezervasyona İlişkin Kayıtlar |
10 Yıl |
6098 Sayılı Kanun |
Muhasebe ve Finansal İşlemlere İlişkin tüm Kayıtlar |
10 Yıl |
6102 Sayılı Kanun, 213 Sayılı Kanun |
Çerezler ve Log Kayıtları |
6 Ay – En Fazla 2 Yıl |
5651 Sayılı İnternet Kanunu |
Ticari Elektronik Mail Onay Kayıtları |
Onayın geri alındığı tarihten itibaren 1 Yıl |
6563 Sayılı Kanun ve İlgili Mevzuat |
Çevrim içi Ziyaretçilere İlişkin Trafik Bilgileri |
2 Yıl |
5651 Sayılı Kanun |
Müşterilere İlişkin Kişisel Veriler |
6563 Sayılı Kanun ve ilgili mevzuat çerçevesinde ise 3 yıl , Hukuki ilişki son erdikten sonra 10 Yıl. |
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun |
Tedarikçilere İlişkin Kişisel Veriler |
Hukuki ilişki sona erdikten sonra 10 Yıl |
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun |
Kişisel Verileri Koruma Kurulu İşlemleri |
10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Sözleşmeler |
Sözleşmenin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kurum İletişim Faaliyetleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İnsan Kaynakları Süreçleri |
Faaliyetin Sona Ermesinden İtibaren 10 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Donanım ve Yazılıma Erişim Süreçleri |
2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Ziyaretçi ve Toplantı Kullanıcıların Kaydı |
Etkinliğin Sona ermesinden İtibaren 2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
Kamera Kayıtları |
2 Yıl |
KVKK Tarafından Yayınlanan Kişisel Verileri Koruma Kurumu Kişisel Veri Saklama Ve İmha Politikası |
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) |
İş İlişkisinin sona ermesinden itibaren 5 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat / 6098 Sayılı Türk Borçlar Kanunu |
İş Kanunu Kapsamında Saklanan Verilerden Sendikal Tazminata Konu Olabilecek Veriler (Örn: Performans kayıtları, disiplin cezaları, fesih evrakları vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) |
İş İlişkisinin sona ermesinden itibaren 15 Yıl |
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği |
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat |
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Çalışan Erişim Kısıtlamaları – Active Directory İşlemleri |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
4857 Sayılı İş Kanunu ve İlgili Mevzuat |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı ve Kar payı ödemeleri vb.) |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
Şirket Ortakları ve Yönetim Kurulu Üyelerine ait Bilgiler (Pay defterinde yer alan kişisel veriler) |
Pay Defterinin Saklanma Zorunluluğu Sebebiyle Süresiz |
6102 Sayılı Türk Ticaret Kanunu |
Burs ödemesi / Çalışan Avans Ödemesi |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
İş Başvurusu/Staj Başvurusu/ Başvuru Kabul Edilmediği Takdirde Aday Başvurularına İlişkin Veriler (Örn: CV, Özgeçmiş, Cover Letter, Başvuru Formu vb.) |
1 Yıl |
Sektörel teamüller geçerli. |
Sendikal Faaliyetler Uyarınca İşlenen ve Sendika ile Paylaşılan Kişisel Veriler |
10 Yıl |
6356 Sayılı Sendikalar ve Toplu İş Sözleşmesi |
Çalışanlara Yönelik Kurumsal İletişim Faaliyetleri Uyarınca İşlenen Veriler (Örn: Katılımcı Listesi vb.) |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
Sektörel Teamül |
Çalışan Memnuniyet Anketlerine İlişkin Veriler |
Anketin doldurulduğu yılın sona ermesine müteakiben 1 Yıl |
Sektörel Teamül |
Şirket Faaliyetleri Uyarınca, Saklanması Gereken Ticari Defterler, Ticari Defterlerde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
Genel Kurul İşlemleri Uyarınca İşlenen Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
Şirketin Taraf Olduğu Sözleşmelerin Kurulması ve İçeriğine İlişkin Kişisel Veriler |
10 Yıl |
6102 sayılı Türk Ticaret Kanunu |
Tüketicinin Bilgilendirilmesine ve Cayma Hakkını Kullanabilmesine İlişkin Sesli Veya Elektronik Ortamdaki Bilgiler |
3 Yıl |
27866 Sayılı Resmi Gazetede Yayınlanan Mesafeli Sözleşmelere Dair Yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları |
1 Yıl |
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Ticari Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler |
1 Yıl |
29417 Sayılı 15.07.2015 Tarihli Resmi Gazetede Yayınlanan Ticari İletişim ve Ticari Elektronik İletiler Hakkında yönetmelik |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Şirket Yetkilisi, Ad Soyad, imza sirküleri vb.) |
Sözleşmenin Sona Ermesine Müteakip 10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
Vergisel Kayıtlara İlişkin Kişisel Veriler |
5 Yıl |
213 Sayılı Vergi Usul Kanunu |
Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler |
5 Yıl |
213 Sayılı Vergi Usul Kanunu |
Ziyaretçilerin Kişisel Verileri |
2 Yıl |
5651 Sayılı Kanun (Şirketin Wi-Fi Ağına Erişim Sağlayan Ziyaretçiler İçin) |
CCTV Kameraları Uyarınca Güvenlik Amaçlı Olarak İşlenen Kişisel Veriler (Kamera Kayıtları) |
90 Gün |
Sektörel Teamül |
Çalışanların Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları |
En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl |
5651 Sayılı Kanun Gereği ve TİB (Telekomünikasyon İletişim Başkanlığı) Yönetmelikleri |
Şirket İnternet Ağının Kullanılması, İnternet Giriş ve Uzaktan Bağlantı esnasında İşlenen Trafik Bilgileri (Örn: IP adres, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri vb.) |
2 Yıl |
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun Gereğince Satış Sonrası Hizmet Verilmesinin Zorunlu Olması Sebebiyle İşlenen Kişisel Veriler (Örn: Ürün kurulum tarihi, müşteri iletişim bilgileri) |
15 Yıl |
6502 Sayılı Tüketicinin Korunması Hakkında Kanun, 13.06.2014 Tarih ve 29029 Sayılı Resmi Gazetede Yayınlanan Satış Sonrası Hizmetler Yönetmeliği |
Müşteri bilgilerinden, TTK 82. maddesi uyarınca ticari defter ve kayıtlara dayanak teşkil eden faturaların düzenlenmesine ilişkin kişisel veriler |
10 Yıl |
6102 Sayılı Türk Ticaret Kanunu |
Müşteri İşlem Bilgileri (Müşterilerin Talep/ Şikayet/ Önerilerine İlişkin Çağrı Kayıtları vb.) |
10 Yıl |
6098 Sayılı Türk Borçlar Kanunu |
Potansiyel Müşterilere İlişkin Veriler (Örn: cookies, çerezler, linkedin üzerinden profillemeye ilişkin veriler) |
13 Ay |
Avrupa Birliği / Sektörel Teamül Uygulaması |
Ölmüş Bir Kişinin Kişisel Verileri |
En Az 20 Yıl |
21.06.2018 Tarih ve 30808 Sayılı Resmî Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik |
EK-3 KVK Saklama ve İmha Politikası:
ENSTITÜ YAYINCILIK EĞITIM VE DANIŞMANLIK HIZMETLERI KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİNE İLİŞKİN İMHA POLİTİKASI
1. İMHA POLİTİKASININ AMACI
Bu İmha Politikası’nın (Politika) hazırlanma amacı; 6698 sayılı Kişisel Verilerin Korunması Kanununa (Kanun) uygun olarak işlenmiş olan kişisel verilerin yine Kanun’un 4., 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının ortadan kalkması halinde, 28/10/2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Yönetmelik) uyarınca kişisel verilerin Enstitü Yayıncılık Eğitim ve Danışmanlık Hizmetleri (Enstitü) tarafından re’sen veya veri sahibinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi usullerinin gösterilmesidir.
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri Politikası |
Enstitü tarafından hazırlanan Kişisel Verilerin Korunması ve Gizlilik Politikasını ifade eder. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Verilerin Silinmesi |
Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul |
Kişisel Verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
Periyodik İmha |
Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri Sahibi/İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik |
28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
3. KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, Enstitü tarafından aşağıdaki listelenen ortamlarda başta Kanun hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
• CRM
• MS SQL Server
• E-Posta Kutusu
• Microsoft Office Programları
• Çıkartılabilir bellekler (usb, hafıza kartı vb)
• Optik diskler (cd, dvd vb)
• Yazılımlar (ofis yazılımları, ticari yazılımlar, devlet kurumlarına ait yazılımlar vb)
• Bilgi güvenliği cihazları (güvenlik duvarı, antivirüs vb)
• Kişisel bilgisayarlar
• Mobil cihazlar (telefon, tablet vb)
• Elektronik olmayan yazılı, basılı, görsel ortamlar
• Görüntü Kayıt Cihazları
Fiziksel ortamlar:
• Birim Dolapları
• Klasörler
• Arşiv
4. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR
Veri sahiplerine ait kişisel veriler, Enstitü tarafından özellikle:
a. Eğitim ve ticari faaliyetlerin sürdürülebilmesi,
b. Hukuki yükümlülüklerin yerine getirilebilmesi,
c. Çalışan haklarının ve yan haklarının planlanması ve ifası ile
d. Müşteri ilişkilerinin yönetilebilmesi amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
a. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
b. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması,
c. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Enstitü’nin meşru menfaatinin olması,
d. Kişisel verilerin Enstitü’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi,
e. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
f. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Enstitü tarafından re’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
a. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
c. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.
d. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
e. İlgili kişinin, Kanun’un 11. Maddesinin 2 (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
f. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
g. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
Enstitü, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır. Alınmış olan teknik ve idari tedbirlerin tamamı Kişisel Veri Politikası’nda da düzenlenmiştir. İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Enstitü bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
5.1. Teknik Tedbirler:
• Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
• Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
• İhtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
5.2 İdari Tedbirler:
• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
• İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Enstitü içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• Enstitü personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için Kanun ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Enstitü ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiştir.
• Çalışanlar, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonrada devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Enstitü tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Gerekli hallerde kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında eğitimleri verir.
• Enstitü, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
6. KİŞİSEL VERİLERİN İMHA EDİLMESİNE İLİŞKİN ALINAN TEDBİRLER
Enstitü ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Kişisel verilerin silinmesi akabinde ilgili kişiler hiçbir şekilde silinen verilere tekrardan erişilemeyecek ve kullanılmayacaktır. Enstitü tarafından kişisel verilerin imha süreçlerinin tanımlanması ve takip edilmesine ilişkin etkin bir veri takip süreci yönetilecektir. Yürütülen süreç sırası ile silinecek verilerin tespit edilmesi, ilgili kişilerin tespiti, kişilerin erişim yöntemlerinin tespiti ve hemen akabinde verilerin silinmesi olacaktır.
Enstitü kişisel verileri yok etmek, silmek veya anonim hale getirmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
6.1. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine İlişkin Yöntemler
6.1.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin silinmesi yöntemi olarak Enstitü aşağıdaki yöntemlerden bir veya birkaçını kullanabilir:
• Kağıt ortamında bulunan kişisel veriler karartma yöntemi ile çizilerek, boyanarak, kesilerek veya silinerek işlem uygulanacaktır.
• Merkezi dosyada yer alan ofis dosyaları için kullanıcı(lar)nın erişim hakkı(ları) ortadan kaldırılacaktır.
• Veri tabanlarında bulunan kişisel bilgilerin bulunduğu satırlar yahut sütunlar ‘Delete’ komutuile silinecektir.
• Gerekli olduğu zaman bir uzman tarafından yardım alınarak güvenli olarak silinecektir.
6.1.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
• Fiziksel Yok Etme
• Kağıt İmha Makinesi ile Yok Etme
• De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.
6.1.3. Kişisel Verileri Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Enstitü kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilir:
• Maskeleme (Masking): Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
• Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.
• Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır.
• Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
• Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/-) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.
Kanun’un 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
Enstitü kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin re’sen karar alabilecek ve seçmiş olduğu kategoriye göre kullanacağı yöntemi de serbestçe belirleyebilecektir. Ayrıca Yönetmelik’in 13. maddesi kapsamında ilgili kişinin başvuru esnasında kendisine ait kişisel verinin silinmesi, yok edilmesi yahut anonim hale getirilmesi kategorilerinden birini seçmesi halinde de ilgili kategoride kullanılacak yöntemler konusunda Enstitü serbesti içinde olacaktır.
7. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Enstitü, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca saklar. Kişisel verilerin esas toplanma amacının veya varsa bu Politikada belirtilen ikincil işleme dayanağının ortadan kalkması halinde kişisel veriler EK-2’de belirtilen süreler boyunca saklanmaya devam edilebilir.
Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Mevzuatta öngörülmüş bir süre olmaması halinde kişisel veriler EK-2’deki tabloda yer alan kişisel verilerin tutulması için azami süre boyunca saklanacaktır. Bu süreler; Enstitü’nin veri kategorileri ve veri sahibi kişi grupları değerlendirilerek; bu değerlendirme sonucu elde edilen verilerin kanunlarda yer alan yükümlülüklerin yerine getirilmesini sağlayacak ve azami Türk Borçlar Kanunu’nda yer alan zamanaşımı süresi (10 yıl) gözetilerek belirlenmiştir.
Bu sürelerin sona ermesi dolayısıyla silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı durumda Enstitü bu tarihi takip eden ilk periyodik imha işleminde kişisel verileri siler, yok eder veya anonim hale getirir.
8. ŞİRKET PERİYODİK İMHA SÜRELERİ
Enstitü’nin periyodik imha süresi 1yıldır. Saklama süresi dolan kişisel veriler, işbu Politika’nın EK-2’de yer alan imha süreleri çerçevesinde, 1 yıllık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. Söz konusu sistemlerde bilgilerin tekrar geri getirilmeyecek şekilde, verilerin kaydedildiği varsa evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülmeyecek şekilde silinecektir.
9. PERSONEL
Kanun kapsamında Enstitü veri sorumlusu sıfatıyla, Yönetmelik’in 11. maddesinin 1. fıkrasına dayanarak, Kanunun veri saklama ve imha süreci uygulanması bakımından yükümlülükleri yerine getirilecek personelin unvanlarına, birimlerine ve görev tanımlarına EK-1’de yer alan listeden ulaşabilirsiniz.
Sınırları belirlenmiş bu kişiler Türk Ticaret Kanunu, Borçlar Kanunu ve Türk Ceza Kanunu kapsamında kendi yetki sınırları içinde gerçekleşen işlem ve eylemlerden sorumludur. Özellikle Kollukta, Savcılıklarda, kamu kurumlarında ve mahkemelerde Enstitü’yi temsil etme ile ifade vermeye yetkili olarak Enstitü Kişisel Verileri Koruma Kurulu Başkanı seçilmiştir. Her bir departman sorumlusu, departmanlardaki ilgili kullanıcıların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve Kişisel Veri Politikası’na uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departman sorumluları belirtilen periyodik imha sürelerinde işbu Politika doğrultusunda gerçekleştirdiği işlemleri Enstitü Kişisel Verileri Koruma Kurulu Başkanı’na raporlayacaktır. Bu raporlar için yapılan çalışma sonuçlarında çıkan karar uygulamaya konulacaktır.
10.İLGİLİ KİŞİNİN BAŞVURUSU
İlgili kişi, Kanun’un 13. maddesine ve Yönetmelik’in 12. maddesine istinaden Kişisel Veri Politika’sının Enstitü’den talep ile temin edilebilecek başvuru dilekçesi ile Enstitü’ye başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep edebilir.
1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
3. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. Enstitü aşağıdaki gerekçelerle veri sorumlusuna ait kişisel verinin silinmesini reddedebilir;
a. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
b. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
e. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
f. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
g. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması içingerekli olması.
h. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
i. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
j. Orantısız çaba gerektiren taleplerde bulunulmuş olması.
k. Talep edilen bilginin kamuya açık bir bilgi olması.
10.1 Kişisel Veri Sahibinin Haklarını Kullanması
Veri sahipleri bu bölümün 9. başlıkta yer alan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kurul’un belirlediği diğer yöntemlerle Enstitü’den temin edilebilecek başvuru dilekçesini doldurup imzalayarak Enstitü’ye iletebileceklerdir:
Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
10.2 Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Kanun’un 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Enstitü’nin cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurul’a şikâyette bulunabilir.
11. ŞİRKET’İN BAŞVURUDA BULUNAN KİŞİSEL VERİ SAHİBİNDEN TALEP EDEBİLECEĞİ BİLGİLER
Enstitü, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Enstitü, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
Politika’nın değiştirilen veya yürürlükten kaldırılması halinde Politika’nın değiştirilmiş hali veya yeni politika örneği Enstitü internet sitesinden ilan edilecektir.
13.YÜRÜRLÜK
Bu Politika 15/09/2021 tarihinde yürürlüğe girer.
EKLER
EK 1- İç Yönerge
EK 2- Saklama ve İmha Süreleri
EK 3- KVK Saklama ve İmha Politikası (bu metnin kendisidir)