Kişisel Verilerin Korunması
1. REVİZYON AÇIKLAMASI
Revizyon No:
Revize EdilenMadde:
Revizyon Nedeni:
Geçerlilik Tarihi:
2. GİRİŞ
Kişisel Verilerin Korunması Kanunu, kişisel verilerin korunması ve hukuka uygun işlenmesi ile ilgili önemli düzenlemeler getirmektedir.
İlgili kanun kapsamında kişisel veri; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Kişisel veri işleme terimi ise kişisel verilerin toplanmasından silinmesine kadar geçen sürede yapılan her türlü işlem anlamına gelmektedir.
Kişisel verilerin işlenmesinde Vakfımızın uygun süreçlere sahip olması, hukuka uygun hareket edebilme yeteneğini önemli ölçüde arttıracak ve bu durum tüm ilgili faaliyetleri etkileyecektir.
3. POLİTİKANIN AMACI
İşbu politikada Vakıf ve İktisadi İşletmesinin çalışanlarının kişisel verileri işlenirken hangi kurallara uyulacağı düzenlenmektedir. Dolayısıyla bu politikanın amacı çalışanların ve politika kapsamında yer alan diğer kişisel verilerin nasıl işleneceğini tespit etmektedir. Bu politikanın bir diğer amacı da çalışanların kişisel verilerinin işlenmesi konusunda bilgilendirilmesidir.
4. POLİTİKANIN KAPSAMI
Bu politika vakıf çalışanlarını kapsamaktadır. Çalışanlar yanında hala kişisel verileri işlenmekte olan eski çalışanlar ile Vakfımıza iş başvurusunda bulunan adaylar da bu politikada yer alan kuralların uygulanmasından etkilenecektir.Bu politika kapsamında çalışan ifadesi, politika uygulanabilir olduğu ölçüde eski çalışanlar ve çalışan adayları ile stajyerleri de kapsar.
5. YÜRÜRLÜK VE GÜNCELLENEBİLİRLİK
İşbu Politika 01 Nisan 2018 tarihinde yürürlüğe girmiştir. Bu politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir. Güncelleme yapılması halinde çalışanlarımız, ilgili güncelleme hakkında çeşitli kanallar aracılığı ile bilgilendirileceklerdir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’nın yürürlük tarihi güncellenecektir. Bu politikanın uygulanmasından İnsan Kaynakları sorumludur.
6. İŞE ALIM VE YERLEŞTİRME SÜRECİNDE ADAYLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ
Bu bölüm altında, işe alım sürecinde adayların kişisel verilerinin işlenmesine ilişkin özel düzenlemeler yer almaktadır. Adaylara ilişkin özel düzenlemeler, bu politikada çalışanlar için yer alan diğer düzenlemelerle birlikte uygulanır.
6.1. İşe Alım Sürecinde Toplanan ve İşlenen Kişisel Veriler
Vakıf, bu politikanın “11. Kişisel Verilerin Kategorizasyonu” başlıklı bölümünde belirtilen bilgilerin tamamını veya bir kısmını yapılan başvurunun niteliğine göre işleyebilir. Vakıf ayrıca, iş başvurusunda bulunan adayların aşağıdaki bilgilerini toplayabilir ve işleyebilir.
• İsim, adres, doğum tarihi, e-posta adresi, telefon numarası ve diğer iletişim bilgileri,
• Özgeçmiş, ön yazı, geçmiş veya ilgili iş tecrübesi veya diğer tecrübe, eğitim durumu, transkript, dil test sonuçları veya iş başvurusuna ilişkin destekleyici veya açıklayıcı belgeler,
• Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılması durumunda mülakat sırasında elde edilen bilgilerin kayıtları,
• Çeşitli video mülakatları esnasında, adayın videoda sözlü/yazılı olarak bilgilendirilmesi ve onayının alınması şartı ile video mülakat kayıtları,
• Önceki işverenlerden alınan referanslar veya aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontrol sonucu elde edilen bilgiler veya Vakıf tarafından yapılan araştırmalar sonucu elde edilen bilgiler,
• Yetenek ve kişilik özelliklerini tespit eden işe alım testlerinin sonuçları.
İşin niteliğine göre Vakıf, başvuruda bulunan adaydan özel nitelikli kişisel verilerini (örneğin, sabıka kaydı veya sağlık raporu) talep eder. Böyle bir durumda, aday ilgili özel nitelikli kişisel verinin talep edilme nedeni ve kullanım amacı hakkında başvuru formu veya ayrı bir açıklayıcı not ile bilgilendirilir.
6.2. Adayların Kişisel Verilerinin Toplanma ve İşlenme Amaçları
Vakıf, bu politikanın “12.. Kişisel Verilerin İşlenme Amaçları” başlıklı bölümünde belirtilen amaçların bir veya birden fazlasına dayalı olarak ve başvurunun niteliğini dikkate alarak adayın verilerini işleyebilir:
• Adayın niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
• Gerektiği takdirde, adayın ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle iletişime geçip aday hakkında referans araştırması yapmak,
• Başvuru ve işe alım süreci hakkında aday ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için aday ile iletişime geçmek,
• Herhangi bir mevzuatın gereklerini ya da yetkili kurum veya kuruluşun taleplerini karşılamak,
• Vakıfın uyguladığı işe alım ilkelerini geliştirmek ve iyileştirmek.
6.3. Adayların Kişisel Verilerinin Toplanma ve İşlenme Yöntemleri
İşe alım sürecinde adayların kişisel verileri bu politikada belirtilen diğer yöntem ve vasıtalarla birlikte veya bu yöntem ve vasıtalara ek olarak aşağıdaki yöntem ve vasıtalarla toplanabilir:
• Yazılı veya elektronik ortamda yayınlanan dijital başvuru formu,
• Adayların Vakıfa e-posta, kargo, referans ve benzeri yöntemlerle ulaştırdıkları özgeçmişler,
• İstihdam veya danışmanlık şirketleri,
• Video konferans, telefon gibi araçlarla veya yüz yüze mülakat yapılan hallerde, mülakat sırasında,
• Aday tarafından iletilen bilgilerin doğruluğunu teyit etmek amacıyla yapılan kontroller ile Vakıf tarafından yapılan araştırmalar,
• Tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri.
Vakıf toplanan kişisel verileri, bilgisayar sistemleri ve insan kaynakları personeli vasıtasıyla otomatik olan veya otomatik olmayan yollarla işler.
Vakıf bünyesinde toplanan kişisel veriler yazılı doküman ve elektronik olarak tutulacak olup, iletişim sistemleri, kurumsal kaynak planlama sistemleri ve elektronik yayın ortamlarında tutulur
6.4. Adaylar Hakkında Referans Araştırması Yapılması
Vakıf, adaylar hakkında referans araştırması yapabilir. Yapılacak referans araştırması genel olarak adayın verdiği bilgilerin doğruluğunu tespit etmeye yönelik olacaktır. Ayrıca adayın kendisi hakkında sakladığı ve Vakıfımız bakımından risklerin doğmasına sebep olabilecek bilgileri tespit etmek de yapılabilecek araştırmanın amaçları arasında olacaktır.
Yapılacak referans araştırması kapsamında adaylar hakkında üçüncü kişilerden kişisel veri elde edilebilir.
Adaylar, kendileri ile ilgili yapılacak referans araştırması hakkında her zaman Vakıf ile irtibat kurabilir.
6.5. Adayların Kişisel Verilerine İlişkin Hakları
Kanun’dan kaynaklanan haklarını kullanmak isteyen adaylar bu politikada açıklanan usul ve esaslar kapsamında Vakıfa başvurabilirler.
6.6. Adaylık Sürecinde Toplanan Kişisel Verilerden İşe Alım Halinde İşlenmesine Devam Edilecek Olanlar
İşe alım süreçleri boyunca hakkınızda toplanan ve işlenen tüm kişisel veriler, adayın ilgili açık pozisyonda istihdam edilmesine karar verilmesi halinde özlük dosyasına aktarılır.
6.7. Adayların Kişisel Verilerinin Güvenliği
Vakıf çalışanları ile Vakıfa iş başvurusunda bulunan adayların kişisel verilerinin güvenliği arasında negatif ayrımcılık yapılmaz. Kişisel verilerin güvenliği hakkında detaylı bilgi bu dokümanın kişisel verilerin güvenliğine ilişkin kısmında bulunabilir.
7. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKELER
7.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu kapsamda kişisel veriler işlendikleri amaçla orantılı ve sınırlı olarak işlenir.
7.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Çalışanların meşru menfaatleri dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Vakıf bünyesinde oluşturulur.
7.3. Belirli, Açık ve Meşru Amaçlarla İşleme
Kişisel veriler açık ve kesin veri işleme amaçlarına dayalı olarak işlenmektedir. Kişisel veriler sadece bu amaçlar için gerekli olduğu kadar işlenmektedir. Verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulur.
7.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
7.5. Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme
Vakıf kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel veriler Vakıfımızın bu yönde uyguladığı politika esaslarına göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
8. ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan sadece bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir.
Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde burada yazan kuralların yanında; aşağıda bu bölüm altında “Özel Nitelikli Kişisel Verilerin İşlenebileceği Haller” Başlığı içerisinde yer alan şartlar uygulanır.
Çalışanlarımız, işlenen kişisel verilerinin hangileri olduğu, kişisel verilerinin hangi amaçlarla ve hangi sebeplerle işlendiği, kişisel verilerinin hangi kaynaklardan toplandığı, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında da bilgilendirilir.
8.1. Kanunlarda Açıkça Öngörülmesi
Kanunda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, Vakıf verisi işlenecek çalışanın ayrıca açık rızasını almadan kişisel verilerini işler.
8.2. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan çalışanın kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
8.3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde veriler işlenebilir.
8.4. Vakfın Hukuki Yükümlülüğünü Yerine Getirmesi
Veri sorumlusu olarak hukuki yükümlülükleri yerine getirmek için işlemenin zorunlu olması halinde açık rıza alınmaksızın çalışan verileri işlenebilir.
8.5. Çalışanın Kişisel Verisini Alenileştirmesi
Çalışanın, kişisel verisinin kendisi tarafından alenileştirilmiş olması halinde de açık rızaya gerek olmaksızın veriler işlenebilir.
8.6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
8.7. Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi
Çalışanın temel hak ve özgürlüklerine zarar vermemek kaydıyla Vakıfın meşru menfaatleri için veri işlemenin zorunlu olması halinde çalışanın açık rızası alınmaksızın verileri işlenebilir.
8.8. Çalışan Kişisel Verilerinin Açık Rızaya Dayalı Olarak İşlenmesi
Çalışan kişisel verilerinin, yukarıda 8.1 - 8.7 maddelerinde belirtilen şartlardan herhangi birine dayalı olarak işlenemediği durumlarda, açık rızaya dayalı olarak işlenmektedir.
9. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENEBİLECEĞİ HALLER
Kişisel verilerin bir kısmı, “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.
9.1. Özel Nitelikli Kişisel Verilerin Açık Rızaya Dayalı Olarak İşlenmesi
Özel nitelikli kişisel veriler, çalışanın açık rızası olması halinde, bu politikada belirtilen ilkeler ve gerekli idari ve teknik tedbirler alınarak işlenebilir. Özel nitelikli kişisel verilerin işlenmesi durumunda, sadece iş ile ilgili yetkisi bulunan kişiler bu veriye erişmelidir.
9.2. Özel Nitelikli Kişisel Verilerin Açık Rıza Olmaksızın İşlenebileceği Haller
Özel nitelikli kişisel veriler, çalışanın açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
(i) Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
(ii) Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
10. ÇALIŞANIN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri Vakıf tarafından bilgilendirilir. Bu kapsamda varsa Vakıf temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile çalışanların sahip oldukları haklar kendilerine bildirilir.
Çalışanların, kişisel verilerine ilişkin bilgi talep etmesi halinde, Vakıf tarafından gerekli bilgilendirme yazılı olarak yapılır.
11. KİŞİSEL VERİLERİN KATEGORİZASYONU
Bu politika kapsamında, Vakıf tarafından çalışanların aşağıda belirtilen kategorilerdeki kişisel verileri işlenmektedir.
KİŞİSEL VERİ KATEGORİZASYONU / KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMA
Kimlik Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Ehliyet, Nüfus Cüzdanı, İkametgâh, Pasaport, Avukatlık Kimliği,
Evlilik Cüzdanı gibi dokümanlarda yer alan tüm bilgiler
İletişim Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail gibi bilgiler
Lokasyon Verisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımız ile işbirliği içerisinde olduğumuz kurumların çalışanlarının vakıfımızın araçlarını ve cihazlarını kullanırken bulunduğu yerin konumunu tespit eden bilgiler
Aile Bireyleri ve Yakın Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; Vakfın ve veri sahibinin hukuki menfaatlerini korumak amacıyla kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler
Fiziksel Mekân Güvenlik Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler
İşlem Güvenliği Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan; Vakıf faaliyetlerimizi yürütürken gerek çalışanlarımız gerekse de Vakfın teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz
Finansal Bilgi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; vakfımızın kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler
Özlük Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Vakfımızla çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri
Çalışan Adayı Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Vakfımızın çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği vakfımızın insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Vakfımızla çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler
Çalışan İşlem Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya vakfımızla çalışma ilişkisi içerisinde olan gerçek kişilerin işle ilgili gerçekleştirdiği her türlü işleme ilişkin işlenen kişisel veriler
Çalışan Performans ve Kariyer Gelişim Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; çalışanlarımızın veya Vakfımızla çalışma ilişkisi içerisinde olan gerçek kişilerin performanslarının ölçülmesi ile kariyer gelişimlerinin vakfımızın insan kaynakları politikası kapsamında planlanması ve yürütülmesi amacıyla işlenen kişisel veriler
Yan Haklar ve Menfaatler Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Çalışanlara veya Vakfımızla çalışma ilişkisi içerisinde olan diğer gerçek kişilere sunduğumuz ve sunacağımız yan-haklar ve menfaatlerin planlanması, bunlara hak kazanımla ilgili objektif kriterlerin belirlenmesi ve bunlara hak edişlerin takibi işin işlenen kişisel verileriniz
Hukuki İşlem ve Uyum Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve vakfımızın politikalarına uyum kapsamında işlenen kişisel verileriniz
Denetim ve Teftiş Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Vakfımızın kanuni yükümlülükleri ve Vakıf politikalarına uyumu kapsamında işlenen kişisel verileriniz
Özel Nitelikli Kişisel Veri Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen;
6698 Sayılı Kanunun 6ıncı maddesinde belirtilen veriler
Talep/Şikâyet Yönetimi Bilgisi Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan, kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Vakfımıza yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler
12. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
12.1. İşleme Koşulları
Kişisel veriler aşağıdaki koşullarla sınırlı olarak işlenmektedir. Bu koşullar;
• Kişisel verilerinizin işlenmesine ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
• Kişisel verilerinizin Vakıf tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerin işlenmesinin Vakfın hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerin çalışan tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde Vakıf tarafından işlenmesi
• Kişisel verilerin Vakıf tarafından işlenmesinin Vakfın veya çalışanların veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
• Çalışanların temel hak ve özgürlüklerine zarar vermemek kaydıyla Vakıf meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
• Vakıf tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması.
• Çalışanın açık rızasının alınması kaydıyla yukarıda sıralanmış maddeler dışında, vakıf süreçlerinin belirlenmiş şekilde işletilmesi için gereklilik arz etmesi.
Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için Vakıf kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
12.2. İşleme Amaçları
Vakfımızın, kişisel verileri; sayılanlarla sınırlı olmamak üzere, aşağıda belirtilen amaçlarla işlemektedir:
• Vakfımızın insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda; terfi ve atama süreçleri operasyonlarının, çalışan sağlığı operasyonlarının ve insan kaynakları operasyonlarının yürütülmesi, vardiya/ mesai sürelerinin yönetilmesi ve raporlanması, insan kaynakları planlaması ve istatistik çalışmalarının yapılması, çalışan eğitim operasyonlarının yürütülmesi, yan hak ve menfaatler sürecinin planlanması, kurum içi iletişim ödüllendirme aktiviteleri, expat/ yurt dışı görevlendirme süreçlerinin yönetimi,
• Vakfımızın ve vakfımızla iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda; iş ortağı, müşteri ve tedarikçi (yetkili veya çalışanlar) değerlendirme süreçlerinin yönetilmesi, hukuki ve ticari risk analizlerinin yapılması, iletişime yönelik idari operasyon hukuki uyum sürecinin yönetilmesi
• Vakfımızın ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; kamuya açıklanacak genel rapor çalışmalarının planlanması olarak sıralanabilmektedir.
Bu amaçlar çerçevesinde Vakfımızca yürütülen faaliyetlerin önemli bir kısmı, Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddesinin 3. Fıkrasında belirtilen kişisel veri sahibinin açık rızasını gerektirmeyen faaliyet ve süreçlerdir. Vakfımızın Kanun’un anılan maddeleri kapsamında olmayan faaliyet ve süreçleri için kişisel veri sahibinin açık rızasını ayrıca almaktadır. Bu çerçevede alınan kişisel verilerin Vakfımızca, Kanun’da sayılan ve açık rıza gerektiren faaliyetler yanında Kanun’da açık rıza gerektirmeden veri işlemeye izin veren faaliyetler için de kullanılabileceği unutulmamalıdır.
Çalışanın açık rızasını vermemesi durumunda yukarıda amaca giren tüm kişisel veri işleme faaliyetlerin yapılamaması değil; madde 7.1’de belirtilen çalışanın veri işlemeye yönelik açık rızasına gerek olmayan aynı amaç kapsamı içindeki kişisel veri işleme faaliyetlerinin dışında kalan ve bu amaca yönelmiş kişisel veri işleme faaliyetlerinin yapılamayacağı anlamı çıkmalıdır.
13. KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Bu başlık altında kişisel verilerin işlendiği özel durumlar hakkında açıklamalara yer verilecektir.
13.1. Özel Sağlık Sigortası ve Bireysel Emeklilik ile Benzeri Yan Haklar ve Menfaatlerin Sağlandığı Durumlarda Kişisel Verilerinizin İşlenmesi
Özel sağlık sigortası, bireysel emeklilik ya da benzeri faydalar bu başlık altında ek ve/veya yan fayda olarak adlandırılır.
13.2. Yan Haklar ve Menfaatlerin Sağlanması Amacıyla Kişisel Verilerinizin İşlenmesi
Yan haklar ve menfaatlerin (sağlık sigortası, bireysel emeklilik vb.) temin edileceği üçüncü şirketlerin topladıkları kişisel veriler veya bu şirketlerin çalışanlarından elde edilen kişisel veriler, genel iş ilişkisine ilişkin olarak kullanılmaz. Bu doğrultuda gereken önlemler alınır ve bu önlemler sürekli olarak güncel tutulur.
Özel Sağlık Sigortası ve Bireysel Emeklilik Sigortası süreçlerinde vakıf sadece poliçe oluşturma(başvuru), tahsilat ve ödeme süreçlerinde rol alır. Diğer bireysel işlemler için ilgili kurumun çağrı merkezi ile, ilgili kurumun kişisel verileri koruma politikası çerçevesinde işlemlerini yürütmesi gerekir.
13.3. Yan Haklar ve Menfaatlerin Sağlanması İçin Gereken Kişisel Verileriniz İşlenmesi
Yan haklar ve menfaatlerin temin edileceği kişiler ile çalışan verileri paylaşılırken, çalışana sağlanacak faydanın gerektirdiği asgari seviyeden fazla kişisel veri paylaşımı yapılmaz. Ayrıca paylaşılan kişisel verilerin bu kişiler tarafından başka amaçla işlenmesini engellemeye yönelik tedbirleri alınır. Paylaşılan kişisel verilerin özel nitelikli kişisel veri olması halinde, bu tip kişisel veriler hakkında uygulanan önlemler alınır.
13.4. Fırsat Eşitliğinin Gözetilmesi Kapsamında Kişisel Verilerinizin İşlenmesi
Çalışanlar arasında ırk, etnik köken, din, mezhep, engellilik ve cinsel tercihler gibi farklılıklar nedeniyle ayrımcılık yapmamak ve tüm çalışanlar arasında fırsat eşitliğini sağlamak amacıyla gerekli olduğu ölçüde, çalışan kişisel verileri işlenebilir.
Fırsat eşitliğinin sağlanması amacıyla öncelikli olarak Vakıf çalışanlarının anonim verileri kullanılır. Anonim verilerin yeterli olmaması halinde kişisel veri işlenir.
13.5. Usulsüzlüklerle Mücadele İçin Kişisel Verilerinizin İşlenmesi
Vakıf bünyesinde yapılabilecek usulsüz işlemleri engellemek adına değişik birimlerde yer alan kişisel veri setleri karşılaştırılabilir. Bu kapsamda başta çalışanların mali işlemleri olmak üzere herhangi bir işlem kontrol edilebilir ve bunlarla ilgili değişik birimlerde yer alan kişisel veri setleri incelenebilir ya da karşılaştırılabilir.
Yapılacak ön inceleme sonucunda ciddi bir usulsüzlüğün varlığına ilişkin şüpheye düşülmesi halinde bu işlemle ilgili kişisel veriler konunun uzmanı üçüncü kişiler tarafından incelenebilir.
13.6. Referans Verilmesi İçin Kişisel Verilerinizin İşlenmesi
Çalışanlara iş ve eğitim gibi gereken konularda referans olunabilir. Bu kapsamda her çalışanın bağlı olduğu birim yöneticisi ile varsa alt seviyedeki yöneticiler, o çalışana referans olabilir.
Bir yöneticinin herhangi bir çalışana referans olması için o yöneticinin ilgili çalışana referans olmayı kabul etmesi gerekir.
Referans verilmesi halinde çalışanın, işyerindeki performansı, çalışanın yetkinlikleri /tecrübeleri ve iş ile ilgili niteliklerine ilişkin bilgiler paylaşılabilir. Ayrıca çalışanın açık rızasını vererek talep ettiği ve referans olacak kişinin uygun bulduğu bilgiler, referans talep eden kişi tarafından istenen bilgiler de paylaşılabilir.
13.7. Vakıf Yapısını Değiştiren Diğer İşlemlerde Kişisel Verilerinizin İşlenmesi
Vakıf yapısını değiştiren diğer işlemler sırasında kişisel veriler mümkün olduğunca anonimleştirerek paylaşılır. Anonimleştirilmesi mümkün olmayan kişisel verilerin, bu tip işlemler kapsamında paylaşılmasının gerekmesi halinde bunların paylaşıldığı kişilerden aşağıdaki konulara ilişkin garanti alınmasına özen gösterilir:
• Kişisel veriler sadece yürütülecek işlemler çerçevesinde kullanılacaktır,
• Kişisel veriler ile ilgili gizlilik kurallarına uygun davranılacaktır,
• Ayrı bir hukuki sebep bulunmadıkça veya zorunlu olmadıkça kişisel veriler üçüncü kişilere aktarılmayacaktır.
13.8. Disiplin Soruşturmalarında Kişisel Verilerinizin İşlenmesi
Çalışan hakkında yapılabilecek disiplin soruşturmaları kapsamında sadece disiplin soruşturmasının gerektirdiği kadar kişisel veriye erişim sağlanır. Kişisel verilerin doğruluğu ve güncelliğinin kontrol edilmesi için gerekli çaba gösterilir ve bu kapsamda soruşturmanın etkinliğinin önemli şekilde ortadan kaldırılmaması kaydıyla gerekli aksiyonlar alınır.
14. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI
Kişisel veriler ve özel nitelikli kişisel veriler, işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınarak üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarılabilmektedir.
14.1. Kişisel Verilerin Aktarılması
Kişisel veriler, veri işleme amaçları doğrultusunda, yukarıdaki madde 12.1’de belirtilen hallerin varlığı durumunda üçüncü kişilere aktarılabilir:
14.2. Özel Nitelikli Kişisel Verilerin Aktarılması
Çalışanın özel nitelikli kişisel verileri aşağıdaki durumlarda üçüncü kişilere aktarabilir.
• Çalışanın açık rızası var ise veya
• Çalışanın açık rızası yok ise;
– Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
– Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, aktarılabilir.
14.3. Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları Kişisel verileriniz aşağıda sıralanan kişi kategorilerine aktarılabilir:
(i) Vakıf iş ortaklarına,
(ii) Vakıf tedarikçilerine,
(iii) Vakıf iştiraklerine,
(iv) Vakıf kurucularına
(v) Hukuken Yetkili kamu kurum ve kuruluşlarına
(vi) Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Veri Aktarımı Yapılabilecek Kişiler Tanımı Veri Aktarım Amacı
İş Ortağı Vakfın faaliyetlerini yürütürken Vakfın ürün ve hizmetlerinin satışı, tanıtımı ve pazarlanması, satış sonrası desteği, ortak müşteri bağlılığı programlarının yürütülmesi gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır. İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
Tedarikçi Vakfın faaliyetlerini yürütürken Vakfın emir ve talimatlarına uygun olarak sözleşme temelli olarak Vakfa hizmet sunan tarafları tanımlamaktadır. Vakfın tedarikçiden dış kaynaklı olarak temin ettiği ve Vakfın faaliyetlerini yerine getirmek için gerekli hizmetlerin Vakfa sunulmasını sağlamak amacıyla sınırlı olarak.
Kurucular İlgili mevzuat hükümlerine
göre Vakfın faaliyetlerine ilişkin stratejilerinin ve denetim faaliyetlerinin tasarlanması konusunda yetkili olan kurucular İlgili mevzuat hükümlerine
göre Vakfın faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak
Hukuken Yetkili Kamu Kurum ve Kuruluşları İlgili mevzuat hükümlerine göre Vakfın bilgi ve belge almaya yetkili kamu kurum ve kuruluşları İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak
Hukuken Yetkili Özel Hukuk Kişileri İlgili mevzuat hükümlerine göre Vakıftan bilgi ve belge almaya yetkili özel hukuk kişileri İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak
15. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Kişisel veriler; Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelerde mukim üçüncü kişilere aktarılabilmektedir.
15.1. Kişisel Verilerin Yurtdışına Aktarılması
Kişisel veriler, veri işleme amaçları doğrultusunda, Madde 12.1’de belirtilen hallerden birinin varlığı durumunda yurtdışına aktarabilmektedir:
15.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Özel nitelikli kişisel veriler aşağıdaki durumlarda yurtdışına aktarabilmektedir.
• Çalışanın açık rızası var ise veya
• Çalışanın açık rızası yok ise;
– Çalışanın sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
– Çalışanın sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara aktarılabilir.
16. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece Kişisel Veri Sahibine bildirir veriler silinir, yok edilir veya anonim hale getirilir.
Saklama süresi dolan kişisel veriler, belirlenen imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Veri sorumlusu, Kişisel Veri Sorumlusu’nun talebi olması halinde en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Vakfın belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Vakıfa yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Ancak Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
17. KİŞİSEL VERİLERİN GÜVENLİĞİ
Kişisel verilerin güvenliğini sağlamak adına yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul önlemler alınmaktadır.
Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, hiç kimsenin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanır. Sağlık verileri gibi özel nitelikli kişisel verilerin güvenliği sağlanırken diğer kişisel verilere göre daha katı önlemler alınır.
Yetkilendirilmiş kişiler gereken güvenlik kontrollerinden geçirilir. Ayrıca bu kişiler söz konusu kişiler görev ve sorumlulukları hakkında eğitilir.
Kişisel verilere erişim kayıtları teknik imkânlar elverdiği ölçüde tutulur ve bu kayıtlar düzenli aralıklarla incelenir. Yetkisiz erişim söz konusu olduğunda derhal soruşturma başlatılır.
Vakıf ile ilgisi olmayan çalışan kişisel verileri içeren e-posta veya diğer dokümanların tespit edilmesi halinde bunların imha edilmesi için bildirimde bulunulur. Belirlenen sürede gerekli aksiyonların alınmaması halinde imha işlemleri Vakıf tarafından gerçekleştirilir. İşbu kişisel verilerin veri sahibi tarafından talep edilmeden paylaşılması ve üçüncü kişiler tarafından kullanılması halinde ise sorumluluk Vakıf’a atfedilemeyecektir.
Kişisel verileri işleyen çalışanlarımız, işlenen verilerin güvenliğinin sağlanması amacıyla aşağıdaki yükümlülüklere uyar:
• Kişisel verilerin korunmasına ilişkin konularda hukuka uygun ve dürüst davranma,
• Kişisel verileri doğru, tam ve eksiksiz işleme,
• Güncelliğini kaybeden kişisel verilerin güncellenmesi amacıyla gerekli çalışmaları yapma,
• Kişisel verilerin işlenmesinde herhangi bir hukuka aykırılık fark ettiğinde ilgili yöneticiyi bilgilendirme,
• Kişisel verilere ilişkin kanuni hakların kullanılabilmesi için gerekli yönlendirmeleri yapma,
18. ÇALIŞANLARIN İŞ FAALİYETLERİ İLE BAĞLANTILI GERÇEKLEŞTİRDİKLERİ ELEKTRONİK HABERLEŞME İŞLEMLERİNE İLİŞKİN KİŞİSEL VERİLERİNİN İŞLENMESİ
Çalışanların iş faaliyetleri sırasında gerçekleştirdikleri işlemler hem Vakfın hem müşterilerin hem çalışanların hem de diğer üçüncü kişilerin güvenliği açısından önem taşıyabilmektedir. Çalışanların elektronik haberleşme işlemlerine ilişkin kişisel verilerin işlenmesi halinde; çalışan verilerinin işlenmesinde bu politikada yer alan düzenlemelere uygun davranılır.
18.1. Elektronik Haberleşme İşlemlerine İlişkin Özel Kurallar
Elektronik haberleşme işlemleri ile elde edilen çalışanlara ilişkin kişisel verilere dayanarak bir çalışan aleyhinde şikâyet prosedürü veya disiplin süreci başlatmadan önce ve sonrasında Kanun ve işbu Politika’da yer alan kişisel verilerin korunması ve işlenmesi kurallarına uygun hareket edilir. Bu politika ile getirilen kurallara aykırı davranarak çalışanlar hakkında hukuka aykırı veri işleyen; ya da bu faaliyetler sonucunda elde edilen bilgileri başka amaçlarla kullanan çalışanlar hakkında disiplin soruşturması başlatılabilir.
18.2. Elektronik Haberleşme Araçlarının Kullanımına İlişkin Kişisel Verilerin İşlenmesi
Vakıf tarafından çalışana sağlanmış veya sağlanabilecek olan cep telefonu, diz üstü bilgisayar, tablet ve benzeri elektronik haberleşme araçlarının kullanımına ilişkin olarak çalışan verileri işlenebilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır. Elektronik haberleşme araçlarının kullanımına ilişkin elde edilen kişisel verilere ilişkin, bu politikadaki diğer hükümler uygulama alanı bulur.
18.3. Telefon Görüşmelerine İlişkin Kişisel Verilerin İşlenmesi
Vakıf telefonundan yapılan iletişim, telefon görüşmesi yapılan numaralar ve iletişimin süresine ilişkin kişisel verilerin sadece işlendikleri amaçla sınırlı olarak kullanılmasına özen gösterilir. Elde edilen verilerin özel nitelikli kişisel veri olduğu durumlarda; özel nitelikli kişisel verilerin işlenmesine ilişkin bu politika hükümleri dikkate alınır.
18.4. Kurumsal E-Postalara İlişkin Kişisel Verilerin İşlenmesi
Çalışan kurumsal e-posta hesabı üzerinden elde edilen kişisel veriler yasal mevzuat kapsamında bu politikada yer alan hükümler çerçevesinde işlenebilir.
18.5. İnternet Kullanımına İlişkin Kişisel Verilerin İşlenmesi
Yasal mevzuat çerçevesinde, çalışanların internet kullanımı sırasında kişisel verilerin elde edilmesi halinde; elde edilen kişisel verilere ilişkin, bu politikadaki ilgili hükümler uygulama alanı bulur.
18.6. Güvenlik Kamerası Uygulamasına İlişkin Kişisel Verilerin İşlenmesi
İşyerinde güvenlik veya benzeri amaçlarla kamera kayıtları kullanımı nedeniyle kişisel verilerin elde edilmesi halinde; elde edilen kişisel veriler ileride bir şüpheli işlemin araştırılması, uyuşmazlığın çözümü veya şikâyet halinde delil olarak kullanmak gibi amaçlarla veya bu politikada belirtilen diğer amaçlarla işlenebilir.
18.7. Vakıf Tarafından Tahsis Edilen Araçlara İlişkin Kişisel Verilerin İşlenmesi
Çalışanlara Vakıf tarafından tahsis edilen veya ileride edilebilecek araçlara ilişkin faaliyetler sırasında elde edilen kişisel verilerin işlenmesine ilişkin olarak bu politikada yer alan hükümler uygulama alanı bulur.
18.8. Üçüncü Kişiler Tarafından Verilen Bilgilerin İşlenmesi
Belirli durumlarda üçüncü kişilerden çalışanlar hakkında bilgi talep edilebilmektedir. Bu üçüncü kişiler bankalar, kredi notu değerlendirme kuruluşları ve benzeri araştırma şirketleri olabilmektedir. Bu yönde bir uygulamanın olması halinde, işlenen kişisel verilere ilişkin olarak bu politikada yer alan hükümler uygulama alanı bulur.
19. ÇALIŞANLARIN SAĞLIKLARIYLA İLGİLİ TOPLANAN VE İŞLENEN KİŞİSEL VERİLERE İLİŞKİN ÖZEL KURALLAR
19.1. Sağlık Verilerinin Ayrı Saklanması ve Sağlık Verilerini İşlemeye Yetkili Çalışanlar
Sağlık verileri, Vakıf olanakları elverdiği oranda, yetkisiz erişimlerden korumak ve daha yüksek güvenlik sağlamak adına, diğer kişisel verilerden ayrı olarak saklanmaktadır. Vakıf, sağlık verilerini mümkün olan en dar kapsamda işlemeye özen göstermektedir. Sağlık verilerinin işlenmesi gereken durumlarda, bu işlemeyi gerçekleştirmek amacıyla yetkilendirilen kişilerin, bu verilerin hassasiyetini anlamasına ve gerekli önemleri alabilmesine yönelik bilgilendirmeler yapılır.
19.2. Sağlık Verilerinin Özel Nitelikli Kişisel Veri Olarak Muamele Görmesi
Çalışan sağlık verileri özel nitelikli kişisel veri olarak kabul edilmektedir. Özel nitelikli kişisel veriler hakkında uygulanan tüm önlemler sağlık verileri için de uygulanır.
19.3. Sağlık Verilerine Erişim
Sağlık verilerinize erişim sadece gerekli olması durumunda bu konuda yetkilendirilmiş çalışanlar tarafından gerçekleştirilebilecektir. Ayrıca yöneticilere, onların yönetsel rollerini yerine getirebilmeleri için gereken seviyede sağlık verileri açıklanabilir.
19.4. Alkol ve Uyuşturucu Testleri
Uyuşturucu ve alkol kullanımı nedeniyle iş sözleşmesinin, çalışma şartlarının veya disiplin kurallarının esaslı bir şekilde ihlal edilmesi ya da söz konusu ihlallere ilişkin ciddi riskler ortaya çıkması halinde, yasal düzenlemelerin izin verdiği ölçüde, çalışan üzerinde alkol ve uyuşturucu testleri yapılabilecektir.
20. ÇALIŞANLARIN KANUNİ HAKLARI VE BUNLARI KULLANMA YÖNTEMLERİ
20.1. Kişisel Verilere İlişkin Kanuni Haklar
Kişisel verilere ilişkin olarak çalışanların kullanabileceği kanuni haklar aşağıda sayılmaktadır:
a. Kişisel verilein işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f. İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
g. (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
20.2. Kişisel Verilere İlişkin Kanuni Hakların Kullanılmasına İlişkin Esaslar
Kişisel verilere ilişkin hakları kullanmak için çalışanlar “Kişisel Veri Sahibi Tarafından Veri
Sorumlusuna Yapılacak Başvurulara İlişkin Form”u kullanabilir. Bu doğrultuda yapacağınız başvurulara en geç 30 gün içerisinde cevap verilmektedir.
Vakıf Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın “Kişisel Veri Sahiplerinin
Hakları; Bu Hakların Kullanılması ve Değerlendirilmesi Metodolojisi” başlıklı bölümünde, çalışanlar kanuni haklarını kullanmak için detaylı bilgilere ulaşabilir.
21. VAKIF KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Vakfın işbu politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve işlenmesi konusunda kaleme alınmış/alınacak temel politika, prosedür ve talimatlar bu Politika ile ilişkilendirilmiştir. Bu politika, prosedür ve talimatların Vakfın diğer alanlarda yürüttüğü temel politikalarla da bağı kurularak, Vakfın benzer amaçlarla farklı politika esaslarıyla işlettiği süreçler arasında harmonizasyon da sağlanmaktadır.
22. VAKIF ÇALIŞAN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİŞİM YAPISI
Vakıf içerisinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politika, prosedür ve talimatları yönetmek üzere Bilgi Teknolojileri Direktörü Başkanlığında “Kişisel Verilerin Korunması Komitesi” kurulmuştur. Bu komitenin görevleri Vakıf Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda açıklanmıştır.
23. KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI UYUM DENETİM SÜRECİ
Kıraça Holding tarafından belirlenecek olan Kişisel Verilerin Korunması Denetim Ekibi tarafından yılda 1 kere denetim takvimi oluşturularak Grup Şirketleri’nin politikaya uygun faaliyetlerini sürdürüp sürüdürmediği tespit edilecektir.
Denetim sürecinde genel olarak;
• Aydınlatma metinleri, Başvuru formları, Onay Formları vb. kanuni yükümlülüklerin yerine getirilip getirilmediği,
• Verilerin işlenme ve görüntülenme yetkilerinin doğru olup olmadığı,
• Yeni veri alanlarının oluşturulup oluşturulmadığı, denetler.
KVKK Denetim Ekibi, Kıraça Holding Hukuk Müşavirliği ve İnsan Kaynakları Direktörlüğü başta olmak üzere, diğer departmanlardan da üyeler alınması suretiyle oluşturulur.
24. EK-1 TANIMLAR
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.
Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi. Örneğin; Müşteriler ve çalışanlar.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.
Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin, [ŞİRKET]’in verilerini tutan bulut bilişim firması, müşterilere formları imzalattığı anketörleri, scriptler çerçevesinde arama yapan callcenter firması vb.
Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.
**
SUNA VE İNAN KIRAÇ VAKFI KİŞİSEL VERİLERİN İŞLENMESİ AYDINLATMA METNİ
a) Veri Sorumlusu ve Temsilcisi
6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) uyarınca, kişisel verileriniz; veri sorumlusu olarak Suna ve İnan Kıraç Vakfı tarafından aşağıda açıklanan kapsamda işlenebilecektir.
b) Kişisel Verilerin Hangi Amaçla İşleneceği
Toplanan kişisel verileriniz, kişisel verilerinizi bizlere açıklamanıza konu olan; iş sözleşmesinde yer alan amaçlar doğrultusunda, etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, sözleşmeden doğan yükümlülüklerin yerine getirilmesi, çalışanların performanslarının değerlendirilmesi, iş güvenliğinin sağlanması ve geliştirilmesi amaçlarıyla ve ayrıca Suna ve İnan Kıraç Vakfı insan kaynakları politikalarının yürütülmesinin temini, Suna ve İnan Kıraç Vakfı ve Suna ve İnan Kıraç Vakfımızla iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; Suna ve İnan Kıraç Vakfı ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
Kişisel verilerinizin Suna ve İnan Kıraç Vakfı tarafından işlenme amaçları konusunda detaylı bilgilere; peramuzesi.org.tr, iae.org.tr, sunaveinankiracvakfi.org.tr’de yer alan Suna ve İnan Kıraç Vakfı Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikasından ulaşabilirsiniz.
c) İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz; iş sözleşmenizde yer alan amaçlar doğrultusunda, etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, sözleşmeden doğan yükümlülüklerin yerine getirilmesi, çalışanların performanslarının değerlendirilmesi, iş güvenliğinin sağlanması ve geliştirilmesi amaçlarıyla ve ayrıca Suna ve İnan Kıraç Vakfı ve Suna ve İnan Kıraç Vakfıyla iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini; Suna ve İnan Kıraç Vakfının ticari ve iş stratejilerinin belirlenmesi ve uygulanması amaçlarıyla; iş ortaklarımıza, hissedarlarımıza, iştiraklerimize, kanunen yetkili kamu kurumlarına ve özel kişilere, Suna ve İnan Kıraç Vakfı, üyesi olduğunuz işçi sendikalarına, 6698 sayılı Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde peramuzesi.org.tr, iae.org.tr, sunaveinankiracvakfi.org.tr’ de yer alan Suna ve İnan Kıraç Vakfı Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikasında belirtilen amaçlarla sınırlı olarak aktarılabilecektir.
ç) Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Suna ve İnan Kıraç Vakfı tarafından farklı kanallar ve farklı hukuki sebeplere dayanarak; Suna ve İnan Kıraç Vakfımızın İnsan Kaynakları uygulanması ve yürütülmesi amacıyla toplanmaktadır. Bu süreçte toplanan kişisel verileriniz; İş Kanunu, İş Sağlığı ve Güvenliği Kanunu ile Borçlar Kanunu çerçevesinde ve iş sözleşmenizde yer alan amaçlar doğrultusunda, etkili çalışan yönetiminin sürdürülmesi ve geliştirilmesi, sözleşmeden doğan yükümlülüklerin yerine getirilmesi, çalışanların performanslarının değerlendirilmesi, iş güvenliğinin sağlanması ve geliştirilmesi amaçlarıyla ve ticari faaliyetlerimizi ve operasyonel süreçlerimizi yürütmek hukuki sebebiyle, işe giriş ve iş sözleşmesinin devamı sırasında fiziki ve elektronik ortamda toplanmaktadır. Bu hukuki sebeple toplanan kişisel verileriniz 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları kapsamında bu Aydınlatma Metni’nin (b) ve (c) maddelerinde belirtilen amaçlarla da işlenebilmekte ve aktarılabilmektedir.
d) Kişisel Veri Sahibinin 6698 sayılı Kanun’un 11. maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi peramuzesi.org.tr, peramuseum.org, iae.org.tr, sunaveinankiracvakfi.org.tr’de yer alan Suna ve İnan Kıraç Vakfı Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikasında düzenlenen yöntemlerle ve Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’ine uygun olarak Sune ve İnan Kıraç Vakfı’na iletmeniz durumunda sözkonusu talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Suna ve İnan Kıraç Vakfı tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Bu kapsamda kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.