Kişisel Verilerin Korunması
Kişisel Verilerin Korunması
ENVAR EĞİTİM KURUMLARI (Anaokulu, İlkokul, Ortaokul, Lise)
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN AYDINLATMA BİLDİRİMİ
(“Bildirim”)
06.04.2018
GİRİŞ
Anayasa madde 20 gereği “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07.04.2016 tarihli Resmi Gazetede yayımlanarak yürürlüğe girmiştir ve kanunun uygulanması bakımından yönetmelikler, kurul kararları vb. düzenlemeler yayımlanmıştır. KVKK özetle; kişisel verilerin işlenmesinde kişilerin haklarını ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. KVKK kapsamındaki haklarınız ve yükümlülüklerinizin çerçevesi işbu bildirim kapsamında bilginize sunulmuştur. Andeva Özel Eğitim İnşaat ve Özel Sağlık Hizmetleri Ticaret A.Ş. Envar Eğitim Kurumları (“Okul”) veri sorumlusu sıfatıyla; faaliyet alanı kapsamındaki ilgili kişilerin (öğrenci, öğrenci adayı, mezun öğrenciler, çalışan, çalışan adayı, ziyaretçiler, veliler, veli adayları, veri sorumlusuna mal ve hizmet sağlayan firmaların yetkilileri ve çalışanları -“tedarikçiler”- ile veri sorumlusunun faaliyetleri kapsamında muhatap olduğu sair gerçek kişilerin -“sair muhataplar”-) kişisel verilerini işbu Bildirim çerçevesinde işleyebilmektedir.
KVKK ve ilgili mevzuat çerçevesinde uygulama Okul tarafından oluşturulan Kişisel Verilerin Korunması Heyeti (“Heyet”) koordinasyonunda gerekli usul ve esasların takip ve icrası suretiyle gerçekleştirilir, gerekli denetim ve kontroller sağlanır ve gerekli revizyonlar yapılır, KVKK kapsamındaki yükümlülüklerinin etkin uygulanması koordine ve idare edilir. Bildirim, Okul web sitesinde yayınlanarak, güncellemeler ve değişiklikler hususunda yine web sitesinde bilgilendirme yapılır.
KVKK KAPSAMINDA TANIMLAR VE AYDINLATMA BİLDİRİMİ KAPSAMINDAKİ VERİ KATEGORİLERİ
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
c) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
ç) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
d) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
e) Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
f) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri kategorileri:
Kimlik (ad soyad, anne-baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi) , İletişim (adres no, e- posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi) ; Lokasyon (bulunduğu yerin konum bilgileri) ; Özlük (bordro bilgileri, disiplin soruşturması, işe giriş- çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi); Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi);Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi) ;Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi) ;İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi) ; Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi) ;
Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi) ;
Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler); Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar, fotoğraf, video kaydı gibi),Kılık ve Kıyafet, Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi) ; Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi), Ölçme Değerlendirme Sonuçları (ölçme değerlendirme sonuçları, öğrencilerin yerleştikleri okullar, veli toplantısı notları gibi)
Okul, KVKK’nın 4. maddesi doğrultusunda işbu Bildirimle ile kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir: Hukuka ve dürüstlük kuralına uygunluk-Doğruluk ve güncellik- Belirli, açık ve meşru amaçlarla işleme- Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme -Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme-
KVKK’nın 5. maddesine uygun olarak Okul tarafından “kişisel veri”lerin işlenme süreçleri KVKK ve ilgili mevzuat belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir:
- İlgili Kişinin Açık Rızasının Bulunması- Kanuni Gereklilikler Nedeniyle Verilerin İşlenmesi – Fiili İmkânsızlık Nedeniyle İlgili Kişinin Rızasını Açıklayamayan veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin veya Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması – Bir Sözleşmenin Kurulması ve İfası ile Doğrudan İlgili Olmak Kaydı ile Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması -Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması -İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi
- Bir Hakkın Tesisi, Kullanılması Veya Korunması İçin Zorunlu Olan Verilerin İşlenmesi
- Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi
KVKK hükümlerinin uygulanmadığı haller saklıdır.
KVKK’nın 6. Maddesi gereği kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Okul, “özel nitelikli kişisel verilerini” işlememeyi temel kural ve prensip edinmiştir. Ana prensibin istisnaları aşağıdaki gibidir:
- İlgili Kişinin Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi
- İlgili Kişinin Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri ile Öngörülmesi Sebebiyle İşlenmesi
- Sağlık ve Cinsel Hayat ile İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik, Tıbbî Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında Olmak Kaydı ile İşlenmesi
KVKK hükümlerinin uygulanmadığı haller saklıdır.
KİŞİSEL VERİLERİN HANGİ AMAÇLA İŞLENEBİLECEĞİ, HUKUKİ SEBEBİ VE TOPLANMA YÖNTEMİ
KVKK m.4’teki ilkelere uygun olarak kişisel veriler, kişisel verilerin aşağıda sıralanan amaçlarla; 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dahilinde kalmak kaydıyla işlenebilecektir:
- Kanunlarda öngörülmüş olması ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle sebebiyle: MEB e-okul sistemine ve kurumun meşru menfaati sebebiyle k12, eno4 ve sınavza(edesis) sistemine öğrenci, veli ve çalışanların kayıt ve bildirim yükümlülüğünün yerine getirilerek e-okul sistemi üzerinden eğitimin etkin planlama ve yönetimin gerçekleştirilmesi ve okula kaydın sağlanması amacıyla elektronik otomasyon ortamında kimlik, iletişim, görsel ve işitsel kayıtlar, sağlık, mesleki deneyim, eğitim ve işlem güvenliğine ilişkin kişisel veriler
- Veri sorumlusunun meşru menfaati ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle sebebiyle: Etkinlik organizasyonu, yönetimi ve tanıtım faaliyetleri amacıyla, elektronik ortamda kamera kaydı ile ilgili kişilerin görsel ve işitsel kayıtları ve etkinlik kayıt için elektronik ortamda kimlik ve iletişim verileri
- Veri sorumlusunun meşru menfaati sebebiyle: Okul ile iletişime geçilebilmesi amacıyla, web sitesinde yer alan iletişim formu üzerinden ilgili kişilerin kimlik ve iletişim verileri
- Veri sorumlusunun meşru menfaati sebebiyle: Önkayıt başvurusu alınabilmesi amacıyla, web sitesinde yer alan önkayıt formu üzerinden ilgili kişilerin kimlik ve iletişim verileri
- Veri sorumlusunun meşru menfaati sebebiyle: Online iş başvurusu alınabilmesi amacıyla, web sitesinde yer alan iş başvuru formu üzerinden ilgili kişilerin kimlik, iletişim, mesleki deneyim, özlük ve işlem güvenliği verileri
- Kanunlarda öngörülmüş olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, veri sorumlusunun meşru menfaati ve açık rıza sebebiyle: Anaokulu Koordinatörlüğünce; Okul Öncesi Eğitim ve İlköğretim Kurumları Standartları Kılavuzunun temel amaçlarının gerçekleştirilmesi ve okul öncesi eğitim-öğretimin verimliliği amacıyla, öğrencinin velisinden alınan Öğrenci Tanıma Kitapçığı (Portfolyo) ile; ilgili kişilerin sağlık, kimlik, iletişim, mesleki deneyim verileri,
- Veri sorumlusunun meşru menfaati sebebiyle: Anaokulu Koordinatörlüğünce; öğrencilerin kişisel eşyalarının ve kişisel eğitim araç-gereçlerinin korunabilmesi amacıyla fiziki olarak veliden teslim alınan görsel kaydı ve anaokulunun fiziksel mekan güvenliğinin sağlanabilmesi amacıyla elektronik ortamda kamera kaydı,
- Bir Sözleşmenin Kurulması ve İfası ile Doğrudan İlgili Olmak Kaydı ile Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması sebebiyle: İlkokul Müdürlüğünce; öğrencinin veli tarafından ilk kaydının gerçekleştirilmesi amacıyla ilk kayıt formu üzerinden ilgili kişilerin kimlik, iletişim, mesleki deneyim verileri,
- Kanunlarda öngörülmüş olması ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması sebebiyle: Etkinlik organizasyonu, yönetimi ve tanıtım faaliyetleri amacıyla veli muvafakatname belgesi üzerinden öğrencilerin lokasyon, kimlik, iletişim verileri,
- Kanunlarda öngörülmüş olması sebebiyle: Devamlılık ve devamsızlık kayıtlarının tutulabilmesi ve yasal izinlerin düzenlenebilmesi amacıyla ilgili kişilerin sağlık raporuyla sağlık verileri ile açık rızalarıyla sundukları sair özel nitelikli kişisel veriler,
- Kanunlarda öngörülmüş olması sebebiyle: Sportif ve sanatsal faaliyetlere katılımın sağlanabilmesi amacıyla ilgili kişilerin lisans belgesi ve sağlık raporu üzerinden sağlık ve kimlik verileri,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle: Eğitim öğretim faaliyetinin etkin yönetimi ve psikolojik danışmanlık ve rehberlik amacıyla Öğrenci Bilgi Formu üzerinden ilgili kişilerin kimlik, sağlık, iletişim, mesleki deneyim verileri,
- Kanunlarda öngörülmüş olması sebebiyle: Ortaokul ve Lise Müdürlüğünce; seçmeli derslerin ve alan seçiminin belirlenebilmesi amacıyla alınan dilekçeler ile öğrenci ve/veya velinin kimlik verileri,
- Veri sorumlusunun meşru menfaati: Ortaokul ve Lise Müdürlüğünce; bursluluk sınavı planlanması, gerçekleştirilmesi ve ölçme değerlendirmesi amacıyla elektronik ortamda ve fiziken alınan Bursluluk Kayıt Formu üzerinden ilgili kişilerin kimlik ve iletişim ve eğitim verileri,
- Kanunlarda öngörülmüş olması sebebiyle ve Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması sebebiyle: İnsan Kaynakları sürecinin ve kalite yönetiminin etkin gerçekleştirilebilmesi, iş sağlığı ve güvenliğinin sağlanması, özlük dosyalarının oluşturulması, resmi mercilere yasal bildirim yükümlülüklerinin yerine getirilebilmesi, kurumsal eğitimler, ücret ve hak edişlerin ödenebilmesi başta olmak üzere iş akdinden kaynaklı yasal mevzuatın ve mali yükümlülüklerin yerine getirilebilmesi ve veri sorumlusunun denetim-gözetim yükümlülüğü başta olmak üzere meşru menfaati amacıyla elektronik ortamda ve özlük dosyasında; çalışanların kimlik, özlük, iletişim, sağlık, mesleki deneyim, finans, hukuki işlem, fiziksel mekan güvenliği, görsel ve işitsel kayıtlar, işlem güvenliği verileri, ceza mahkumiyeti ve güvenlik tedbirlerine dair verileri ile çalışan adaylarının kimlik, mesleki deneyim, iletişim, işlem güvenliği verileri.
- Bir sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması, kanunlarda öngörülmüş olması ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması sebebiyle: Agi başta olmak üzere çalışanlar için yan haklar ve menfaatlerin temin edilebilmesi için çalışan eş ve çocuklarına ait kimlik bilgisi.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle: İdari koordinasyonun sağlanması için vekaleten yürütülen iş ve işlemlerin gerçekleştirilebilmesi ve vekaletnamelerin muhafaza edilmesi amacıyla idari personelin kimlik, iletişim verileri ile yönetim kurulunun imzasını gerektiren hukuki işlemler kapsamında üyelerin imza sirküsü kapsamındaki kimlik, iletişim verileri
- Kanunlarda öngörülmüş olması sebebiyle: MEB disiplin mevzuatının gereklerinin sağlanması amacıyla ve münhasıran disiplin kurallarının ihlali meydana geldiğinde tutanak altına alınabilmesi için münhasıran somut ihlale ilişkin olarak özlük dosyasında çalışanın kılık kıyafet bilgisi ve öğrenci dosyasında öğrencinin kılık-kıyafet bilgisi,
- Bir sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması ve veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle: Öğrenci kayıt sözleşmesi yapılması ve muhasebesel süreçlerin etkin yönetimi amacıyla elektronik ortamda ve kayıt formları ile ilgili kişilerin kimlik, iletişim, finans verileri, müşteri işlem verileri
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle: Hukuki, ticari iş güvenliğinin sağlanması ve faturalandırma süreçlerinin gerçekleştirilmesi amacıyla sözleşmesel ilişki içinde olunan firma yetkilisinin sözleşmede ve eklerinde yer alması ile elde edilen kimlik, iletişim, finans verileri, müşteri işlem verileri
- Bir sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması ve v eri sorumlusunun meşru menfaati sebebiyle: Satın alma süreçlerinin etkin ve hızlı gerçekleştirilebilmesi amacıyla teklif veren firma yetkilisinin teklif formundan elde edilen kimlik, iletişim, finans verileri, müşteri işlem verileri
- Açık rıza nedeniyle: Anlaşmalı kurumlardan çalışanlar ve velilere ve öğrencilere indirimli hizmet sağlanması amacıyla hizmetten faydalanmak isteyenin yazılı talebi üzerinden ilgili kişinin kimlik ve iletişim verileri
- Veri sorumlusunun meşru menfaati sebebiyle: Okulun tanıtım faaliyetlerinin gerçekleştirilmesi amacıyla tanıtım formları üzerinden kimlik, pazarlama verileri
- Veri sorumlusunun meşru menfaati sebebiyle: Okulun tanıtım faaliyetlerinin gerçekleştirilmesi amacıyla elektronik ortamda çalışanların, öğrencilerin, velilerin görsel ve işitsel kayıtları, mesleki deneyimleri, eğitim bilgileri.
- Veri sorumlusunun meşru menfaati sebebiyle: Verimlilik, itibar, memnuniyet ve kalite yönetimi amacıyla anketler, performans değerlendirme formları üzerinden velilerin, öğrencilerin, çalışanların kimlik, eğitim, mesleki deneyim verileri
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle: Okul ve Okul ile iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacıyla ilgili kişilerin ibraz ettikleri belgelerden hukuki işlem bilgisi
- Kanunlarda öngörülmüş olması sebebiyle: Kamu düzeni ve güvenliğinin sağlanması için kamera kaydı alınması başta olmak üzere fiziksel mekan güvenliği verileri ve internet sitesi ile kullanılan uygulamalar üzerindeki işlem güvenliği bilgileri
- Kanunlarda öngörülmüş olması sebebiyle: Okulun iş sağlığı ve güvenliğini sağlama ve geliştirmeye ilişkin yükümlülükleri kapsamında acil durum listelerinin oluşturulması ve iş sağlığı ve güvenliği tedbirlerinin alınması amacıyla iş sağlığı ve güvenliği belgeleri üzerinden kimlik, iletişim, mesleki deneyim ve sağlık verileri
- Veri sorumlusunun meşru menfaati sebebiyle: Kalite yönetiminin sağlanması amacıyla kalite standartları sınıflandırmasıyla elektronik ortamda hukuki işlem, kimlik, iletişim, özlük, finans, mesleki deneyim, müşteri işlem verileri
İŞLENEN KİŞİSEL VERİLERİN KİMLERE VE HANGİ AMAÇLA AKTARILABİLECEĞİ
Kişisel veriler, yukarıda belirtilen işleme amaçlarının yanında yine aynı amaçlarla ve aşağıdaki ilave amaçlarla ve belirtilen kişi veya kuruluşlara aktarılabilir:
- Yasal gerekliliklerin yerine getirilmesi amacıyla Milli Eğitim Bakanlığı,
- Teknolojik altyapı ve hizmetlerin hızlı ve etkin sunulabilmesine dönük k12,sınavza(edesis) ve eno4 otomasyon sistemi ve web sitesi için çözüm ortağı yazılım firması,
- Etkinliklerin planlanması ve etkin yönetimi için çözüm ortağı organizasyon ve tur şirketi ve sms hizmeti alınan firma,
- Eğitim-öğretim faaliyeti hakkında bilgilendirme yapılabilmesi için sms hizmeti alınan firması
- Yasal gerekliliklerin sağlanması, iş sağlığı ve güvenliği ile acil durum koordinasyonu amacıyla Sağlık Bakanlığı,
- Sportif ve sanatsal faaliyetlerin planlanması ve etkin yönetimi amacıyla Gençlik ve Spor Bakanlığı,
- Okulun hukuki güvenliği amacıyla ve sözleşmesel yükümlülüklerin sağlanması ve uyuşmazlıkların çözümü için hukuk bürosu, yasal zorunlu arabulucular ve uzlaştırmacılar, icra müdürlükleri, mahkemeler,
- Mali gerekliliklerin yerine getirilmesi amacıyla mali müşavirlik bürosu,
- Gezi organizasyonu için çözüm ortağı olan seyahat acentesi,
- Muhasebesel işlemlerin ve insan kaynakları süreçlerinin gerçekleştirilebilmesi amacıyla çözüm ortağı olan Türmob – Tesmer Eğitim ve Yayın Hizmetleri İşletmesi,
- Yasal bildirim yükümlülüklerinin yerine getirilmesi amacıyla Aile, Çalışma ve Sosyal Hizmetler Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Müdürlüğü, Mahkemeler, İşkur
- İş sağlığı ve güvenliğinin sağlanması amacıyla İş Sağlığı ve Güvenliği Uzmanı
- Muhasebe ve finans faaliyetlerinin ve vergisel süreçlerin gerçekleştirilip etkin yönetimi amacıyla ve ödeme süreçlerinin gerçekleştirilebilmesi ile yasal bildirim yükümlülükleri amacıyla bankalar, Maliye Bakanlığı
- Emeklilik süreçlerinin katılım zorunluluğundan ötürü takip ve koordinasyonu ile bireysel emeklilik işlemleri için bireysel emeklilik şirketleri,
- Yurtdışı gezisi ve çalışanın talebine istinaden vize alınması kapsamında konsolosluklar,
- Tanıtım faaliyetleri kapsamında çözüm ortağı ajanslar ile medya kuruluşları ile okulun sosyal medya hesapları
- İdari koordinasyon ve işlemlerin hızlı gerçekleştirilmesi ve sözleşmelerin imzalanması amacıyla noterler.
İŞBİRLİĞİ İÇİNDE OLUNAN YURTİÇİNDEKİ ÇÖZÜM ORTAKLARIMIZ İLE RESMİ MERCİLER
KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Online eğitim kapsamında veya eğitim hizmetinin sunumunda kullanılan yurtdışı kaynaklı Microsoft, Adobe, Watsap, Google ve Zoom başta olmak üzere (sayılanlara sınırlı olmayıp, eğitim hizmetinin sunumunun gerekleri kapsamında kullanımda olan ve lisanslı her türlü yurtdışı kaynaklı yazılım) yurtdışı kaynaklı yazılımlar kullanılmasının 6698 sayılı Kanun ve Kişisel Verileri Koruma Kurulu tarafından belirlenen kriterler çerçevesinde yazılımlara işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. Maddesi bakımından kişisel verilerin yurtdışına aktarımı kabul edilir ve bu hususta ilgili kişilerden açık rıza alınarak, gerekli teknik tedbirler de sağlanır. İşleme ve aktarım KVKK’nın m.5/2- c-ç-e-f şartlarına dayanır ve eğitim hizmetinin sunulması amacıyla elektronik ortamda işlenir ve aktarılır.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Bildirim’ e uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ile ilgili kişinin talebi veya bizzat Okul tarafından silinir, yok edilir veya anonim hale getirilir.
KİŞİSEL VERİ SAHİBİNİN HAKLARI
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi web sitesinde yer alan “Kişisel Veri Bilgi ve Talep Formu” nu doldurup ya da danışmadan fiziki olarak alınıp doldurularak; aşağıda yer alan Okul adresine elden imzalı olarak teslim ederek, noter kanalıyla göndererek, elden teslimde ıslak imza ile yahut şahsınıza ait güvenli elektronik imza ile imzalanmış bir e-posta ile göndererek yahut yine güvenli elektronik imza ile imzalanmış “Word veya PDF” uzantılı dosyayı aşağıdaki kep adreslerine e-posta ile göndermeniz halinde; Envar Eğitim Kurumları talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin bedelsiz yasal gereklilikler hariç ayrıca bir maliyeti gerektirmesi hâlinde, Envar Eğitim Kurumları tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınabilecektir. Bu kapsamda kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- 6698 sayılı Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
Anaokulu-İlkokul-Ortaokul adres: Meydan Kavağı Mah. Perge Bulvarı 1601 Sk. No:28 Muratpaşa/Antalya/Türkiye,
Anadolu ve Fen Lisesi adres: Hüsnü Karakaş Mah. Şehit Ast. Ömer Halisdemir Cad. No:41 Kepez/Antalya/Türkiye
info@andeva.com
ozelenvar.anaokulu@hs01.kep.tr
ozelenvar.ilkokulu@hs01.kep.tr
ozelenvar.ortaokulu@hs01.kep.tr
ozelenvar.anadolulisesi@hs01.kep.tr
ozelenvar.fenlisesi@hs01.kep.tr
Andeva Özel Eğitim İnşaat ve Özel Sağlık Hizmetleri Ticaret A.Ş. Kişisel Verileri Saklama ve İmha Politikası (“Politika”)
1.BÖLÜM: GİRİŞ
Amaç ve Kapsam
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), veri sorumlusu sıfatıyla Andeva Özel Eğitim İnşaat ve Özel Sağlık Hizmetleri Ticaret A.Ş. (“Şirket”/ “Veri Sorumlusu”) tarafından 6698 sayılı Kanun ve buna bağlı mevzuat gereği ve özellikle KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK gereklilikleri doğrultusunda, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda Politika; sorumluluk ve görev dağılımları, kayıt ortamları, saklama ve imha süreçleri, teknik ve idari tedbirler, imha teknikleri, saklama ve imha süreleri ile yürürlük ve güncellemeye ilişkin düzenlemeleri içerir.
İşbu Politika’nın VERBİS beyanı ile çelişmesi ya da Politika’da eksik bir husus bulunması durumunda VERBİS beyanı esas alınır ve Politika ivedilikle VERBİS beyanına göre güncellenir.
Kısaltmalar ve Tanımlar
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : Bir iş akdiyle veri sorumlusuna bağlı olarak çalışan personel.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Veri sorumlusunun iş organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun/KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri : Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul : Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Periyodik Olmayan İmha: İmhanın periyodik imha dışında saklama süresi biten kişisel verilerin imha edilmesi suretiyle gerçekleştirilmesi
Politika : Kişisel Verileri Saklama ve İmha Politikası
Muhatap veri sorumlusu: Alıcı grubu içinde veri sorumlusundan veri sorumlusuna aktarım yapıldığı hallerde, Şirket’in ilişki kapsamında veri aktardığı muhatap veri sorumlusu.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi sıfatıyla Andeva Özel Eğitim İnşaat ve Özel Sağlık Hizmetleri Ticaret A.Ş.’yi
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Çalışanların Özel Sorumluluğu: Çalışanların iş akdi kapsamında görevlerini ifa ederken kişisel verileri koruması bakımından Politika kapsamında belirlenen ve işverenlikçe özelleştirilmiş disiplinel ve/veya Politika’daki kriterlerin varlığı halinde hukuki sorumluluk.
KVKK sorumlusu personeller: Politikanın ve mevzuatın veri sorumlusu nezdinde uygulanma ve güncellemesinden sorumlu olan idari çalışanlar ve/veya yöneticiler
KVKK Heyeti: Politikanın ve mevzuatın veri sorumlusu nezdinde uygulanma ve güncellemesinden sorumlu olan idari çalışanlar ve/veya yöneticilerin heyet halinde takip ve koordinasyonu ile aldığı kararlar
BÖLÜM: SORUMLULUK VE GÖREV DAĞILIMLARI
1) Çalışanların Özel Sorumluluğunun Kapsamı
Veri sorumlusunun tüm çalışanları görevlerini yerine getirirken; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak zorundadır.
Çalışanlar katıldıkları eğitim/ler sonucu ve kendilerine yapılan sözlü ve yazılı bildirimler çerçevesinde gerekli her türlü teknik ve idari tedbire uymak ve bu tedbirlerin uygulanmasında yaşanan en hafif düzeydeki herhangi bir ihmal ya da ihlali yöneticisine derhal ve yazılı olarak bildirmek zorundadır. İşyerinde planlı ya da plansız denetimler neticesinde ya da herhangi bir sebeple kişisel verilerin korunması bakımından çalışanın ihmal veya ihlalinin tespit edilmesi halinde iki tanık eşliğinde tutanak tutulur ve çalışanın özlük dosyasına işlenir.
Çalışanlar iş ilişkisi kapsamında doğrudan ya da dolaylı olarak öğrendikleri ya da kendisinin zilyetliğine bırakılmış elektronik ya da elektronik olmayan kayıt ortamında bulunan kişisel verileri özlük dosyalarında yer alan taahhütnameye ve 6698 sayılı Kanun hükümleri ile ikincil mevzuata aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşbu madde kapsamında iş hukuku mevzuatından kaynaklanan düzenlemeler ile adli veya cezai gereklilikler ve idari disiplin hükümleri saklıdır.
2) Çalışanların Özel Sorumluluğu Bakımından Yaptırımlar
Çalışanların yukarıdaki özel sorumluluğu bakımından, çalışanın ihmali herhangi bir ihlale sebebiyet vermediyse; iki tanık imzasıyla düzenlenmiş tutanağa istinaden veri sorumlusu tarafından yürürlükteki İş Kanunu başta olmak üzere iş ilişkisini düzenleyen mevzuata göre çalışana disiplin işlemi uygulanır. Sürecin takip ve koordinasyonu İnsan Kaynakları Direktörlüğü tarafından yapılır ve disiplin yaptırımı olarak belirlenen husus yahut varsa başkaca hukuki sonuç çalışana tebliğ edilir. Bu hususta İş Kanunu’ndaki disiplin yaptırımları esas alınır.
Ayrıca denetimler sonucunda iki defa uyarı almış çalışanın iş ilişkisi, işverenlik tarafından mutlaka gözden geçirilerek İş Kanunu ve ilgili mevzuat çerçevesinde iş akdinin feshedilip edilmeyeceğine süresi içinde karar verilir ve çalışana tebliğ edilir. Bu durum geçerli sebeple fesih oluşturur.
İşverenlik tarafından eğitim verilmiş olmasına rağmen; kişisel verilerin korunması bakımından çalışanın fiili ya da herhangi bir eylemde bulunmaması ile gerçekleşen en hafif düzeydeki ihmalin, herhangi bir ihlale sebebiyet vermesi halin gereklerine göre mümkün ya da mevcut ise, yürürlükteki iş mevzuatının sair hükümleri saklı kalmak kaydıyla, bu fiil ya da eylemsizlik hali tek başına İş Kanunu madde 25/II kapsamında İşçinin Doğruluk ve Bağlılığa Uymayan Davranış nedeniyle iş akdinin işverenlikçe haklı ve bildirimsiz feshine karine teşkil eder. Somut halin gereklerine göre sair haklı sebeple fesih nedenleri saklıdır.
Çalışanların özel sorumluluğu kapsamındaki herhangi bir ihmalin ya da ihlalin Kurul’a bildirilmeyi gerektirir nitelikte bir veri ihlali olması gerekmez.
İşverenliğin, ihlal neticesinde doğmuş bir zararı kusur oranında çalışana rücu hakkı vardır.
Yukarıdaki tüm hususlar bakımından İş Kanunu’nun ve ilgili mevzuatın sair hükümleri saklıdır.
3) Saklama ve İmha Süreçleri Görev Dağılımı
KVKK sorumlusu personeller aşağıdaki gibidir.
Kalite Yönetimi Direktörü: Veri Envanteri, Aydınlatma Bildirimleri ve Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi Teknolojileri Direktörü: Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
İnsan Kaynakları Direktörü: Politika kapsamında çalışanların sorumluluğundan ve eğitimlerinden sorumludur. Çalışanların politikaya uygun hareket etmesinden sorumludur.
Arşiv Direktörü: Politika kapsamında imha süreçlerinden sorumludur.
Diğer direktörler/müdürler: Görevlerine uygun olarak Politikanın, direktörü/müdürü oldukları birim tarafından yürütülmesinden sorumludur.
3.BÖLÜM: KAYIT ORTAMLARI
Elektronik ortamlar: Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, portal, İÇ YAZILIMLAR.) ü Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) ü Kişisel bilgisayarlar (Masaüstü, dizüstü) ü Mobil cihazlar (telefon, tablet vb.) ü Optik diskler (CD, DVD vb.) ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ü Yazıcı, tarayıcı, fotokopi makinesi
Elektronik olmayan ortamlar: Kağıt ü Manuel veri kayıt sistemleri (anket formları, başvuru formları, eğitim formları, bilgi formları) ü Yazılı, basılı, görsel ortamlar (Okul içi doldurulabilir sair evraklar)
4.BÖLÜM: SAKLAMA VE İMHA SÜREÇLERİ
Veri sorumlusu tarafından;
Kimlik, İletişim , Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği , Risk Yönetimi, Finans , Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık Bilgileri, Ceza Mahkumiyeti ve Güvenlik Tedbirleri, Diğer-Ölçme ve Değerlendirme Sonuçları kategorilerinde kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. Kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. Veri kategorileriningüncel hali ile VERBİS beyanında çelişki yaşanması halinde, VERBİS beyanında belirtilen esas alınır.
Saklamayı Gerektiren Hukuki ve Teknik Sebepler
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
- Kişinin açık rızasının varlığı, başta olmak üzere mevzuattan kaynaklanan sair hukuki ve teknik sebeplerle işlenir ve saklanır.
Saklamayı Gerektiren İşleme Amaçları
Saklamayı gerektiren işleme amaçları aşağıdaki gibi olup, yukarıda belirtilen veri kategorileri bakımından her biri için amaçlar VERBİS üzerinden beyan edilir.
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans Ve Muhasebe İşlerinin Yürütülmesi
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel Mekan Güvenliğinin Temini
- Görevlendirme Süreçlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- Organizasyon Ve Etkinlik Yönetimi
- Pazarlama Analiz Çalışmalarının Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Sponsorluk Faaliyetlerinin Yürütülmesi
- Stratejik Planlama Faaliyetlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Taşınır Mal Ve Kaynakların Güvenliğinin Temini
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Ücret Politikasının Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
- Yatırım Süreçlerinin Yürütülmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Yönetim Faaliyetlerinin Yürütülmesi
- Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
- Diğer
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi,
- İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile veri sorumlusuna yapılan başvurunun reddi, yetersizliği veya Kanunda öngörülen süre içinde cevap verilmemesi gerekçeleriyle; Kurul tarafından başvurudaki mezkur talebin uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,
veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Saklamayı gerektiren herhangi bir sebebin varlığı halinde, imha sebebi olsa bile imha gerçekleşmez.
- BÖLÜM: TEKNİK VE İDARİ TEDBİRLER
Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Şifreleme yapılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
İdari Tedbirler
Veri sorumlusu tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim gerçekleştirilmektedir.
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve mevzuat hakkında eğitimler verilmektedir.
- Çalışanların iş akdinde gizlilik hükümleri, özlük dosyalarında çalışanların kişisel verilerine ilişkin muvafakatname, çalışanların iş akdi çerçevesindeki görev ve sorumlulukları bakımından ise kişisel verilerin korunmasına ilişkin taahhütnameleri mevcuttur.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü işbu Politika’da çalışanların özel sorumluluğu kapsamında belirlenmiştir.
- Kişisel veri işlemeye başlamadan önce veri sorumlusu tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Veri sorumlusunun işyerlerinde periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir
- BÖLÜM: İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, veri sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Silme, Yok Etme veya Anonim Hale GetirmeSunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
İstatistiki veriler ve birim bazlı performans ölçümleri başta olmak üzere; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir. Talep veya kanuni gereklilik halinde de anonimleştirme yapılır.
- BÖLÜM: SAKLAMA VE İMHA SÜRELERİ
- Veri bazlı saklama ve imha süreleri
Sürelerin güncel hali ile VERBİS beyanında çelişki yaşanması halinde, VERBİS beyanında belirtilen esas alınır.
1-Kimlik 10 Yıl
2-İletişim 10 Yıl
3-Özlük 10 Yıl
4-Hukuki İşlem 10 yıl
5-Müşteri İşlem 5 yıl
6-Fiziksel Mekan Güvenliği 1 ay
7-İşlem Güvenliği 2 yıl
8-Risk Yönetimi 10 yıl
9-Finans 10 Yıl
10-Mesleki Deneyim 10 Yıl
11-Pazarlama 2 Yıl
12-Görsel Ve İşitsel Kayıtlar 10 Yıl
13-Sağlık Bilgileri 15 Yıl
14-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri 10 Yıl
15-Diğer Bilgiler-ölçme değerlendirme sonuçları 10 yıl
Periyodik saklama ve imha süreleriYönetmeliğin 11 inci maddesi gereğince veri sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, veri sorumlusu tarafından her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
- BÖLÜM: POLİTİKANIN YAYINLANMASI VE GÜNCELLENMESİ
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Kalite Yönetimi Direktörlüğü’nde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
- BÖLÜM: YÜRÜRLÜK VE YÜRÜRLÜKTEN KALDIRMA SÜRECİ
Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Kalite Direktörlüğü’nde saklanır.