KVVK İşlenmesi Korunması Saklanması

EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ ÇEREZ POLİTİKASI

KİŞİSEL VERİLERİN İŞLENMESİ KORUNMASI SAKLANMASI VE İMHA POLİTİKASI

İçindekiler

1. GİRİŞ 

2. AMAÇ VE KAPSAM 

3. POLİTİKANIN YÜRÜRLÜĞÜ 

4. TANIMLAR

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

5.1. Kişisel Verilerin İşlenmesindeki Genel İlkeler

5.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Olunması

5.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

5.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

5.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

5.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

5.1.6. Kişisel Verileri İşleme Amaçları

5.2. Kişisel Verilerin Kategorizasyonu

5.3. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

5.4. Kişisel Verinin Aktarılması

5.4.1. Kişisel Verinin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

5.5. Aydınlatma Yükümlülüğü

6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI 9

6.1. Teknik Tedbirler

6.2. İdari Tedbirler

6.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

7. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ 11

7.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

7.2. Kişisel Veri Sahibinin Haklarını Kullanması

8.DERNEK TESİSİ, BİNA GİRİŞLERİ İLE BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

9. DERNEK BİNASINDA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ

10. DERNEK TESİSLERİNDE ZİYARETÇİLERE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI

11. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

12. DERNEK KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

13 .GÜNCELLEME VE DEĞİŞİKLİKLER

1. GİRİŞ

EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ (kısaca “ESSİAD”), TBMM tarafından, 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Kanunu ve bu kanunun uygulamasına yönelik diğer düzenlemelere tam uyumun sağlanması için gerekli  olan hassasiyeti en üst düzeyde göstermekte olup konunun toplum üzerindeki etkilerini de dikkate alarak hareket etmektedir. 

Bu Kanun nezdinde Veri Sorumlusu sıfatına haiz ESSİAD nezdinde işlenen Kişisel Verilerin işlenmesinden imhasına kadar olan süreçlerin düzenlendiği bu Politika’yı hazırlamıştır.   

Bu Politika’da kişisel verilerin işlenmesi süreçleri için EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ’nin benimsediği, aşağıda belirtilen temel prensipler açıklanmaktadır; 

• Kişisel verilerin rıza kapsamında işlenmesi,
• Kişisel verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
• Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
• Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
• Kişisel veri sahiplerinin haklarını kullanması için gerekli altyapıyı oluşturma, Kişisel verilerin korunması için gerekli tedbirleri alma,
• Kişisel verilerin işleme amaçlarının tespit ve uygulamasında, üçüncü kişilere aktarılması/paylaşılmasında, ilgili mevzuata ve KVK Kurulu    düzenlemelerine uygun davranma,
• Özel nitelikli kişisel verilerin işleme ve koruma hususlarının özel olarak düzenlenmesi

2. AMAÇ VE KAPSAM

Kanun kapsamında kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar düzenlenmiştir.

Söz konusu düzenleme dikkate alınarak hazırlanan işbu EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, kişisel verilerin korunması hakkındaki düzenlemelere ilişkin yükümlülüklere uyumun sağlanması, ESSİAD’ın gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, stratejilerin, dernek içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile kişisel veri sahiplerinin ve İZBAŞ çalışanlarının bilinçlendirilmesidir.

İşbu Politika, dernek içinde değerlendirilir ve uygulanır. Bu kapsamda işbu Politika’nın kapsamını ESSİAD Üye, Ziyaretçi, yetkili ve çalışanlarından, ESSİAD Çalışan Adayı, Çalışan Yakınları, Çalışanlarının kişisel verilerinin korunması ve işlenmesi oluşturulmaktadır.

İşbu Politika çerçevesinde ESSİAD bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ile ilgili prosedürler belirlenir. Söz konusu prosedürlerin hazırlanması, koşullara uygun olarak değiştirilmesi ve uygulamaya konulması EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ Yönetim Kurulu’nun yetkilendireceği birimin yetki ve sorumluluğundadır. ESSİAD bünyesindeki tüm yetkililer görevlerini yerine getirirken işbu Politika’ya ve ilgili tüm mevzuata riayet etmekle yükümlüdür.

3.POLİTİKANIN YÜRÜRLÜĞÜ 

Bu Politika EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ’nin internet sitesinde (sogutmadunyasi.com.tr) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

4. TANIMLAR

İşbu Politika’da içerik aksini gerektirmedikçe:

“Açık Rıza”	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,
“Anayasa”	Türkiye Cumhuriyeti Anayasası
“Dernek”	EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ
“Kişisel Veri”	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (örn. Ad-soyad, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası – Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir).
“Kişisel Veri Sahibi”	Kişisel verisi işlenen gerçek kişi
“Kişisel Verilerin İşlenmesi”	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,
“Özel Nitelikli Kişisel Veri”	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,
“Veri Sorumlusu”	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi,

anlamına gelmektedir.

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

5.1. Kişisel Verilerin İşlenmesindeki Genel İlkeler 

ESSİAD, Anayasa’nın 20. maddesine ve Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun; doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Dernek kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir. İZBAŞ, ESSİAD Üye, Ziyaretçi, yetkili ve çalışanlarından, ESSİAD Çalışan Adayı, Çalışan Yakınları, Çalışanlarına ait kişisel bilgileri; (kimlik bilgileri – Ad Soyad, Doğum Tarihi, T.C. Kimlik No, Nüfus Cüzdanı Seri No,  Medeni Hali, Anne Baba Adı, İmza, Pasaport No,  Aile Bireylerinin Adı Soyadı, Yakınlık Derecesi, Doğum yeri, Öğrenim Durumu, Cinsiyeti, Uyruğu; Sağlık Bilgileri – Kimlikte Yer Alan Kan Grubu Bilgisi, Engellilik Durumu, Kişisel Sağlık Bilgileri; Özlük Bilgileri – Özgeçmiş Bilgileri, Bordro Bilgileri, Eğitim Öğrenim Bilgileri, İşe Giriş Çıkış Belgesi Kayıtları, İzin Bilgisi, Performans Değerlendirme Raporları; İletişim Bilgileri – Telefon No, İletişim Adresi, E-Posta Adresi, Adres No,  Aile Bireylerinin Adresi, Numarası; Mesleki Deneyim – Diploma Bilgileri, Meslek İçi Eğitim Bilgileri, Sertifikalar, Gidilen Kurslar; Fiziksel Mekan Güvenliği – Kamera Kayıtları; İşlem Güvenliği – IP Adresi Bilgileri, İnternet Sitesi Giriş Çıkış Bilgileri, Şifre ve Parola,  Çerezler; Üye İşlem Bilgileri – Sipariş Bilgisi, Talep Bilgisi; Finansal Bilgiler -Banka Bilgileri, Iban Bilgisi, Bilanço Bilgileri, Çek Bilgileri, Fatura, Finansal Performans, Kredi ve Risk Bilgileri, Senet gibi kişisel verileri) işlenmekte ve bu verileri işlerken, burada sayılan kişisel veri sahiplerinin EGE SOĞUTMA SANAYİCİLERİ İŞ ADAMLARI DERNEĞİ hizmetlerinden etkin yararlanabilmesi ve hizmet çeşitliliğinin geliştirilebilmesi ile Üye alımı, çalışan istihdamı, İşe alım süreci, Maaş Ödemeleri, Mal/hizmet tedariki, Üye geri bildirimi alınması, Üye iletişimin sağlanması, Özlük dosyası oluşturma, Pasavan İşlemleri, Taşeron Çalışan Özlük Dosyası Oluşturma, Teknik risklerin yönetilmesi, Ticari risk analizi, Dernek çatısı altında satın alma, satış, hizmet sunumu, kiralama faaliyetleri çerçevesinde işlemektedir.

Dernek, Kanunu’nun 10. maddesine uygun olarak veri sahiplerini aydınlatmaktadır ve rıza alınması gereken durumlarda veri sahiplerinden rızalarını talep etmekte; bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.

5.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Olunması

Dernek, basiretli bir tacir olarak, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile hukuka ve dürüstlük kuralına uygun hareket etmektedir.

5.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

 Kişisel verilerin doğru ve güncel bir şekilde tutulması, Dernek açısından ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Derneğin aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Dernek tarafından veri sahibi olan ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açıktır.

5.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Dernek, meşru ve hukuka uygun olan kişisel veri işleme amaçlarını açık ve kesin olarak belirlenmektedir. Bu kapsamda kişisel veriler, Dernek tarafından sunulmakta ya da sunulacak ürün ve/veya hizmetler ve yasal yükümlülükleri ile sınırlı olarak işlenmektedir. Bu kapsamda, kişisel verilerin hangi amaçlarla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

5.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Dernek, kişisel verileri belirlenen amaçların gerçekleştirilmesine elverişli bir biçimde işlemekte ve söz konusu amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu doğrultuda kişisel verilerin işlenmesi faaliyetler ve yasal yükümlülükler ile sınırlıdır.

5.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme 

Dernek, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir.

5.1.6. Kişisel Verileri İşleme Amaçları

ESSİAD, KVKK’nın 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Bu doğrultuda Kişisel Verileri İşleme Amacı kategorizasyonu aşağıdaki tabloda gösterilmektedir; 

İşleme Amacı Kategorizasyonu	Açıklama
Üye alım faaliyetlerinin Yürütülmesi,  Dernek Faaliyetlerinin Yürütülmesi / Denetimi , Üyelik Hizmeti Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması, Üyelik Hizmeti Süreçlerinin Yürütülmesi,  Destek Hizmetlerinin Yürütülmesi,  Üyelik Sözleşmesi Süreçlerinin Yürütülmesi	Kuruluş ve Faaliyet amaçlarına uygun olarak PORTAL üzerinde Hizmetlerin sunulması temel olmak üzere Portal çatısı altında satın alma, satış, hizmet sunumu, kiralama işlemlerine bağlı iş süreçlerinin planlanması ve yürütülmesi, Dernek Üye İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Sözleşme Süreçlerinin Yürütülmesi, Derneğin ticari, finansal ve/veya iş stratejilerinin planlanması ve/veya icrası,  Derneğin ve Dernek ile iş ilişkisi içerisinde olan kişi ve kuruluşların ticari, hukuki veya teknik güvenliği ile iş sürekliliğinin temini,
Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi,  Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,  Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi,  Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,  Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi Eğitim Faaliyetlerinin Yürütülmesi, Görevlendirme Süreçlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, Ücret Politikasının Yürütülmesi,  Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi,	Derneğin İnsan Kaynakları/İstihdam Politikalarının yürütülmesi,  İşe Alım ve İstihdam süreçlerinin planlanması ve yürütülmesi,
İletişim Faaliyetlerinin Yürütülmesi,  Üye İlişkileri Yönetimi Süreçlerinin Yürütülmesi,  Talep/Şikayetlerin Takibi,	Hizmetlerin sunulması ile ilgili bilgilendirmeler başta olmak üzere iletişim faaliyetlerinin yürütülmesi, Talep ve şikayetlerin takibi, Sunulan hizmetlerin kalitesinin artırılması,
Acil Durum Yönetimi Süreçlerinin Yürütülmesi,  Bilgi Güvenliği Süreçlerinin Yürütülmesi, Denetim/Etik Faaliyetlerinin Yürütülmesi,  İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,	Acil Durum Yönetimi Süreçlerinin Yürütülmesi,  Bilgi Güvenliği Süreçlerinin Yürütülmesi Denetim/Etik Faaliyetlerinin Yürütülmesi
Fiziksel Mekân Güvenliğinin Temini, Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Ziyaretçi Kayıtlarının Oluşturulması ve Takibi	Kamera Kaydı ile Fiziksel Mekân Güvenliğinin Temini,  Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
Faaliyetlerin Mevzuata Uygun Yürütülmesi, Yetkili Kişi, Dernek Ve Kuruluşlara Bilgi Verilmesi,   Saklama ve Arşiv Faaliyetlerinin Yürütülmesi,	Faaliyetlerin Mevzuata Uygun Yürütülmesi,  Yetkili kişi, dernek ve kuruluşlara kanundan kaynaklanan yükümlülüklerin icrası için bilgi verilmesi

Diğer taraftan Kanun’un 6.maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Dernek tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Dernek tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Dernek bünyesinde gerekli denetimler sağlanmaktadır.

Bu kapsamda, Dernek bünyesinde çalışanların iş sağlığı hükümleri ereğince sağlık  verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personel işyeri hekimi olarak belirlenmiştir. Sağlık verisi dışında sabıka kaydı gibi özel nitelikli veriler ise sadece erişim yetkisi olan personel tarafından tutulmakta ve bu personel gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.

Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece işyeri hekiminin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine işyeri hekimi dışında hiçbir birim erişememektedir.

5.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kaldırılması halinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine Derneğimiz tarafından silinir, yok edilir veya anonim hale getirilir. Dernek bu konuda yönetmelik hükümlerine göre bir Politika oluşturulup ve bu Politika uyarınca verinin niteliğine göre imha yapılacaktır. Bu yönetmelik uyarınca Dernek tarafından periyodik imha tarihleri belirlenip, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim ve prosedür oluşturulacaktır.

Kişisel Veriler’in silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre Kişisel Veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Veriler’in yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, Kişisel Veriler’in başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir. 

5.3. Kişisel Verinin Aktarılması

Derneğimiz tarafından kişisel veriler ve özel nitelikli kişisel veriler kişisel veri sahibinin açık rızasına dayalı olarak veya Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemleri almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen amaç ve şartlar kapsamında yurtiçine aktarılmaktadır.

Dernek tarafından; KVK Kurulu’nca yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere kişisel veriler paylaşacak olursa, paylaşım sebepleri aşağıda açıklanmıştır:

• Kanunlarda kişisel verinin paylaşılabileceğine ilişkin açık bir düzenleme var ise,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin paylaşılması gerekli ise,
• Dernek’un hukuki yükümlülüğünü yerine getirmesi için kişisel veri paylaşımı zorunlu i se,
• Kişisel veri paylaşımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Dernek’un meşru menfaatleri için kişisel veri paylaşımı zorunlu ise.

5.3.1. Kişisel Verinin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları 

Dernek, Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.

Dernek, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri       sahiplerinin kişisel verilerini, Hukuken yetkili kamu dernek ve kuruluşlarına, İlgili kamu/özel dernek ve kuruluşların hukuki yetkisi dâhilinde ve hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması ve ilgili kişi için hizmet sunulması amaçları ile sınırlı olarak aktarılmaktadır.

5.4. Aydınlatma Yükümlülüğü

Anayasa’da herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanunun 11’inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Derneğimiz bu kapsamda, Kanun’un 10’uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine Derneğimiz un kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve Kanunun 11’inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır.

Yanı sıra Derneğimiz  kişisel veri sahipleri ile ilgililere işbu Politika başta olmak üzere çeşitli kamuoyuna açık dokümanlarla veri işleme faaliyetlerini ilgili mevzuata uygun şekilde gerçekleştirdiğini duyurarak, kişisel veri işleme faaliyetlerinde ilgililere bilgilendirmeyi ve şeffaflığı sağlamaktadır.

6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Derneğimiz  veri güvenliğinin sağlanması konusunda azami dikkat ve özeni göstermekte olup iş bu kapsamda Kanun’un 12’inci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik aşağıda belirtilen hususlar ile ilgili gerekli tedbirler alınmaktadır.

• Dernek:
• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye,
• Kişisel verilerin hukuka aykırı olarak erişilmesini önlemeye,
• Kişisel verilerin muhafazasının sağlanması

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını temin eder.

• Dernek, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, yukarıda birinci maddede belirtilen tedbirlerin alınması hususunda bu kişilerle ve Dernek Yasal sınırları içerisinde sorumludurlar.
• Dernek, İç Denetim tarafından, Kanun hükümlerinin uygulanmasını sağlamak amacıyla    gerekli denetimlerin yapılmasını sağlar.
• Dernek bünyesinde çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
• Dernek bünyesinde çalışanları ve/veya görevleri dolayısıyla kişisel bilgileri öğrenen kişiler bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine aykırı olarak başkasına açıklamamakta ve işleme amacı dışında kullanamamaktadır. Bu yükümlülükler görevden ayrılmalarından sonra da devam eder.
• Derneğimiz  tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanması için gerekli özen ve yükümlükle hareket edilmektedir.
• Derneğimiz , kişisel verilerin güvenli ortamda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önleme için teknolojik imkânlar ve  uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
• İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bahse konu durum en kısa sürede ilgilisine ve KVK Kurulu’na bildirilir. Ayrıca KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilir.

6.1. Teknik Tedbirler

Dernek tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik  tedbirler aşağıda sıralanmaktadır:

• Yeni Teknolojik gelişmelere takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
• Her bir departman özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
• Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski  çalışanlara erişim kısıtlaması uygulanmakta, hesaplar kapatılmaktadır.
• Dernek içi işleyiş gereğince alınan teknik önlemler ilgili kullanıcılara raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
• Virüs koruma sistemleri, firewall, Veri Açığı güvenlikleri ve güvenlik duvarlarını içeren  yazılımlar ve donanımlar kurulmaktadır.
• Teknik konularda bilgili personel istihdam edilmektedir.
• Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için uygulamalar düzenli olarak dış etki testine tabi tutulmakta ve bu testin sonuçlarına göre  bulunan açıkların kapatılması sağlanmaktadır.

6.2. İdari Tedbirler

Dernek tarafından kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca idari  tedbirler aşağıda sıralanmaktadır:

• Çalışanlar, şube ve markalara ait servislerde özellikle kişisel veri işleyen ilgili kullanıcılar ve tüm personel, kişisel verilere hukuka aykırı erişimi engellemek için alınacak idari tedbirler konusunda eğitilmektedir.
• Departman bazında kişisel veri işlenme süreçleri dikkate alınarak hukuki uyum dernek içinde kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır.
• Dernek ile çalışanlar arasında imzalanan sözleşmelerde hukuka uygun kişisel veri işleme faaliyetinin kapsamı anlatılmakta ve bu hususlara uygun davranılacağına dair taahhütler bulunmaktadır.
• Dernek tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını  sağlayacağına ilişkin hükümler eklenmektedir.

6.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Dernek, bünyesinde Kişisel Veri Gizlilik Yöneticisi bulunmaktadır. Kişisel Veri Gizlilik Yönetici veri sorumlusu olan Dernek, adına Kanunun 12. Maddesinden kaynaklanan görevi gereği kendi dernek veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller olumsuzluklar ve uygunsuzluklar yönetim kuruluna bildirilmekte ve yönetim kurulu bu hususlar nezdinde gereken tedbirleri almaktadır. Dernek tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelerde; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

7. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini Derneğimize iletmeleri durumunda, talepler niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılmaktadır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Derneğimiz tarafından KVK Kurulu’nca veya diğer otoritelerce belirlenen tarifedeki ücretler alınacaktır.

Bu kapsamda veri sahipleri taleplerini yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle Derneğimiz a iletebileceklerdir.

Kişisel veri sahipleri:

• Kişisel verilerinin işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmiş ise buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığı öğrenme,
• Yurtiçinde/yurtdışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerinin münhasır otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme ve
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme

haklarına sahiptir.

7.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, bu konularda diğer haklarını ileri süremezler:

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama  ve istatistik gibi amaçlarla işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmişkamu dernek ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, diğer haklarını ileri süremezler:

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
• Kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu dernek ve kuruluşları ile kamu derneku niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

7.2. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri bu Politika’da belirtilen haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Derneğimize ücretsiz olarak iletebileceklerdir: Bu konuda kapsamlı düzenleme Kişisel Veri Sahibi Başvuru Prosedürü içerisinde yapılmıştır.

• “www.sogutmadunyasi.com” adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya yazılı olarak posta aracılığı ile Anadolu Caddesi No: 40 Tepekule İş Merkezi, Kat: 2/208 Bayraklı – İZMİR adresine iletilmesi
• “www.sogutmadunyasi.com” adresinde bulunan formun doldurulup yasal mevzuata uygun “güvenli elektronik imza” ile imzalandıktan sonra güvenli elektronik imzalı formun essiadii@hs01.kep.tr adresine kayıtlı elektronik posta ile Dernek daha önce bildirilen ve Dernek sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla başvuru yapılması
• “www.sogutmadunyasi.com” adresinde bulunan formun doldurulup kimlik belgesi ile birlikte şahsi başvuru yapılması

8. DERNEK TESİSİ, BİNA GİRİŞLERİ İLE BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ 

Dernek tarafından güvenliğin sağlanması amacıyla, Dernek binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Dernek tarafından kişisel veri işleme faaliyeti yapılmaktadır.

Dernek, güvenlik kamerası ile izleme faaliyeti kapsamında; Derneğin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Dernek tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için  gerekli teknik ve idari tedbirler alınmaktadır.

9. DERNEK BİNASINDA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ 

Dernek tarafından; güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla, Dernek binalarında ve Dernek tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Dernek binasına gelen kişilerin kimlik verileri elde edilirken ya da Dernek nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

10. DERNEK TESİSLERİNDE İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI 

Dernek tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla;  Dernek tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu dernek ve kuruluşları tarafından talep edilmesi halinde veya Dernek içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

11. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Dernek, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Derneğin o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak Derneğin uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta daha sonra verinin niteliği uyarınca Dernek tarafından oluşturulmuş ilgili Politika uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Derneğin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Derneğimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

12. DERNEK KİŞİSEL VERİLERİN KORUNMASI VE  İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ 

Dernek, işbu belge ile ortaya koyulan esasları; Dernek bünyesindeki diğer veri varlıklarına ilişkin Politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.

13. GÜNCELLEME VE DEĞİŞİKLİKLER 

Dernek, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar. İşbu politika ve diğer ilgili p

olitikalar/düzenlemeler yılda bir kez gözden geçirilerek güncellenir. 

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.