KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
A. Amaç ve Kapsam
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), Emko Eğitim Çözümleri ve Teknolojileri A.Ş. (“Emko”) tarafından, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) m.5/f.1 uyarınca hazırlanmıştır.
İşbu Politika ile kişisel verileri işlenen üçüncü kişilere yönelik kanuni bilgilendirmelerin yapılması, kişisel verilerin saklanma ve imhasına yönelik veri sorumlusu sıfatıyla Emko’nun yükümlülüklerinin belirlenmesi, şirket organizasyonu içerisinde ilgili kişilerin görev ve sorumluluklarının tanınması amacını taşımaktadır.
Emko, mevzuat değişikliği veya kişisel verilerin korunması ile ilgili daha yüksek derecede bir tedbirin alınması gibi sebepler işbu Politika üzerinde tek taraflı değişiklik yapabilir. İşbu Politika’da yapılabilecek her türlü değişiklik, aynı esaslar dâhilinde ilgililere bildirilecektir.
B. Envanter ile Uyumluluk
İşbu Politika, Emko tarafından çıkarılan Kişisel Verilerin İşlenmesi Envanteri’ne (“Envanter”) uygun olarak hazırlanmıştır. Politika ve Envanter birlikte uygulanır ve yorumlanır. İki metin arasında çelişki olması durumunda Envanter hükümleri geçerli kabul edilir.
C. Tanımlar
İşbu Politika’da ve Envanter’de aşağıda belirtilen ve büyük harf ile başlayan terimler, aşağıda verilen anlamlara haiz olacaklardır:
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
Kişisel Veri: Kimliği belirli ve belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu’nu,
Kurum: Kişisel Verileri Koruma Kurumu’nu,
Envanter: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Politika: Kişisel Verileri Saklama ve İmha Politikası’nı,
Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi,
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
D. Veri Sorumlusu
İşbu Politika ve Envanter kapsamında Veri Sorumlusu’nun bilgileri aşağıda verilmiştir:
Şirket Unvanı | Emko Eğitim Çözümleri ve Teknolojileri A.Ş. |
Adresi | Çakmaklı Mh. Hadımköy Yolu Cd. No:75 Büyükçekmece İstanbul |
Mersis No | 0334007845000015 |
Ticaret Sicil No | 336370-0 |
Resmi Web Adresi | https://www.ee.com.tr/ |
info@ee.com.tr | |
Telefon Numarası | +90 212 886 86 85 |
Veri sorumlusu sıfatıyla hareket eden Emko, KVKK’nın izin verdiği ölçüde ve ticari veya iş ilişkilerimiz kapsamında, açık rızanın temininin gerektiği hallerde ise İlgili Kişi’nin açık rızasına da başvurarak kişisel verileri işleyebilmekte, kaydedebilmekte, muhafaza edebilmekte, yeniden düzenleyebilmekte, yurtiçi veya yurtdışına aktarım sağlayabilmektedir.
Emko, KVKK’nın 12. maddesine uygun olarak, veri sorumlusu sıfatıyla işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
E. İlgili Kişiler
Emko tarafından kişisel verisi toplanan ve işlenen İlgili Kişi grupları aşağıda açıklanmaktadır:
- Emko’nun çalışanları, stajyerleri, çalışanların birinci derece yakınları, çalışan ve stajyer adayları
- Emko’nun hissedarları, imza yetkilileri ve temsilcileri,
- Emko ile ticari iş ilişkisine giren müşteri, taşeron, tedarikçi ve iş ortaklarının; imza yetkilisi, hissedarı, temsilcisi, danışmanı, çalışanı gibi gerçek kişiler,
- Emko işyerini ziyaret eden gerçek kişiler.
F. Veri Kategorileri
Emko tarafından İlgili Kişiler’in aşağıda belirtilen kategorilerde kişisel verileri işlenmektedir. Veri kategorisi İlgili Kişi’nin Emko ile arasındaki hukuki ve ticari ilişkiye göre değişkenlik gösterebilmektedir:
Kategorisi | Açıklama | Kişi Grupları |
Kimlik | ad/soyad, ana/baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, TC kimlik no v.b. | Ürün veya Hizmet Alan KişiTedarikçi Yetkilisi Stajyer Hissedar/Ortak Çalışan Çalışan Adayı |
İletişim | adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi(KEP), telefon no v.b. | Ürün veya Hizmet Alan KişiTedarikçi Yetkilisi Stajyer Hissedar/Ortak Çalışan Çalışan Adayı Çalışanların birinci derece yakınları |
Lokasyon | Bulunduğu yerin konum bilgileri v.b. | Çalışan |
Özlük | Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları v.b. | StajyerÇalışan Çalışan Adayı |
Hukuki İşlem | adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler v.b. | Ürün veya Hizmet Alan KişiTedarikçi Yetkilisi Stajyer Hissedar/Ortak Çalışan Çalışan Adayı |
Müşteri İşlem | Çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi v.b. | Ürün veya Hizmet Alan KişiTedarikçi Yetkilisi Tedarikçi Çalışanı |
Fiziksel Mekan Güvenliği | Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları v.b. | ZiyaretçiÜrün veya Hizmet Alan Kişi Tedarikçi Yetkilisi Tedarikçi Çalışanı Stajyer Potansiyel Ürün veya Hizmet Alıcısı Hissedar/Ortak Çalışan Çalışan Adayı |
İşlem Güvenliği | IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri v.b. | Ürün veya Hizmet Alan KişiTedarikçi Yetkilisi Hissedar/Ortak Çalışan |
Risk Yönetimi | ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b. | Ürün veya Hizmet Alan Kişi |
Finans | Bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri v.b. | Ürün veya Hizmet Alan KişiPotansiyel Ürün veya Hizmet Alıcısı Hissedar/Ortak Çalışan |
Mesleki Deneyim | Diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri v.b. | StajyerÇalışan Çalışan Adayı |
Görsel ve İşitsel Kayıtlar | Görsel ve işitsel kayıtlar v.b. | ZiyaretçiÜrün veya Hizmet Alan Kişi Tedarikçi Yetkilisi Tedarikçi Çalışanı Stajyer Potansiyel Ürün veya Hizmet Alıcısı Hissedar/Ortak Çalışan Çalışan Adayı |
Sağlık Bilgileri | Özel Nitelikli Kişisel Veri – engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri v.b. | StajyerÇalışan Çalışan Adayı |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri | Özel Nitelikli Kişisel Veri – ceza mahkumiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler v.b. | StajyerÇalışan Çalışan Adayı |
G. Kişisel Verilerin İşlenmesine İlişkin Esaslar
Emko tarafından kişisel verilerin işlenmesinde aşağıdaki esaslar dikkate alınır:
- Hukuka Ve Dürüstlük Kurallarına Uygun Olarak İşleme: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmektedir. Bu doğrultuda veri sorumlusu olarak Emko, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uymaktadır.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama:Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulamalıdır. Bu doğrultuda Emko, ilgili kişilerin verilerini güncellemesi için olanak sağlamakta ve verilerin veri tabanlarına doğru bir şekilde aktarımını temin için gerekli önemleri almaktadır.
- Belirli, Açık ve Meşru Amaçlarla İşleme: Veri sorumluları, KVKK kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda veri sorumlusu konumundaki Emko, veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmak ve söz konusu amaçlara ilişkin olarak veri sahiplerini aydınlatma metinleri kapsamında açık şekilde bilgilendirmektedir. Amaca bağlılık kapsamında veri işleme amacı ortadan kalktığında kişisel verileriniz Emko tarafından işbu Politika’ya bağlı kalınarak imha edilmektedir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Emko tarafından kişisel veriler, temin edildikleri sırada veri sahibine bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme:Emko, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Emko öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Emko tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
H. Verilerin İşlenmesinde Açık Rıza Aranmayan Durumlar
KVKK m.5/f.2 uyarınca aşağıdaki koşulların varlığı halinde, Emko tarafından, kişisel veriler açık rıza olmadan da işlenebilir:
- Kanunlarda açıkça öngörülmesi;
- Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması;
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
- İlgili kişinin kendisi tarafından alenileştirilmiş olması;
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
I. Özel Nitelikli Kişisel Verilerin İşlenmesi
KVKK ile birtakım kişisel verilere hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Emko, hukuka aykırı olarak işlenmesi halinde kişilerin mağduriyetine sebebiyet verebilecek olan bu türden verilere oldukça hassas yaklaşmakta ve bu tür kişisel verileri Kurul tarafından belirlenen yeterli önlemleri almak kaidesiyle yine KVKK m.6/f.3 uyarınca ilgilisinin açık rızası aranmaksızın (veya gerekmesi halinde ilgili kişinin açık rızasını talep ederek) işleyebilmektedir.
Bu kapsamda, Emko tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Emko bünyesinde gerekli denetimler sağlanmaktadır.
J. Kayıt Ortamları
Emko tarafından işlenen kişisel veriler, gerekli güvenlik önlemleri alınmak kaydıyla aşağıdaki ortamlarda saklanır ve muhafaza edilir:
- Elektronik Ortamlar: sunucular (etki alanı, yedekleme, e-posta veritabanı, web, dosya paylaşım vb.), bilgi güvenliği cihazları, yazılımlar (portal, EYBS, VERBİS), kişisel bilgisayarlar, mobil cihazlar, optik diskler, çıkartılabilir bellekler, yazıcı/tarayıcı ve fotokopi makinesi.
- Fiziki Ortamlar (Elektronik Olmayan Ortamlar): kağıt, manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri), ofis dosyaları, arşiv, y azılı ve basılı görsel ortamlar.
K. Kişisel Veri Toplama Yöntemleri ve Hukuki Dayanağı
Emko uhdesinde bulunan kişisel verileri; 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Borçlar Kanunu, 4857 sayılı İş Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 213 sayılı Vergi Usul Kanunu, 4982 sayılı Bilgi Edinme Kanunu, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik, Arşiv Hizmetleri Hakkında Yönetmelik ve bu Kanunlar uyarınca yürürlükte olan ikincil mevzuatlar çerçevesinde işlenmekte ve öngörülen saklama süreleri kadar saklanmaktadır.
Yasal gerekliliklerin yerine getirilmesi, sözleşmeden doğan yükümlülüklerin ifası, Emko’nun meşru menfaatleri ve aşağıda detaylı olarak belirtilen diğer amaçlar ve sebepler nedeniyle, Emko tarafından ilgili kişilerden talep edilen veya doğrudan ilgili kişiler tarafından Emko ile paylaşılan kişisel verileri, Emko, otomatik veya otomatik olmayan yöntemler ve kaynaklar ile toplayabilir ve yine yasal olan süreler ile saklayabilir;
- Emko ile İlgili Kişiler arasındaki görüşmeler, email yazışmaları, fiziki tebligatlar, bildirimler, ihtarnameler,
- Finansal raporlama hizmeti sunan banka ve sair kuruluşlar,
- Emko’ya sözlü, yazılı veya elektronik olarak yapılan başvurular,
- Emko’nun yakın ilişkisi bulunan bağlı ortaklık, iştirakler, üçüncü kişi ve kuruluşlar,
- Toplantılar ve kongreler,
- Kamu Kurumları,
- Destek hizmeti alınan sair şirketler,
- Her türlü mevzuat veya sözleşme kapsamında Emko’nun işlem yaptığı gerçek ve/veya tüzel kişiler, ve kamuya açık aleni veriler.
L. Kişisel Verilerin Saklanması ve İmhasına İlişkin Açıklamalar
Emko tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin( tedarikçi, taşeron vb bu kişilerin temsilcileri) müşteri pozisyonundaki kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:
- Saklamaya İlişkin Açıklamalar
KVKK m.3 kapsamında kişisel verilerin işlenmesi kavramı tanımlanmış, m.4 kapsamında ise işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, m.5 ve m.6’da ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Emko’nun faaliyetleri çerçevesinde kişisel veriler, aşağıda belirtilen genel amaçlarla işlenir ve saklanır:
- Emko’nun sözleşmeden ve yasal mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi,
- Müşteri, tedarikçi, taşeron vb. üçüncü kişiler ile sözleşme ilişkisinin kurulması, yürütülmesi ve sona erdirilmesi,
- Çalışanların iş hukukundan kaynaklı hak ve ödevlerinin düzenlenmesi, işverenin yönetim hakkının kullanılması,
- İnsan kaynakları süreçlerinin yönetimi, işe alım ve istihdam ilişkilerinin kurulabilmesi,
- Finans ve muhasebe işlerinin yürütülmesi,
- Finansal ve idari risk analizlerinin yapılabilmesi,
- Bilgi güvenliği süreçlerinin idaresi,
- Şirket içi yönetim ve denetim faaliyetlerinin yürütülmesi,
- İşyerinin ve çalışanların fiziki güvenliğinin sağlanabilmesi, ziyaret kayıtlarının tutulabilmesi,
- Hukuki ve idari süreçlerin yürütülebilmesi.
- İmhaya İlişkin Açıklamalar
Emko tarafından işlenen kişisel verilerin imhası konusunda öncelikle Yönetmelik hükümleri uygulanır. Buna göre aşağıdaki durumlarda kişisel veriler silinir, yok edilir veya anonim hale getirilir:
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya mülgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- KVKK m.11 gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Emko tarafından kabul edilmesi,
- Emko’nun ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
M. Kişisel Verilerin Korunmasına Dair Alınan Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Emko tarafından genel nitelikli ve özel nitelikli veri ayrımı gözetilerek gerekli teknik ve idari tedbirler alınır.
- Teknik Tedbirler Hakkında
Emko, işlediği kişisel verileri ve veri işleme faaliyetlerini bünyesinde kurduğu teknik sistemle düzenli olarak denetlemektedir. Teknik konularda dışarıdan uzman kişilerden hizmet alınmaktadır. Yeni teknolojik gelişmeler takip edilmekte ve bilhassa siber güvenlik alanlarındaki sistemler üzerinde teknik gelişmeler takip edilmekte ve bu yönde sistemler güncellenmektedir. Erişim ve yetkilendirme konularına hassasiyet gösterilerek mevcut çalışanların yetkileri gözden geçirilerek düzenlenmekte; eski çalışanlara erişim kısıtlaması uygulanarak hesapları kapatılmaktadır. Antivirüs sistemleri ve güvenlik duvarları içeren yazılımlar kullanılmaktadır. Gerçekleştirilen denetim faaliyetleri uyarınca tespit edilen olası eksikliklerin giderilmesi sağlanmaktadır.
- İdari Tedbirler Hakkında
Emko, hazırlamış olduğu işbu Politika ve Envanter dâhil tüm kişisel veri dökümantasyonu ile KVKK ve ikincil mevzuatların gerekliliklerini yerine getirmektedir. Bu bağlamda Emko, kurumsal prosedürler oluşturmakta, sözleşmelerini veri sorumlusu sıfatına haiz olmasına göre veri güvenliği hükümlerini sağlayarak oluşturmakta, gizlilik taahhütnamelerini alarak veri güvenliğini arttırmaktadır. Kişisel veri işlemeye başlamadan önce Emko tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. Kurum içi periyodik ve kimi zaman rastgele denetimler gerçekleştirmekte, risk analizlerini tespit etmektedir. Kişisel verilerin korunmasına yönelik bir iç disiplin oluşturmakta ve kişisel verilere erişebilen yönetici kadrosundan bütün çalışanlara bilgi güvenliği eğitimi vermekte ve farkındalık faaliyetleri gerçekleştirmektedir.
- Özel Nitelikli Verilere İlişkin Tedbirler Hakkında
Emko, KVKK m.6/f.1 kapsamında ifade edilen özel nitelikli kişisel verilerin korunması noktasında da konuya hassasiyetle yaklaşmaktadır. Bu bağlamda, Emko kişisel verilerin korunması adına almış olduğu teknik ve idari tedbirleri Kurul’un özel nitelikli kişisel veriler konusunda belirlediği asgari önlemleri dikkate alarak uygulamaktadır.
N. Kişisel Verilerin Silinmesi, Yok Edilmesi Ve Anonimleştirilmesi
Türk Ceza Kanunu m. 138 ve KVKK m.7 doğrultusunda kişisel veriler, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Emko’nun kendi kararına istinaden veya İlgili Kişi’nin bu yönde bir talebi olması halinde silinir, imha edilir veya anonim hâle getirilir.
Emko’nun ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda veri sahibinin talebini yerine getirmeme hakkı saklıdır.
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlendiğinde, veriler silinirken kişisel verinin sonradan kullanılamayacak hale getirilmesi sistemi uygulanmaktadır. Bu durumda, verilerin depolanması için özel olarak yetkilendirilen kişi haricinde sunucularda yer alan kişisel verilere üçüncü kişilerin erişimi tamamen ortadan kaldırılmaktadır.
Fiziki ortamda kayıt altında tutulan kişisel veriler için yok etme yöntemi kullanılmaktadır. Bu kapsamda fiziki imha (shred), karalama, üstünü çizme, demanyetize etme yöntemleri kullanılmaktadır.
Flash tabanlı taşınabilir medyada bulunan ve saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süresi sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
O. Saklama ve İmha Süreleri
Emko tarafından kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
- Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir,
- Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
- Kişisel veriler, KVKK m.6’da yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Emko nezdindeki önem derecesine göre belirlenir,
- Verinin saklanmasının KVKK m.4’te belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Emko’nun meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK m.4’te yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir,
- Verinin saklanmasının KVKK m.5/m.6’da öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Emko’nun işlemekte olduğu ve işleyeceği kişisel verileri hangi süreyle saklamakla yükümlü olduğu ve hangi sürede imha edeceği aşağıdaki tabloda belirtilmiştir:
İlgili Kişi | Kategori | Saklama Süresi |
Çalışan | İşe alım evrakları ile SGK’ya gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri ve özlük verileri dışında kalan diğer özlük verileri | Hizmet akdinin devamında ve hitamından itibaren de 10 yıl müddetle muhafaza edilir. |
Çalışan | İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet akdinin devamında ve hitamından itibaren 10 yıl müddetle muhafaza edilir. |
Müşteri, Taşeron, Tedarikçi Çalışanı veya Temsilcisi | Müşteri, Taşeron veya Tedarikçi ile Emko arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler | Türk Borçlar Kanunu m.146 ile Türk Ticaret Kanunu m.82 uyarınca 10 yıl süre ile saklanır. |
Aday Personel | Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | Başvuru tarihinden itibaren 10 yıldır. |
Stajyer | Stajyere ait staj dosyasında yer alan bilgiler | Staj ilişkisinin devamında ve hitamından itibaren 10 yıl müddetle muhafaza edilir. |
Ziyaretçi/Çalışan | Kamera görüntüleri | 15 gün süre ile saklanır. |
KVKK kapsamında tutulan kayıtlar | Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin bilgiler | Yönetmelik uyarınca 3 yıl süre ile saklanır. |
Periyodik İmha süresi, Yönetmelik m.11 gereğince 6 ay olarak belirlenmiştir. Bu çerçevede Emko, kişisel verileri Envanterde belirlenen saklama süresinin bitiminden itibaren 6 ay içerisinde imha eder.
P. Kişisel Verileri Saklama Ve İmha Süreçlerinde Yer Alan Kişiler ve Görevleri
Emko’nun kişisel veri saklama ve imha süreçlerinde yer alan personel ve bunların görev ve sorumlulukları aşağıdaki gibidir;
Unvan | Görev Tanımı |
Kişisel Veri Yöneticisi:Cansın Tanışman Yönetim Kurulu Başkan Yrd. | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
Kişisel Veri Yönetici Yrd:Emine Kurt Finans Müdürü | İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri Kurulu Yöneticisine raporlanmasından; Kişisel Veri Kurulu Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Kurulu Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Kurulu Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
Q. Kişisel Veri Aktarımı
- Yurtiçinde Kişisel Veri Aktarımı
Emko, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve Kurul tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır.
Emko tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Şu kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı durumlarda; KVKK m.5/f.2 ve m.6/f.3 altında belirtilen koşullar mevcut olduğu taktirde açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilir.
- Yurtdışında Kişisel Veri Aktarımı
Emko, tarafından toplanan, işlenen ve saklanan kişisel veriler; yurtdışında yerleşik üçüncü kişilerden alınan barındırma, depolama ve sunucu hizmetleri kapsamında yurtdışına aktarılabilir. Yurtdışına yapılan aktarımlarda Kurul’un yeterlilik kararı verilebilmesi için öngördüğü kıstaslara ve yeterlilik kararı kapsamında açıklanacak ülkelere dikkat edilir ve verilerin korunması için gerekli önlemler alınır. İlgili kişinin açık rızası ve kanunda öngörülen diğer hallerin varlığı halinde arızi olmak kaydıyla yeterlilik kararı veya yeterli güvence olmayan ülkelere de veri aktarımı söz konusu olabilir.
R. İlgili Kişinin Hakları
Kişisel verileri Emko tarafından işlenen tüm gerçek kişiler info@ee.com.tr adresine (daha önce Emko’ya bildirilmiş bir email adresi varsa) veya Çakmaklı Mh. Hadımköy Yolu Cd. No:75 Büyükçekmece İstanbul adresine posta yolu ile başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK m.7’ye uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verinin düzeltilmesi, silinmesi, yok edilmesi veya anonim hale getirilmesi hallerinde düzeltme, silme, yok etme veya anonim hale getirme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz ve işlenmesi sonucunda aleyhe oluşan bir sonuca itiraz etme, ve kişisel verilerin mevzuata aykırı olarak işlenmesi sebebiyle zarara uğranmış olunması halinde zararın giderilmesini talep etme, hakkına sahiptir.
KVKK m.28 gereği İlgili Kişiler aşağıdaki hallere dayanarak haklarını ileri süremezler:
- Kişisel verilerin üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi;
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi;
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi;
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi;
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
S. Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
Aykırılığın önemli boyutta olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
Politikaya aykırı davranan çalışan hakkında, İnsan Kaynakları tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
Veri Sorumlusu Sıfatıyla
Emko Eğitim Çözümleri ve Teknolojileri