ULUDAĞ ORGANİZE SANAYİ BÖLGESİ MÜDÜRLÜĞÜ
KİŞİSEL VERİ İŞLEME SAKLAMA VE İMHA POLİTİKASI
Telefon : +90 (0224) 376 01 46-47
Fax : +90 (0224) 376 01 45-48
E-posta : [email protected]
Adres : Kurtuluş Mahallesi Atatürk Caddesi No: 218 Gürsu - Bursa / Türkiye
Vergi Dairesi : Gökdere
Vergi Numarası : 449 014 9649
1.GİRİŞ
Uludağ Organize Sanayi Bölgesi Müdürlüğü (“Kurum ”) olarak, kurumumuzun faaliyet alanı ile sınırlı olmak üzere, hukuki ilişki içerisinde olduğumuz Müteşebbis heyet (işletme aşamasında genel kurul), Yönetim kurulu, Denetim kurulu, Bölge Müdürlüğü yöneticileri, kurum çalışanları, çalışan adayları, stajyerler, stajyer adayları, katılımcılar, yer sahipleri, kiracılar, tedarikçiler, alt işverenler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş ortakları, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri kapsayacak şekilde tüm şahıslara ait her türlü kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak işlenmesine, korunmasına büyük önem vermekteyiz. Bu amaçla, kurumumuz yasal düzenleme ve alınan kararlar uyarınca, gerekli idari ve teknik tedbirleri almaktadır. 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında hazırlanan Kişisel Veri Koruma ve İşleme ile Saklama ve İmha Politikası ve ekleri; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında, veri sorumlusu sıfatıyla Uludağ Organize Sanayi Bölgesi Müdürlüğü tarafından hazırlanmıştır.
2.AMAÇ
Kurumumuz tarafından hazırlanmış olan bu politika metni ile Kurumumuz tarafından, KVK Kanununa uyum sürecinin tamamlanması bakımından aşağıda yazılı temel ilkeler doğrultusunda; Müteşebbis heyet, Yönetim kurulu, Denetim kurulu, Bölge müdürlüğü yöneticileri, kurum çalışanları, çalışan adayları, stajyerler, stajyer adayları, katılımcılar, yer sahipleri, kiracılar, tedarikçiler, alt işverenler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş ortakları, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel verilerin; KVK Kurumu’nun yayınladığı kararlar, belirlediği ilkeler ile T.C. Anayasası, Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak gerçekleştirilmektedir.
3.KAPSAM
Müteşebbis heyet, Yönetim kurulu, Denetim kurulu, Bölge Müdürlüğü yöneticileri, kurum çalışanları, çalışan adayları, stajyerler, stajyer adayları, katılımcılar, yer sahipleri, kiracılar, tedarikçiler, alt işverenler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş ortakları, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; hazırlanmış olan bu politika kapsamında olup, kurumumuz nezdinde otomatik yöntemlerle veya otomatik olmayan yollarla işlenen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik kurum faaliyetlerinde işbu politika uygulanmaktadır.
4.KISALTMA VE TANIMLAR
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan : Uludağ Organize Sanayi Bölgesi Müdürlüğü çalışanlarını kapsamaktadır
Çalışan Adayı : İnternet sayfasını kullanarak veya işyerine bizzat gelerek iş başvuru formunu doldurup, iş başvurusu yapanlar
Elektronik Ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet Sağlayıcı : Kurum ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İlgili Kişi : Kişisel verisi işlenen gerçek kişi
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini, kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılma sının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kanun : 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kurul : Kişisel Verileri Koruma Kurulu
KVKK : Kişisel Verileri Koruma Kurumu
Kişisel Verileri Koruma Komitesi : Kurum Yönetim Kurulu kararı ile oluşturulan, kişisel verilerin korunması ve işlenmesinde, denetim ve gözetimle sorumlu birden fazla üyeden oluşan birim
Kişisel Veri İrtibat Kişisi : Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi Kişisel Verilerin
Anonim Hale Getirilmesi : Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini
Kişisel Verilerin İmha Edilmesi : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini
Kişisel Verilerin Silinmesi : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini
Kişisel Verilerin Yok Edilmesi : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika : Kişisel Veri İşleme, Saklama ve İmha Genel Politikasını
Stajyerler : Uygulamalı meslek eğitimi alan ve kurumda bu amaçla çalışan öğrenciler
Stajyer Adayları : Staj için kuruma başvuru yapan öğrenciler
Kurum : Uludağ Organize Sanayi Bölgesi Müdürlüğü
OSB : Organize Sanayi Bölgeleri/Sanayinin uygun görülen alanlarda yapılanmasını sağlamak, çarpık sanayileşme ve çevre sorunlarını önlemek, kentleşmeyi yönlendirmek, kaynakları rasyonel kullanmak, bilgi ve bilişim teknolojilerinden yararlanmak, sanayi türlerinin belirli bir plan dâhilinde yerleştirilmesi ve geliştirilmesi amacıyla, sınırları tasdik edilmiş arazi parçalarının imar planlarındaki oranlar dâhilinde gerekli ortak kullanım alanları, hizmet ve destek alanları ve teknoloji geliştirme bölgeleri ile donatılıp planlı bir şekilde ve belirli sistemler dâhilinde sanayi için tahsis edilmesiyle oluşturulan ve bu Kanun hükümlerine göre kurulan, planlanan ve işletilen, kaynak kullanımında verimliliği hedefleyen mal ve hizmet üretim bölgelerini,
Katılımcı : OSB’lerde, bir işletmenin kurulması için parsel tahsisi veya satışı yapılanlar ile maliki bulunduğu parselde üretimde bulunan veya bulunmayı taahhüt eden ve bu Kanunun amacına uygun faaliyet gösteren gerçek veya tüzel kişi ile finansal kiracıyı,
Kiracı : Katılımcının tesisini, yönetmelikte belirlenen usul ve esaslara uygun biçimde kiralayan gerçek veya tüzel kişiyi,
OSB Yönetimi : Organize Sanayi Bölgesi Yönetim Kurulu, Denetim Kurulu, Bölge Müdürlüğü ve Müteşebbis Heyet ( İşletme aşamasında Genel Kurul ) üyeleri
OSBÜK : Organize Sanayi Bölgeleri Üst Kuruluşunu,
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri Sorumluları Sicil Bilgi Sistemi : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi,
Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
5.SORUMLULUK VE GÖREV DAĞILIMI
6698 sayılı KVK Kanunu ve ilgili mevzuat uyarınca, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında, kurum bünyesinde gerekli koordinasyonu sağlamak amacıyla Veri İrtibat Kişisi ve Kişisel Veri Komitesi belirlenmiş, görev ve sorumlulukları tanımlanarak gerekli kararlar alınarak, ilgililere tebliğ edilmiştir. İşbu politika kapsamında alınan teknik ve idari tedbirlerin gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve farkındalığının arttırılması, denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler veri irtibat kişisi ve Komite ile sorumlu birimlerce yerine getirilmektedir.
6.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR
Kurumumuzca tutulan kişisel veriler, sunucular-server, kullanılan yazılımlar, kişisel bilgisayarlar, telefon, tablet gibi mobil cihazlar, optik diskler, çıkarılabilir bellekler gibi elektronik ortamlarda ve kağıt olarak tutulan kişisel veriler, iş başvuru formları, kurum ile üçüncü kişiler arasında yapılan sözleşmeler, manuel veri kayıt sistemleri (anket formları, ziyaretçi formları, yazılı, basılı, görsel ortamlarda tutulan kişisel veriler, birim dolapları, arşiv odaları gibi elektronik olmayan fiziksel ortamlarda kaydedilmektedir. 6698 sayılı KVK Kanunu ve ilgili mevzuata, uluslararası veri güvenliği prensiplerine uygun olarak güvenli bir şekilde saklanmaktadır. Kişisel verileriniz, tamamen veya kısmen, otomatik olarak veyahut herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilerek, kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek, kişisel verileriniz üzerinde gerçekleştirilen her türlü işleme konu olarak kurumumuz tarafından işlenmektedir.
7.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER
7.1.Gizlilik İlkesi
İşbu politikada açıklandığı üzere, gerek çalışanlar ve gerekse kurumumuz ile irtibatlı kişisel veri sahibi olan ilgili tüm kişilerin verileri gizlidir. Bu politika ve alınan tedbirler kapsamda, kanunda belirtilen haller dışında, hiç kimse başkaca hiçbir amaç için kişilerin verilerini başka amaçla kullanamaz, çoğaltamaz, kopyalayamaz, başkalarına aktaramaz ve politikalarla belirlenen amaçlar dışında kullanılamaz.
7.2.Temel İlkeler
Kurumumuz tarafından işlenmekte olan Kişisel Veriler, 6698 sayılı KVK Kanunu’nun 4. maddesinde belirtilen ilkelere uygun işlenmektedir. Kurum, Kişisel Verilerin işlenmesi, korunması, silinmesi ve imha süreçlerinde aşağıda yazılı ilkelere göre, kanunda öngörülen usul ve esaslara uygun olarak işlenmektedir.
8.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kurumumuz tarafından işlenen kişisel veriler, 6698 sayılı Kanunun 5. maddesine uygun olarak işlenmektedir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıda belirtmiş olduğumuz ilkelerden birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI
Kurumumuz tarafından işlenen Özel Nitelikli Kişisel Veriler, 6698 sayılı Kanunun 6. maddesine uygun olarak işlenmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu kanun maddesi ile düzenlenmiştir. Buna göre, ilgili kişinin açık rızası olmaksızın Özel Nitelikli Kişisel Veriler işlenemez. Ancak, kanun maddesinde yazılı olduğu üzere; Kanunun 6/1. fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;
10.KİŞİSEL VERİLERİN İŞLENMESİ VE TOPLANMASI VE HUKUKİ SEBEBİ
Kişisel verileriniz; kurum faaliyetleri kapsamında, belirtilen amaçlarla sınırlı olmak üzere, her türlü sözlü, yazılı ya da elektronik ortamda, başvuru formlarının doldurulması, özlük dosyalarının oluşturulması, sözleşmelerin düzenlenmesi, ifası, muhasebe, mali ve sosyal hakların tesisi ve sürdürülmesi için finans bilgilerinin işlenmesi, kurum bina ve eklentilerinin, internet sitesinin ziyaret edilmesi, çağrı hizmetlerimizi aranması, alınan açık rızanız nedenleriyle, kurum çalışanlarının performanslarının değerlendirilmesi amacıyla personel devam kontrol sistemi olan parmak izi tanıma sisteminin kullanılması, kurum bina ve eklentilerinde iç ve dış mekan güvenliğini sağlamak amacıyla görüntülü kamera kayıt sisteminin kullanılması suretiyle toplanmaktadır. Kurum tarafından sunulan, elektrik, doğalgaz, su, haberleşme hizmetleri ile çevre, imar ve yapım, üretim ile ilgili ruhsatlandırma, gerekli izin faaliyetlerinin sürdürülmesi, kamulaştırma işlemlerinin gerçekleştirilmesi için talep etmiş olduğumuz bilgiler aracılığı ile tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmekte ve toplanmaktadır.
Kurumumuzun tabi olduğu 4562 sayılı OSB Kanunu ve diğer ilgili yasal düzenlemelere uygun olarak, kurumumuzca ürün ve hizmetlerin sunulabilmesi ve bu kapsamda kurumumuzun sözleşmeler ve yasal mevzuattan kaynaklanan yükümlülüklerini eksiksiz ve doğru bir şekilde yerine getirebilmesi amacıyla, kişisel verileriniz ve özel nitelikli kişisel verileriniz kural olarak ilgili kişinin açık rızasına dayalı olarak işlenmektedir. Ayrıca, kurumumuz ile irtibatınız kapsamında aşağıdaki hallerde açık rıza aranmaksızın kişisel verileriniz işlenmektedir.
10.1.Kişisel Verilerin İşlenmesi
10.2.Kişisel Veri İşleme Envanteri
Yönetmeliğin 5/1. maddesinde belirtilen ve düzenlenmesi zorunlu olan, ilgili mevzuatta sayılan hususları, bilgileri içermesi zorunlu olduğu belirtilen Kişisel Veri İşleme Envanterine dayalı olarak kişisel veriler işlenmektedir. Kurumumuz tarafından Kişisel Veri İşleme Envanteri ayrıca oluşturulmuş, belirli periyotlarda güncellenmektedir.
11.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR
Kurumumuz tarafından oluşturulan bu politika ile Müteşebbis heyet (işletme aşamasında genel kurul), Yönetim kurulu, Denetim kurulu, Bölge Müdürlüğü yöneticileri, kurum çalışanları, çalışan adayları, stajyerler, stajyer adayları, katılımcılar, yer sahipleri, kiracılar, tedarikçiler, alt işverenler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş ortakları, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilerle ilgili mevzuata, usul ve yasaya uygun olarak saklanır ve imha edilir. Saklama ve imhaya ilişkin ayrıntılı açıklamalar aşağıda belirlenmiştir.
11.1.Kişisel Verilerin Saklanması
6698 Sayılı Yasanın 3.maddesinde kişisel verilerin işlenmesi tanımlanmış, 4. madde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği düzenlenmiş olup, 6698 sayılı yasanın 5. ve 6. maddelerde kişisel verilerin işleme şartları sayılmıştır. Buna ilişkin ayrıntılı açıklamalar yukarıda işbu politika metninde yazılı olup, kurum faaliyetleri kapsamında kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun olarak gerekli süre kadar idari ve teknik tedbirler alınmak suretiyle saklanmaktadır.
11.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler
İşbu politika ile kurumumuz faaliyetleri kapsamında işlenen kişisel veriler, ilgili mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır. Yukarıda sayılan ve kurum faaliyetleri kapsamında kişilerin tabi oldukları kanunlarda öngörülen süreler ve ikincil düzenlemeler çerçevesinde yazılı saklama süreleri ve kanunlarda öngörülen suçların tabi olduğu zamanaşımı süreleri kadar kişisel veriler saklanmaktadır. Kurumumuzun faaliyetleri kapsamında tabi olduğu yasal mevzuatta öngörülen zamanaşımı süreleri ile kurumun hukuki irtibat içerisinde olduğu üçüncü kişiler ile olan veya oluşabilecek uyuşmazlıklar, kurumun kurumsal hafızası ve ticari iş ve faaliyetleri dikkate alınarak, kanunlarda öngörülen süreler dışında, kurumun meşru menfaati ve ilgili veri sahipleri ile yapmış olduğu veya yapacağı sözleşmelerin kurulması ve ifa süreçleri dikkate alınarak, kişisel verilerin saklama ve imha süreleri kurumsal karar olarak işbu politika ile belirlenmiştir
11.3.Kişisel Verileri Saklamayı
Gerektiren İşleme Amaçları Kurum, işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda, kurum faaliyetleri ile sınırlı olmak üzere ilgili mevzuata uygun olarak saklamaktadır. Buna göre; kişisel verileri saklamayı gerektiren işleme amaçları aşağıda maddeler halinde belirlenmiştir.
Amaçlarıyla, kişisel verileriniz Kanun’un 5. ve 6. maddelerine uygun olarak belirlenen şartlar ve amaçlar doğrultusunda işlenmektedir. Kişisel veriler, kurumumuzun faaliyetleri dışında başka bir amaçla kullanılmamaktadır.
11.4.Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler; aşağıda belirtilen sebeplerle ilgili kişinin talebi üzerine, başvuru formunu doldurmak suretiyle, kurum tarafından politika, yasa ve yönetmelikte öngörülen usul ve esaslara uygun olarak silinir, yok edilir veya anonim hale getirilir. Buna göre;
Kurum tarafından kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması halinde.
12.KİŞİSEL VERİLERİ SAKLAMA VE İMHASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
İşbu politika ile belirlenen düzenlemeler kapsamında, kişisel verilerin güvenli ve usulüne uygun bir şekilde saklanması, hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için, 6698 sayılı KVK Yasasının 6. maddesinde düzenlenen Özel Nitelikli Kişisel Verilerin 6/4. maddesine göre “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü ile aynı yasanın 12. maddesinde belirtilen Kişisel Verilerin güvenliğini sağlamak amacıyla KVK Kurulu tarafından belirlenen ve ilan edilen gerekli yeterli önlemler muvacehesinde veri sorumlusu olarak kurum tarafından aşağıda yazılı teknik ve idari tedbirler. alınmaktadır.
KVK Kurumunun https://www.kvkk.gov.tr adresinden duyurulmuş olan İdari ve Teknik Tedbirler belirlenerek ayrıntılı olarak duyurulmuştur. Bu tedbirler aşağıda tabloda yazılıdır.
TEKNİK VE İDARİ TEDBİRLER
Teknik Tedbirler
İdari Tedbirler
12.1.Teknik Tedbirler
Yukarıda tablo halinde belirtilen ve KVK Kurumunca ilan edilen teknik tedbirler ile ilgili, veri sorumlusu olarak kurum tarafından aşağıda yazılı gerekli tedbirler alınmıştı.
Alınan Teknik Tedbirler
12.2.İdari Tedbirler
Yukarıda belirtilen ve KVK Kurumunca ilan edilen idari tedbirler ile ilgili, veri sorumlusu olarak kurum tarafından aşağıda yazılı gerekli tedbirler alınmıştır.
Alınan İdari Tedbirler
13.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR
Kurumumuzca oluşturulan politika ve kişisel veri envanterinde yazılı olduğu üzere, işlenmiş olan kişisel veri ile ilgili İlgili yasal mevzuatta öngörülen süre veya işlendikleri amaç için öngörülen gerekli saklama süresinin sonunda kişisel veriler; kurum yetkili birimlerince kendiliğinden veya ilgili kişisel veri sahibinin kurumumuza başvurusu üzerine, 6698 sayılı KVK Kanunu ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen yöntem ve tekniklerle imha edilmektedir.
13.1.Kişisel Verilerin Silinmesi
13.2.Kişisel Verilerin Yok Edilmesi
13.3.Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka 3. kişilere ait verilerle eşleştirilmesinde dahi, ilgili kişinin kimliği belirli veya belirlenebilir olmaktan çıkarılarak, bir gerçek kişiyle hiçbir surette irtibatlandırılamayacak hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle irtibatlandırılamayacak / ilişkilendirilemeyecek hale getirilmesi şeklinde olmaktadır.
14.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Kurumun, işbu politika ve ilgili yasal mevzuat kapsamında işlediği kişisel verileri, işlenen verinin kategorisine göre, tabi olduğu ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca KVK Kanunu ile bu politika ile belirlenen usul ve esaslara uygun olarak yapılmaktadır. Kurumun meşru menfaati ve ilgili veri sahibi ile yapılan, yapılacak sözleşmelerin kurulması ve ifası süreçleri, açılabilecek dava ve hukuki işlemler dikkate alınarak, kişisel verilerin saklama ve imha süreleri kişisel veri işleme envanterinde yazılı olduğu şekilde belirlenmiştir.
Kurumumuz faaliyetleri kapsamında tutulan kişisel veriler, işlenen verilerin niteliğine göre ilgili mevzuatta belirtilen veya kişisel verinin işlendiği amaç için gerekli olan süre kadar muhafaza etmektedir. İşlenen kişisel veriler ile ilgili olarak öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilerek, belirtilen süreye uygun olarak kişisel veriler saklanmakta, her hangi bir sürenin öngörülmemiş olması halinde ise işlenen kişisel verilerin işlendikleri amaç için gerekli olan ve grup şirketlerimizce uygulanmakta olan politikalara uygun olarak belirlenen süre kadar saklamaktadır. Kurumumuzca kişisel veri işleme envanterinde belirlenen saklama sürelerini esas almakta olup, envanterde belirtilen süreler sonunda yasal düzenleme kapsamındaki yükümlülükler uyarınca kişisel veriler, verinin niteliğine ve kullanım amacına göre silinmekte, imha edilmekte veya anonimleştirilmektedir.
15.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Kurumumuz, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak, kişisel verilerinizin işlenmesine, korunmasına azami özen göstermektedir. Veri sorumlusu olarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirler alınmıştır. Kanunun 10. maddesi uyarınca; Müteşebbis heyet (işletme aşamasında genel kurul), Yönetim kurulu, Denetim kurulu, Bölge Müdürlüğü yöneticileri, kurum çalışanları, çalışan adayları, stajyerler, stajyer adayları, katılımcılar, yer sahipleri, kiracılar, tedarikçiler, alt işverenler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş ortakları, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler kapsayacak şekilde oluşturulan politikalar ve aydınlatma metni ile sizleri bilgilendiriyoruz.
Söz konusu aydınlatma yükümlülüğü gereğince kişisel veri sahiplerine bildirilmesi gereken bilgiler kanunda sayıldığı şekilde şunlardır :
1.Veri sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5.KVK Kanunu’nun 11. maddesinde sayılan başvuru ve diğer haklar.
6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri uyarınca, veri sorumlusu sıfatıyla kurumumuzca hazırlanan Aydınlatma Metnini internet sayfamızdan inceleyebilirsiniz.
16.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )
6698 sayılı Kişisel Verileri Koruma Kanununun “ilgili kişinin haklarını düzenleyen” 11 inci maddesi kapsamında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumlusu olarak, kurumumuz tarafından “BAŞVURU FORMU” düzenlenmiştir.
16.1.Kişisel Veri Sahibinin Başvuru Hakkı
Kanunun 11. maddesi uyarıca; herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak;
1. Kişisel veri işlenip işlenmediğini öğrenme,
2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
6. KVKK’ nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
7. Kişisel verilerin düzeltilmesi, silinmesi, yok edilmesi halinde bu işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,
8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
16.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları
6698 sayılı KVK Kanunu 13/1. maddesi uyarınca, yukarıda belirtilen haklarınızı kullanmak amacıyla yapacağınız başvurularınızı yazılı olarak veya KVK Kurumunun belirlediği yukarıda yazılı yöntemlerle kurumumuza iletmeniz gerekmektedir. Kurumumuz, başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret talep edilecektir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
16.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kanunun 13. maddesi uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
17.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
6698 Sayılı KVK Kanunu’nun 28/1. maddesi gereğince, aşağıda yazılı hususlar kanunun uygulama kapsamı dışında ( istisnalar ) tutulmuş olup, kişisel veri sahipleri yukarıda 16. maddede sayılan haklarını ileri süremezler.
18.KİŞİSEL VERİLERİN PERİYODİK İMHA ve DENETİM SÜRESİ
Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri Yönetmeliğin 11. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. Ayrıca, kişisel veri irtibat kişisi ve veri sorumlusu tarafından üç ayda bir, altı ayı geçmemek üzere gerekli denetlemeleri yapacaktır. Veri sorumlusu ve veri irtibat kişisi, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.
19.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ
İlgili kişinin başvurusu üzerine kişisel verinin silinmesi, yok edilmesi süreleri Yönetmeliğin 12. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
20.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Kurum tarafından hazırlanan işbu politika, ıslak imzalı olarak (basılı kâğıt) ve elektronik ortamda olmak üzere kurumun www.uludagosb.org.tr internet sayfasında iki farklı ortamda yayımlanır. Politikanın internet sayfasında yayımlanması ile kamuya açıklanmış sayılacaktır. Basılı kâğıt nüshası Veri İrtibat Kişisi tarafından KVK dosyasında saklanır. Oluşturulan bu politika, belirlenen veri irtibat kişisi tarafından yetki ve sorumlulukları kapsamında, yayınlandığı tarihten itibaren, her yılın sonunda yılda bir olmak üzere, ihtiyaç duyuldukça gözden geçirilir ve gerekli olduğu şekilde ilgili bölümler güncellenecektir.
21.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Yukarıda maddeler halinde yazılı işbu politika, kurumun www.uludagosb.org.tr internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilecektir. Veri sorumlusunun onayı ve kişisel veri irtibat kişisinin kararı ile politikanın yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları veri irtibat kişisi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile kişisel veri irtibat kişisi tarafından ilgili birimde saklanır.