DESOB KVKK POLİTİKASI 01 Nisan 2021, 12:50
DESOB KİŞİSEL VERİLERİ KORUMA POLİTİKASI
BÖLÜM 1: GİRİŞ
1.1. GİRİŞ
Kişisel Verilerin Korunması Kanunu ile verileri işlenen kişilerin verilerinin korunması konusu her Kurum açısından temel bir zaruret haline gelmiştir. Bu sebeple özellikle kişilerin özel hayatına ve bilgilerine erişim hususunda azami ihtimam göstermek ve bu konuda etkili ve caydırıcı önlemler almak ek olarak bütün bu işlemler esnasında müşterilerimize, potansiyel müşterilerimize, ziyaretçilerimize, birlik yetkililerimize, işbirliği içinde olduğumuz taraf ve kurumların tamamına kısaca birliğimizle doğrudan veya dolaylı olarak bağlantılı olan verilerini işlediğimiz her bir kişiye şeffaf olmak birlik veri politikamızın temel hedefini oluşturmaktadır.
Birliğimiz işbu Politika ile kişisel verilerin işlenmesine yönelik kurallarımızı şeffaflık ve açıklık ilkeleri çerçevesinde belirlemekte ve hayata geçirmektedir.
1.2. POLİTİKANIN AMACI VE KAPSAMI
Bu politikanın temel amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere verileri işlenmiş olan kişilerin temel hak ve özgürlüklerini korumak ve bu anlamda birliğimizin yaptığı her faaliyetin kamunun aydınlatılması yoluyla şeffaflığının sağlanmasıdır.
Bu politika hükümlerinin kapsamı doğrudan veya dolaylı olarak verilerini işlediğimiz kişilerin bütün kişisel verileridir.
1.3. MEVZUATIN UYGULANMASI
Yürürlükte bulunan mevzuat ve politikamız arasında uyumsuzluk bulunması halinde yürürlükte olan mevzuat öncelikli olarak uygulanacak olup bu temel politikanın dışında daha özel amaçlar için aynı konuda oluşturulan başka politika veya düzenleme bulunması halinde öncelikle özel hükümler içeren maddeler uygulanır. Diğer politika ve dokümanların bu politika ve ilgili mevzuat ile çelişen hükümleri uygulanmaz.
BÖLÜM 2: KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
- Hukuka ve Dürüstlük Kurallarına Uygun Olması
Kişilerin verileri işlenirken işlenme sürecinde veriler hukuka ve dürüstlük kurallarına uygun olarak elde edilmeli ve işlenmelidir. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği verileri işlerken hukuka ve dürüstlük kurallarına uygun bir şekilde azami hassasiyet ve kontrol ile verileri işlemektedir.
2.1.2 Doğru ve Gerektiğinde Güncel Olması
İşlenen verilerin doğru olması ve şahısların verileri hakkında güncellik gerektiğinde güncel olması gerekmektedir. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği işlenen verilerin doğruluğunu her işleme seviyesinde kontrol etmekte ve gerektiğinde güncel olması için gerekli hazırlıkları yapmaktadır.
2.1.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi
Verilerin işlenmesi esnasında hangi verilerin işlendiği belli ne kadarlık bir kısmının işlendiği açık ve ne amaçla işlendiği belli, hukuka uygun yani meşru olmalıdır. Birliğimiz sadece meşru amaçlar için verileri işlemekte bu işleme sırasında elde edilecek olan verilerin belirli olmasına özen göstermektedir. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği elde edilen bilgilerin farklı amaçlar için kullanılmaması ve yanlış anlaşılmaya sebebiyet vermemesi adına net, açık bir şekilde verileri işlemektedir.
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Verilerin işlenme amacına sadık, amaçla bağlantılı o amaçla sınırlı ve ölçülü bir şekilde kontrollü bir şekilde işlenmesi gerekir. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği veri işlerken yalnızca işlendikleri amaçla bağlı ve sınırlı olmak üzere ölçülü bir şekilde veri sahiplerinin verilerini işlemektedir.
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar
Muhafaza Edilme
İşlenen kişisel veriler ilgili mevzuattaki süreye veya ilgili amaçta belirtilen süreye uygun olarak azami koruma kastıyla hareket edilmesi gerekir. Bu kapsamda, birliğimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak kişisel verileri muhafaza etmektedir. Mevzuatta bir süre belirlenmemişse veya verilerin daha
uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Böylece veri sahiplerinin güvenlikleri azami seviyede sağlanmaktadır.(Ayrıntılı bilgi için bknz. Bölüm 6.4’e)
2.2 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- Kişisel verilerin işlenme şartları
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği veri sahiplerinin verilerini kanuna ve hukuka uygun bir biçimde aşağıda yer alan ilgili mevzuatın şartlarına uygun bir biçimde işlemektedir.
Genel Kişisel Verilerin İşlenme Şartları
Genel Nitelikli Veri Kavramı: Bu bölümde belirtilen özel nitelikli veri kategorisine girmeyen birliğimiz tarafından işlenen her türlü kişisel veri kavramı genel nitelikli kişisel veri kategorisini oluşturmaktadır.
Genel Şart: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
İstisnalar: Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- a) Kanunlarda açıkça öngörülmesi.
- b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması.
- c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları
Özel Nitelikli Veri Kavramı: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Genel Şart: Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
İstisnalar ve Özel Durumlar: Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
- Birliğimiz özel sağlık problemlerinin kayıtlarının tutulması hususunda özel nitelikli verileri işleyip, saklarken ilgili veri sahiplerinin açık rızalarını almaktadır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Kişisel Verileri Koruma Kurumu Kurulu Şartları: Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
BÖLÜM 3: KİŞİSEL VERİLERİN KORUNMASI
3.1. KİŞİSEL VERİLERİN GÜVENLİĞİ
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği Kişisel Verilerin Korunması Kanunu’nun 12. maddesi1 gereğince, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre her türlü teknik ve idari tedbirler alınmaktadır. Veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel veriler, bu kanun hükümlerine aykırı olarak başkalarına açıklanamaz ve işleme amacı dışında kullanılamaz.
Teknik konularla ilgili birlik personeline gerekli eğitim verilmiştir; bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülmektedir. Böylece birlik bünyesinde bilgili
1 MADDE 12-
(1)Veri sorumlusu;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
personel istihdamı sağlanmıştır. Birliğimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık birliğimiz bu konuda koordine halinde çalışmaktadır.
3.1.1. Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Tedbirler
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik ve idari tedbirler:
- Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri teknik sistemlerle denetlenmekte ve ilgili kişilere raporlandırılmaktadırlar.
- Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun’un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir departman ve ilgili birimin yürütmüş olduğu faaliyet özelinde
- Hukuka uygunluğun sağlanması ve ilgili departmanlar için hazırlanan prosedüre uyulması devamlılığı ve denetimi idari tedbirler, birlik içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
3.1.2. Hukuka Aykırı Erişimini Engellemek İçin Alınan Tedbirler
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliğine göre teknik ve idari tedbirler almaktadır.
birliğimizce kişisel verilerin hukuka aykırı erişimini engellemek için alınan başlıca teknik ve idari
tedbirler:
- Erişim ve yetkilendirme teknik çözümleri ile alınan teknik önlemler periyodik olarak raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir. Loglama, virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda bilgili personel istihdam
- İş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak birlik içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
- Çalışanlar, öğrendikleri kişisel verileri, Kişisel Verileri Koruma Kanunu hükümlerine ve sair ilgili tüm mevzuata aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ilişkin hükümleri eklenmekte ve/veya karşılıklı mutabakat metinleri imzalanmaktadır.
3.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması Konusunda Alınan Tedbirler
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli teknik ve idari tedbirleri almaktadır.
Birliğimizce kişisel verilerin güvenli ortamlarda saklanması için alınan başlıca teknik ve idari
tedbirler:
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Teknik konularda uzman personel istihdam
- Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun
bir biçimde yedekleme programları kullanılmaktadır.
- Dijital olmayan veriler kilitli dolaplarda tutulmak suretiyle sadece
yetkilendirilmiş kişiler tarafından erişilebilecektir.
3.2. DENETİM
Kişisel Verileri Koruma Kanunu’nun 12. maddesinin 3. fıkrası2 gereğince veri sorumlusu, kendi kurum veya kuruluşunda, bu kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
3.2.1. Kişisel Verilerin Korunmasında Alınacak Tedbirlerin Denetimi
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği ve anlaşmalı hukuki danışmanlık birliğimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve/veya yaptırır.
2 (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
Bu denetim sonuçları birliğimizin iç işleyişi kapsamında konu ile ilgili departman veya yönetime raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler Kişisel Verileri Koruma Kanunu ve sair mevzuat ve işbu birlik politikasına uygun şekilde yürütülmektedir.
3.2.2. İş Birimlerinin Kişisel Verilerinin Korunması ve İşlenmesi Konusunda Farkındalıklarının Artırılmasının Denetimi
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin korunmasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini yürütülen eğitimler, seminerler ve oturumlar aracılığı ile sağlamaktadır. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, ilgili mevzuatın güncellenmesine paralel olarak eğitimlerini güncellemekte ve yenilemektedir. Kişisel verilerin korunması konusunda farkındalığın oluşması için gerekli sistemler kurulmakta, konuya ilişkin denetimleri birliğimizin ilgili departmanı ve anlaşmalı hukuki danışmanlık birliğimiz yapmaktadır.
Kişisel verilerin korunması ve işlenmesi konusunda farkındalığın artırılmasına yönelik yürütülen eğitim sonuçları birliğimize raporlanmakta olup söz konusu eğitimlere katılım Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği tarafından zorunlu tutulmakta ve kontrol edilmektedir.
3.3. GİZLİLİK
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği kişisel verilerin kanun ve politika hükümlerine aykırı olacak şekilde açıklanmaları ve aktarımını, bu verilere erişimin sağlanmasını ve meydana gelebilecek diğer güvenlik eksikliklerinden kaynaklanan işlemleri önlemek adına, imkanlar dahilinde ve korunacak kişisel verinin niteliğine göre gerekli her türlü tedbiri almaktadır.
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği personeline bu konuda gerekli eğitimler verilmiş ve bu konuda bilgi sahibi personel istihdamı sağlanmıştır. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği tarafından kişisel veri işleme faaliyetleri ise detaylı şekilde ve periyodik olarak incelenmekte ve denetlenmektedir. Teknolojinin imkan verdiği takdirde kişisel verilerin işlenmesi faaliyetlerinde gerekli önlemler alınır ve alınan önlemlerin güncellenmesi ve iyileştirilmesi esastır. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği ilgili departmanı ve anlaşmalı hukuki danışmanlık birliğimiz bu faaliyetleri yürütülmesinde ve denetlenmesinde koordine edilmiş şekilde çalışmaktadır.
3.4. KİŞİSEL VERİLERİN YETKİSİZ İFŞASI
Kişisel verilerin yetkisiz ifşasına ilişkin suçlar bakımından 5237 sayılı Türk Ceza Kanunu’nun 135 ila 140. madde hükümleri ve ilgili bütün mevzuat uygulanır. İlgili bütün mevzuatın hükümleri birlikçe çalışanlara ve ilgili kişilere bildirir. Hukuka aykırı olarak kişisel verileri kaydetme,
kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme, kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmeme ve Kişisel Verileri Koruma Kanunun 7. maddesi3 hükmüne aykırı olarak; kişisel verilerin saklanmasını veya işlenmesini meşru kılan sebeplerin ortadan kalkmasına rağmen kişisel verileri silmeyen veya anonim hâle getirmeyen gerçek kişiler Türk Ceza Kanununun 138. maddesine göre hapis cezası ile cezalandırılır. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Türk Ceza Kanunu’nda yapılan düzenlemelere göre kişisel verileri hukuka aykırı olarak bir başkasına veren, bu verileri hukuka aykırı olarak yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılmakla birlikte belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle bu suçu işleyen kişi cezanın nitelikli halinden cezalandırılır. Kişisel veriyi işleme yetkisi olmadan verileri görüntüleme, elde etme veya hack suçunu işleyen birlik çalışanı, gecikmeksizin kişisel veri sahibine, savcılık ve ilgili makamlara bildirilecek ve hakkında gerekli işlemler yürütülecek ve suçun nitelikli halinden cezalandırılacaktır.
Kişisel Verileri Koruma Kanunu’nda Kabahatler başlığı altında düzenlenen hüküm gereğince aydınlatma yükümlülüğünü veya veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler, Kurul tarafından verilen kararları yerine getirmeyenler veya Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında da idari para cezaları uygulanır.
BÖLÜM 4: BİRLİK KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK
ORGANİZASYONEL TEDBİRLER
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği Kişisel Verilerin Korunması ile İşlenmesi Politikasının yürürlüğünü sağlamak için bir yönetim yapısı oluşturmaktadır.
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere komite kurulmaktadır. Kurulacak komitenin görevleri aşağıda belirtilmektedir. Komite, bu görevlerin dışında üst yönetimin vereceği diğer görevleri de yerine getirir. Komite tüm faaliyetlerini üst yönetimin onayı ile gerçekleştirmektedir.
- Kişisel Verilerin Korunması ve İşlenmesi ile ilgili temel politikaları ve gerekli olması halinde bu politikalar üzerinde yapılacak değişiklikleri hazırlamak,
3 MADDE 7- Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri
sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
- Kişisel Verilerin Korunması ve İşlenmesine ilişkin politikaların uygulanması ve uygulama takibinin ne şekilde yerine getirileceğine karar vermek,
- Birlik içi görevlendirmede bulunmak ve koordinasyonu sağlamak,
- Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve bu hususların uygulanmasını sağlamak,
- Kişisel Verilerin Korunması ve İşlenmesi konusunda Birlik içerisinde ve Birlik iş birliği yaptığı kurumlar nezdinde farkındalık yaratmak ve bu kapsamda eğitimler düzenlemek,
- Birliğin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek,
- Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek ve gerekli aksiyonları almak
İrtibat kişisi, anlaşmalı hukuki danışmanlık şirketi ve kurum ile kurulacak iletişim için Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği tarafından sicile kayıt esnasında bildirilen gerçek kişilerdir. Bu bildirilecek gerçek kişi veya kişiler birliğimiz bünyesinde bu işi yapmakla görevlendirilmiş departmanımız üyelerindendir.
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği Veri Sorumluları Sicili Yönetmeliğine göre irtibat kişisinin fonksiyonunu iletişim noktası olarak, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin hızlı ve etkin olarak cevaplandırılmasını sağlamak olarak sınırlandırmıştır. Bu yolla kişisel verileri işlenen veri sahiplerinin sorunlarına veya sorularına en hızlı ve açıklayıcı bir biçimde cevap verilmesi amaçlanmıştır fakat irtibat görevlisi hukuki açıdan veri sorumlusunu temsile yetkili değildir. Bu sebeple bilgi vermek haricinde, birlik ile veri sahibinin veya irtibat sorumlusu ile iletişime geçen ilgilinin sorularını hukuka uygun bir biçimde cevaplamak ve birliğimizi bu hususta bilgilendirmek haricinde bir görevi veya yetkisi bulunmamaktadır. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği irtibat sorumlusu tarafından bilgilendirildiği anda yine birliğimiz tarafından görevlendirilmiş yetkili departman veya kurum tarafından en kısa sürede sorunla ilgili işlemler yapılacak ve gereken prosedür yürütülecektir. Bu işlemler sırasında kişisel veri sahibi veya ilgili kişi bütün bu işlemler ve prosedürler ile ilgili bilgilendirilecek ve gerekirse birliğimiz yetkili departmanı veya kurumu tarafından kişisel veri sahibi veya ilgili kişilerle görüşmeler yürütülecektir.
BÖLÜM 5: KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Birliğimiz, KVK Kanunu’nun 10. maddesine4 uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir. |
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak (bkz. Bölüm 2/Başlık 2.1.5) politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarabilir:
Birliğin;
- İştiraklerine,
- Veri İşleyen Paydaşlarına (Veri Sahibine fayda sağlayan),
- Kurum Üst Yönetim ve Yetkililerine,
- Hukuken Yetkili kamu kurum ve kuruluşlarına
- Hukuken yetkili özel hukuk kişilerine
Aktarımda bulunulan yukarıda belirtilen kurum ve kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
|
Tanımı |
Veri Aktarım Amacı |
İştirakler |
Birlik tarafından iştirak edilmiş şirketler organizasyonel yapılar. |
Yasal mevzuatlar çerçevesinde üyelerinin menfaatleri doğrultusunda yapılan çalışmalarda kullanılmak üzere her türlü ticari ve organizasyonel çalışmaların yürütülmesini sağlamak amacıyla aktarım yapılmaktadır. |
Veri İşleyen Paydaşlarına |
Birlik ile iş ilişkisi bulunan kuruluşlar |
Birliğimiz ile üye menfaatlerine yönelik çalışma yapan kuruluşlara kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlıdır. (Örnek: OSB Yönetimleri, Bankalar) |
Kurum Üst Yönetim ve Yetkililerine, |
Birlik Yönetim Kurulu Üyeleri ve Meclis Üyesi gerçek kişiler |
İlgili mevzuat hükümlerine göre birliğin temsil faaliyetlerine ilişkin stratejilerin tasarlanması, en |
4 MADDE 10- (1)-c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
|
|
üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak aktarım yapılmaktadır |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuat hükümlerine göre birliğin bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak aktarım yapılmaktadır. |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine göre şirketten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak aktarım yapılmaktadır |
BÖLÜM 6: KİŞİSEL VERİLERİN SİLİNMESİ, SAKLAMA SÜRELERİ ve
VERİ ENVANTERİ
6.1. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği Yükümlülüğü
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, 6698 sayılı Kişisel Verilerin Korunması Kanunu madde 7 ve 5237 sayılı Türk Ceza Kanunu madde 138’deki açıklamalara uygun olarak işlenilmiş ve akabinde işleme ve saklama amacı ortadan kalkmış kişisel verileri Türk Ticaret Kanunu’ndan kaynaklanan haklara, ilgili bütün mevzuat hükümlerinin vermiş olduğu haklara ve işbu politikada belirlenen esaslara(bkz. bölüm 2.2.1 (e) ve (f) ) istinaden vereceği karar ile veya birliğimizin kurumsal menfaatlerine zarar getirmeyecek şekilde veri sahibinin açık talebiyle, Kişisel Verilerin Korunması Kanunu madde 7 de belirtildiği gibi siler veya yok eder veya anonimleştirilir.
6.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale getirilmesi
- Kişisel Verilerin Silinmesi ve Yok Edilmesi
Kişisel verilerin silinmesi, yönetmeliğin 8.maddesinde ‘’kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
Kişisel verilerin yok edilmesi, yönetmeliğin 9.maddesinde ‘’kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir’’ şeklinde tanımlanmıştır.
6.2.2. Kişisel Verilerin Silinme Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri(Office 365,Salesforce vs.)
Bulut sistemindeki veriler silme komutu verilerek silinir. Anılan işlem gerçekleşirken ilgili
kullanıcı bulut sistemi üzerinde silinmiş verileri geri getirme yetkisine sahip değildir.
b) Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma yöntemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülmeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcıların görünemez hale getirilmesi şeklinde yapılır.
c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılmasıdır.
ç) Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
d) Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı ilgili yasal mevzuatlar çerçevesinde saklanır. Yasal mevzuatlar dışında işlenmek üzere toplanan ve veri tabanına işlenmiş diğer bilgiler gerekli veri tabanı komutları ile silinir. Anılan işlemi gerçekleştiren ilgili kişi veri tabanı yöneticisi değildir.
6.2.3. Kişisel Verilerin Yok Edilmesi Yöntemleri
a) Fiziksel Olarak Yok Etme
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılmayacak biçimde fiziksel olarak yok edilmesi uygulanmaktadır.
b) De-manyetize Etme
Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin anlaşılamaz ve okunamaz bir hale getirilme işlemidir.
c) Kağıt Ortamları
Bu ortamdaki yok etme işlemleri kağıtların imha ve kırpma makineleri ile anlaşılmaz boyutlara getirilerek yok edilmesi yöntemidir.
6.2.4. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, yönetmeliğin 10.maddesinde ‘’kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. ’’şeklinde tanımlanmıştır.
6.2.4.1. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
a) Maskeleme Yöntemi (Masking)
Verileri işlenen veri sahiplerinin belirgin sıfatlarının veya özelliklerinin çıkarılarak veya silinerek sağlanan bir anonim hale getirme yöntemidir.
Örnek: Kişisel Veri Sahibinin tanımlanmasını sağlayan T.C. Kimlik No vb. gibi bilginin çıkartılması yoluyla veri sahibinin tanınmasının engellenmesi. |
b) Veri Karma Yöntemi (Data Shuffling, Permutation)
Bu yöntemle sistem içerisinde verileri olan veri sahiplerinin bilgilerinin bir kısmının yerini değiştirerek verileri anonim hale getirmek amaçlanmaktadır
Örnek: Çalışan bilgilerinde ana kategori olarak değerlendirilen verilerin yanında alt değerli bilgilerin yer değiştirilmesi suretiyle Kişisel Veri Sahibinin tanınmamasını sağlama. |
c) Veri Türetme Yöntemi(Data Derivation)
Sistemde içerisinde yer alan verilerde bulunan değişkenlerde belli ölçülerde ekleme veya çıkarma yapılarak bilgilerin tespit edilemeyecek veya tanımlanamayacak hale gelmesi sağlanır.
Örnek: Verisi işlenen kişisel veri sahibinin ikametgahının detaylı açıklanmasının yerine yaşadığı mahalle veya ilçenin belirtilmesi. |
d) Toplulaştırma Yöntemi(Aggregation)
İlgili kişisel veriyi özel bir değerden genel bir değere çevirme yöntemidir. Bu yöntemle veriler genelleştirilmekte ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek: Çalışanların yaşadığı mahallelerin tek tek sayılması yerine X mahallesinde Y kadar çalışanın yaşadığının belirtilmesi. |
6.2.4.2. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği Anonim Hale Getirme Yöntemini Seçme Usulü
Yukarıda açıklanan anonimleştirme yöntemlerinden bir veya birkaçı, ilgili bütün mevzuat ve Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği’nin kurumsal menfaatleri doğrultusunda, oda tarafından işbu politikanın yürürlüğünü sağlamak için oluşturulan koordinatör tarafından seçilecektir. Koordinatör ile ilgili ayrıntılı bilgiler daha önceki bölümde açıklanmıştır. ( bkz. bölüm 4)
Seçilecek anonim hale getirme yöntemi, koordinatör tarafından aşağıda sayılan hususlar dikkate alınarak belirlenecektir:
- Verinin niteliği
- Verinin büyüklüğü
- Verinin fiziki ortamlarda bulunma yapısı
- Verinin çeşitliliği
- Verinin işlenme amacı
Anonim Hale Getirme işlemi işbu politikanın saklama süreleri ve kişisel veri envanteri bölümlerinde belirtilen esaslara paralel olarak gerçekleştirecektir.
6.3. SAKLAMA SÜRELERİ
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, ilgili bütün mevzuatta belirlenen sürelere uygun olarak, veri envanterinde kişisel verileri saklamaktadır.
Bu süreleri ilişkin ilgili mevzuatta belirlenen herhangi bir sürenin bulunmaması durumunda Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği ilgili kanun ve yönetmeliklerden kaynaklanan teamüller ve kanun ve mevzuata uygun olmak şartıyla birliğimizin kanuni yükümlülüklerine uygun olarak belirlediği süreler içerisinde kişisel verileri saklamaktadır, saklama işlemine gerek kalmadığı durumlarda yukarıda açıklanan şekillerde silinir veya yok edilir veya anonimleştirilir.
Kişisel verilerin işleme ve saklama amacı ortadan kalkmış ve kişisel verilere ilişkin ilgili bütün mevzuatta ve birliğimiz tarafından işbu politikada belirlenen esaslara (bkz. bölüm 2.2.1 (e) ve (f)) istinaden belirlenen süreler geçmiş ise ileride doğabilecek her türlü hukuki uyuşmazlıklarda kullanılmak amacıyla da kişisel veriler saklanabilmektedir. Bu kısımda belirtilen kişisel veriler sadece hukuki uyuşmazlıklarda kullanılmak üzere saklanır ve başka herhangi bir amaç için kullanılamaz. Yukarıdaki açıklamalar doğrultusunda Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği tarafından, öngörülebilecek bütün önlem ve tedbirler alınmaktadır.
Örneğin, İşyerinden ayrılan çalışan aleyhine, sözleşmenin haksız feshedilmesinden kaynaklı açılacak davada yetkili mahkemenin belirlenmesi amacıyla çalışanın yerleşim bölgesinin tespitinin yapılması için veri sisteminde bulunan bilgilerin kullanılması bu kapsamda değerlendirilebilir. (Yukarıdaki açıklamaların kapsamı verilen örnek ile sınırlı değildir.)
6.4. KİŞİSEL VERİ ENVANTERİ
KVKK ve Veri Sorumluları Sicili Hakkında Yönetmelik’e uygun olarak Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği bünyesinde bulunan her departmanda ayrı ayrı işlenen verilerin toplandığı ve yukarıda açıklandığı şekillerde silme, yok etme, anonimleştirme işleminin mevzuata ve kurumsal politikasına uygun olarak gerçekleştirildiği ve gerektiğinde KVK Kurumuna ibraz edilebilen datayı (Word, excel vs.) ifade etmektedir.
Yönetmelikteki tanıma göre bir kişisel veri envanterinde bulunması gerekenler:
- Kişisel veri işleme amaçları
- Veri Kategorisi
- Aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirilerek oluşturulan ve kişisel verilerin işlenmesi için gerekli olan azami süreler
- Yabancı ülkelere aktarımı öngörülen kişisel süreler
- Veri güvenliğine ilişkin alınan tedbirler
Yukarıda belirtilen kriterler göz önüne alınarak kişisel verilerle ilgili olarak bu verilerle yapılacak işlemlere ilişkin bilgiler ilgili envanterde toplanacaktır. Envanter içeriği, birliğimizin kanuna ve mevzuata uygun olarak kendi menfaatleri doğrultusunda Word, Excel gibi dijital ortamlarda saklanabileceği gibi dijital ortamlarda saklanması mümkün olmayan içerik kağıt ortamlarında da saklanabilmektedir.
Bölüm 6 da açıklanan kişisel verileri silme, yok etme, anonimleştirme işlemleri Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği tarafından veya birliğimizin yetki verdiği bir görevli tarafından kişisel veri envanterinde gerçekleştirilir.
6.4.1.Kişisel Veri Envanterinin Hazırlanışı
Kişisel Veri Envanterinin hazırlanılış usulüne ilişkin ilgili mevzuatta hüküm varsa kişisel veri envanteri bu hükümler doğrultusunda Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği hazırlanacaktır.
Kişisel Veri Envanterinin hazırlanış usulüne ilişkin ilgili mevzuatta hüküm olmadığı durumlarda birliğimiz, kendi iç çalışma disiplini, iş çalışma süreçlerini de dikkate alarak kişisel veri envanterini hazırlama hususunda hangi usulü seçeceği konusunda serbesttir.
BÖLÜM 7: VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASINA İLİŞKİN KURALLAR
7.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kişisel Verileri Koruma Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak birliğimize iletmeleri durumunda birliğimiz talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi hâlinde, birliğimiz tarafından başvuru sahibinden Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kişisel Verileri Koruma Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle
kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına
Kişisel Verileri Koruma Kanunu’nun 13. maddesi5 gereğince, kişisel veri sahiplerinin yukarıda belirtilen haklarını kullanmakla ilgili taleplerini “yazılı” veya Kişisel Verilerin Korunması Kurulu’nun belirlediği diğer yöntemlerle Birliğimize iletmeleri gerekmektedir.
5 MADDE 13- İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen
tarifedeki ücret alınabilir.
Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
7.1.1. Kişisel Verilere Erişim Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerine erişim hakkı bulunmaktadır. Birliğin veriyi tutmasında meşru hakkı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat kapsamında korunur; değiştirme ve silme hakkı gözetilir. Diyarbakır Esnaf ve Sanatkarlar Odaları Birliği;
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerinin aktarıldığı üçüncü kişileri bilme isteğinde bulunma hakkı olduğu bilgisini
7.1.2. Kişisel Verilerini Değiştirme veya Sildirme Hakkı
İlgili kişilerin bir ücrete tabi olmadan kişisel verilerini değiştirme veya sildirme hakkı bulunmaktadır. Bu kapsamda yasal mevzuatlar gereği toplanan veriler dışında toplanan bilgi ile ilgili kişinin;
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
- Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel
verilerin silinmesini veya yok edilmesini isteme,
- Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme ve
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonu&cc