EN

Politikalar



KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. Amaç

İşbu kişisel verilerin işlenmesi ve korunması politikası (“Politika”), Vakfımızın, kişisel verilerin işlenmesi faaliyetleri ile bu verilerin işlenmesine dair yürürlükteki mevzuata uyumunu sağlamak üzere belirlemiş olduğu politikaları düzenlemektedir.

2. Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim hale getirme: Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.

İkincil Mevzuat: Kanun uyarınca, Kişisel Verileri Koruma Kurumu tarafından çıkarılan ya da alınan herhangi bir yönetmelik, genelge, tebliğ, ilke kararı veya benzeri bir idari karar ya da genel görüş anlamına gelir.

İlgili Kullanıcılar: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.

Kanun: 6698 Sayılı Kişisel Verilen Korunması Kanunu’nu ifade eder.

Kişisel Veri/ler: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Verilerin işlenmesi: Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.

Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Sicil: Veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemi olan Veri Sorumluları Sicili’ni ifade eder.

Silme: Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

Silme ve İmha Politikası: Vakıf’ın, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik çerçevesinde hazırladığı, silme ve imhaya ilişkin usul ve esasları düzenleyen politikayı ifade eder.

Vakıf: Suna ve İnan Kıraç Vakfı’nı ifade eder.

VERBİS: Veri Sorumluları Sicil Sistemi

Veri İşleyen: Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veriler’i işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Koruma Komisyonu: Vakıf’ın Kişisel Verilerin Korunması Komisyonu’nu ifade eder.

Veri Sahibi: Kanunda “İlgili Kişi” olarak tanımlanan Veri Sahibi, Kişisel Verisi işlenen gerçek kişiyi ifade eder. Veri Sahipleri, müşterileri, internet kullanıcılarını, iletişim, elektronik posta ve pazarlama veri tabanı listelerindeki bireyleri, çalışanları, sözleşme taraflarını ve tedarikçileri de kapsar.

Veri Sorumlusu: Kişisel Verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesini ifade eder.

3. Kapsam

Vakıf bünyesindeki kişisel veriler, Veri Sorumlusu olan Vakfın koruması altındadır. Vakıf, Kanun çerçevesinde Kişisel Veriler’in hukuka uygun olarak işlenmesini ve güvenli şekilde muhafazasını sağlamak için teknolojik ve alt yapısal imkânlarını kullanarak, gerekli teknik ve idari tedbirleri almaktadır. Vakıf Kişisel Veriler’in korunması ve işlenmesi ile ilgili, anlayış, politika ve prosedürlerin esaslarını oluşturmak adına bu Politika’yı benimsemiştir.

4. Esaslar

4.1. Kişisel Veriler’in İşlenmesinde Uyulacak İlkeler

  • Kişisel Veriler, Sadece Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmektedir.

    Vakıf, Kişisel Veriler’in işlenmesinde hukuka ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda, Vakıf, Kanun ile getirilen kurallara uygun olarak Kişisel Veriler’i işlemektedir. Ayrıca Vakıf Kurul tarafından zaman zaman yayınlanacak İkincil Mevzuat ile veri işleme faaliyetlerine dair getirilecek düzenleme ve kararları takip etmekte ve uyum sağlamaktadır.

  • Kişisel Veriler, Doğru ve Gerektiğinde Güncel Olmalıdır.

    Vakıf; işlediği Kişisel Veriler’in doğru ve gerektiğinde güncel olmasını sağlamak için gerekli tedbirleri almaktadır. Vakıf, Kişisel Veriler’in doğru ve güncel tutulabilmesini teminen; Kişisel Veriler’in elde edildiği kaynakları belirlemekte, kişisel verilerin toplandığı kaynağın doğruluğunu test etmekte, Kişisel Veriler’in doğru olmamasından kaynaklı talepleri göz önünde bulundurmakta ve bu kapsamda makul önlemleri almaktadır.

  • Kişisel Veriler Belirli, Açık ve Meşru Amaçlar İçin İşlenmelidir.

    Vakıf veri işleme amacını açık ve kesin olarak belirlemekte ve yalnızca meşru amaçlarla Kişisel Veri işlemektedir. Vakfın işlediği Kişisel Veriler yapmakta olduğu iş ile bağlantılı ve gereklidir.

  • Kişisel Veriler, İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmelidir.

    Vakıf, Kişisel Veriler’i ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Vakıf öncelikle ilgili mevzuatta Kişisel Veriler’in saklanması için bir süre öngörülmüşse, bu süreler ile sınırlı olarak Kişisel Veriler’i muhafaza etmektedir.

    Ancak Vakıf farklı mevzuatlara tabi olarak Kişisel Veriler’in korunması gerekebileceği özellikle dava zamanaşımı süreleri de dikkate alınarak, Vakıf, çalışanlarının ve müşterilerinin hak kaybına sebebiyet vermeyecek şekilde verilerin muhafazası için azami muhafaza süreleri esas almaktadır. Mevzuatta bir süre belirlenmemişse veya verilerin daha uzun süre tutulmasını gerektiren hukuki bir sebep bulunmuyorsa, Vakıf Kişisel Verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.

    Bunlara ek olarak, Vakıf İmha Politikası’nda verilerin muhafazasına dair öngörülen kural ve prosedürlere de uymaktadır.

4.2. İşleme Şartları

4.2.1 Kişisel Veriler’in İşlenmesi

Kişisel Veriler, Kanun’da belirtilen Kişisel Veriler’in hukuka uygun işleme şartlarından bir veya birkaçına dayalı ve Kanun ile getirilen düzenlemelere uygun olarak işlemektedir.

Bu kapsamda:

  • Kişisel Veriler, Veri Sahibi’nin Açık Rıza’sı ile işlenebilir.
  • Aşağıdaki şartlardan birinin varlığı halinde, Veri Sahibi’nin Açık Rıza’sı aranmaksızın da Kişisel Verileri’nin işlenmesi mümkündür:
    • a. Kanunlarda açıkça öngörülmesi;
    • b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması;
    • c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in işlenmesinin gerekli olması;
    • d. Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması;
    • e. Veri Sahibi’nin kendisi tarafından alenileştirilmiş olması;
    • f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
    • g. Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Vakıf tarafından verisi işleyen tüm veri grupları için hukuka uygunluk sebepleri belirlenmiş, hukuka uygunluk sebeplerinin bulunmadığı iş süreçleri için Açık Rıza metinleri hazırlanmıştır.

4.2.2. Özel Nitelikli Kişisel Veriler’in İşlenmesi

Kanun, Özel Nitelikli Kişisel Veriler’in işlenmesi için Normal Nitelikli Kişisel Veriler’den farklı koşullar belirlemiştir. Bu kapsamda:

  • Özel Nitelikli Kişisel Veriler, Veri Sahibi’nin Açık Rızası ile işlenebilir.
  • Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir) kanunlarda öngörülen hallerde kişinin Açık Rıza’sı aranmaksızın işlenebilir.
  • Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kişinin Açık Rızası aranmaksızın işlenebilir.

4.3 Rıza

  • Geçerli olması için rızanın bilgilendirilmeye dayanması, açık olması ve özgür iradeyle açıklanmış olması gerekmektedir.
  • Veri Sahibi’nin, işlemeyle alakalı bütün konularda açık ve anlaşılır şekilde bilgilendirilmesi gerekir. Verilen bu bilgi ortalama bir bireyin anlayabileceği bir dilde anlaşılabilir ve kolayca erişilebilir olmalıdır.
  • Açık Rıza, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilmelidir.
  • Açık Rıza yazılı olarak alınabileceği gibi elektronik ortamda da alınabilir.
  • Rıza, Veri Sahibi tarafından her zaman geri alınabilir.
  • Açık Rıza alınması gereken durumlar Vakıf tarafından belirlenmiştir. Veri Koruma Komisyonu Açık Rıza metinlerinin ilgili departmanlar tarafından düzenli olarak alınmasını ve arşivlenmesini sağlar.

4.4 Kişisel Veriler’in Aktarılması

4.4.1 Kişisel Veriler’in Üçüncü Kişilere Aktarılması

Kişisel Veriler, aşağıdakilerin herhangi birinin geçerli olduğu hallerde aktarılabilir:

  • a) Veri Sahibi’nin söz konusu aktarıma Açık Rıza vermesi,
  • b) Aktarımın kanunlarda açıkça öngörülmesi,
  • c) Aktarımın fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • d) Aktarımın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler’in İşlenmesi’nin gerekli olması,
  • e) Aktarımın Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • f) Veri Sahibi’nin kendisi tarafından alenileştirilmiş olan verilerin aktarılması,
  • g) Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • h) Aktarımın, Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için zorunlu olması.
  • i) Yeterli önlemler alınmak kaydıyla, sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin Açık Rıza’sı aranmaksızın aktarılabilir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından Veri Sahibi’nin Açık Rızası aranmaksızın işlenebilir.

4.4.2 Kişisel Veriler’in Yurt Dışına Aktarılması

Vakfımız işlemekte olduğu Kişisel Veriler’i, yukarıda 4.4.1’de belirtilen şartlara tabi olarak, yurt dışında yerleşik üçüncü kişilere aktarabilmektedir. Ancak Kişisel Veriler, Kanun’a uygun olarak, Veri Sahibi’nin aktarıma Açık Rıza vermiş olduğu haller hariç olmak üzere, sadece Kurul tarafından yeterli korumaya sahip olduğu ilan edilecek olan yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumluları’nın yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılmaktadır. Bu kapsamda yurt dışında mukim 3. Kişiler ile Vakfımız arasında Standart Sözleşme imzalanmakta ve bu Sözleşmeler Kurul’a sunulmaktadır.

Yurt dışına aktarımlara, kullandığımız programların ve uygulamaların (Google Drive, Microsoft Outlook, Office etc.) sunucularının yurt dışında olduğu durumlar da dâhildir.

4.5. Vakıf içi Faaliyetlerinin İzlenmesi

Vakıf tarafından güvenliğin sağlanması amacıyla, Vakıf’a ait çalışma alanlarında ve müze girişlerinde kapalı devre kamerayla izleme faaliyeti ile çalışan, müşteri, ziyaretçi gibi kişilerin kişisel verileri işlenmektedir. Vakıf bu kapsamda belirlediği amaçları ilgili kişilere usulünce açıklar. Vakıf, genel hususlara ilişkin olarak yaptığı aydınlatmanın yanı sıra kapalı devre kamera ile izleme faaliyetine ilişkin uygun göreceği farklı yöntemle ile de bildirimde bulunur. Kapalı devre kamera ile izleme faaliyeti kapsamında işlenen kişisel veriler, en fazla 3 ay süreyle muhafaza edilir.

Ayrıca, güvenlik amacıyla Vakfın merkezine ve müzeye girişlerde kimlik kontrolü yapılır ve ziyaretçi defteri tutulur. Bu kapsamda kişisel verilerin işlenmesi ve güvenliği ile ilgili gerekli önlemler alınır. Misafir olarak Vakıf işyerlerine gelen kişilerin isim ve soyisimleri ile araç plakaları elde edilirken ya da Vakıf nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

Vakıf tarafından, talep eden ziyaretçilere Vakıf işyerleri içerisinde kaldıkları süre boyunca internet erişimi sağlanabilir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınır; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Vakıf içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüklerin yerine getirilmesi amacıyla işlenebilir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Vakıf çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Vakıf çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Erişim yetkilendirmesi Veri Koruma Komisyonu tarafından yapılır.

4.6. Kişisel Veriler’in Elde Edilmesi Esnasında Aydınlatma

Veri Sahibi’nin Kişisel Veriler’inin işlendiği her anda veya işlendiği anı takip eden ilk fırsatta Veri Sahibi’ne veri işleme faaliyetine ilişkin Aydınlatma yapılır. Bu kapsamda, aşağıdakiler dahil, ancak bunlarla sınırlı olmamak üzere,

  • Veri Sorumlusu’nun adı/ünvanı ve adresi ve olması durumunda Veri Sorumlusu’nun temsilcisinin adı ve adresi
  • Veri işlemenin amacı(amaçları)
  • Veri aktarımının amacı ve kimlere veri aktarılacağı,
  • Veri toplama yöntemi ve hukuki sebebi,
  • Veri Sahibi’nin veriye erişim, verinin bir kopyasını alma, veriyi silme ve düzeltme hakkı gibi Kanun’da sayılan hakları ve bu hakların kullanılmasının yöntemleri
  • İşlenen verinin türü

Veri Sahibi’ne açıklanacaktır.

Aydınlatma sözlü, elektronik olarak, sözlü veya yazılı olarak yapılabilir. Bilgilendirmenin sözlü yapıldığı durumlarda, açıklamaları yapan kişinin Vakıf veya Veri Koruma Komisyonu tarafından önceden onaylanmış uygun bir yazılı metin veya form kullanması gerekmektedir. Alındı belgesi veya form açıklamanın metodunu, içeriğini, tarihini ve olayı belirleyen eşzamanlı bir kayıt ile birlikte saklanmalıdır.

Eğer başlangıçta yapılan açıklama yetersiz olursa, daha sonra ek açıklamalar yapılabilir ve bu ek açıklamalara ilişkin olay, tarih, içerik ve yöntem kaydedilir.

4.7. Kanuna Uyumlu Olmayan Yeni Faaliyetlerden Kaçınma

Kural olarak, Vakıf tarafından Veri Koruma Komisyonu’nun onayı alınmadan yeni veya genişletilmiş Kişisel ve/veya Özel Nitelikli Kişisel Veri elde etme veya işleme faaliyetleri gerçekleştirilmeyecektir. İlgili tüm departman ve yöneticileri ile, Veri Koruma Komisyonu ve diğer departmanlarla uyum içinde çalışmaya gayret edecekler, Kanun’a uyumlu olmayan yeni faaliyetlerden kaçınacaklardır.

4.8 Veri Sahibi’nin Hakları

Vakıf, Veri Koruma Komisyonu aracılığıyla Veri Sahibi’nin Kanun’un 11. maddesinde sayılan haklarını kullanmasını sağlamak, bunu kolaylaştırmak ve Kişisel Veriler’in uygunsuz ifşası halinde buna dair ilgililere bilgi vermek adına, kendi politika ve uygulamalarıyla uyumlu bir sistem kuracaktır.

Veri Sahibi, Vakıf ve Veri Koruma Komisyonu tarafından belirlenen politika ve prosedürlere uygun olarak yapılmış bir talep ile kendi Kişisel Verileri hakkında:

  • Vakıf’ın Veri Sahibi hakkında Kişisel Veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek,
  • Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek,
  • Kişisel Veriler’in yurt içi veya yurt dışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek

hakkına sahiptir.

Veri Sahibi’nin, ayrıca Vakıf’tan yanlış ve eksik Kişisel Veriler’ini düzeltmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkı vardır.

Veri Sahibi, Kanun’un 7. maddesi uyarınca, Kişisel Veriler’inin işlenmesini gerektiren sebeplerin ortadan kalkması halinde verilerinin silinmesini ve yok edilmesini Vakıf’tan talep edebilir.

Veri Sahibi tarafından yukarıdaki hakların kullanılması için Vakıf’a yapılacak olan tüm talepler yazılı olarak Vakıf internet sitesinde sunulan başvuru formu doldurularak yapılmalıdır.

Kişisel Veriler’e erişim için Veri Sahibi’nden bir talep alan tüm iş birimleri bu talepleri Veri Koruma Komisyonu’na bildirecektir.

Vakıf burada söz edilen talepleri alındığı zaman kaydetmek ve cevap veriliş tarihlerini tespit etmek adına bir sistem kuracaktır.

Yürürlükteki yasa ve yönetmelikler aksini gerektirmedikçe, Vakıf, yukarıda yer aldığı şekilde yapılan bir bilgi talebine, Veri Sahibi’nden yazılı talep aldığı tarihten ve talep edenin kimliğini ispat eden Veri Sahibi veya yetkili bir yasal temsilci olduğunun uygun bir şekilde teyit edilmesinden itibaren 30 gün içinde cevap verecektir. Tamamlanmamış, anlaşılmayan veya okunamayan talepler Vakıf tarafından dikkate alınmayacaktır. Böyle bir durumda Vakıf, başvuru sahibine, başvurunun işleme konulmamasına ilişkin 30 gün içerisinde bilgi verecektir.

Vakıf belirtilen sürede talebe tam olarak cevap veremezse dahi, Veri Koruma Departmanı herhalükarda söz konusu 30 günlük süre içinde aşağıdaki bilgileri Veri Sahibi’ne sağlamalıdır:

  • Veri sahibi’nin talebinin alındığına dair bir teyit,
  • O zamana kadar, yöneltilen talebe dair cevap niteliğinde toplanmış bulunan tüm bilgilere dair açıklama,
  • Veri Sahibi’nin talep ettiği bilgi veya değişikliğe dair Vakıf tarafından verilemeyecek ya da gerçekleştirilemeyecek olanlara dair açıklama, Veri Sahibi’nin talebini red sebebi (sebepleri) ve varsa Vakıf içinde karar itiraz prosedürlerine dair açıklama
  • Yürürlükteki kanun ve yönetmeliklerin Veri Sahibi’ninin bu konudaki yükümlülüğünü engellemediği sürece Veri Sahibi tarafından, varsa, ödenecek bedelin tebliği veya bedelin tahmini.

4.9 Kişisel Veriler’in Saklanması, Silinmesi, Yok Edilmesi ve Anonimleştirilmesi (“Kişisel Veriler’in Saklanması ve İmhası”)

Kişisel Veriler’in saklanmasına ve imhasına ilişkin usul ve esaslar, kişisel verilerin saklama süreleri ile birlikte Vakıf’ın Saklama ve İmha Politikası’nda yer almaktadır.

Vakfımız, Kanun’da yer alan prensiplere uygun olarak işlemekte olduğu Kişisel Veriler’i mevzuatlarda öngörülen süre boyunca saklamaktadır. Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmemişse, Kişisel Veriler işlendikleri amaç sona erene kadar muhafaza edilmektedir.

Mevzuatta ilgili Kişisel Veri kategorilerinin saklanması için belirli bir süre öngörülmediği durumda, her veri işleme amacına özgü olarak saklama süreleri belirlenmektedir. Bu kapsamda saklama süreleri, Vakfımızın uygulamaları ve ticari yaşamının gereklilikleri dikkate alınarak belirlenmektedir.

Kişisel Veriler; işleme amacı dışında olası hukuki uyuşmazlıklarda delil teşkil etmesi, Kişisel Veri ile ispat edilebilecek bir hakkın ileri sürülebilmesi, savunmanın tesis edilmesi ve yetkili kamu kuruluşlarından gelen bilgi taleplerinin yanıtlandırılması amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile Vakıf’ın faaliyetlerine uygulanan mevzuattan kaynaklanan saklama yükümlülükleri, taraf olduğu sözleşmeler ve tabi olduğu uluslararası düzenlemeler, dikkate alınmaktadır.

Vakıf, belirtilen süreler sona erdiğinde makul surette mümkün olan ve uygun şekilde ilgili Kişisel Veriler’i imha etmek için gerekli işlemleri yürütmektedir. Ayrıca, Vakıf resen veya duruma göre, Veri Sahibi’nin talebi üzerine, Kişisel Veriler’i silebilir, yok edebilir veya anonim hale getirebilir. Vakıf, Veri Koruma Komisyonu aracılığıyla, bu yöntemlerden hangisinin makul olduğuna karar vererek o yöntemi uygular. Veri Sahibi, Vakfın neden bu yöntemi seçtiği konusunda madde 4.8’de açıklanan haklarını kullanmak suretiyle bilgi talep edebilir.

Kanun’un 28. maddesine uygun olarak; Anonim Hale Getirilmiş olan Kişisel Veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir.

5. Vakıf’ın İşleme Faaliyetleri İçin Sicil’e Kaydolunması

Kurulun 22/04/2020 tarihli ve 2020/315 sayılı Kararı ile değişik 02/04/2018 tarihli ve 2018/32 sayılı Kararı uyarınca “Yalnızca ilgili mevzuat ve amaçlarına uygun, faaliyet alanlarıyla sınırlı olmak üzere kişisel veri işleyen Türkiye’de yerleşik dernek, vakıf ve sendikalar” için Sicile kayıt yükümlülüğüne istisna getirilmiştir.

Bununla birlikte dernek, vakıf ve sendikaların Sicile kayıt yükümlülüğüne istisna getirilmesine ilişkin kriterler açısından yapılan değerlendirme sonucunda; gelir elde etmek amacıyla yürüttükleri ticari faaliyetleri nedeniyle dernek, vakıf ve sendikaların iktisadi işletmeleri için söz konusu istisnanın uygulanması uygun görülmemiştir.

Bu bakımdan dernek, vakıf ve sendikalara ait iktisadi işletmelerin bünyesinde gerçekleştirilen faaliyetlerde işlenen kişisel verilerin Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) bilgi girişi olarak yansıtılması önem arz etmektedir.

Vakıf’ın kişi sayısı ve yıllık cirosu göz önüne alındığında VERBİS’e kayıt yükümlülüğü bulunmaktadır. Vakıf Veri Komisyonu tarafından seçilen irtibat kişisi aracılığıyla VERBİS’e kayıt yükümlülüğünü yerine getirir. Vakıf’ın yapmış olduğu bildirimlere ilişkin güncelleme yapması gerekmesi halinde zaman geçirmeden gerekli güncellemeleri yapar.

6. Üçüncü Taraf Veri İşleyen Kullanılması

6.1. Üçüncü Taraf Veri İşleyen’in Yükümlülükleri

Vakıf’ın işleme faaliyetlerine yardımcı olmak için başkalarından hizmet veya sair surette destek aldığı durumlarda, Kanun, İkincil Mevzuat ve Vakıf politikalarına uygun olarak, yeterli güvenlik önlemlerini sağlayan ve bu önlemlere uyum sağlamak adına, makul adımlar atan bir Veri İşleyen seçilecektir.

6.2 Üçüncü Taraf Veri İşleyen İçin Yazılı Sözleşmeler

Vakıf, her Veri İşleyen ile Kanun ve İkincil Mevzuat uyarınca Vakıf’ın yerine getirmekle yükümlü olduğu veri gizliliği ve güvenliği gereklerine uymasını gerektiren yazılı bir protokol yapacaktır.

6.3 Üçüncü Taraf Veri İşleyen’in Denetimi

Vakıf’ın dahili veri denetim süreçlerinin parçası olarak, Vakıf üçüncü taraf Veri İşleyen tarafından yapılan veri işleme faaliyetleri ve özellikle veri güvenliği ve tedbirleri hakkında zaman zaman denetimler gerçekleştirecektir ve bu denetimleri gerçekleştirmek için gerekli hukuki alt yapıyı kuracaktır.

7. Veri Güvenliği

7.1 Fiziksel, Teknik ve Organizasyonel Güvenlik Önlemleri

Vakıf, Kişisel Veriler’in güvenliğini sağlamak adına, değişiklik, kayıp, hasar, yetkisiz işlem veya erişim de dahil olmak üzere, teknolojik gelişme seviyesini, verinin doğasını ve insan veya fiziki veya doğal çevre etkileri tarafından maruz kaldıkları riski de dikkate alarak, fiziksel, teknik veya organizasyonel önlemler alacaktır.

Alınması gereken güvenlik önlemleri Vakfın bilgi güvenligi politikalarina uygun olarak belirlenecek ve yerine getirilecektir.

7.2 Çalışan Gizlilik Sözleşmeleri

Kişisel Veriler’in işlenmesi sürecinin herhangi bir aşamasına dahil olan herkes, açıkça, iş ilişkisinin bitişinden sonra da devam etmesi gereken bir gizlilik taahüdünde bulunmak ve gizlilik sözleşmesi imzalamak zorundadır.

8. Uyumluluk Denetimi

8.1 Veri Koruma Komisyonu

Vakıf’ın uyum programı çerçevesinde kişisel verileri işleme faaliyetlerinin [_____] dan oluşan Veri Koruma Komisyonu tarafından yürütülmesi ve denetlenmesi kararlaştırılmıştır.

Veri Koruma Komisyonu [_____] tarafından yönetilir. Veri Koruma Komisyonu’nun görevleri aşağıdaki gibidir:

  • a) Bu Politika’ya uyum sağlamak için düzenli denetim mekanizmalarını, uygulanan prosedürleri ve geçerli kuralları belirlemek,
  • b) Veri Sahibi’nin Kanun’dan doğan haklarını kullanırken Vakıf’a yönelteceği taleplerine hızlı ve uygun cevap verilmesini sağlayacak sistemi belirlemek, sürdürmek ve yürütmek,
  • c) Vakıf’ın işlediği verilerin güncelliğini teyit eden mekanizmayı kurmak,
  • d) Vakıf’ın Kurum, Kurul ve Sicil ile olan ilişkilerini yönetmek ve yürütmek,
  • e) VERBİS’e kayıt yükümlülüğünü yerine getirmek ve güncel kalmasını sağlamak,
  • f) Kurul kararlarını uygulamaya yönelik faaliyetleri yönetmek ve uygulamaya koymak,
  • g) Aydınlatma ve açık rıza metinlerinin ilgili departmanlarca düzenli olarak elde edilerek arşivlendiğini kontrol etmek,
  • h) Aktarım protokollerinin ilgili taraflarla imzalandığını kontrol etmek,
  • i) İmha politikası ve imha sürelerine uyulduğunu düzenli olarak kontrol etmek. İmha süresi gelen verilerin imhasını sağlamak, işlemlerinin loglandığını kontrol etmek,
  • j) Veri güvenliği denetim listesi üzerinden periyodik olarak denetimler yapmak.

8.2 Mevcut Uyum Değerlendirmesi

Vakıf, Veri Koruma Komisyonu aracılığıyla bir program belirlemeli ve tüm iş birimleri için veri koruma uyum denetimi yapmalıdır. Vakıf, iş birimleri ile koordinasyon içinde tespit edilen eksiklikleri belirli makul bir süre içinde düzeltmek için bir plan ve program üretmelidir.

8.3 Yıllık Veri Koruma Denetimi

Her bir iş birimi veri elde etme, işleme ve güvenlik uygulamalarını değerlendirmelidir. Bu yıllık değerlendirme en azından aşağıda sayılan hususları kapsamalıdır:

Departmanlar, hangi Kişisel Veriler’in departman tarafından toplandığı, toplanmasının planlandığı, veri toplamanın ve işlemenin amacı, izin verilen herhangi ek amaçlar, verinin esas kullanımı, ilgili kişinin bu işlemlere rızasının varlığı ve rızanın kapsamı, söz konusu verilerin toplanması ve işlenmesine ilişkin her tür yasal yükümlülükler, güvenlik önlemlerinin kapsamı, yeterliliği ve uygulanma durumlarına dair durum tespitinde bulunacaktır.

Departmanlar kendi hakimiyeti veya kontrolü altındaki Kişisel Veri’nin aktarıldığı kişilerin kimliklerini tespit etmelidir. Departman aktarılan kişilerin bulundukları yerleri, aktarımın amaçlarını, en azından mevcut veri güvenliği seviyesini korumak için hangi fiziksel, teknik sistemlerin ve süreçlerin mevcut olduğunu belirlemelidir.

Bu yıllık değerlendirme sonucu elde edilen bilgiler uygun tedbirlerin alınması, vakıf politika ve prosedürlerinde güncelleme yapılması ve uygun süreçlerin temini için Veri Koruma Komisyonu’na bildirilmelidir.

Veri Koruma Komisyonu tarafından her yılın bir günü “Temizlik Günü” olarak belirlenir. Belirlenen Temizlik Günü’nde tüm çalışanların fiziki ve elektronik ortamda yer alan kişisel veri içeren belgelerini gözden geçirip, mükerrer olan veya gereksiz olan verileri tespit ederek imha etmesi gerekmektedir.

9. Sair Hükümler

Bu politika çalışanlara Veri Komisyonu tarafından sunulacaktır.

Bu Politika yayınlandığı anda yürürlüğe girer.

Tüm departmanlar iş birliği içinde, bu politikanın uygulanması için bir zaman çizelgesi ve süreci geliştirecektir. Bu uygulama süreci, bu Politika ve diğer mevcut politikalar arasındaki uyuşmazlıkların çözümünü içerecektir.

Bu Politika’da her zaman değişiklikler yapılabilir. Yapılan değişikliklerin çalışanlara Veri Komisyonu tarafından bildirilmesi gerekmektedir.



SUNA VE İNAN KIRAÇ VAKFI KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. GİRİŞ

Kişisel verilerin korunması, Suna ve İnan Kıraç Vakfı (“Vakıf”) için büyük önem arz etmekte olup, bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, Vakfımızın temel yapı taşlarından biridir.

Bu bakımdan Vakfımız, faaliyetleri sırasında elde etmiş olduğu kişisel verileri başta Anayasa olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ilgili mevzuata uygun şekilde hazırlanan işbu Kişisel Veri Saklama ve İmha Politikası’nda (“Politika”) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir.

2. POLİTİKA’NIN AMACI VE KAPSAMI

İşbu Politika ile Vakfımız, Kanun kapsamındaki kişisel veri işleme faaliyetlerine konu gerçek kişi verilerinin saklanması ve imha edilmesine ilişkin Vakıf’ın genel ilke ve prensiplerinin ortaya konulması ve bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesi hedeflemiştir.

İşbu Politika, Vakfımızın Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri kapsamaktadır. Ayrıca, işbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.

3. TANIMLAR

İşbu Politika’da içerik aksini gerektirmedikçe:

“Açık Rıza” Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,

“Alıcı Grubu” Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi,

“Anayasa” Türkiye Cumhuriyeti Anayasası,

“İlgili Kullanıcı” Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler,

“İmha” Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

“Karartma” Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,

“Kayıt Ortamı” Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam,

“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (örn. ad-soyad, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası- Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir),

“İlgili Kişi” Kişisel verisi işlenen gerçek kişi,

“Kişisel Verilerin İşlenmesi” Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

“Kişisel Verilerin Anonim Hale Getirilmesi” Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,

“Kişisel Verilerin Silinmesi” Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi,

“Kişisel Verilerin Yok Edilmesi” Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi,

“Kurul” Kişisel Verileri Koruma Kurulu,

“Maskeleme” Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,

“Özel Nitelikli Kişisel Veri” Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,

“Periyodik İmha” Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek anonim hale getirme işlemi,

“Veri kayıt sistemi” Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

“Veri Sorumlusu” Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi

anlamına gelmektedir.

4. POLİTİKA İLE DÜZENLENEN KAYIT ORTAMLARI

Vakfımız, Kanun kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ve aşağıda belirtilen ortamlarda saklamaktadır:

Kişisel veri Vakıf veri tabanlarında, e-posta hesaplarında, dosya sunucularında (fileserver), sharepoint siteleri, kâğıt ortamı, son kullanıcının kullanımına tahsis edilmiş bilgisayarlarında bulunmaktadır.

Elektronik Ortamlar:

Veri Tabanları, yedekleme alanları ve sistemler: Oracle, Google Drive, BSD, ortak sunucular, e-posta, kişisel bilgisayarlar (masaüstü, dizüstü), mobil cihazlar (telefon, tablet vb), optik diskler (DVD, CD,) çıkartılabilir bellekler (USB, Hafıza kartı, vb), yazıcı, tarayıcı, faks, fotokopi makinası, CCTV sistemi, yedekleme sistemi

Elektronik Olmayan Ortamlar:

Fiziki Klasörler, kilitli dolaplar

5. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Vakfımız, kişisel veri işleme faaliyetlerinde aşağıdaki ilkeleri esas almaktadır:

  • Hukuka ve dürüstlük kuralına uygun olunması,
  • Kkişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
  • Belirli, açık ve meşru amaçlarla işleme,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ve
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.

Vakfımız, kişisel verileri, yukarıda bahsi geçen ilkelerle uyumlu şekilde, ve aşağıda belirtilen Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarına istinaden kişisel verileri saklamakta ve kullanmakta olup, söz konusu şartların tamamının ortadan kalkması halinde, kişisel verileri re’sen veya ilgili kişinin talebi üzerine imha etmektedir.

  • (a) İlgili Kişinin Açık Rızasının Bulunması

    Kişisel verilerin işlenme şartlarından biri ilgili kişinin açık rızasıdır. İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

  • (b) Kanunlarda Açıkça Öngörülmesi

    İlgili kişinin kişisel verileri, kanunlarda açıkça öngörülmesi halinde açık rızası alınmadan hukuka uygun olarak işlenebilecektir.

  • (c) Fiili İmkânsızlık Sebebiyle İlgili kişinin Açık Rızasının Alınamaması

    Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

  • (d) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

    Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

  • (e) Hukuki Yükümlülük

    Vakfımızın hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde ilgili kişinin verileri işlenebilecektir.

  • (f) İlgili kişinin Kişisel Verisini Alenileştirmesi

    İlgili kişinin, kişisel verisini kendisi tarafından alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

  • (g) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

    Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir

  • (h) Vakfımızın Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması

    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Vakfımızın meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

Bu doğrultuda, kişisel veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir.

6. KİŞİSEL VERİLERİN İMHA EDİLMESİ İŞLEMİ İLE İLGİLİ UYGULANAN YÖNTEMLER VE KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Vakfımız, Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verileri aşağıdaki yöntemlerle silmekte, yok etmekte veya anonim hale getirilmesi getirmektedir. Vakfımız, kişisel verilerin imhasında azami dikkat ve özeni göstermektedir. Bu kapsamda Vakfımız, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır. İmha kapsamında gerçekleştirilen tüm işlemler Vakfımız tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az beş yıl süreyle saklanmaktadır. Vakfımız, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını teknolojik imkanlar ve uygulama maliyetine göre seçmekte olup, ilgili kişinin talebi halinde uygun yöntemin gerekçesini açıklamaktadır.

(a) Kişisel Verilerin Silinme Yöntemleri

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Vakfımız, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

(b) Kişisel Verilerin Yok Edilme Yöntemleri

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Vakfımız, kişisel verilerin yok edilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

(c) Kişisel Verilerin Anonim Hale Getirilme Yöntemleri

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Vakfımız, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Vakfımız, kişisel verilerin anonim hale getirilmesiyle ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

7. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Vakfımız, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi konusunda azami dikkat ve özeni göstermekte olup, Kanun’un 12’nci maddesi ve Yönetmelik hükümleri, yukarıda belirtilen genel ilkeler ile işbu Politika ve Kurul kararları uyarınca aşağıda belirtilen hususlar ile ilgili teknolojik imkanlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır:

  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Erişim, bilgi güvenliği, kullanım konularında kurumsal politikalar uygulamaya başlanmıştır,
  • Saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır,
  • Şifreleme yapılmaktadır,
  • Veri paylaşılırken anonim hale getirilmektedir,
  • Kişisel verileri fiziksel olarak kilitli dolaplarda saklanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır,
  • Kişisel veri içeren fiziksel ortamların dış risklere (sel vb.) karşı güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği konusunda eğitim ve farkındalık çalışmaları yapılmaktadır,
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur,
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır,
  • Kişisel veri içeren belgelere erişim kısıtlanmış olup, yalnızca gizlilik sözleşmesi imzalamış kişilere erişim yetkisi verilmektedir.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır,
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır,

8. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI

Vakfımız, kişisel verilerin saklanması ve imha edilmesi süreçlerinde yer alan kişileri, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir. Bu kapsamda, Vakfımız çalışanları ve/veya görevleri dolayısıyla kişisel verileri öğrenen kişiler, bahse konu bilgileri Kanun ve diğer ilgili mevzuat hükümlerine uyun olarak saklamakta ve imha etmektedir. Bu yükümlülük, ilgili kişilerin görevden ayrılmalarından sonra da devam etmektedir.

Bu kapsamda, Vakfımızın saklama ve imha süreçlerinde yer alan kişilere ilişkin detaylar aşağıda açıklanmaktadır:

Unvan   Birim   Görev

9. SAKLAMA VE İMHA SÜRELERİ

Vakfımız, kişisel verileri ancak ilgili uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ve imha etmektedir. Bu kapsamda Vakfımız, kişisel verileri aşağıdaki EK-1 Saklama ve İmha Süreleri Tablosu’nda belirtilen azami süreler boyunca saklamakta ve imha etmektedir:

İlgili kişinin, Vakfımıza başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde Vakfımız:

  • (a) kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:
    • (i) ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişine bilgi verir, ve
    • (ii) talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
  • (b) kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, ilgili kişinin talebini Kanun’un 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedilebilir ve ret cevabını ilgili kişine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

10. PERİYODİK İMHA SÜRELERİ

Vakfımız, kişisel verileri imha etme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel verileri imha etmektedir. Bu kapsamda Vakfımız;

  • 1- Elektronik ortamlarda yer alan ve saklama süresi dolan kişisel verileri iş bu Politika’nın 6’ncı maddesine göre imha etme yükümlülüğünün ortaya çıkması durumunda 3 (üç) aylık periyotlar halinde anonim hale getirme işlemine tabi tutulmaktadır.
  • 2- Fiziksel ortamlarda yer alan ve saklama süresi dolan kişisel veriler, iş bu Politika’nın 6’ncı maddesine göre imha etme yükümlülüğünün ortaya çıkması durumunda 3 (üç) aylık periyotlar halinde imha işlemine tabi tutulmaktadır.

Yukarıda anılan süreler, her hal ve koşulda Yönetmelik’in 11’inci maddesinde belirtilen azami periyodik imha süresini aşmamaktadır.

11. YÜRÜRLÜK

İşbu Politika [●].[●].2025 tarihinde yürürlüğe girmiştir. Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla zaman zaman güncellenebilecektir.



SUNA VE İNAN KIRAÇ VAKFI ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ POLİTİKASI

1. GİRİŞ

1.1. Amaç

Kişisel verilerin korunması, Suna ve İnan Kıraç Vakfı’nın (“Vakıf”) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”); kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini “Özel Nitelikli Kişisel Veri” olarak sınıflandırarak bu verilere özel bir önem atfetmekte ve bu verilerin yükseltilmiş bir güvenlik standardı ile korunması konusunda veri sorumlularını yükümlü kılmaktadır.

İşbu Suna ve İnan Kıraç Vakfı Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”) çerçevesinde Vakfımız tarafından gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Özel Nitelikli Kişisel Veri işleme faaliyetleri esnasında Vakıf tarafından alınacak asgari veri güvenliği önlemleri belirlenmektedir.

1.2. Kapsam

İşbu Politika, Kanun kapsamında tanımlanan kimliği belirli veya belirlenebilir gerçek kişilere ait, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Vakıf bünyesinde işlenen Özel Nitelikli Kişisel Verilere ilişkindir.

2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

2.1. Özel Nitelikli Kişisel Verileri İşlenmesi Esnasında Uyulacak Genel İlkeler

Vakfımız Özel Nitelikli Kişisel Verileri, Kanun’da ve ilgili diğer mevzuatlarda öngörülen usul ve esaslara uygun olarak işlenmektedir. Bu doğrultuda Vakfımız Özel Nitelikli Kişisel Verileri işlediği süreçlerde aşağıda listelenen ilkelere (“Genel İlkeler”) uygun hareket etmektedir.

Vakfımız Özel Nitelikli Kişisel Verileri;

  • (i) Hukuka ve dürüstlük kurallarına uygun,
  • (ii) Doğru ve gerektiğinde güncel biçimde,
  • (iii) Belirli, açık ve meşru amaçlar için,
  • (iv) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak,
  • (v) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar işlemektedir.

2.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

Kanunda Özel Nitelikli Kişisel Veriler ayrıca ve sınırlı olarak sayılmış olup hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine sebep olma veya ayrımcılığa maruz kalma riski nedeniyle, bu verilere özel önem atfedilmiştir.

Özel Nitelikli Kişisel Veriler, Vakfımız tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirlediği ya da belirleyeceği asgari güvenlik önlemleri dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartlardan en az birinin varlığı halinde işlenmektedir.

  • (i) İlgili Kişinin açık rızasının bulunması halinde,
  • (ii) İlgili Kişinin (a) sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri ancak kanunlarda öngörülen hallerde (b) sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından İlgili Kişinin açık rızası aranmaksızın işlenmektedir.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR

Vakfımız hukuka uygun olan Özel Nitelikli Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak Özel Nitelikli Kişisel Verileri üçüncü kişilere (“Üçüncü Kişiler”) aktarabilmektedir. Vakfımız, bu doğrultuda Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

İlgili Kişinin açık rızasının bulunması durumunda Vakfımız, Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda ve Genel İlkeler’e uygun olarak ve Kurul tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemlerini alarak aktarabilmektedir.

Aşağıda yer alan şartların varlığı halinde kişisel veriler kişisel İlgili Kişinin açık rızası aranmaksızın Üçüncü Kişiler’e aktarılabilecektir:

  • (i) İlgili Kişinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde,
  • (ii) İlgili Kişinin sağlık durumuna ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler, ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilmektedir.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN ELDE EDİLMESİ ESNASINDA İLGİLİ KİŞİLERİN AYDINLATILMASI

Kanun’un 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesi gerekmektedir. Vakfımız ilgili kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken asgari olarak aşağıdaki konular hakkında ilgili kişileri bilgilendirmektedir:

  • (i) Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • (ii) Kişisel verilerin hangi amaçla işleneceği,
  • (iii) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • (iv) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • (v) Kanun’un 11 inci maddede sayılan ve ilgili kişilere tanınmış olan haklar ve bu hakların ne şekilde kullanılabileceği.

Alternatif yöntem ve metotların benimsendiği haller hariç, Vakıf tarafından aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişilere fiziksel ya da elektronik ortamda, sonradan kanıtlanabilir şekilde sunulan aydınlatma metinleri kullanılmaktadır. Özel Nitelikli Kişisel Verilerin işlendiği süreçlerde görev alan Vakıf çalışanları, kişisel verilerin elde edilmesi öncesinde ilgili kişilere gerekli aydınlatma metinlerinin sunulduğu ve ilgili kişilerin bilgilendirildiğinden emin olmalıdır.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Kanun’un 7’nci maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü gereği, Vakfımız tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde Özel Nitelikli Kişisel Veriler dahil tüm kişisel veriler, Vakfımızın re’sen vermiş olduğu karara veya kişisel İlgili Kişinin talebine istinaden silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin saklanması ve imhasına ilişkin detaylı bilgilere ilişkin detaylı bilgiler, Suna ve İnan Kıraç Vakfı Saklama ve İmha Politikası’nda yer almaktadır.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI

Vakfımız tarafından Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.

Bu kapsamda Vakfımız tarafından gerekli her türlü idari ve teknik tedbirler alınmakta; ilgili tedbirler güncel Kurul kararlarına uygun şekilde gözden geçirilip güncellenmekte ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir.

Bu bölümde ifade edilen veri güvenliği önlemleri, Özel Nitelikli Kişisel Verilerin işlenmesi esnasında Vakıf tarafından alınacak asgari önlemlerdir. Bu önlemler, Kurul’un 31/01/2018 Tarihli ve 2018/10 Sayılı "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kararı’na uygun şekilde belirlenmiştir ve Kurul tarafından bu konuda yayınlanan yeni kararlar olması halinde güncelleneceklerdir.

Vakıf’ın halihazırda diğer süreçlerinde aldığı standart teknik ve idari veri güvenliği önlemleri, Özel Nitelikli Kişisel Verilerin işlendiği süreçler açısından uygun olduğu ölçüde alınmaya devam edilecektir.

6.1. Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Özel Nitelikli Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Vakfımız Tarafından Alınan İdari Tedbirler

  • Vakfımız nezdinde Özel Nitelikli Kişisel Verilere yönelik olarak meydana gelebilecek riskler belirlenmiş ve bunlara karşı alınması gereken önlemler tespit edilmiştir,
  • Vakfımız Özel Nitelikli Kişisel Verilerin işlenmesi ve korunmasına ilişkin olarak çalışanlarını eğitmekte, bilinçlendirilmelerini sağlamakta ve onlara yönelik farkındalık çalışmaları yapmaktadır.
  • Özel Nitelikli Kişisel Verilerin güvenliğini sağlamak amacıyla bu verilere erişen çalışanlarla Çalışan Gizlilik Taahhütnamesi imzalanmaktadır.
  • Çalışanların Özel Nitelikli Kişisel Verilere erişimlerinin kapsamı ve süresi sınırlandırılmaktadır.
  • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  • Görev değişikliği olan veya işten ayrılan çalışanların erişim yetkileri derhal kaldırılmaktadır. Bu kapsamda kendilerine tahsis edilen envanter iade alınmaktadır.

6.2. Özel Nitelikli Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Özel Nitelikli Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Vakfımız Tarafından Alınan Teknik Tedbirler

Özel Nitelikli Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

  • Vakfımız Özel Nitelikli Kişiler Verileri kriptografik yöntemler kullanarak muhafaza etmektedir.
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  • Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.
  • Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.
  • Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

Özel Nitelikli Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

  • Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmaktadır.
  • Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

6.3. Özel Nitelikli Kişisel Verilerin Hukuka Uygun Aktarımını Sağlamak için Vakfımız Tarafından Alınan Tedbirler

  • Vakfımız, Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanarak aktarmaktadır.
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmektedir ve kriptografik anahtar farklı ortamda tutulmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
  • Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmaktadır ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

6.4. Özel Nitelikli Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

Vakfımız tarafından yürütülen Özel Nitelikli Kişisel Veri işleme faaliyeti kapsamında, Özel Nitelikli Kişisel Verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, durum Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararına uygun biçimde Kurul’a en geç 72 (yetmiş iki) saat içerisinde bildirilecek ve ihlalden etkilenen ilgili kişilere mümkün olan en kısa süre içerisinde bilgilendirme yapılacaktır.

7. EK 1 – Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir.

İlgili Kişi: Kişisel verisi işlenen gerçek kişi anlamına gelmektedir.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelmektedir (örn. ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası). Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanunu kapsamında değildir.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler anlamına gelmektedir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi anlamına gelmektedir.

Kayıtlı Elektronik Posta (KEP) Adresi: Elektronik iletilerin, gönderimi ve teslimatı da dahil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini ifade etmektedir.

Mobil İmza: Mobil bir cihaz kullanılarak oluşturulan elektronik imzayı ifade etmektedir.

Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış, elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzayı ifade etmektedir.