Kişisel Verilerin Korunması Ve İşlenmesi Politikası
İhlas Haber Ajansı A.Ş.
KİŞİSEL VERİLERİN KORUNMASIVEİŞLENMESİPOLİTİKASI
Versiyon 2.0
02/09/2025
İÇİNDEKİLER
1. BÖLÜM : GİRİŞ
1.1 HEDEF
1.2 AMAÇ
1.3 KAPSAM VE İHA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLE YÖNETİLEN KİŞİ GRUPLARI
1.4 İHA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER DÖKÜMANLAR İLE OLAN İLİŞKİSİ OLAN İLİŞKİSİ
1.5 POLİTİKA’NIN ve İLGİLİ MEVZUATIN UYGULANMASI
1.6 POLİTİKA’NIN YÜRÜRLÜĞÜ ve DEĞİŞİMİ
1.7 TANIMLAR
1.8 KISALTMALAR
2. BÖLÜM : KİŞİSEL VERİLERİN İŞLENMESİ
2.1 KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
2.1.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme
2.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
2.1.3 Belirli, Açık ve Meşru Amaçlarla İşleme
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
2.2 KİŞİSEL VERİLERİ, KVK KANUNU’NUN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
2.3 GRUP ŞİRKETLERİ TARAFINDAN İŞLENMEKTE OLAN VERİLERİN İHA TARAFINDAN İŞLENMESİ
2.4 KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
2.5 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
2.6 KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
2.6.1 Kişisel Verilerin İşlenmesi
(a) Kişisel Veri Sahibinin Açık Rızasının Bulunması
(b) Kanunlarda açıkça öngörülmesi
(c) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
(d) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
(e) İHA’nın Hukuki Yükümlülüğünü Yerine Getirmesi
(f) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
(g) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
(h) İHA’nın Meşru Menfaati için Veri İşlemenin Zorunlu Olması
2.6.2 Özel Nitelikli Kişisel Verilerin İşlenmesi
3. BÖLÜM: BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ
3.1 İHA BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
3.1.1 Kamera ile İzleme Faaliyetinin Yasal Dayanağı
3.1.2 KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
3.1.3 Kamera ile İzleme Faaliyetinin Duyurulması
3.1.4 Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
3.1.5 Elde Edilen Verilerin Güvenliğinin Sağlanması
3.1.6 Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
3.1.7 İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
3.2 İHA BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
3.3 İHA BİNA VE TESİSLERİNDE ZİYARETÇİ’LERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
3.4 İNTERNET SİTESİ ZİYARETÇİLERİ
4. BÖLÜM: İŞLENEN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI, KATEGORİZASYONU VE SAKLANMA SÜRELERİ
4.1 KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
4.2 KİŞİSEL VERİLERİN KATEGORİZASYONU
4.2.1 İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
4.3 KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
5. BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI
5.1 KİŞİSEL VERİLERİN AKTARILMASI
5.1.1 Kişisel Verilerin Aktarılması
5.1.2 Özel Nitelikli Kişisel Verilerin Aktarılması
5.2 KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
5.2.1 Kişisel Verilerin Yurtdışına Aktarılması
5.2.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
5.3 KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
6. BÖLÜM: KİŞİSEL VERİLERİN KORUNMASI
6.1 KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
6.1.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
(a) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
(b) Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
6.1.2 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
(a) Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
(b) Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
6.1.3 Kişisel Verilerin Güvenli Ortamlarda Saklanması
(a) Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
(b) Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
6.1.4 Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
6.2 VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ; BU HAKLARI ŞİRKETİMİZE İLETECEĞİ KANALLARIN OLUŞTURULMASI VE VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRMESİ
6.3 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
6.4 İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
6.5 İŞ ORTAKLARI VE TEDARİKÇİLER’İN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
7. BÖLÜM: KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
7.1 İHA’nın KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ
7.2 KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
7.2.1 Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
(a) Fiziksel Olarak Yok Etme
(b) Yazılımdan Güvenli Olarak Silme
(c) Uzman Tarafından Güvenli Olarak Silme
7.2.2 Kişisel Verileri Anonim Hale Getirme Teknikleri
(a) Maskeleme:
(b) Toplulaştırma:
(c) Veri Türetme:
(d) Veri Karma:
8. BÖLÜM: KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
8.1 VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
8.1.1 Kişisel Veri Sahibinin Hakları
8.1.2 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
8.1.4 Kişisel Veri Sahibinin Haklarını Kullanması
8.1.5 Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
8.2 İHA’nın BAŞVURULARA CEVAP VERMESİ
8.2.1 İHA Başvurulara Cevap Verme Usulü ve Süresi
8.2.2 İHA Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
8.2.3 İHA Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
9. BÖLÜM: İHA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
KVKK Sorumlularının Görevleri
Alt Sorumluların Görevleri
1. BÖLÜM : GİRİŞ
Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması, İHLAS HABER AJANSI Anonim Şirketi (“İHA” veya Şirket”) için büyük önem arz etmekte olup Şirketimizin öncelikleri arasındadır.
Bu konunun en önemli ayağını ise işbu Politika ile yönetilen; Çalışan,Çalışan Adayları’mızın, Şirket Hissedarları’nın, Şirket Yetkilileri’nin, Ziyaretçi’lerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanları’nın, Hissedarları’nın ve Yetkilileri’nin ve Üçüncü Kişi’lerin kişisel verilerinin korunması oluşturmaktadır. Çalışanlarımızın KVKK Faaliyetleri ,Kişisel Verilerin Korunması ve İşlenmesi Politikası altında yönetilmektedir.
İHLAS HABER AJANSI, bu Politika ile konuya muhatap tüm gerçek kişi’lerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir şirket politikası haline getirmektedir.
Bu kapsamda da, ilgili mevzuat gereğince işlenen kişisel verilerin korunması için İHA tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu Politika kapsamında, İHLAS HABER AJANSI tarafından kişisel verilerin işlenmesine ilişkin benimsenen temel ilkelere dair detaylı açıklamalar aşağıda yer almaktadır:
- Kişisel verilerin hukuka ve dürüstlük kurallarına uygun olarak işlenmesi,
- Kişisel verilerin doğru ve gerektiğinde güncel tutulması ,
- Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi,
- Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü şekilde işlenmesi,
- Kişisel verilerin, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre boyunca muhafaza edilmesi,
- Kişisel veri sahiplerinin aydınlatılması ve bilgilendirilmesi ,
- Kişisel veri sahiplerinin haklarını kullanabilmeleri için gerekli sistemlerin oluşturulması ,
- Kişisel verilerin güvenli bir şekilde muhafazası için gerekli idari ve teknik tedbirlerin alınması ,
- Kişisel verilerin, işleme amaçlarının gereklilikleri doğrultusunda üçüncü kişilere aktarılması sürecinde, ilgili mevzuata ve 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde Kişisel Verileri Koruma Kurulu düzenlemelerine uygun hareket edilmesi ,
- Özel nitelikli kişisel verilerin işlenmesi ve korunmasında azami hassasiyetin gösterilmesi .
1.1 HEDEF
İHA Kişisel Verilerin Korunması (KVK) Politikası ile, Şirket bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda kurumsal farkındalığın artırılması hedeflenmektedir. Bu doğrultuda, mevzuata tam uyumun sağlanması için gerekli sistemlerin oluşturulması ve sürdürülebilir bir düzenin tesis edilmesi hedeflenmektedir.
1.2 AMAÇ
Bu Politika’nın temel amacı; İHA tarafından hukuka uygun şekilde yürütülen kişisel veri işleme faaliyetleri ile kişisel verilerin korunmasına yönelik benimsenen sistemler hakkında açıklamalarda bulunmak, ilgili kişilerin bilgilendirilmesini sağlayarak şeffaflığı temin etmektir.
İHA Kişisel Verilerin Korunması (KVK) Politikası, kişisel verilerin işlenme şartlarını tanımlamanın yanı sıra, bu süreçlerde Şirket tarafından benimsenen temel ilkeleri ortaya koymaktadır. Ayrıca, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuat çerçevesinde getirilen yükümlülüklerin uygulanması bakımından yol gösterici bir çerçeve sunmaktadır.
1.3 KAPSAM VE İHA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI İLE YÖNETİLEN KİŞİ GRUPLARI
Bu Politika; Çalışan Adayları’mızın, Şirket Hissedarları’nın, Şirket Yetkilileri’nin, Ziyaretçi’lerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanları’nın, Hissedarları’nın, Yetkilileri’nin ve Üçüncü Kişi’lerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
Yukarıda belirtilen kategorilerde yer alan kişisel veri sahipleri gruplarına ilişkin işbu Politika’nın uygulama kapsamı Politika’nın tamamı olabileceği gibi (örn. Ziyaretçi’miz de olan Çalışan Adayları’mız gibi); yalnızca bir kısım hükümleri de (örn. yalnızca Ziyaretçi’lerimiz gibi) olabilecektir.
İHA KVK Politikası kapsamı dahilinde olan ve İHA tarafından kişisel verileri işlenen veri sahipleri aşağıda gruplandırılmaktadır:
- İHA Çalışan Adayları
İHA ile hizmet akdi kurulmamış ancak kurulmak üzere İHA değerlendirmesine alınan kişiler. - İHA İş Ortakları Yetkilileri, Çalışanları
İHA’nın ticari ilişki içinde olduğu kuruluşların gerçek kişi yetkilileri, hissedarları, çalışanları. - İHA Ziyaretçileri
İHA binalarını veya İHA tarafından işletilen internet sitelerini ziyaret eden gerçek kişiler. - Diğer Gerçek Kişiler
İHA Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında olmayan tüm gerçek kişiler.
1.4 İHA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER DÖKÜMANLAR İLE OLAN İLİŞKİSİ OLAN İLİŞKİSİ
İHA, bu Politika ile ortaya koyduğu esasları yalnızca kendi bünyesinde değil, aynı zamanda Grup Şirketleri nezdinde de kişisel verilerin korunması ve işlenmesi konusunda temel politika olarak benimsemektedir. Bu kapsamda, iç kullanıma yönelik prosedürler bulunmakta ve tüm süreçlerde bütünlük sağlanmaktadır.
Şirket içi politikaların temel esasları, ilgili olduğu ölçüde kamuoyuna açık politikalara da yansıtılarak; kişisel veri sahiplerinin bilgilendirilmesi, şeffaflık ve hesap verebilirliğin güçlendirilmesi amaçlanmaktadır. Böylece İHA’nın yürüttüğü kişisel veri işleme faaliyetleri hem yasal uyum hem de kurumsal sorumluluk ilkeleri doğrultusunda güvence altına alınmaktadır.
1.5 POLİTİKA’NIN ve İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, İHA yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
Politika, ilgili mevzuat tarafından ortaya konulan kuralların İHA uygulamaları kapsamında somutlaştırılarak düzenlenmesinden oluşturulmuştur. İHA, KVK Kanunu’nda öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.
1.6 POLİTİKA’NIN YÜRÜRLÜĞÜ ve DEĞİŞİMİ
Bu Politika, İHA Yönetim Kurulu tarafından onaylandığı tarihten itibaren yürürlüğe girer.
Politikada belirtilen hususların, belirli konular özelinde nasıl uygulanacağını göstermek üzere hazırlanacak uygulama kuralları, prosedür şeklinde düzenlenmiş ve Yönetim onayıyla yürürlüğe konulmuştur.
Politika, https://www.iha.com.tr/ adresinde yayımlanarak kamuoyunun bilgisine sunulmuştur. Başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere yürürlükteki mevzuat hükümleri ile bu Politika arasında çelişki olması halinde, mevzuat hükümleri esas alınır.
https://www.iha.com.tr/ Bu Politika, her halükârda yılda en az bir kez gözden geçirilir ve gerekli görülen değişiklikler Yönetim onayına sunularak güncellenir. Şirketimiz, yasal düzenlemelere paralel olarak Politika üzerinde değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna İhlas Haber Ajansı Anonim Şirketi’nin kurumsal web sitesi ( https://www.iha.com.tr/ ) üzerinden erişim sağlanabilir.
BÖLÜM: TANIMLAR ve KISALTMALAR
1.7 TANIMLAR
| Açık Rıza: | Belirli bir konuya ilişkin olarak, ilgili kişinin yeterli düzeyde bilgilendirilmesi suretiyle, özgür iradesine dayalı olarak verdiği rıza. |
| AnonimHale Getirme: | Kişisel verilerin, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek ve bu durumun geri döndürülemeyecek şekilde değiştirilmesidir. |
| BaşvuruFormu: | Kişisel veri sahiplerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında sahip oldukları haklarını kullanabilmek için Veri Sorumlusu’na iletecekleri taleplerini içeren “İlgili Kişi (Kişisel Veri Sahibi) Başvuru Formu”. |
| Çalışan Adayı: | İHA’ya herhangi bir yöntemle iş başvurusunda bulunan veya özgeçmişi ile ilgili bilgilerini İHA’nın değerlendirmesine sunan gerçek kişilerdir. |
| İşbirliğiİçindeOlduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: | İHA’nın iş ortağı, tedarikçi vb. her türlü iş ilişkisi içerisinde bulunduğu kurumlarda görev yapan çalışanlar ile bu kurumların hissedarları ve yetkilileri dâhil olmak üzere gerçek kişilerdir. |
| İş Ortağı: | İHA’nın, ticari faaliyetlerini yürütürken doğrudan veya Grup Şirketleri ile birlikte; çeşitli projeler gerçekleştirmek, hizmet almak ya da benzeri amaçlarla iş birliği yaptığı taraflardır. |
| KişiselVeri: | Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgi. |
| KişiselSağlık Verisi: | Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü sağlık bilgisi. |
| ÖzelNitelikliKişiselVeri: | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler ile biyometrik ve genetik verilerdir. |
| KişiselVeriSahibi: | Kişiselverisiişlenengerçekkişi. |
| KişiselVerilerinİşlenmesi: | Kişisel verilerin tamamen veya kısmen otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, erişilebilir hâle getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
| Şirket Hissedarı: | İHA’nın hissedarı gerçek kişiler |
| Şirket Yetkilisi: | İHA’nın yönetim kurulu üyesi ve diğer yetkili gerçek kişiler. |
| Tedarikçi: | İHA’nın ticari faaliyetlerini yürütürken, sözleşmeye dayalı olarak ve Şirket’in emir ve talimatlarına uygun şekilde İHA’ya hizmet sunan taraflardır. |
| GrupŞirketleri Müşterisi: | İHA ile doğrudan bir sözleşmesel ilişkisi bulunup bulunmadığına bakılmaksızın, İHA iş birimlerinin yürüttüğü operasyonlar kapsamında Grup Şirketleri ile olan iş ilişkileri aracılığıyla kişisel verileri elde edilen gerçek kişilerdir. |
| ÜçüncüKişi: | Politikakapsamındafarklıbirşekildetanımlanmamışolan, kişisel verileri Politika kapsamında işlenen gerçek kişiler |
| Veriişleyen: | Verisorumlusununverdiğiyetkiyedayanarakonunadına kişisel veri işleyen gerçek ve tüzel kişi. |
| VeriSorumlusu: | Kişiselverilerinişlemeamaçlarınıvevasıtalarınıbelirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
| VeriSorumlularıSicili: | Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde, Kişisel Verileri Koruma Kurulu’nun denetiminde tutulan ve kamuya açık olan veri sorumluları kayıt sistemidir. |
| Ziyaretçi: | İHA’nın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler. |
1.8 KISALTMALAR
| KVKKanunu: | 24 Mart 2016 tarihinde kabul edilen ve 7 Nisan 2016 tarihli, 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. |
| Anayasa: | 7 Kasım 1982 tarihinde kabul edilen ve 9 Kasım 1982 tarihli, 17863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 2709 sayılı Türkiye Cumhuriyeti Anayasası’dır. |
| İHA / Şirket: | İhlas Haber Ajansı Anonim Şirketi |
| İhlasGrubu/GrupŞirketi: | İhlasGrubunaBağlı Şirketler(tektekveyatamamı) |
| KVKKurulu: | KişiselVerileriKorumaKurulu |
| KVKKurumu: | KişiselVerileriKorumaKurumu |
| KVKPolitikası/Politika: | İHA Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı ifade eder. |
| KişiselSağlıkVerilerinin İşlenmesine İlişkin Yönetmelik: | 20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik tir. |
| TürkCezaKanunu: | 26 Eylül 2004 tarihinde kabul edilen ve 12 Ekim 2004 tarihli, 25611 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 5237 sayılı Türk Ceza Kanunu’dur. |
2. BÖLÜM: KİŞİSEL VERİLERİN İŞLENMESİ
İHA, Anayasa’nın 20. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesi uyarınca, kişisel verilerin işlenmesi süreçlerinde aşağıdaki ilkelere uygun hareket etmektedir:
- Hukuka ve dürüstlük kurallarına uygunluk,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar doğrultusunda işlenme,
- Amaçla bağlantılı, sınırlı ve ölçülü olma.
İHA, kişisel verileri yalnızca kanunlarda öngörülen süre boyunca veya işleme amacının gerektirdiği süre ile sınırlı olmak üzere muhafaza etmekte, bu sürelerin sona ermesi halinde kişisel verileri ilgili mevzuata uygun olarak silmekte, yok etmekte veya anonim hale getirmektedir.
İHA, Anayasa’nın 20. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. maddesi uyarınca, kişisel verileri yalnızca Kanun’un 5. maddesinde belirtilen işleme şartlarından bir veya birkaçına dayalı olarak işlemektedir.
Ayrıca İHA, Anayasa’nın 20. maddesi ve KVKK’nın 10. maddesi kapsamında, kişisel veri sahiplerini aydınlatma yükümlülüğünü yerine getirmekte ve ilgili kişilerin bilgi talep etmesi halinde gerekli bilgilendirmeyi sağlamaktadır.
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesi uyarınca, özel nitelikli kişisel verilerin işlenmesi süreçlerinde mevzuatta öngörülen düzenlemelere uygun hareket etmektedir.
Ayrıca İHA, KVKK’nın 8. ve 9. maddeleri kapsamında, kişisel verilerin yurt içinde ve yurt dışında aktarılması hususunda kanunda öngörülen şartlara ve Kişisel Verileri Koruma Kurulu tarafından belirlenen düzenlemelere uygun davranmaktadır.
2.1 KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
2.1.1 Hukuka ve Dürüstlük Kuralına Uygun İşleme
İHA, kişisel verilerin işlenmesinde yürürlükteki mevzuat ile genel güven ve dürüstlük kurallarına uygun hareket etmektedir. Bu kapsamda, kişisel veri işleme faaliyetlerinde orantılılık ilkesi gözetilmekte; kişisel veriler yalnızca işleme amacının gerektirdiği ölçüde kullanılmakta ve amaç dışında işlemeye konu edilmemektedir.
2.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
İHA, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak, işlediği kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamaktadır. Bu doğrultuda gerekli idari ve teknik tedbirler alınmaktadır.
Örneğin, kişisel veri sahiplerinin verilerini güncelleme, düzeltme ve doğruluğunu teyit etme imkânı tanıyan sistemler oluşturulmuştur. Bu konuya ilişkin detaylı bilgilere Politika’nın 9. Bölümünde yer verilmektedir.
2.1.3 Belirli, Açık ve Meşru Amaçlarla İşleme
İHA, kişisel veri işleme faaliyetlerinde meşru ve hukuka uygun amaçları açık, kesin ve önceden belirlenmiş şekilde ortaya koymaktadır. Kişisel veriler, yalnızca Şirket’in yürütmekte olduğu ticari faaliyetlerle bağlantılı ve bu faaliyetler için gerekli olduğu ölçüde işlenmektedir. İHA tarafından kişisel verilerin hangi amaçlarla işleneceği, veri işleme faaliyetine başlanmadan önce açıkça belirlenmektedir.
2.1.4 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
İHA, kişisel verileri yalnızca belirlenen amaçların gerçekleştirilmesine elverişli olacak şekilde işlemekte; amaçla ilgisi bulunmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Bu kapsamda, ileride ortaya çıkabilecek olası ihtiyaçların karşılanmasına yönelik olarak kişisel veri işleme faaliyeti yürütülmemektedir.
2.1.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
İHA, kişisel verileri yalnızca ilgili mevzuatta öngörülen süreler boyunca veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu doğrultuda İHA, öncelikle mevzuatta kişisel verilerin saklanmasına ilişkin bir süre belirlenip belirlenmediğini tespit etmekte; süre öngörülmüşse bu süreye riayet etmekte, süre öngörülmemişse verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Saklama süresinin sona ermesi veya işleme sebebinin ortadan kalkması durumunda, kişisel veriler İHA tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel veriler, gelecekte kullanılma ihtimali gerekçesiyle saklanmamaktadır.
Bu konuya ilişkin ayrıntılı bilgilere Politika’nın 8. Bölümünde yer verilmektedir.
2.2 KİŞİSEL VERİLERİ, KVK KANUNU’NUN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARINDAN BİR VEYA BİRKAÇINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLEME
Kişisel verilerin korunması, Anayasa ile güvence altına alınmış temel bir haktır. Temel hak ve özgürlükler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve kanunla sınırlandırılabilir.
Anayasa’nın 20. maddesinin üçüncü fıkrası uyarınca, kişisel veriler yalnızca kanunda öngörülen hâllerde veya ilgili kişinin açık rızasıyla işlenebilir. İHA de bu doğrultuda hareket etmekte, kişisel verileri yalnızca kanunda öngörülen şartlar mevcut olduğunda veya ilgili kişinin açık rızası bulunduğunda işlemektedir.
Bu konuya ilişkin ayrıntılı bilgilere Politika’nın 3.6. Maddesinde yer verilmektedir.
2.3 GRUP ŞİRKETLERİ TARAFINDAN İŞLENMEKTE OLAN VERİLERİN İHA TARAFINDAN İŞLENMESİ
İHA, Grup Şirketleri’nin faaliyetlerinin Şirket’in ilke, hedef ve stratejilerine uygun şekilde yürütülmesi, ayrıca Şirket’in hak, menfaat ve itibarının korunması amacıyla, Grup Şirketleri tarafından işlenmekte olan kişisel verileri işleyebilmektedir.
Grup Şirketleri ile İHA arasındaki kişisel veri paylaşımı, KVKK kapsamında veri sorumlusundan veri sorumlusuna kişisel veri aktarımı niteliğinde gerçekleştiği durumlarda; ilgili Grup Şirketi, kişisel verileri toplama aşamasında, ilgili kişiyi verilerinin İHA’ya aktarılabileceği konusunda bilgilendirmektedir.
2.4 KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatma yükümlülüğünü yerine getirmektedir. Bu kapsamda İHA; varsa temsilcisinin kimliği, kişisel verilerin hangi amaçlarla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, kişisel verilerin hangi yöntemle ve hangi hukuki sebebe dayanarak toplandığı ile kişisel veri sahibinin sahip olduğu haklar konusunda bilgilendirme yapmaktadır. Bu hususa ilişkin detaylı bilgilere Politika’nın 9. Bölümünde yer verilmiştir.
Ayrıca, Anayasa’nın 20. maddesi uyarınca herkes, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahiptir. Bu doğrultuda, KVKK’nın 11. maddesinde de kişisel veri sahiplerinin hakları arasında “bilgi talep etme” hakkı açıkça düzenlenmiştir. İHA, Anayasa’nın 20. maddesi ve KVKK’nın 11. maddesi kapsamında, ilgili kişilerin talepte bulunmaları halinde gerekli bilgilendirmeyi yapmaktadır. Bu konuya ilişkin ayrıntılı açıklamalar yine Politika’nın 9. Bölümünde sunulmaktadır.
2.5 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere azami hassasiyetle uymaktadır.
KVKK’nın 6. maddesi uyarınca; hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bazı veriler özel nitelikli kişisel veri olarak kabul edilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
İHA, KVKK’nın 6. maddesine uygun olarak, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemleri almak suretiyle özel nitelikli kişisel verileri aşağıdaki durumlarda işlemektedir:
- Kişisel veri sahibinin açık rızasının bulunması,
- Kişisel veri sahibinin açık rızasının bulunmaması halinde:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve finansmanının yönetimi amacıyla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
2.6 KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ
İHA, kişisel verileri yalnızca KVK Kanunu’nda belirtilen işleme şartlarına dayanarak ve bu şartlarla sınırlı şekilde işlemektedir. Bu kapsamda, KVKK’nın 10. maddesi uyarınca kişisel veri sahipleri aydınlatılmakta; verilerin hangi amaçla işlendiği, kimlere ve hangi amaçlarla aktarılabileceği, hangi yöntemle ve hangi hukuki sebebe dayanılarak toplandığı hususlarında şeffaf bilgilendirme yapılmaktadır.
2.6.1 Kişisel Verilerin İşlenmesi
Kişisel verilerin işlenmesi için açık rıza , hukuka uygunluğu sağlayan şartlardan yalnızca biridir. Bunun dışında da KVKK’nın 5. maddesinde belirtilen diğer hukuki sebeplerden biri veya birkaçının varlığı halinde kişisel veriler işlenebilir. İşleme faaliyetleri, yalnızca aşağıda sayılan şartlardan birine dayanabileceği gibi birden fazlasına aynı anda dayanılarak da yürütülebilir.
Özel nitelikli kişisel verilerin işlenmesinde ise KVKK’nın 6. maddesi hükümleri ve Politika’nın 2.5. bölümü uygulanmaktadır.
İHA, her durumda KVKK’nın 4. maddesinde yer alan genel ilkelere (hukuka ve dürüstlük kurallarına uygun olma, doğruluk, güncellik, belirli ve meşru amaç, sınırlılık ve ölçülülük) bağlı kalarak hareket etmektedir.
Kişisel verilerin işlenmesine ilişkin hukuki dayanaklar aşağıda belirtilmiştir:
(a) Kişisel Veri Sahibinin Açık Rızasının Bulunması
Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.
Kişisel verilerin elde edilme sebeplerine yönelik işleme amacının (birincil işleme) dışındaki kişisel veri işleme faaliyetleri için (ikincil işleme) işbu başlığın (b), (c), (d) (e), (f), (g) ve (h)’de yer alan şartlardan en az biri aranmakta; bu şartlardan biri yok ise, İHA tarafından bu kişisel veri işleme faaliyetleri kişisel veri sahibinin bu işleme faaliyetlerine yönelik açık rızasına dayalı olarak gerçekleştirilmektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, kişisel veri sahiplerinin ilgili yöntemler ile açık rızaları alınmaktadır.
(b) Kanunlarda Açıkça Öngörülmesi
Veri sahibinin kişisel verileri, kanunda açıkça öngörülmesi halinde hukuka uygun olarak işlenebilecektir.
Örnek: Vergi Usul Kanunu’nun 230. maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi.
(c) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek: Genel Kurul’da baygınlık geçiren hissedarın kimlik bilgilerinin şirket çalışanı tarafından doktorlara verilmesi.
(d) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.
Örnek: İş ortağı danışman ile akdedilen danışmanlık sözleşmesinin ifası için, danışmana ödeme yapılabilmesi amacıyla, danışmanın banka hesap bilgisinin elde edilmesi.
(e) İHA’nın Hukuki Yükümlülüğünü Yerine Getirmesi
İHA veri sorumlusu olarak hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.
Örnek: Mahkeme kararıyla talep edilen bilgilerin mahkemeye sunulması.
(f) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
Veri sahibinin, kişisel verisini kendisi tarafından alenileştirilmiş olması halinde ilgili kişisel veriler işlenebilecektir.
Örnek: Çalışan adayının iletişim bilgilerini, iş başvurusu yapılmasına imkân veren internet sitelerinde yayımlanması.
(g) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel veri sahibinin kişisel verileri işlenebilecektir.
Örnek: İspat niteliği olan verilerin (örneğin bir faturanın) saklanması ve gerekli olduğu anda kullanılması.
(h) İHA’nın Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla İHA’nın meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri verileri işlenebilecektir.
Örnek: Şirket’e ait bina ve tesislerde güvenlik amaçlı olarak kamera kaydı yapılması.
2.6.2 Özel Nitelikli Kişisel Verilerin İşlenmesi
İHA tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
3. BÖLÜM: BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ
İHA tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
İHA tarafından güvenliğin sağlanması amacıyla, İHA binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla İHA tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
3.1 İHA BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ
Bu bölümde İHA’nın kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır.
İHA, hukuki, teknik ve ticari iş güvenliğinin temini amacıyla; Şirket yerleşkeleri ve tesislerinde kapalı devre kamera sistemi (CCTV) ile görüntü alınması, Şirket yerleşkeleri ve tesislerine girişlerde kayıt oluşturulması ve ziyaretçilerin internet erişim kayıtlarının tutulması yollarıyla kişisel veri işlemektedir.
3.1.1 Kamera ile İzleme Faaliyetinin Yasal Dayanağı
İHA tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
3.1.2 KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi
İHA tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. İHA, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.
3.1.3 Kamera ile İzleme Faaliyetinin Duyurulması
İHA tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. İHA, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır.
İHA tarafından kamera ile izleme faaliyetine yönelik olarak; İHA internet sitesinde işbu Politika yayımlanmakta ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır.
3.1.4 Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. maddesi uyarınca, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir şekilde işlemektedir.
Bu kapsamda, İHA tarafından yürütülen kamera ile izleme faaliyetleri yalnızca bu Politika’da belirtilen amaçlarla sınırlıdır. Güvenlik kameralarının yerleşimi, izleme alanları, sayısı ve izleme süreleri, güvenlik amacına ulaşmak için gerekli olan ölçüde belirlenmekte ve uygulanmaktadır.
İHA, kişilerin mahremiyetini ihlal edebilecek ve güvenlik amacını aşan alanlarda (örneğin, kişisel ihtiyaçlara yönelik kullanım alanları, tuvaletler vb.) herhangi bir kamera kaydı yapmamaktadır.
3.1.5 Elde Edilen Verilerin Güvenliğinin Sağlanması
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca, kamera ile izleme faaliyetleri sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda; verilerin yetkisiz erişim, ifşa, kayıp, değiştirilme veya kötüye kullanım risklerine karşı korunması amacıyla bilgi güvenliği sistemleri uygulanmakta; erişim yetkileri sınırlandırılmakta ve düzenli denetimler gerçekleştirilmektedir. Ayrıca, elde edilen veriler yalnızca işleme amacının gerektirdiği süre kadar muhafaza edilmekte, bu sürelerin sona ermesi halinde ise KVKK ve ilgili mevzuata uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3.1.6 Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi
İHA, kamera ile izleme faaliyetleri sonucunda elde edilen kişisel verileri yalnızca ilgili mevzuatta öngörülen süreler boyunca veya işleme amacının gerektirdiği süre kadar muhafaza etmektedir. Muhafaza süreleri sona erdiğinde veya işleme amacı ortadan kalktığında veriler, KVKK ve ilgili mevzuata uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kamera ile izleme faaliyetleri kapsamında elde edilen kişisel verilerin saklama sürelerine ilişkin ayrıntılı bilgilere Verbis kayıtlarında yer verilmiştir.
3.1.7 İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı
İHA bünyesinde yürütülen kamera ile izleme faaliyetleri sonucunda elde edilen canlı görüntüler ve dijital ortamda kaydedilen veriler, yalnızca yetkilendirilmiş ve sayıca sınırlı çalışanların erişimine açıktır.
Kamera kayıtları, gerektiğinde taşeron güvenlik firması ile paylaşılabilmekte ve ilgili mevzuata uygun olarak yetkili kamu kurum ve kuruluşlarına aktarılabilmektedir.
Kamera kayıtlarına erişim yetkisi bulunan sınırlı sayıdaki kişiler, gizlilik taahhütnamesi imzalayarak eriştikleri verilerin gizliliğini koruyacaklarını beyan ve taahhüt etmektedir.
3.2 İHA BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ
İHA tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, İHA binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak İHA binalarına gelen kişilerin isim ve soyadları elde edilirken ya da İHA nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
3.3 İHA BİNA VE TESİSLERİNDE ZİYARETÇİ’LERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI
İHA tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; İHA tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçi’lerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya İHA içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda İHA çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan İHA çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
3.4 İNTERNET SİTESİ ZİYARETÇİLERİ
İHA, sahibi olduğu internet sitelerinde, ziyaretçilerin siteyi ziyaret amaçlarına uygun şekilde kullanabilmelerini sağlamak, kullanıcı deneyimini geliştirmek, kendilerine özelleştirilmiş içerikler sunmak ve çevrimiçi reklamcılık faaliyetlerinde bulunmak amacıyla, çeşitli teknik araçlar (örneğin çerezler/cookies) aracılığıyla site içerisindeki internet hareketlerini kaydetmektedir.
4. BÖLÜM: İŞLENEN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI, KATEGORİZASYONU VE SAKLANMA SÜRELERİ
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi uyarınca, aydınlatma yükümlülüğü kapsamında;
- Hangi kişisel veri sahibi gruplarının hangi kişisel verilerinin işlendiğini,
- Bu kişisel verilerin işlenme amaçlarını,
- İlgili kişisel verilerin saklanma sürelerini
kişisel veri sahiplerine şeffaf bir şekilde bildirmektedir.
4.1 KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
İHA, kişisel verileri yalnızca 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 5. maddesinin 2. fıkrası ve 6. maddesinin 3. fıkrasında düzenlenen işleme şartları çerçevesinde ve bu şartlarla sınırlı olarak işlemektedir. Bu kapsamda kişisel veri işleme faaliyetlerinin hukuki dayanakları şunlardır:
- Kişisel verilerin işlenmesinin kanunlarda açıkça öngörülmesi,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili ve gerekli olması,
- İHA’nın hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması hâlinde, alenileştirme amacıyla sınırlı şekilde işlenmesi,
- Kişisel verilerin işlenmesinin, İHA’nın, veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İHA’nın meşru menfaatleri için zorunlu olması,
- Veri sahibinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda rızasını açıklayamayacak durumda bulunması,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler açısından ise; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.
Bu hukuki dayanaklara bağlı olarak, İHA kişisel verileri aşağıdaki amaçlarla işlemektedir:
- Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
- Etkinlik yönetimi,
- İş ortakları ve tedarikçilerle olan ilişkilerin yönetimi,
- İHA personel temin süreçlerinin yürütülmesi,
- Grup şirketlerinin personel temin süreçlerine destek verilmesi,
- Finansal raporlama ve risk yönetimi faaliyetlerinin icrası/takibi,
- Hukuk işlerinin yürütülmesi ve takibi,
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Kurumsal yönetim faaliyetlerinin icrası,
- Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi,
- Talep ve şikâyet yönetimi,
- Grup değerlerinin güvenliğinin sağlanması,
- Grup şirketlerinin mevzuata uyum süreçlerine destek olunması,
- Üst düzey yöneticilere sağlanacak yan haklar ve menfaatlerin planlanması ve uygulanmasına destek verilmesi,
- Grup şirketlerinin faaliyetlerinin, İhlas Grubu prosedürleri ve ilgili mevzuata uygun şekilde yürütülmesini sağlamak amacıyla denetim faaliyetlerinin planlanması ve icrası,
- Grup şirketlerinin şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesine destek olunması,
- İhlas Grubu itibarının korunmasına yönelik çalışmaların yürütülmesi,
- Yatırımcı ilişkilerinin yönetilmesi,
- Yetkili kurum ve kuruluşlara mevzuattan doğan yükümlülükler kapsamında bilgi verilmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi.
Bahsi geçen işleme amaçlarının, KVKK’da öngörülen şartlardan herhangi birini karşılamaması halinde, ilgili işleme faaliyetleri ilgili kişinin açık rızası alınarak gerçekleştirilmektedir.
4.2 KİŞİSEL VERİLERİN KATEGORİZASYONU
İHA nezdinde; İHA’nın meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki sürelerle (Grup Şirketleri Müşterisi, Ziyaretçi, Üçüncü Kişi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu da işbu Politika’nın 5.2.1 Maddesinde belirtilmektedir.
| KİŞİSELVERİ KATEGORİZASYONU | KİŞİSELVERİKATEGORİZASYONU AÇIKLAMA |
| KimlikBilgisi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, kişinin kimliğine ilişkin verilerdir. Bu kapsamda; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı, baba adı, doğum yeri, doğum tarihi, cinsiyet bilgisi gibi veriler ile ehliyet, nüfus cüzdanı, pasaport gibi kimlik belgelerinde yer alan bilgiler; ayrıca vergi numarası, SGK numarası, imza bilgisi, taşıt plakası gibi kişiyi tanımlayıcı bilgiler kimlik verisi kapsamında değerlendirilmektedir. |
| İletişim Bilgisi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, ilgili kişinin iletişim kurulmasına imkân tanıyan verileridir. Bu kapsamda; telefon numarası, adres, e-posta adresi, faks numarası, IP adresi gibi bilgiler iletişim verisi olarak kabul edilmektedir. |
| LokasyonVerisi | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, ilgili kişinin bulunduğu konumu gösteren verilerdir. Bu kapsamda; kişisel veri sahibinin, İHA iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Grup Şirketlerinin ürün ve hizmetlerini kullanması sırasında veya iş birliği içinde olunan kurumların çalışanlarının İHA araçlarını kullanırken konumlarının tespit edilmesine ilişkin GPS verileri, seyahat bilgileri ve benzeri veriler lokasyon verisi olarak kabul edilmektedir. |
| AileBireyleri veYakınBilgisi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen verilerdir. Bu kapsamda, İHA iş birimleri tarafından yürütülen operasyonlar çerçevesinde, Grup Şirketleri tarafından sunulan ürün ve hizmetlerle ilgili olarak veya İHA’nın ve kişisel veri sahibinin hukuki ve diğer menfaatlerini korumak amacıyla, kişisel veri sahibinin aile bireyleri (örneğin eş, anne, baba, çocuk), yakınları veya acil durumlarda irtibat kurulabilecek kişiler hakkındaki bilgiler bu kapsama girmektedir. Not: İHA, rutin veri işleme süreçlerinde kişisel veri sahiplerinin aile bireylerine ilişkin verileri işlememekte; yalnızca acil durumlarda ilgili kişiye ulaşılabilmesini temin etmek amacıyla gerekli olduğunda sınırlı şekilde işleyebilmektedir. |
| Fiziksel MekânGüvenlik Bilgisi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, fiziksel mekânlara giriş ve çıkışlarda veya mekân içerisinde bulunma süresince alınan kayıt ve belgelere ilişkin verilerdir. Bu kapsamda; kamera kayıtları, parmak izi kayıtları, güvenlik noktalarında tutulan kayıtlar ve benzeri bilgiler fiziksel mekân güvenlik verisi olarak değerlendirilmektedir. |
| Finansal Bilgi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, İHA’nın kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin niteliğine göre ortaya çıkan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlardır. Bu kapsamda; banka hesap numarası, IBAN numarası, kredi kartı bilgileri, finansal profil, malvarlığı bilgileri, gelir bilgileri ve benzeri veriler finansal veri kapsamında değerlendirilmektedir. |
| Görsel/İşitsel Bilgi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; fotoğraf, kamera kayıtları (Fiziksel Mekân Güvenlik Bilgisi kapsamında değerlendirilen kayıtlar hariç), ses kayıtları ile kişisel veri içeren belgelerin kopyalarında yer alan verilerdir. |
| ÖzlükBilgisi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, İHA ile çalışma ilişkisi bulunan gerçek kişilerin özlük haklarının tesisine ve yürütülmesine temel teşkil eden her türlü kişisel veridir. |
| ÖzelNitelikliKişiselVeri | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. maddesinde sayılan verilerdir. Bu kapsamda; sağlık verileri (örneğin kan grubu bilgisi), biyometrik veriler, din bilgisi, dernek/vakıf/sendika üyeliği bilgisi ve benzeri nitelikteki veriler özel nitelikli kişisel veri olarak kabul edilmektedir. |
| Talep/ŞikayetYönetimiBilgisi | Kimliği belirli veya belirlenebilir gerçek kişiye ait olduğu açıkça anlaşılan; kısmen veya tamamen otomatik yollarla ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen, İHA’ya iletilen her türlü talep veya şikâyetin alınması, değerlendirilmesi ve sonuçlandırılmasına ilişkin kişisel verilerdir. |
4.2.1 İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİNE İLİŞKİN KATEGORİZASYON
İHA tarafından aşağıda belirtilen kişisel veri sahibi kategorilerine ait kişisel veriler işlenmektedir. Ancak işbu Politika’nın uygulama kapsamı; Grup Şirketleri Müşterileri, Ziyaretçiler, Üçüncü Kişiler, Çalışan Adayları, Şirket Hissedarları, Şirket Yetkilileri ile İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve YetkiBelirtilen kategoriler dışında kalan kişisel veri sahipleri de, 6698 sayılı KVKK kapsamında İHA’ya başvuru yapma hakkına sahiptir. Bu doğrultuda, söz konusu kişilerin talepleri de işbu Politika kapsamında değerlendirilir.
Aşağıda, Politika kapsamındaki kişisel veri sahibi kategorilerine ilişkin açıklamalar yer almaktadır:
- Grup Şirketleri Müşterisi
- Ziyaretçi
- Üçüncü Kişi
- Çalışan Adayı
- Şirket Hissedarı
- Şirket Yetkilisi
- İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri
- Tedarikçi
- İş Ortağı
| KİŞİSELVERİSAHİBİ KATEGORİSİ | AÇIKLAMASI |
| GrupŞirketleri Müşterisi | İHA ile doğrudan bir sözleşmesel ilişkisi bulunup bulunmadığına bakılmaksızın, İHA iş birimlerinin yürüttüğü operasyonlar kapsamında, Grup Şirketlerinin iş ilişkileri aracılığıyla kişisel verileri elde edilen gerçek kişilerdir. |
| Ziyaretçi | İHA ve Grup Şirketlerine ait fiziksel yerleşkelere çeşitli amaçlarla giriş yapan veya İHA’nın sahip olduğu internet sitelerini ziyaret eden gerçek kişilerdir. |
| ÜçüncüKişi | Bu Politika ile İHA Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yer almayan diğer gerçek kişilerdir. |
| ÇalışanAdayı | İHA’ya herhangi bir yöntemle iş başvurusunda bulunan veya özgeçmişi ile ilgili bilgilerini İHA’nın incelemesine sunan gerçek kişilerdir. |
| Şirket Hissedarı | İHA’nın hissedarı gerçek kişiler |
| Şirket Yetkilisi | İHA’nın yönetim kurulu üyeleri ve diğer yetkili gerçek kişilerdir. |
| İşbirliğiİçindeOlduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri | İHA’nın iş ortağı, tedarikçi vb. her türlü iş ilişkisi içerisinde bulunduğu kurumlarda görev yapan çalışanlar ile bu kurumların hissedarları ve yetkilileri dâhil olmak üzere gerçek kişilerdir. |
| Tedarikçi: | İHA’nın ticari faaliyetlerini yürütürken, sözleşmeye dayalı olarak ve Şirket’in emir ve talimatlarına uygun şekilde İHA’ya hizmet sunan taraflardır. |
| İş Ortağı: | İHA’nın, ticari faaliyetlerini yürütürken doğrudan veya Grup Şirketleri ile birlikte; çeşitli projeler gerçekleştirmek, hizmet almak ya da benzeri amaçlarla iş birliği yaptığı taraflardır. |
Aşağıdaki tabloda yukarıda belirtilen kişisel veri sahibi kategorileri ve bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerin işlendiği detaylandırılmaktadır.
KİŞİSELVERİKATEGORİZASYONU | İLGİLİKİŞİSELVERİNİNİLİŞKİLİOLDUĞUVERİSAHİBİ KATEGORİSİ |
| KimlikBilgisi | Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz KurumlarınÇalışanları,HissedarlarıveYetkilileri,ÜçüncüKişi |
| İletişim Bilgisi | Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz KurumlarınÇalışanları,HissedarlarıveYetkilileri,ÜçüncüKişi |
| LokasyonVerisi | İşbirliğiİçindeOlduğumuzKurumlarınÇalışanları,Şirket Yetkilileri |
| AileBireyleri veYakınBilgisi | GrupŞirketleriMüşterisi,Ziyaretçi,ÇalışanAdayı,Üçüncü Kişi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri |
| Fiziksel MekânGüvenlik Bilgisi | Ziyaretçi,ÇalışanAdayı,ŞirketHissedarları,ŞirketYetkilileri, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
| Finansal Bilgi | Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket Hissedarı, ŞirketYetkilisi,ŞirketHissedarı,İşbirliğiİçindeOlduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi |
| Görsel/İşitsel Bilgi | Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz KurumlarınÇalışanları,HissedarlarıveYetkilileri,ÜçüncüKişi |
| ÖzlükBilgisi | İşbirliği İçinde Olduğumuz Kurumların Çalışanları, HissedarlarıveYetkilileri,ÇalışanAdayı,ÜçüncüKişi |
| ÖzelNitelikliKişiselVeri | GrupŞirketleriMüşterisi,ÇalışanAdayı,ŞirketHissedarı, Şirket Yetkilisi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri, Üçüncü Kişi, Hastane müşterileri |
| Talep/ŞikayetYönetimiBilgisi | Grup Şirketleri Müşterisi, Çalışan Adayı, Şirket Hissedarı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz KurumlarınÇalışanları,HissedarlarıveYetkilileri,ÜçüncüKişi |
4.3 KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
İHA, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler İHA’nın o veriyi işlerken yürütülen faaliyet ile bağlı olarak İHA’nın uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu konu ile ilgili ayrıntılı bilgiye bu Politika’nın 8. Bölümünde yer verilmiştir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve İHA’nın belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda İHA’ya yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5. BÖLÜM: KİŞİSEL VERİLERİN AKTARILMASI
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 10. maddesi uyarınca, kişisel verilerin aktarılması halinde; aktarılan verilerin içeriği, aktarım amacı ve verilerin aktarıldığı kişi grupları hakkında ilgili kişiyi bilgilendirmektedir.
5.1 KİŞİSEL VERİLERİN AKTARILMASI
İHA, hukuka uygun kişisel veri işleme amaçları doğrultusunda ve gerekli güvenlik önlemlerini alarak, kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
Bu kapsamda İHA, kişisel verilerin aktarım süreçlerinde KVKK’nın 8. maddesi ile öngörülen düzenlemelere tam uyum sağlamaktadır.
5.1.1 Kişisel Verilerin Aktarılması
İHA, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, 6698 sayılı KVKK’nın 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayanarak ve bu şartlarla sınırlı olmak kaydıyla kişisel verileri üçüncü kişilere aktarabilmektedir. Bu kapsamda kişisel veri aktarımı aşağıdaki hallerde mümkündür:
- Kişisel veri sahibinin açık rızasının bulunması ,
- Kanunlarda kişisel verilerin aktarılacağına ilişkin açık bir düzenleme bulunmas ı,
- Kişisel veri sahibinin veya bir başkasının hayatının ya da beden bütünlüğünün korunması için zorunlu olması ve kişisel veri sahibinin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunması veya rızasına hukuken geçerlilik tanınmaması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması ,
- İHA’nın hukuki yükümlülüklerini yerine getirmesi için aktarımın zorunlu olması,
- Kişisel verilerin, veri sahibi tarafından alenileştirilmiş olmas ı,
- Kişisel veri aktarımının, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İHA’nın meşru menfaatleri için aktarımın zorunlu olması.
5.1.2 Özel Nitelikli Kişisel Verilerin Aktarılması
İHA, gerekli özeni göstererek ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yeterli teknik ve idari tedbirleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda özel nitelikli kişisel verileri yalnızca aşağıda belirtilen hâllerde üçüncü kişilere aktarabilmektedir:
- Kişisel veri sahibinin açık rızasının bulunması,
- Kişisel veri sahibinin açık rızasının bulunmaması hâlinde:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (örneğin: ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler ile biyometrik ve genetik veriler), kanunlarda öngörülen hâllerde,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması ve finansmanının yönetimi amacıyla ve sır saklama yükümlülüğü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmek üzere aktarılabilmektedir.
5.2 KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
İHA, hukuka uygun kişisel veri işleme amaçları doğrultusunda ve gerekli güvenlik önlemlerini alarak, kişisel veri sahiplerine ait kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere yurtdışına aktarabilmektedir.
Bu kapsamda, kişisel veriler:
- KVK Kurulu tarafından “Yeterli Korumaya Sahip Yabancı Ülke” olarak ilan edilen ülkelere,
- Yeterli korumanın bulunmaması halinde ise; Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”)
aktarılabilmektedir.
İHA, yurtdışına veri aktarımı süreçlerinde 6698 sayılı KVKK’nın 9. maddesi ile öngörülen düzenlemelere tam uyum göstermektedir.
5.2.1 Kişisel Verilerin Yurtdışına Aktarılması
İHA, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, kişisel veri sahibinin açık rızasının bulunması halinde veya kişisel veri sahibinin açık rızası olmaksızın aşağıda belirtilen şartlardan birinin varlığı durumunda, kişisel verileri Yeterli Korumaya Sahip Yabancı Ülkelere veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
- Kanunlarda kişisel verilerin aktarılacağına ilişkin açık bir düzenleme bulunması ,
- Kişisel veri sahibinin veya bir başkasının hayatının ya da beden bütünlüğünün korunması için zorunlu olması ve kişisel veri sahibinin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunması veya rızasına hukuken geçerlilik tanınmaması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin aktarılmasının gerekli olması ,
- İHA’nın hukuki yükümlülüklerini yerine getirmesi için aktarımın zorunlu olması,
- Kişisel verilerin, veri sahibi tarafından alenileştirilmiş olması ,
- Kişisel veri aktarımının, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması ,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İHA’nın meşru menfaatleri için aktarımın zorunlu olması.
5.2.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
İHA, gerekli özeni göstererek ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yeterli teknik ve idari tedbirleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda özel nitelikli kişisel verileri yalnızca aşağıda belirtilen hâllerde Yeterli Korumaya Sahip Yabancı Ülkelere veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
- Kişisel veri sahibinin açık rızasının bulunması,
- Kişisel veri sahibinin açık rızasının bulunmaması hâlinde:
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler (örneğin: ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti, güvenlik tedbirlerine ilişkin veriler, biyometrik ve genetik veriler), kanunlarda öngörülen hâllerde ,
- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ve sır saklama yükümlülüğü altındaki kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmek üzere aktarılabilmektedir.
5.3 KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 8. ve 9. maddelerine uygun olarak, işbu Politika kapsamında yer alan veri sahiplerinin kişisel verilerini aşağıda belirtilen kişi kategorilerine aktarabilmektedir:
- İHA iş ortakları
- İHA tedarikçileri
- İhlas Grubu şirketleri
- İHA hissedarları
- İHA şirket yetkilileri
- Hukuken yetkili kamu kurum ve kuruluşları
- Hukuken yetkili özel hukuk kişileri
Aktarım yapılan kişi gruplarının kapsamı ve kişisel veri aktarım amaçları aşağıda detaylandırılmaktadır.
VeriAktarımıYapılabilecek Kişiler | Tanımı | VeriAktarım Amacı |
| İş Ortağı | İhl İHA’nın ticari faaliyetlerini yürütürken, bizzat veya Grup Şirketleri ile birlikte çeşitli projeler yürütmek, hizmet almak ya da benzeri amaçlarla iş ortaklığı kurduğu tarafları ifade etmektedir. | İş Kişisel veriler, yalnızca iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla ve bu amaçlarla sınırlı olarak iş ortaklarına aktarılabilmektedir. |
| Tedarikçi | İHA’nın ticari faaliyetlerini yürütürken, Şirket’in emir ve talimatlarına uygun olarak ve sözleşmeye dayalı şekilde İHA’ya hizmet sunan tarafları ifade etmektedir. Kişisel veriler, yalnızca tedarikçi tarafından sunulan hizmetlerden yararlanılması amacıyla ve bu amaçla sınırlı olarak tedarikçilere aktarılabilmektedir. | İhl İHA’nın, tedarikçilerden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli olan hizmetlerin İHA’ya sunulmasını sağlamak amacıyla, kişisel veriler yalnızca bu amaçla sınırlı olarak tedarikçilere aktarılabilmektedir. |
| GrupŞirketleri | İhlasGrubuşirketleri | İhl Kişisel veriler, yalnızca İhlas Grubu şirketlerinin katılımını gerektiren ticari faaliyetlerin yürütülmesini temin etmek amacıyla ve bu amaçla sınırlı olarak Grup Şirketleri ile paylaşılabilmektedir. |
| Hissedarlar | İHA’nın hissedarı gerçek kişiler | İlg Kişisel veriler, ilgili mevzuat hükümleri çerçevesinde, yalnızca İHA’nın şirketler hukuku işlemleri, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak hissedarlara aktarılabilmektedir. |
| Şirket Yetkilileri | İhl İHA’nın yönetim kurulu üyeleri ve diğer yetkili gerçek kişileri ifade etmektedir. | İlg Kişisel veriler, ilgili mevzuat hükümleri çerçevesinde, yalnızca İHA’nın ticari faaliyetlerine ilişkin stratejilerin belirlenmesi, yönetimsel kararların alınması ve en üst düzeyde idaresinin sağlanması amacıyla ve bu amaçlarla sınırlı olarak şirket yetkililerine aktarılabilmektedir. |
| HukukenYetkiliKamuKurum ve Kuruluşları | İlgili mevzuat hükümlerine göre İHA’dan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilindetalepettiğiamaçla sınırlı olarak |
| HukukenYetkiliÖzelHukuk Kişileri | İlgili mevzuat hükümlerine göre İHA’dan bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukukiyetkisidahilindetalep ettiği amaçla sınırlı olarak |
6. BÖLÜM:KİŞİSELVERİLERİNKORUNMASI
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca, işlemekte olduğu kişisel verilerin:
- Hukuka aykırı olarak işlenmesini önlemek,
- Hukuka aykırı olarak erişilmesini engellemek,
- Güvenli bir şekilde muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda İHA, gerekli iç denetimleri düzenli olarak yapmakta veya yaptırmakta ve kişisel verilerin korunmasına ilişkin süreçlerini sürekli olarak geliştirmektedir.
6.1 KİŞİSELVERİLERİNGÜVENLİĞİNİNSAĞLANMASI
6.1.1 KişiselVerilerinHukukaUygunİşlenmesiniSağlamakiçinAlınanTeknikveİdari Tedbirler
İHA, kişisel verilerin hukuka uygun işlenmesini temin etmek amacıyla, teknolojik imkânlar ve uygulama maliyetlerini dikkate alarak gerekli teknik ve idari tedbirleri almaktadır.
- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
İHA tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla alınan başlıca teknik tedbirler şunlardır:
- İHA bünyesinde yürütülen kişisel veri işleme faaliyetleri, kurulan teknik sistemler aracılığıyla düzenli olarak denetlenmektedir.
- Alınan teknik önlemler, periyodik aralıklarla iç denetim mekanizması çerçevesinde değerlendirilmekte ve sonuçlar ilgili birimlere raporlanmaktadır.
- Teknik konularda uzman ve yetkin personel istihdam edilerek veri işleme süreçlerinin güvenliği sağlanmaktadır.
- Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
İHA tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla alınan başlıca idari tedbirler şunlardır:
- Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun işlenmesi konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir.
- İHA’nın yürütmekte olduğu tüm faaliyetler, iş birimleri özelinde detaylı şekilde analiz edilmekte; bu analizler sonucunda her iş biriminin gerçekleştirdiği ticari faaliyetlere ilişkin kişisel veri işleme faaliyetleri tespit edilmektedir.
- İş birimleri tarafından yürütülen kişisel veri işleme faaliyetlerinin, KVKK’da öngörülen kişisel veri işleme şartlarına uygunluğu sağlanmakta; bu kapsamda, her bir faaliyet için gerekli hukuki uyum gereklilikleri belirlenmektedir.
- İş birimi bazında belirlenen uyum gerekliliklerinin karşılanması için ilgili iş birimlerinde farkındalık oluşturulmakta, uygulama kuralları tanımlanmakta ve bu kuralların denetimi ile sürekliliği şirket içi politikalar ve eğitimler yoluyla güvence altına alınmaktadır.
- İHA ile çalışanlar arasındaki hukuki ilişkileri düzenleyen sözleşme ve belgelere; Şirket’in talimatları ve kanuni istisnalar dışında kişisel verilerin işlenmemesi, ifşa edilmemesi ve kullanılmaması yönünde hükümler eklenmekte, çalışanların farkındalığı artırılmakta ve düzenli denetimler gerçekleştirilmektedir.
6.1.2 KişiselVerilerinHukukaAykırıErişiminiEngellemekiçinAlınanTeknikve İdariTedbirler
İHA, kişisel verilerin tedbirsizlik, yetkisiz erişim, açıklama, aktarım veya herhangi bir şekilde hukuka aykırı erişim risklerine karşı korunmasını sağlamak amacıyla; verinin niteliğini, teknolojik imkânları ve uygulama maliyetlerini dikkate alarak gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda, kişisel verilere yalnızca yetkili kişiler tarafından erişim sağlanmakta, erişim yetkileri düzenli olarak gözden geçirilmekte ve veri güvenliğini ihlal edebilecek riskler önleyici sistemler ve denetim mekanizmalarıyla kontrol altında tutulmaktadır.
- Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
İHA tarafından kişisel verilerin hukuka aykırı erişimini engellemek amacıyla alınan başlıca teknik tedbirler şunlardır:
- Teknolojik gelişmelere uygun güvenlik önlemleri alınmakta, bu önlemler düzenli aralıklarla güncellenmekte ve yenilenmektedir.
- İş birimleri özelinde belirlenen hukuki uyum gerekliliklerine uygun olarak erişim kontrolü ve yetkilendirme çözümleri uygulanmaktadır.
- Erişim yetkileri sınırlandırılmakta, bu yetkiler düzenli olarak gözden geçirilmekte ve güncellenmektedir.
- Alınan teknik önlemler, periyodik olarak iç denetim mekanizmaları aracılığıyla kontrol edilmekte; tespit edilen riskler yeniden değerlendirilerek gerekli teknolojik çözümler üretilmektedir.
- Virüs koruma sistemleri, güvenlik duvarları ve benzeri güvenlik yazılımları ve donanımları kullanılmaktadır.
- Teknik konularda yetkin personel istihdam edilerek veri güvenliği süreçlerinin yönetilmesi sağlanmaktadır.
- Kişisel verilerin toplandığı uygulamalar düzenli olarak güvenlik testlerine ve taramalara tabi tutulmakta; tespit edilen güvenlik açıkları en kısa sürede giderilmektedir.
- Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
İHA tarafından kişisel verilerin hukuka aykırı erişimini engellemek amacıyla alınan başlıca idari tedbirler şunlardır:
- Çalışanlar, kişisel verilere hukuka aykırı erişimi önlemeye yönelik alınan teknik ve idari tedbirler konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir.
- İş birimleri özelinde, kişisel veri işleme faaliyetleri hukuki uyum gerekliliklerine uygun şekilde tasarlanmakta ve bu doğrultuda erişim ve yetkilendirme süreçleri oluşturulmakta ve uygulanmaktadır.
- Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak üçüncü kişilerle paylaşamayacakları ve işleme amacı dışında kullanamayacakları konusunda bilgilendirilmekte; bu yükümlülüklerin görevden ayrılmalarından sonra da devam edeceğine ilişkin gizlilik taahhütleri alınmaktadır.
- İHA tarafından kişisel verilerin hukuka uygun olarak aktarıldığı üçüncü kişilerle akdedilen sözleşmelere; kişisel verilerin korunmasına yönelik gerekli güvenlik tedbirlerinin alınacağına ve bu tedbirlere kendi kuruluşlarında da uyulmasının sağlanacağına ilişkin hükümler eklenmektedir.
6.1.3 KişiselVerilerinGüvenliOrtamlarda Saklanması
İHA, kişisel verilerin güvenli ortamlarda saklanmasını sağlamak ve bu verilerin hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek amacıyla, teknolojik imkânlar ve uygulama maliyetlerini dikkate alarak gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda, verilerin güvenli şekilde saklanabilmesi için erişim kontrolleri, şifreleme yöntemleri, yedekleme sistemleri ve yetkilendirme mekanizmaları uygulanmakta; ayrıca veri güvenliğine ilişkin süreçlerin sürekliliği düzenli denetimler ile sağlanmaktadır.
- Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
İHA tarafından kişisel verilerin güvenli ortamlarda saklanmasını sağlamak amacıyla alınan başlıca teknik tedbirler şunlardır:
- Kişisel verilerin güvenli şekilde saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
- Veri güvenliği süreçlerinin yönetilmesi için teknik konularda uzman personel istihdam edilmektedir.
- Saklama alanlarına yönelik teknik güvenlik sistemleri kurulmakta; alınan önlemler periyodik olarak iç denetim mekanizmaları çerçevesinde raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözümler uygulanmaktadır.
- Kişisel verilerin güvenli biçimde saklanmasını temin etmek için hukuka uygun yedekleme programları kullanılmaktadır.
- Veri depolama alanlarına erişimler loglanmakta , uygunsuz erişimler veya erişim denemeleri tespit edilerek ilgililere anlık bildirim yapılmaktadır.
- Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
İHA tarafından kişisel verilerin güvenli ortamlarda saklanmasını sağlamak amacıyla alınan başlıca idari tedbirler şunlardır:
- Çalışanlar, kişisel verilerin güvenli bir biçimde saklanması hususunda düzenli olarak eğitilmekte ve bilgilendirilmektedir.
- Kişisel verilerin saklanması konusunda teknik gereklilikler nedeniyle üçüncü taraflardan hizmet alınması durumunda, ilgili firmalarla akdedilen sözleşmelere; kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınacağına ve bu tedbirlere kendi kuruluşlarında da uyulmasının sağlanacağına ilişkin hükümler eklenmektedir.
6.1.4 KişiselVerilerinYetkisizBirŞekildeİfşasıDurumundaAlınacakTedbirler
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesi uyarınca, işlenen kişisel verilerin kanuni olmayan yollarla üçüncü kişiler tarafından elde edilmesi durumunda, bu ihlalin en kısa sürede ilgili kişisel veri sahiplerine ve Kişisel Verileri Koruma Kurulu’na (KVK Kurulu) bildirilmesini sağlayan bir sistem işletmektedir.
KVK Kurulu tarafından gerekli görülmesi halinde, söz konusu ihlal kamuoyuna KVK Kurulu’nun internet sitesi veya uygun görülecek başka yöntemlerle duyurulabilmektedir.
6.2 VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ; BU HAKLARI ŞİRKETİMİZE İLETECEĞİ KANALLARINOLUŞTURULMASIVEVERİSAHİPLERİNİNTALEPLERİNİNDEĞERLENDİRMESİ
İHA, kişisel veri sahiplerinin haklarının etkin biçimde kullanılabilmesi ve gerekli bilgilendirmenin yapılabilmesi amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 13. maddesine uygun olarak gerekli başvuru kanallarını, iç işleyişi ile idari ve teknik düzenlemeleri hayata geçirmektedir.
Kişisel veri sahipleri, aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak İHA’ya iletebilmektedir. İHA, talebin niteliğine göre başvuruları en geç otuz (30) gün içerisinde ücretsiz olarak sonuçlandırmaktadır. Ancak, KVK Kurulu tarafından bir ücret öngörülmesi hâlinde, işlemler Kurul tarafından belirlenen tarifeye uygun olarak ücretlendirilmektedir.
Kişisel veri sahipleri KVKK kapsamında aşağıdaki haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahiplerinin hakları ile ilgili ayrıntılı bilgilere bu Politika’nın 9. Bölümünde yer verilmektedir.
6.3 ÖZELNİTELİKLİKİŞİSELVERİLERİN KORUNMASI
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, hukuka aykırı işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bazı kişisel verilere özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler ile biyometrik ve genetik veriler dir.
İHA, KVKK ile “özel nitelikli” olarak tanımlanan kişisel verilerin işlenmesi ve korunması süreçlerinde azami özen ve hassasiyet göstermektedir. Bu kapsamda, özel nitelikli kişisel verilerin korunması için alınan teknik ve idari tedbirler titizlikle uygulanmakta, düzenli denetim mekanizmaları işletilmekte ve ilgili süreçlerin sürekliliği güvence altına alınmaktadır.
Özel nitelikli kişisel verilerin işlenmesine ilişkin ayrıntılı bilgilere bu Politika’nın 3. Bölümünde yer verilmektedir.
6.4 İŞBİRİMLERİNİNKİŞİSELVERİLERİN KORUNMASIVEİŞLENMESİKONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
İHA, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere yetkisiz erişimi önlemek ile verilerin güvenli şekilde muhafazasını sağlamak amacıyla, iş birimlerinin farkındalığını artırmaya yönelik düzenli eğitim faaliyetleri gerçekleştirmektedir.
İHA bünyesindeki mevcut çalışanların yanı sıra yeni göreve başlayan çalışanların da kişisel verilerin korunması konusunda bilinçlendirilmesi için gerekli sistemler kurulmakta; ihtiyaç duyulduğunda konunun uzmanı profesyonellerden destek alınmaktadır.
İş birimlerinin kişisel verilerin korunması ve işlenmesi konusundaki farkındalığını artırmaya yönelik yürütülen eğitim ve bilgilendirme faaliyetlerinin sonuçları, İHA’ya düzenli olarak raporlanmaktadır. Bu raporlar doğrultusunda, İHA ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımları değerlendirmekte, gerekli denetimleri yapmakta veya yaptırmaktadır.
Ayrıca, ilgili mevzuatta yapılan güncellemeler dikkate alınarak eğitim içerikleri düzenli olarak güncellenmekte ve yenilenmektedir.
6.5 İŞORTAKLARIVETEDARİKÇİLER’İNKİŞİSELVERİLERİNKORUNMASIVEİŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
İHA, kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere yetkisiz erişimi önlemek ile verilerin güvenli bir şekilde muhafazasını sağlamak amacıyla, İş Ortakları ve Tedarikçileri için düzenli eğitim ve seminerler gerçekleştirilmesini sağlamaktadır.
Mevcut çalışanların yanı sıra yeni göreve başlayan çalışanların da kişisel verilerin korunması konusunda bilinçlendirilmesi için gerekli sistemler kurulmaktadır. İhtiyaç duyulması hâlinde konunun uzmanı profesyonellerden destek alınmaktadır.
7. BÖLÜM:KİŞİSELVERİLERİNSİLİNMESİ,YOKEDİLMESİVE ANONİMLEŞTİRİLMESİ
İHA, 5237 sayılı Türk Ceza Kanunu’nun 138. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 7. maddesi uyarınca; işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verileri silmek, yok etmek veya anonim hâle getirmekle yükümlüdür.
Bu kapsamda kişisel veriler, İHA’nın kendi inisiyatifiyle veya kişisel veri sahibinin başvurusu üzerine, ilgili mevzuata uygun yöntemlerle silinmekte, yok edilmekte veya anonimleştirilmektedir.
7.1 İHA’nın KİŞİSEL VERİLERİ SİLME, YOK ETME VE ANONİMLEŞTİRME YÜKÜMLÜLÜĞÜ
5237 sayılı Türk Ceza Kanunu’nun 138. maddesi ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 7. maddesi uyarınca, işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel veriler İHA’nın kararı üzerine veya ilgili kişinin talebi doğrultusunda silinir, yok edilir veya anonim hâle getirilir.
İHA, bu yükümlülüğünü ilgili mevzuata uygun olarak yerine getirmekte olup, kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi süreçlerini bu bölümde açıklanan yöntemlerle yürütmektedir.
7.2 KİŞİSELVERİLERİNSİLİNMESİ,YOKEDİLMESİVEANONİMLEŞTİRİLMESİTEKNİKLERİ
7.2.1 KişiselVerilerinSilinmesiveYok EdilmesiTeknikleri
İHA, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kendi kararıyla veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir.
İHA tarafından en sık kullanılan silme ve yok etme teknikleri aşağıda açıklanmaktadır:
- FizikselOlarakYok Etme
Kişisel veriler, herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken, bir daha kullanılmayacak şekilde fiziksel imha yöntemi uygulanmaktadır.
- YazılımdanGüvenliOlarak Silme
Tamamen veya kısmen otomatik yollarla işlenen ve dijital ortamlarda muhafaza edilen kişisel veriler silinirken/yok edilirken, verinin bir daha kurtarılamayacak biçimde ilgili yazılımdan silinmesini sağlayan güvenli silme yöntemleri kullanılmaktadır.
- UzmanTarafındanGüvenliOlarak Silme
Bazı durumlarda İHA, kişisel verilerin güvenli bir biçimde silinmesi veya yok edilmesi için konusunda uzman kişi veya kuruluşlardan hizmet alabilmektedir. Bu durumda, kişisel veriler uzman tarafından geri getirilemeyecek şekilde silinir veya yok edilir.
7.2.2 KişiselVerileri AnonimHaleGetirmeTeknikleri
Kişisel verilerin anonimleştirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
İHA, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verileri anonim hale getirebilmektedir.
6698 sayılı KVKK’nın 28. maddesi uyarınca; anonim hale getirilen kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmamaktadır. Aynı şekilde, anonim hale getirilerek işlenen veriler KVKK kapsamı dışında değerlendirileceğinden, Politika’nın 9. Bölümünde düzenlenen haklar bu veriler için uygulanmayacaktır.
İHA tarafından en çok kullanılan anonimleştirme teknikleri aşağıda açıklanmaktadır:
- Maskeleme:
Maskeleme yöntemi ile kişisel verilerin temel belirleyici unsurları veri setinden çıkarılarak, kişisel verilerin anonim hale getirilmesi sağlanmaktadır.
Örnek: Veri sahibini tanımlamaya imkân veren isim, T.C. kimlik numarası gibi bilgilerin çıkarılmasıyla, veri sahibinin tanımlanmasının mümkün olmadığı bir veri seti oluşturulması.
- Toplulaştırma:
Toplulaştırma yöntemi ile birçok veri bir araya getirilerek kişisel veriler, herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
Örnek: Çalışanların yaşlarının tek tek gösterilmesi yerine, “X yaşında Z kadar çalışan bulunmaktadır” şeklinde toplulaştırılmış bilgi sunulması.
- Veri Türetme:
Veri türetme yöntemi ile kişisel verinin içeriği daha genel bir içerikle değiştirilerek, herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
Örnek: Doğum tarihleri yerine yalnızca yaşların belirtilmesi veya açık adres bilgisi yerine yalnızca ikamet edilen bölgenin paylaşılması.
- Veri Karma:
Veri karma yöntemi ile kişisel veri seti içindeki değerler karıştırılarak, bu değerler ile kişiler arasındaki bağın koparılması sağlanmaktadır.
Örnek: Ses kayıtlarının niteliğinin değiştirilmesi suretiyle, sesler ile veri sahibinin ilişkilendirilemeyecek hale getirilmesi.
8. BÖLÜM: KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ METODOLOJİSİ
İHA, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 10. maddesi uyarınca kişisel veri sahiplerini hakları konusunda bilgilendirmekte ve bu hakların nasıl kullanılacağına dair gerekli yönlendirmeleri yapmaktadır.
Ayrıca, kişisel veri sahiplerinin başvurularının değerlendirilmesi ve kendilerine gerekli bilgilendirmenin sağlanması amacıyla, KVKK’nın 13. maddesine uygun olarak gerekli başvuru kanallarını, iç işleyişi ile idari ve teknik düzenlemeleri tesis etmektedir.
Bu kapsamda, kişisel veri sahiplerinin haklarının etkin bir biçimde kullanılabilmesi için süreçler şeffaf, denetlenebilir ve mevzuata uygun şekilde yürütülmektedir.
8.1 VERİSAHİBİNİNHAKLARIVEBU HAKLARINIKULLANMASI
8.1.1 KişiselVeriSahibinin Hakları
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca, kişisel veri sahipleri aşağıda belirtilen haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,
- KVKK ve ilgili diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
8.1.2 KişiselVeriSahibininHaklarınıİleriSüremeyeceği Haller
Kişisel veri sahipleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 28. maddesi uyarınca aşağıda belirtilen durumlarda, 8.1.1. maddede sayılan haklarını ileri süremezler. Bu haller KVKK kapsamı dışında tutulmaktadır:
- Kişisel verilerin, resmî istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik amaçlarıyla işlenmesi.
- Kişisel verilerin, millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin, millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin, soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
8.1.3. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (KVKK) 28/2. maddesi uyarınca, aşağıda sayılan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı saklı kalmak kaydıyla , maddede belirtilen diğer haklarını ileri süremezler:
- Kişisel veri işlemenin, suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel veri sahibinin, kendi alenileştirdiği kişisel verilerin işlenmesi.
- Kişisel veri işlemenin, kanunla yetkilendirilmiş kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ya da disiplin soruşturma veya kovuşturmaları için gerekli olması.
- Kişisel veri işlemenin, bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
8.1.4 Kişisel VeriSahibininHaklarınıKullanması
Kişisel veri sahipleri, bu bölümün 8.1.1. başlığı altında sayılan haklarına ilişkin taleplerini, kimliklerini doğrulayıcı bilgi ve belgelerle birlikte aşağıda belirtilen yöntemlerden biri ile veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle, Başvuru Formu’nu doldurup imzalayarak İHA’ya ücretsiz olarak iletebilirler:
- https://www.iha.com.tr/ adresinde yer alan başvuru formunun doldurulup ıslak imzalı bir nüshasının bizzat elden veya noter aracılığıyla şu adrese ulaştırılması:
Merkez Mahallesi 29 Ekim Caddesi İhlas Plaza No: 11 A, 21 34197 Yenibosna, Bahçelievler/İstanbul - ( https://www.iha.com.tr/ adresinde yer alan başvuru formunun doldurulup ihlashaber@hs03.kep.tr ya da kurumsal@iha.com.tr adresine elektronik posta yoluyla gönderilmesi.
Kişisel veri sahipleri adına üçüncü kişilerin başvuruda bulunabilmesi için, veri sahibi tarafından noter kanalıyla düzenlenmiş özel vekâletname ibraz edilmesi zorunludur.
8.1.5 KişiselVeriSahibininKVKKurulu’naŞikâyetteBulunma Hakkı
Kişisel veri sahibi, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 14. maddesi uyarınca;
- Başvurunun reddedilmesi,
- Verilen cevabın yetersiz bulunması veya
- Süresi içerisinde başvuruya cevap verilmemesi
hâllerinde, İHA’nın cevabını öğrendiği tarihten itibaren otuz (30) gün ve her hâlde başvuru tarihinden itibaren altmış (60) gün içinde Kişisel Verileri Koruma Kurulu’na (KVK Kurulu) şikâyette bulunma hakkına sahiptir.
8.2 İHA’nın BAŞVURULARA CEVAP VERMESİ
Grup Şirketlerinin yürüttüğü kişisel veri işleme faaliyetlerine ilişkin başvuruların, ilgili Grup Şirketine yapılması gerekmektedir. İHA’ya ise yalnızca, İHA’nın KVK Kanunu kapsamında veri sorumlusu sıfatını taşıdığı durumlarda başvuru yapılmalıdır.
Bu kapsamda, İHA veri sorumlusu olarak;
- Kişisel verilerin doğrudan ilgili kişiden toplandığı durumlarda veya
- İlgili Grup Şirketi ile İHA arasında gerçekleştirilen veri paylaşımının, KVKK kapsamında “veri sorumlusundan veri sorumlusuna aktarım” niteliği taşıdığı hallerde,
başvuruların muhatabıdır.
Bunun dışında, ilgili Grup Şirketinin veri sorumlusu olduğu kişisel veri işleme faaliyetlerine ilişkin başvurular, doğrudan ilgili Grup Şirketi ne yapılmalıdır.
8.2.1 İHA’nın Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 8.1.3. başlığı altında belirtilen usule uygun olarak talebini İHA’ya iletmesi durumunda, İHA söz konusu talebi niteliğine göre en geç otuz (30) gün içerisinde ücretsiz olarak sonuçlandırır.
Ancak, Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) tarafından bir ücret öngörülmesi hâlinde, başvuru sahibi tarafından söz konusu ücretin KVK Kurulu tarafından belirlenen tarifeye uygun şekilde ödenmesi gerekecektir.
8.2.2 İHA’nın Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
İHA, başvuruda bulunan kişinin gerçekten kişisel veri sahibi olup olmadığını teyit edebilmek amacıyla, ilgili kişiden ek bilgi talep edebilir. Ayrıca, başvuruda yer alan hususların daha açık ve anlaşılır hale getirilmesi için, kişisel veri sahibine başvurusu ile ilgili ek sorular yöneltilebilir.
8.2.3 İHA’nın Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
İHA, aşağıda belirtilen durumlarda kişisel veri sahibinin başvurusunu, gerekçesini açıklamak suretiyle reddedebilir:
- Kişisel verilerin, resmî istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik amaçlarıyla işlenmesi.
- Kişisel verilerin; millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni, ekonomik güvenlik, özel hayatın gizliliği veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla; sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin, millî savunma, millî güvenlik, kamu güvenliği, kamu düzeni veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin, soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- Kişisel veri işlemenin, suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel verilerin, veri sahibi tarafından alenileştirilmiş olması.
- Kişisel veri işlemenin, kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları tarafından denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturması veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin, bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- Kişisel veri sahibinin talebinin, başkalarının hak ve özgürlüklerini engelleme ihtimali bulunması.
- 10.Talebin, orantısız çaba gerektiren nitelikte olması.
- 11.Talep edilen bilginin, kamuya açık bir bilgi olması.
9. BÖLÜM: İHA KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİM YAPISI
Bu Politika’nın gereklerini yerine getirmek, kişisel verilerin korunması mevzuatına uyumu sağlamak, Politika’nın uygulanmasını sürdürmek, yönetmek ve sürekli olarak geliştirmek amacıyla karar alma yetkisine sahip, üst yönetime raporlama yapan ve Şirket bünyesinde gerekli koordinasyonu sağlayan bir yönetim yapısı oluşturulmuştur.
KVKK düzenlemelerine uyumun sağlanması ve İHA Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın etkin bir şekilde yürütülmesi amacıyla, İHA ve tüm Grup Şirketleri bünyesinde Kişisel Verilerin Korunması için sorumlular belirlenmiştir.. Ayrıca, Politika’nın Grup Şirketleri genelinde yeknesak şekilde uygulanmasını ve yönetilmesini sağlamak üzere Kişisel Verilerin Korunması Alt
Sorumluları oluşturulmuştur.
KVKK Sorumlularının Görevleri
- İHA ve Grup Şirketleri tarafından kişisel verilerin korunması ve güvenliğine yönelik alınan teknik ve idari tedbirlerin, ilgili mevzuat, politika, prosedür ve talimatlara uyumunu, işleyişini ve etkinliğini takip etmek ve denetlemek.
- Denetim faaliyetlerini kendi organizasyonu aracılığıyla gerçekleştirmek veya gerekli gördüğü durumlarda dış denetim firmalarına yaptırmak.
- Grup Şirketlerinde Politika’nın uygulanmasını, denetim sonuçlarını ve alınması gereken aksiyonların takibini sağlamak.
- Veri işleyenlerden gelen raporları değerlendirmek, doğrulama testlerini yapmak veya yaptırmak, gerekli iyileştirmeleri sağlamak.
- Kişisel verilerin korunmasına yönelik alınan tedbirlerin geliştirilmesi ve iyileştirilmesi için ilgili icra birimlerinin çalışmalarını yönlendirmek.
Alt Sorumluların Görevleri
- Kişisel verilerin korunması ve işlenmesine ilişkin temel politikaları hazırlamak, gerektiğinde güncellemek ve üst yönetimin onayına sunulmak üzere İK ya iletmek.
- Politikaların uygulanma ve denetim yöntemlerini belirlemek, şirket içi görevlendirmeleri ve koordinasyonu sağlamak, bunları İK nın onayına sunmak.
- KVKK ve ilgili mevzuata uyum için yapılması gereken hususları tespit etmek, uygulanmasını gözetmek ve İK ya raporlamak.
- Şirket içinde ve iş ilişkisi bulunan kurumlarda kişisel verilerin korunmasına yönelik farkındalığı artırmak.
- Kişisel veri işleme faaliyetlerindeki riskleri belirlemek, önlemleri geliştirmek ve üst yönetime öneriler sunmak.
- Kişisel veri sahiplerinin kanuni hakları ve işleme faaliyetleri hakkında bilgilendirilmesi amacıyla eğitim ve farkındalık faaliyetleri düzenlenmesini İK na önermek.
- Kişisel veri sahiplerinden gelen başvuruları en üst düzeyde karara bağlanmak üzere İK ya iletmek.
- Kişisel verilerin korunmasına ilişkin ulusal ve uluslararası gelişmeleri takip etmek, mevzuat değişiklikleri doğrultusunda öneriler geliştirmek.
- Üst yönetim ve İK tarafından verilen diğer görevleri icra etmek.