KVKK

1.AMAÇ

Sığınmacılar ve Göçmenlerle Dayanışma Derneği (Bundan böyle kısaca “SGDD-ASAM ya da Dernek” olarak anılacaktır) olarak kişisel verilerin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu1 (“KVKK” ya da “Kanun” olarak anılacaktır) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarının etkin şekilde kullanılabilmesinin sağlanması önceliğimizdir.

Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi, kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü ve etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz.

Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde, ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini almakta ve aldığımız tedbirleri güncel tutmaktayız.

İşbu SGDD-ASAM Kişisel Verilerin Korunması ve İşlenmesi Politikası (Politika olarak anılacaktır), faaliyetlerimiz sırasında toplanan kişisel verilerin KVKK’da anılan ilkeler çerçevesinde işlenmesine (örneğin saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine) dair izlediğimiz yöntemleri açıklamaktadır.

2. KAPSAM

SGDD-ASAM tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen bütün gerçek kişilere işbu Politika hükümleri uygulanacak olup Politika’nın hazırlanmasında KVKK ve kişisel verilere ilişkin diğer mevzuatla birlikte bu alandaki uluslararası standartlar göz önüne alınmıştır.

http://www.mevzuat.gov.tr/MevzuatMetin/1.5.669.pdf

3. TANIM VE KISALTMALAR

İşbu Politika kapsamında;

  1. a. SGDD-ASAM: Sığınmacılar ve Göçmenlerle Dayanışma Derneği’ni,
  2. b. Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onayı,
  3. c. Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkilendirilemeyecek hale getirilmesini,
  4. Çalışan: SGDD-ASAM personelini,
  5. Çalışan Adayı: SGDD-ASAM’a iş başvurusunda bulunmuş olan kişileri,
  6. Danışan: Dernek faaliyetleri kapsamında başvuruda bulunan gerçek kişileri,
  7. Dernek: Sığınmacılar ve Göçmenlerle Dayanışma Derneği’ni,
  8. İlgili Kişi: Kişisel verisi işlenen gerçek kişileri,
  9. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  10. Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
  11. Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Korunması Kanunu’nu
  12. Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  13. Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
  14. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
  15. KVKK Komitesi: Dernek’in kişisel verilerin korunması alanındaki mevzuata uyumu, yol haritasının çıkarılması, gereken teknik ve idari tedbirlerin alınması veya aldırılması, kişisel verilerin korunması alanında eğitim, gerekli bilincin artırılması ve farkındalığın sağlanması için gereken çalışmaları yapmakla sorumlu Dernek içerisinde yer alan komiteyi,
  16. KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,
  17. KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu,
  18. KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Korunması Kanunu’nu,
  19. Politika: SGDD-ASAM Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı ve
  20. Saklama İmha Politikası: SGDD-ASAM Saklama İmha Politikası’nı ifade eder.

4. ROL VE SORUMLULUKLAR

a. SGDD-ASAM Yönetim Kurulu

İşbu Politika, SGDD-ASAM Yönetim Kurulu tarafından onaylanmış olup SGDD-ASAM Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay mekanizmasıdır.

b. KVKK Komitesi

İşbu Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden sorumludur. Komite, Dernek’in kişisel verilerin korunması alanındaki mevzuata uyumu, yol haritasının çıkarılması, gereken teknik ve idari tedbirlerin alınması veya aldırılması, kişisel verilerin korunması alanında eğitim, gerekli bilincin artırılması ve farkındalığın sağlanması için gereken çalışmaları yapmakla sorumlu olup işbu Politika’yı gerektiğinde güncelliği ve geliştirme ihtiyaçları açısından değerlendirir.

c. Genel Koordinatörlük

Genel Koordinatörlük, işbu Politika’ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.

Genel Koordinatörlük, veri sahibi olan ilgili kişinin verisinin silinmesi, değiştirilmesi ya da anonimleştirilmesine dair Başvuru Formuyla ya da diğer usullerdeki yaptığı başvuru üzerine işlemin yerine getirildiğine dair başvuru sahibini bilgilendirmek ile sorumludur.

Genel Koordinatörlük, bu Politika çerçevesinde, Dernek’in kamuyu bilgilendirme uygulamalarını, şeffaf bir şekilde tüm ilgililere eş zamanlı olarak yapmaktan sorumludur.

d. Satın Alma Birimi

Satın Alma Birimi, sorumlu oldukları tüm faaliyetlerde görev alan çalışanlarla beraber dış hizmet alınan III.kişi ve kurumların işbu Dernek KVKK Politikası’na uyumu için gerekli tedbirlerin alınması, Politika’ya aykırı hususların tespiti amacıyla konuların incelenmesi ve KVKK Komitesine bildirilmesinden sorumludur.

e. Kapasite Geliştirme

İşbu Politika dokümanın kurum içi tüm personele dağıtımının yapılması;tüm personelin Kişisel Verilerin Korunması Hakkında kişisel verilerin korunması alanında gerekli bilincin artırılması ve farkındalığın sağlanması için eğitmleri organize etmekle; internet sitesinde yayınlanması, kurum portalında yayınlanması için ilgili birimler ile iletişim kurulması Kapasite Geliştirme Birimi sorumluluğundadır.

f. Bilgi İşlem Birimi

Bilgi İşlem Birimi, kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almakla sorumludur.

Bilgi İşlem Birimi, veri sahibi olan ilgili kişinin verisinin silinmesi, değiştirilmesi ya da anonimleştirmesine dair Başvuru Formuyla ya da diğer usullerdeki talebin kendine ulaşması üzerine talep ile ilgili olabilecek İzleme Değerlendirme veya Koruma veya İnsan Kaynakları veya Finans veya Genel Koordinatörlük veya Satınalma ve ilgili olabilecek diğer birimlere talep ile ilgili bilgi vermek ve en geç 7 gün içinde ilgili birimin vereceği görüşleri doğrultusunda, iletilen KVKK’nın uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde yerine getirmekle sorumludur.

g. Finans Birimi

Finans Birimi, sorumlu oldukları tüm faaliyetlerde görev alan çalışanlarla beraber maaş ödemesi yapılan personelin bilgilerini; dış hizmet alınan III. kişi ve kurumların bilgilerini; yapılan finansal raporlama ve dernek ve proje bütçe bilgilerini, banka hesap bilgilerini; yapılan her türlü ödemenin bilgisini işbu Politika’ya uyumu için gerekli tedbirlerin alınması, Politika’ya aykırı hususların tespiti amacıyla konuların incelenmesi ve KVKK Komitesine bildirilmesinden sorumludur.

h. İzleme & Değerlendirme Birimi:

İzleme ve Değerlendirme Birimi, ilgili kişi verisinin, üçüncü kişi ve kurumlar ile paylaşılmasında işbu Politikayla uyumlu şekilde, tüm tedbirleri alarak ve kanun sınırları çerçevesinde hareket eder.

İzleme Değerlendirme Birimi, ilgili kişinin verisinin silinmesi, değiştirilmesi ya da anonimleştirmesine dair Başvuru Formuyla ya da diğer usullerdeki yapılan talebe dair en geç 7 gün içinde görüşlerini Bilgi İşlem Birimi ile paylaşmakla sorumludur .

İzleme Değerlendirme Birimi, ilgili kişinin verisinin silinmesi, değiştirilmesi ya da anonimleştirmesine dair Başvuru Formuyla ya da diğer usullerdeki yapılan talebe dair en geç 7 gün içinde görüşlerini Bilgi İşlem Birimi ile paylaşmakla sorumludur.

i. İnsan Kaynakları Birimi

İnsan Kaynakları Birimi, SGDD-ASAM’da görev alan tüm çalışanların, çalışan adaylarının ve eski çalışanların kişisel bilgilerinin korunması hususunda işbu Politika’ya uyumlu şekilde hareket eder.

5. POLİTİKA’NIN ESASLARI

5.1 Politika Nezdinde Veri İşleme Faaliyetleri Yürütülen “İlgili Kişi” Grupları

İşbu Politika kapsamı dahilinde olan ve SGDD-ASAM tarafından kişisel verileri işlenen “İlgili Kişi” grupları ve kısa açıklamalarına aşağıdan ulaşabilirsiniz.

  • Ziyaretçiler

SGDD- ASAM Merkezini ve temsilciliklerini fiziki olarak ziyaret eden kişileri,

  • Mal – Hizmet Tedarikçisi Çalışanları

SGDD-ASAM’a mal – hizmet tedarikinde bulunan şirketlerin çalışanlarını,

  • Mal – Hizmet Tedarikçisi Yetkilileri

SGDD-ASAM’a mal – hizmet tedarikinde bulunan şirketlerin yetkililerini,

  • Stajyerler

SGDD-ASAM bünyesinde istihdam edilen stajyerleri,

  • Çalışanlar

SGDD- ASAM bünyesinde istihdam edilen çalışanları,

  • Danışan

SGDD-ASAM’ın faaliyetleri kapsamında derneğe başvuruda bulunan ve SGDD-ASAM’ın faaliyetleri kapsamında iletişime geçtiği kişileri,

  • Çalışan Adayları

SGDD-ASAM tarafından henüz istihdam edilmemiş ancak istihdam edilmek üzere değerlendirmeye alınan kişileri,

  • Tüzel Kişi Yetkilileri

SGDD-ASAM’ın faaliyetleri kapsamında çalışmakta olduğu tüzel kişilerin yetkilisi gerçek kişileri,

  • Çalışan Adayı Referans Kişileri

SGDD-ASAM tarafından istihdam edilmek uzere değerlendirmeye alınan kişilere referans olan gerçek kişileri,

  • Çalışanların Yakın ve Aile Bireyleri

SGDD-ASAM bünyesinde istihdam edilen çalışanların yakın ve aile bireylerini ifade eder.

5.2 Politika nezdinde veri işleme faaliyetleri yürütülen Veri Kategorileri

SGDD-ASAM olarak veri işleme faaliyetlerimiz kapsamında aşağıda yer alan veri kategorilerini işlemekteyiz. Veri kategorileri kapsamında belirtilen örnek veri tipleri KVK Kurumu’nun yayınladığı Veri Sorumluları Sicil Bilgi Sistemi Kılavuzu’ndan alınmış olup SGDD-ASAM’ın veri işleme faaliyetlerinde yer alan spesifik veri tipleriyle ilgili detaylı bilgiye, kişi grupları özelinde hazırladığımız aydınlatma metinlerimiz üzerinden ulaşabilirsiniz.

Veri Kategorisi Açıklama
Kimlik Bilgileri Kişinin kimliğine dair bilgileri içeren kişisel verilerdir. (ad soyad, anne – baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nufus cuzdanı seri sıra no, tc kimlik no gibi)
İletişim Bilgileri Kişilerle iletişime geçilmek için kullanılan kişisel verilerdir. (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
Özlük Bilgileri İstihdam faaliyetleri kapsamında işveren tarafından tutulan kişisel verilerdir. (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
Hukuki İşlem Hukuki süreçler halinde sürdürülen işlemler kapsamındaki kişisel verilerdir. (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
Fiziksel Mekân Güvenliği Bilgileri Tesislere giriş – çıkış sırasında güvenliğin temini amacıyla tutulan bilgilerdir. (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)
İşlem Güvenliği Bilgileri Teknolojik aletler nezdinde yürütülen süreçlerin güvenliğinin sağlanması adına tutulan bilgilerdir. (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
Risk Yönetimi Dernek ile ilgili teknik ve idari risklerinin yönetilmesi için işlenen bilgilerdir.
Finans Bilgileri Finansal durumu gösterir bilgilerdir. (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
Mesleki Deneyim Bilgileri Eğitim durumu ve mesleki tecrübeyi gösteren bilgilerdir. (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
Görsel İşitsel Kayıtlar Görsel ve işitsel kayıtları içeren bilgilerdir. (video ve fotoğraf gibi)
Sağlık Bilgileri Kişilerin sağlık durumunu içeren bilgilerdir. (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
Ceza Mahkumiyeti ve Güvenlik Tedbirleri Bilgileri Kişiler hakkındaki ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin bilgilerdir. (Adli sicil kaydı gibi)
Irk Etnik Köken Bilgileri Irk ve Etnik Köken Bilgileri

6. HUKUKİ YÜKÜMLÜLÜKLER

Veri sorumlusu olarak kişisel verilerin korunması ve işlenmesi kapsamındaki hukuki yükümlülüklerimiz aşağıda sıralanmaktadır:

6.1 Aydınlatma Yükümlülüğümüz

Veri sorumlusu olarak kişisel verileri toplarken;

  • Kişisel verilerin hangi amaçla işleneceği,
  • Dernek unvanımıza ve yasal olarak kayıtlı olduğumuz adrese ilişkin bilgileri,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Verileri toplama yöntemimiz ve hukuki sebebi ve
  • KVKK nezdinde düzenlenen hakları hususlarında İlgili Kişi’yi aydınlatma yükümlülüğümüz bulunmaktadır.

SGDD-ASAM olarak, işbu Politika’nın ilgili kişiler ve SGDD-ASAM nezdindeki yetkili birimler tarafından anlaşılır ve kolay erişilebilir olmasına özen göstermekteyiz. Aydınlatma yükümlülüğümüzü, Dernek web sitesi, fiziki yerleşkelerimizde yer alan panolar, Dernek sistemleri ve ilgili kişi gruplarına ait bilgilendirme metinleri aracılığıyla yerine getirmekteyiz.

6.2 Veri Güvenliğini Sağlama Yükümlülüğümüz

Veri sorumlusu olarak işlediğimiz kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almaktayız. Veri güvenliğine ilişkin yükümlülükler ve alınan tedbirler işbu Politika’nın 13. bölümünde detaylı şekilde açıklanmıştır.

6.3 İlgili Kişiler Tarafından Yapılan Başvuruların Cevaplanması Yükümlülüğü

Veri sorumlusu olarak İlgili Kişiler tarafından yazılı olarak veya KVK Kurulu’nun belirleyeceği diğer yöntemlerle tarafımıza iletilen KVKK’nın uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmakla yükümlüyüz.

6.4 KVK Kurulu Kararlarının Yerine Getirilmesi Yükümlülüğü

Veri sorumlusu olarak KVK Kurulu’nun şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yaptığı inceleme sonucunda ihlal tespit edilirse, hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar verebilir. Bu durumda, SGDD-ASAM, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirmekle yükümlüdür.

7. KİŞİSEL VERİLERİN SINIFLANDIRILMASI

7.1 Kişisel Veriler

KVKK uyarınca kişisel verilerin korunması yalnızca gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmayacaktır.

İşbu Politika doğrudan bir kişiyi ifade eden kişinin adı, soyadı, T.C. kimlik numarası gibi bilgilere uygulandığı gibi dolaylı şekilde ilgili kişinin tespit edilebildiği bilgilere de uygulanacak şekilde tasarlanmıştır.

7.2 Özel Nitelikli Kişisel Veriler

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

KVKK kapsamında ayrıca düzenlenen özel nitelikli kişisel veriler de işbu Politika hükümlerine tabidir.

8. KİŞİSEL VERİLERİN İŞLENMESİ

8.1 Kişisel Verileri İşleme İlkelerimiz

Kişisel verileri aşağıda yer alan temel ilkeler uyarınca işlemekteyiz.

8.1.1 Hukuka ve Dürüstlük Kurallarına Uygun İşleme

SGDD-ASAM olarak kişisel verileri dürüstlük kurallarına uygun, şeffaf yöntemlerle ve aydınlatma yükümlülüğümüzü yerine getirerek işlemekteyiz. Bu kapsamda, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmekte olup durustluk kuralına uygun olma ilkesi uyarınca veri sorumlusu olarak, veri işlemedeki hedeflere ulaşmaya çalışırken, İlgili Kişiler’in çıkarlarını ve makul beklentilerini dikkate almaktayız. İlke uyarınca ayrıca İlgili Kişiler nezdinde yürüttüğümüz veri işleme faaliyetleri şeffaf olarak gerekli bilgilendirmeler yerine getirilerek sürdürülmektedir.

8.1.2 Kişisel Verilerin Doğruluğunu ve Gerektiğinde Güncel Olmasını Sağlama

İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerimizde gerekli idari ve teknik tedbirleri almaktayız. Ancak verilerin önemli bir kısmı İlgili Kişilerin beyanı esas alınarak işlendiği için bu beyanları en doğru şekilde yansıtmakta ve İlgili Kişilere verilerini güncellemesi ve var ise hataları düzeltmesi için başvuruda bulunma olanağı sunmaktayız.

8.1.3 Belirli, Açık ve Meşru Amaçlarla İşleme

SGDD-ASAM olarak kişisel verileri, mevzuata uygun olarak ve hayatın olağan akışının gerektirdiği çerçevede, kapsamı ve içeriği açıkça belirlenmiş faaliyetlerimizi sürdürmek için belirlenen meşru amaçlarımız dahilinde işlemekteyiz.

8.1.4 Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olması Kişisel verileri belirlediğimiz amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemekteyiz.

İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktayız. Bu nedenle, yasal gereklilik olmadığı sürecekişsel ve özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde konuya ilişkin açık rıza almaktayız.

8.1.5 Kişisel Verilerin Kanuni Düzenlemelerde Öngörülen Veya Meşru Menfaatlerimizin Gerektirdiği Süreler Boyunca Saklanması

Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlediğimiz kişisel verileri ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklamaktayız.

Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel verileri silmekte, yok etmekte veya anonim hale getirmekteyiz.

8.2 Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin İşlenmesi

8.2.1 Kişisel Verilerin Açık Rıza Alınması Yoluyla İşlenmesi

Mevzuat gereği, kişisel veriler İlgili Kişi’nin açık rızası olmaksızın işlenemez. Açık rıza, KVKK’da “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. İşlenen verilerin özel nitelikli kişisel veri olması durumunda işbu Politika’da yer alan açıklamalar geçerlidir. Söz konusu bilgilendirmeler kişi grupları nezdinde düzenlenen aydınlatma metinlerimizle birlikte açık rıza bilgilendirme metinlerimiz vasıtasıyla yürütülmektedir.

8.2.2 Kişisel Verilerin İşlenmesinde Açık Rızanın Aranmadığı Haller Aşağıda sayılan hallerde kişisel verileri açık rıza olmaksızın işleyebiliriz:

  • Kanunlarda Açıkça Öngörülmesi

İlgili Kişi’nin kişisel verileri, kanunlarda açıkça öngörüldüğü hallerde hukuka uygun olarak işlenebilecektir (Örneğin, çalışana ait özlük bilgilerinin kanun gereği tutulması).

  • Fiilî İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerin işlenmesinin zorunlu olması durumunda kişisel veriler açık rıza olmaksızın işlenebilecektir.

  • Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde açık rıza alınmaksızın kişisel verilerin işlenmesi mümkündür (Örneğin, Dernek tarafından gerçekleştirilen eğitimlerde verilecek olan sertifika için İlgili Kişi’nin isim, soyisim bilgilerinin alınması gibi).

  • Bir Hukuki Yükümlülüğün Yerine Getirilebilmesi İçin Zorunlu Olması

Bir hukuki yükümlülüğün yerine getirilebilmesi için işlenmesi zorunlu olan kişisel veriler, İlgili Kişi’nin açık rızası olmaksızın işlenebilecektir (Örneğin, resmi kurum ve otoritelerce öngörülen bilgi saklama, raporlama, bilgilendirme gibi hukuki yükümlülüklerin yerine getirilmesi; bankacılık, enerji, sermaye piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması.).

  • İlgili Kişi’nin Kendisi Tarafından Alenileştirilmiş Olması

İlgili Kişi’nin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan kişisel veriler açık rıza aranmaksızın işlenebilecektir.

  • Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması durumunda kişisel veriler açık rıza aranmaksızın işlenebilecektir (Örneğin, işten ayrılan bir çalışana ait gerekli bilgilerin dava zamanaşımı boyunca saklanması).

  • Meşru Menfaatler Kapsamında Veri İşlemenin Zorunlu Olması

İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, SGDD-ASAM’ın meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda da kişisel veriler açık rıza aranmaksızın işlenebilecektir (Örneğin, SGDD’nin tesis güvenliğinin sağlanabilmesi amacıyla, CCTV ekipmanlarıyla izlenmesi).

8.2.3 Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler (sağlık ve cinsel hayata ilişkin veriler hariç), KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınarak, İlgili Kişi’nin açık rızasının varlığı halinde veya mevzuatın zorunlu kıldığı hallerde tarafımızca işlenir.

SGDD-ASAM tarafından işlenen özel nitelikli veriler, ilgili kişilerin açık rızasıyla veri işlediğimiz durumlara özel olarak hazırladığımız “bilgilendirme ve açık rıza metinlerinin” İlgili Kişilere temin edilmesi ve ilgili açık rıza metninin İlgili Kişi tarafından imzalanmasıyla veyahut sözlü olarak kaydedilmesiyle onay verilen onaya istinaden işlenmektedir.

İlgili Kişi’nin açık rızasıyla veri işlediğimiz durumlarda, verilmiş olan açık rızanın her zaman geri alabileceği ve diğer ilgili kişi haklarını İlgili Kişi’ye her zaman hatırlatmaktayız.

Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilmektedir.

9. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

9.1 Kişisel Verilerin Kişi Grupları Ve Faaliyetler Özelinde İşlenmesi

Kişisel verilerin SGDD-ASAM tarafından işlenmesine ilişkin detaylı bilgiye, kişi grupları ve faaliyetler özelinde hazırladığımız aydınlatma metinleri üzerinden ulaşabilirsiniz (Çalışan Adayı Aydınlatma metni, Danışan aydınlatma metni gibi).

9.2 Temel Faaliyetler Nezdinde Kişisel Verilerin İşlenmesi

9.2.1 Kablosuz Ağa Erişim Kapsamında Toplanan Kişisel Verilerin İşlenmesi

SGDD-ASAM içinde çalışanlara, ziyaretçilere ve danışanlara kablosuz internet hizmeti verilmekte olup söz konusu hizmet kapsamında ilgili mevzuat gereği SGDD-ASAM, “İnternet Toplu Kullanım Sağlayıcı” olarak tanımlanmaktadır.

Dernek içinde kablosuz ağa erişimler kullanıcılara özel yalıtılmış bir VLAN da Single Sign On teknolojisi aracılığıyla gerçekleştirilmekte olup söz konusu hizmetten faydalanmak isteyen kullanıcıların tanımlanması, IP adres bilgisi, kullanıma başlama ve bitirme zamanı, hedef IP bilgisi gibi erişim kayıtlarının elektronik ortamda sisteme kaydedilmesi İnternet Toplu Kullanım Sağlayıcı’nın yükümlülükleri arasındadır. Bu kayıtlara ek olarak, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun2 ve ilgili mevzuat gereğince log bilgileri de saklanmaktadır.

9.2.2 İnsan Kaynakları Ve İstihdam Amaçlarıyla Toplanan Kişisel Verilerin İşlenmesi

Çalışan adayı olarak yaptığınız iş başvurusu sürecinde iş başvuru formu, özgeçmiş, referans, mülakat notu, teklif mektubu ve istihdamın kabulü vasıtasıyla size ait kişisel verileri, referansların doğrulanması da dahil olmak üzere istihdam için uygunluğun belirlenmesi için çalışan adayı başvuru, seçme ve yerleştirme süreçlerinin yürütülmesi amaçları başta olmak üzere belirli amaçlarla işlemekte ve saklamaktayız. Çalışan adayı olarak tarafımızla paylaştığınız kişisel verilerin işlenmesine ilişkin, işlenme amaçları da dahil olmak üzere detaylı bilgiye Çalışan Adayı Aydınlatma Metni üzerinden ulaşabilirsiniz. Her halükârda, çalışan adaylarımız kişisel verilerinin işlenmesine ilişkin kurallarla alakalı olarak yukarıda bahsedilen aydınlatma metinleri vasıtasıyla bilgilendirilmektedir.

Çalışanlarımızın kişisel verilerini ise ücret ve sosyal yardımların idaresi, çalışanların işle ilgili taleplerini işleme koymak (örn. işçi tazminatı, sigorta talepleri vb., eğitim ve/veya geliştirme gerekliliklerinin tespit edilmesi, performans değerlendirmeleri yapmak ve performans gereksinimlerini belirlemek, belirli bir iş veya görev için niteliklerin değerlendirilmesi, disiplin cezası veya fesih için delil toplama, acil bir durumda (yakın ve akrabaları gibi) bir temas noktasının oluşturulması, yürürlükteki iş veya istihdam mevzuatını uyum sağlamak, Dernek’e ait bilgilerin güvenliğinin sağlanması ve SGDD-ASAM tarafından işinizle bağlantılı olarak makul ölçüde gerekli kılınan diğer amaçlar kapsamında işlemekteyiz. Buna ek olarak KVKK kapsamında açık rızaya bağlı olarak faaliyet gösterilebilecek işleme durumunda, çalışanlar ayrıca bilgilendirilerek açık rızalarına başvurma yoluyla ilerlenmektedir. Çalışanların kişisel verilerinin işlenmesine ilişkin detaylı bilgiye Çalışan Aydınlatma metni üzerinden ulaşabilirsiniz.

9.2.3 Genel Güvenliğin Sağlanması Kapsamında Kişisel Verilerin İşlenmesi

SGDD-ASAM olarak merkez ve saha ofislerinin, depoların fiziksel mekân güvenliğinin sağlanması temel amacıyla ve meşru menfaatlerimiz doğrultusunda, kamera kayıt cihazları vasıtasıyla 7/24 izlemekteyiz. Kayıtları ilgili mevzuatın izin verdiği ölçüde SGDD-ASAM Kişisel Veri Saklama ve İmha Politikası’ndaki süreler boyunca saklar ve ilgili süre sona erdiğinde siler, yok eder veya anonim hale getiririz. Bu bilgiler bir suç şüphesi olması veya mevzuat kapsamında yetkili kişiler tarafından geçerli bir taleple bilgi istenmesi halleri haricinde üçüncü taraflarla paylaşılmaz. Kamera kaydı yapıldığına ilişkin İlgili Kişiler tarafından görülebilecek şekilde aydınlatma uyarıları tesislere yerleştirilmiş olup bu hususta her bir kişi grubu aydınlatma metinleri içerisinde detaylıca bilgilendirilmiştir.

Ayrıca, tesislerimize giriş yapan ziyaretçilerimizin kişisel verilerini ziyaretçi kayıtlarının oluşturulması/takibi ile fiziksel mekân güvenliğinin temini temel amaçlarına bağlı olarak meşru menfaatlerimiz doğrultusunda ziyaretçi

http://www.mevzuat.gov.tr/MevzuatMetin/1.5.5651.pdf

kayıt defteri nezdinde fiziki, ziyaretçi takip çizelgelerimiz nezdinde ise bilgisayar vasıtasıyla işlemekteyiz. Ziyaretçiler girişte güvenlik birimi tarafından Ziyaretçi Aydınlatma Metni vasıtasıyla kişisel verilerinin elde edilmesi anında aydınlatılarak kendilerine süreçler hakkında detaylı bilgi verilir.

9.2.4 Danışan Kaydının Oluşturulması Kapsamında Kişisel Verilerin İşlenmesi

Danışanlarımıza, danışanlarımızın yakınlarına ve/veya danışanlarımızın ailelerine ait kişisel veriler; dernek faaliyetlerinin yürütülmesi, yardım faaliyetlerinin yürütülebilmesi, finans/muhasebe süreçlerinin yürütülmesi temel amaçlarıyla işlenmekte ve söz konusu veriler, internet sitemiz üzerinden, Dernek içi kullanılan veri tabanı üzerinden ve fiziksel matbu formlarımız vasıtasıyla toplanmaktadır. İlgili formun doldurulma veya Dernek çalışanı tarafından sistem üzerine kaydedilmesiyle birlikte danışanlarımız, kişisel verilerine ilişkin tercih ettikleri ortam üzerinden bilgilendirilmektedir. Detaylı bilgi için danışanlar için oluşturulmuş aydınlatma metinlerini inceleyiniz.

9.2.5 Etkinlik Ve Organizasyonlar Kapsamında Kişisel Verilerin İşlenmesi

SGDD-ASAM olarak etkinlik ve organizasyon alanlarımızın kullanıldığı etkinlikler sırasında, etkinliğe katılan gerçek kişilerin bazı durumlarda bilgilerini işlemekteyiz. (etkinlik, eğitim vb) Bu kişisel verileri, etkinlik sırasında etkinliğe özel hazırlanmış matbu formlarımızla toplamaktayız. Detaylı bilgilendirmeleri, danışanlar ve katılımcılara özel aydınlatma metinlerimizde ve açık rıza metinlerinde bulabilirsiniz.

10. KİŞİSEL VERİLERİN AKTARILMASI

10.1 Kişisel Verilerin Yurt İçine Aktarımı

SGDD-ASAM olarak, kişisel verilerin aktarılması konusunda KVKK’da öngörülen düzenlemelere ve KVK Kurulu tarafından alınan kararlara uygun bir şekilde hareket etmekteyiz.

Mevzuatta yer alan hukuka uygunluk nedenleri saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli veriler İlgili Kişi’nin açık rızası olmadan üçüncü kişilere aktarılmaz.

10.2 Kişisel Verilerin Yurt Dışına Aktarımı

Kişisel veriler kural olarak İlgili Kişi’nin açık rızası olmaksızın yurt dışına aktarılamaz.

Bununla birlikte, işbu Politika’da yer alan hukuka uygunluk nedenlerinden birisinin varlığı ve yurt dışına aktarım yapılacak olan üçüncü kişinin:

  1. KVK Kurulu tarafından güvenli kabul edilen ülkelerden birinde yerleşik olması;
  2. KVK Kurulu tarafından güvenli kabul edilen ülkelerden birinde yerleşik olmaması halinde ise, SGDD-ASAM’ın ve güvenli olmayan ülkedeki veri sorumlusunun, yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK iznin olması hallerinde kişisel veriler açık rızaya bağlı olmaksızın yurt dışına aktarılabilecektir.

Bununla birlikte, SGDD olarak bu hallere girmeyen yurt dışı aktarım faaliyetlerinde kişisel verilerin yurt dışına aktarılmasına ilişkin İlgili Kişiler ayrıca bilgilendirilerek açık rızalarına başvurulabilir.

10.3 SGDD Tarafından Kişisel Verilerin Yurt İçinde Aktarıldığı Üçüncü Kişiler

Kişisel veriler işbu Politika’da belirtilen kurallar kapsamında aşağıda listelenen kişi kategorilerine aktarılabilir:

Alıcı Kişi Grubu Açıklama
Tedarikçiler SGDD-ASAM’ın ihtiyaçları doğrultusunda ve talimatlarına uygun olarak sözleşme karşılığı SGDD-ASAM’a hizmet veya ürün sunan tarafları ifade eder. (İşyeri sağlık faaliyetlerine ilişkin hizmet alınan OSGB şirketi gibi,)
Yetkili Kamu Kurum ve Kuruluşları İlgili yasal düzenlemeler kapsamında SGDD-ASAM’dan bilgi ve belge almaya yetkili kamu kurum ve kuruluşlarını ifade eder. (SGK, mahkemeler, jandarma ve belirli durumlarda ortak yürüttüğümüz faaliyetler kapsamında ilgili kamu kurumlarına gibi)
Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri İlgili yasal düzenlemeler kapsamında SGDD-ASAM’dan bilgi ve belge almaya yetkili gerçek veya özel hukuk tüzel kişilerini ifade eder. (Danışmanlık alınan avukatlar gibi)
İş Ortakları SGDD-ASAM faaliyetleri kapsamında ortak olarak faaliyet yürütülen ulusal ya da uluslararası sivil toplum örgütlerini, hükümetlerarası organizasyonlar gibi

 

10.4 Kişisel Verilerin Hukuka Uygun Olarak Aktarılmasını Sağlamak İçin Aldığımız Tedbirler

10.4.1 Teknik Tedbirler

Kişisel verileri korumak için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli tedbirler almaktayız. Bu kapsamda;

  1. Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için SGDD-ASAM bünyesindeki teknik organizasyonu yapmakta,
  2. Kişisel verilerinizin saklanacağı veri tabanlarının güvenliğini sağlamak için gerekli teknik alt yapıyı oluşturmakta,
  3. Oluşturulan teknik alt yapının süreçlerini takip etmekte ve denetimlerini yapmakta,
  4. Aldığımız teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürleri belirlemekte,
  5. Teknik tedbirleri periyodik olarak güncellemekte ve yenilemekte,
  6. Riskli durumları yeniden inceleyerek gerekli teknolojik çözümleri üretmekte,
  7. Virüs koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik ürünleri kullanmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurmakta ve
  8. Teknik konularda uzman şirketlerden destek almaktayız.
  9. Merkezi firewall ile internal ve external networkler ayrılmıştır. Internal networkler de ise WLAN lar oluşturulmuştur. Client’lar ve server’lar farklı WLAN larda yer almaktadır. Client’lar sadece gerektiği kadar erişim yetkisi ile server’lardan hizmet almaktadır.
  10. Merkezi politikayla oluşturulan ilkeleri içeren antivirüs yönetim sistemi client bilgisayarlarında her türlü zararlılara karşı görev almaktadır. Güncellemeleri otomatik olarak yapılmaktadır.
  11. Ofis dışından serverlara bağlanmak için sertifika bazlı VPN teknolojisi kullanılmaktadır. VPN ile bağlanan kullanıcıların kullanıcı bazında erişim politikaları belirlenmektedir.
  12. Serverların bulunduğu datacenter’ın fiziksel güvenliği kartlı geçiş sistemi ile sağlanmaktadır. Ayrıca datacenter’ı 7/24 izleyen sensör ve detektörler ile yangın su baskını gibi felaketlere ön hazırlık yapılmıştır.
  13. Etki alanı politikaları kullanılarak tüm bilgisayarların yönetimi sağlanmaktadır. Bu politikalardan biri olan şifre politikası gereği şifreler minimum 8 karakter büyük küçük harf noktalama işaretleri içermek zorundadır. Ayrıca şifreler yine bu politika gereği 62 günde bir eski kullanılan şifre olmamak üzere kullanıcının şifresinin değiştirmeye zorlamaktadır.
  14. Datacenter’da hizmet veren tüm server’ların günlük yedekleri yine datacenter’da bulunan depolama ünitesinde saklanmaktadır.

10.4.2 İdari Tedbirler

Kişisel verileri korumak için, aşağıda sayılanlarla sınırlı olmamak üzere, çeşitli tedbirler almaktayız. Bu kapsamda;

  1. SGDD-ASAM bünyesindeki çalışanlar da dahil olmak üzere kişisel verilere erişim politika ve prosedürleri oluşturmakta,
  2. Çalışanlarımızı kişisel verilerin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmekte ve eğitmekte,
  3. Çalışanlarımız ile yaptığımız sözleşmelerde ve/veya oluşturduğumuz politikalarda, çalışanlarımız tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri kayıt altına almakta,
  4. Birlikte çalıştığımız veri işleyenler veya veri işleyenlerin ortaklarının kişisel verilerin işlenmesi faaliyetlerini denetlemekte,
  5. Çalışma ortamlarımızda “temiz masa” politikasının uygulanması ve uygulamanın desteklenmesidir.

11. KİŞİSEL VERİLERİN SAKLANMASI

11.1 Kişisel Verilerin Mevzuatta Öngörülen Süre Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Saklanması

Kişisel verileri mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca ve Kişisel Verileri Saklama ve İmha Politikamız kapsamında saklamaktayız.

Kişisel verileri birden fazla amaç ile işlediğimiz hallerde, verinin işleme amaçlarının hepsinin ortadan kalkması veya İlgili Kişi’nin talebi üzerine, verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler silinir, yok edilir veya anonim hale getirilerek saklanır. Yok etme, silme veya anonim hale getirme hususlarında mevzuat hükümleri ve KVK Kurulu kararlarına uygun hareket edilir.

11.2 Kişisel Verilerin Saklanmasına İlişkin Aldığımız Tedbirler

11.2.1 Teknik Tedbirler

  1. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturmakta,
  2. Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri almakta,
  3. Teknik uzmanlığı olan çalışanlar istihdam etmekte veya tedarikçiler ile çalışmakta,
  4. Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirmekte ve
  5. Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurmaktayız.

11.2.2 İdari Tedbirler

  1. Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlarımızı bilgilendirerek farkındalık yaratmakta ve
  2. Kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelerde, aktarılan kişisel verilerin korunması ve güvenli bir şekilde saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekteyiz.

Kişisel veriler kapsamında aldığımız idari ve teknik tedbirlere ilişkin detaylı bilgi için lütfen SGDD-ASAM Kişisel Verileri Saklama ve İmha Politikası’nı inceleyiniz.

12. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

İşleme amaçlarımız kapsamında toplanan kişisel veriler işleme amaçlarımız ve yürürlükteki kanunlar kapsamında işlenmekte ve saklanmaktadır.

Kişisel veriler;

  • İşleme amaçlarımızın tamamen sona ermesi veya
  • İlgili Kişi’nin talebi halinde silinir, yok edilir veya anonim hale getirilir.

Söz konusu silme, yok etme ve anonim hale getirme işlemleri ilgili mevzuat hükümleri saklı kalmak kaydıyla Kişisel Veri Saklama ve İmha Politikamız kapsamında yapılır.

Kişisel verileriniz, silinirken, yok edilirken veya anonim hale getirilirken işbu Politika’da yer alan güvenlik tedbirleri alınır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için yapılan işlemlere dair kayıtlar diğer kanun ve mevzuat hükümleri saklı kalmak üzere en az 3 yıl boyunca saklanır.

SGDD-ASAM, aksi KVK Kurulu tarafından belirtilmediği sürece kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili Kişi’nin talebi halinde ise uygun yöntem gerekçesi açıklanarak seçilir.

13. KİŞİSEL VERİLERİN GÜVENLİĞİ

13.1 Kişisel Verilerin Güvenliğine İlişkin Yükümlülüklerimiz

SGDD-ASAM olarak;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve
  • Kişisel verilerin hukuka uygun olarak saklanmasını sağlamak için teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler almaktayız.

13.2 Kişisel Verilerin Hukuka Aykırı Olarak İşlenmesini Önlemek İçin Aldığımız Tedbirler

  • Dernek içerisinde gerekli denetimleri yapmakta ve yaptırmakta,
  • Çalışanlarımızı kişisel verilerin hukuka uygun olarak işlenmesi hakkında eğitmekte ve bilgilendirmekte,
  • Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde, kişisel verileri işleyen şirketler ile yapılan sözleşmelerde gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekte ve
  • Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde İlgili Kişi’ye ve KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmakta ve ilgili tedbirleri almaktayız.

13.3 Kişisel Verilere Hukuka Aykırı Olarak Erişilmesini Engellemek İçin Alınan Teknik Ve İdari Tedbirler

  • Kişisel verilere hukuka aykırı olarak erişilmesini engellemek için;
  • Teknik uzmanlığı olan çalışanlar istihdam etmekte,
  • Teknik tedbirleri belirli aralıklarla güncellemekte ve yenilemekte,
  • Dernek içerisinde erişim yetkilendirme prosedürleri oluşturmakta,
  • Aldığımız teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin usulleri belirlemekte,
  • Dernek içerisinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmakta ve belirli aralıklarla denetimlerini yapmakta,
  • Oluşabilecek risklere karşı acil yardım planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirmekte,
  • Çalışanlarımızı kişisel verilere erişim, yetkilendirme hususlarında eğitmekte ve bilgilendirmekte,
  • Kişisel verilerin işlenmesi, saklanması gibi faaliyetler amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde, kişisel verilere erişim sağlayan şirketler, tüzel kişiler ile yapılan sözleşmelerde; kişisel verilere erişim sağlayan kişiler tarafından gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer vermekte,
  • Kişisel verilere hukuka aykırı olarak erişilmesini engellemek üzere teknolojik gelişmeler dahilinde güvenlik sistemleri kurmaktayız.

13.4 Kişisel Verilerin Hukuka Aykırı İfşası Durumunda Aldığımız Tedbirler

Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik idari ve teknik tedbirler almakta ve ilgili prosedürlerimize uygun şekilde bunları güncellemekteyiz. Kişisel verilerin yetkisiz olarak ifşa edildiğini tespit etmemiz halinde bu durumu İlgili Kişi’ye ve KVK Kurulu’na bildirmek için gerekli sistem ve alt yapıları oluşturmaktayız.

Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda, KVK Kurulu tarafından gerek görülmesi halinde bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

14. İLGİLİ KİŞİ’NİN HAKLARI

Aydınlatma yükümlülüğümüz kapsamında İlgili Kişi’yi bilgilendirmekte ve bu bilgilendirmeye ilişkin gerekli sistem ve alt yapıları kurmaktayız. İlgili Kişi’nin kişisel verilerine ilişkin haklarını kullanması için gerekli olan teknik ve idari düzenlemeleri yapmaktayız.

  • İlgili Kişi, kendisine ait kişisel veriler ile ilgili olarak aşağıda sayılan haklara sahiptir:
  • Kişisel verilerin işlenip işlenmediğini öğrenme,
  • Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme ve
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

14.1 Kişisel Verilere İlişkin Hakların Kullanılması

İlgili Kişi olarak, kişisel verilerinizin işlenmesine ilişkin taleplerinizi, Kişisel Verileri Koruma Kurulu tarafından ayrı bir yöntem belirlenmesi halinde bu yöntem ile veya SGDD-ASAM İlgili Kişi Başvuru Formu vasıtasıyla Birlik Mah. Katar Cad. No:11 Çankaya/Ankara adresine yazılı ve ıslak imzalı olarak ya da kvkk@sgdd-asam.org adresine ya da İlgili Kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresinin kullanılması suretiyle gönderebilirsiniz.

Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Tebliğ”) uyarınca, İlgili Kişi’nin başvurusunda isim, soy isim, başvuru yazılı ise imza, T.C. kimlik numarası, (başvuruda bulunan kişinin yabancı olması halinde uyruğu, pasaport numarası veya varsa kimlik numarası), tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon numarası ve faks numarası ile talep konusuna dair bilgilerin bulunması zorunludur.

İlgili Kişi yukarıda belirtilen hakları kullanmak için yapacağı ve kullanmayı talep ettiği hakka ilişkin açıklamaları içeren başvuruda talep edilen hususu açık ve anlaşılır şekilde belirtmelidir. Başvuruya ilişkin bilgi ve belgelerin başvuruya eklenmesi gerekmektedir.

Başvuru kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması, yanlış/yanıltıcı bilgilerle ya da yetkisiz başvuru yapılması halinde başvurunuz reddedilerek, usulsüz işlem yapan kişi hakkında yasal yollara başvurulacaktır.

Talep konusunun başvuranın şahsı ile ilgili olması gerekmekle birlikte, başkası adına hareket ediliyor ise başvuruyu yapanın bu konuda özel olarak yetkili olması ve bu yetkinin belgelendirilmesi (noter tasdikli vekaletname veya yetki belgesi gerekmektedir. Aksi takdirde, yetkisiz üçüncü kişilerin başkası adına yaptığı talepler değerlendirmeye alınmayacaktır. Ayrıca veri sorumlusu olarak üçüncü kişilerin İlgili Kişi başvurusu yaparak kişisel verilere yetkisiz erişimini engellemek ve kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için kimliği doğrulayıcı belgelerin (Nüfus cüzdanı veya sürücü belgesi sureti vb.) eklenmesi gerekmektedir.

14.2 Başvurunun Değerlendirilmesi

14.2.1 Başvurunun Cevaplandırılma Süresi

KVKK’nın 13. maddesinin birinci fıkrası uyarınca; veri sorumlusu sıfatıyla SGDD-ASAM’a bu taleplere ilişkin olarak yapılacak başvuruların iletilmesi gerekmektedir. Talebiniz Tebliğ’in 6. maddesi uyarınca, tarafımıza ulaştığı tarihten itibaren talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak işlemin ayrıca bir maliyet gerektirmesi halinde Tebliğ’in 7. maddesi gereğince ücret alınabilir.

14.2.2 Başvuruyu Reddetme Hakkımız

Kişisel veriler ile ilgili başvurular, sayılanlarla sınırlı olmamakla birlikte aşağıdaki hallerde reddedilebilir:

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin, İlgili Kişi’nin özel hayatının gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • İlgili Kişi tarafından alenileştirilen kişisel verilerin işlenmesi,
  • Başvurunun haklı bir nedene dayanmaması,
  • Başvurunun ilgili mevzuata aykırı bir istek içermesi ve
  • Başvuru usulüne uyulmaması.

14.3 Başvurunun Değerlendirilme Usulü

İşbu Politika’nın 12.2.1. maddesinde belirtilen cevaplandırma süresinin başlayabilmesi için başvuruların SGDD İlgili Kişi Başvuru Formu aracılığıyla yazılı ve ıslak imzalı olarak elden teslim veya noter aracılığıyla gönderilmesi ya da İlgili Kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresinin kullanılması suretiyle yapılması gerekmektedir.

Talep kabul edilir ise gerekli işlemler uygulanır ve başvuru sahibine yazılı veya elektronik ortamda bildirim yapılır.

Talebin reddi halinde ise, gerekçesi açıklanarak yazılı veya elektronik ortamda başvuru sahibine bildirilir.

14.4 Kişisel Verileri Koruma Kurulu’na Şikâyet Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin, cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.

15. POLİTİKA’NIN SAKLANMASI

İşbu Politika, SGDD Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiş olup, ıslak imzalı nüshalar Genel Korodinatörlük ve kontrollü kopyalar Finans ve İdari İşlemler Biriminde saklanır ve gerektiğinde Genel Koordinatörlük yazılı onayı ile ilgili Birim tarafından imha edilir.

16. GÜNCELLEME SIKLIĞI

İşbu Politika herhangi bir bildirimde bulunmaksızın yılda en az bir kez gözden geçirilir ve ihtiyaç görülmesi halinde güncellenir.

17. YÜRÜRLÜK

İşbu Politika, SGDD yönetim kurulu tarafından 31/03/2021 tarihinde onaylanarak yürürlüğe girmiştir. Ek 1: Başvuru Formu

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
PERSONAL DATA PROTECTION AND PROCESSING POLICY
SIĞINMACILAR VE GÖÇMENLERLE DAYANIŞMA DERNEĞİ
SGDD-ASAM Göç Akademisi Göç Kütüphanesi Üyelik KVKK Aydınlatma Metni
İLGİLİ KİŞİ BAŞVURU FORMU
نموذج طلب الأشخاص ذوي الصلة
انجمن همبستگی با پناهجویان و مهاجران