Kişisel Verilerin Korunması Ve İşlenmesi Politikası

1. Yasal Dayanak : NG Hukuk ve Danışmanlık Bürosu (“Büro”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca Kişisel Verilerin hukuka uygun olarak korunması ve işlenmesine önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. 

2. Amaç: Politikamızın amacı; kişisel verilerin korunması hakkındaki yükümlülüklere uyumun sağlanması,  Büromuzun gerçekleştirdiği faaliyetler kapsamında temin edilen bilgilerin işlenmesi, aktarılması ve gizliliğinin korunması ile ilgili hususların risk temelli bir yaklaşımla değerlendirilerek, önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesidir.

3. Kapsam: Bu politika Büromuz tarafından otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerinize ilişkindir. 

4. Tanımlar: 

5. Kısaltmalar: 

1. POLİTİKA ESASLARI 

   1. Büro Tarafindan Benimsenen Temel İlkeler 

Büromuz tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmiştir ve kişisel verileriniz bu prosedürde ayrıntılı olarak belirtildiği şekilde aşağıdaki temel ilkelere uygun olarak işlenecektir:

1. Kişisel verileri hukuka ve dürüstlük kurallarına uygun olarak işleme 

Büromuz, kişisel veri işleme faaliyetlerini Türkiye Cumhuriyeti Anayasası başta olmak üzere, kişisel verilerin korunması mevzuatına uygun olarak hukuka ve dürüstlük kuralına uygun olarak yürütmektedir. 

2. İşlenen kişisel verilerin doğruluğunu ve güncelliğini temin etme 

Büro, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlar, bu çerçevede gereken idari ve teknik tedbirleri alır ve gerekli süreçleri yürütür. Bu kapsamda;  Büro, kişisel veri sahiplerinin kişisel verilerinin hatalı olması durumunda bunları düzeltme ve doğruluğunu teyit etmeye yönelik mekanizmalar kurar. 

3. Kişisel verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işleme 

Büro; kişisel verileri, veri işleme şartları ile bağlantılı ve bu hizmetlerin gerçekleştirilmesi için gerektiği kadar işler. Bu kapsamda, kişisel veri işleme amacının, kişisel veri işleme faaliyetine başlanmadan önce belirlenmesini gerektirmektedir. Diğer bir deyişle, kişisel verilerin yalnızca ileride kullanılabileceği varsayımı ile işlenmemesi (kişisel verilerin muhafaza edilmesi de veri işleme faaliyetidir) gerekmektedir. Bu çerçevede; Büro, veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini göz önünde bulundurur. 

4. Belirli, açık ve meşru amaçlar için işlenme

Büro; ilgili kişiye belirttiği amaçlar dışında, başka amaçlarla veri işlemez. Amacın meşru olması, Büro’nun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir.

5. Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme 

Büro, kişisel verileri, ilgili mevzuatta öngörülen veya veri işleme amacının gerektirdiği süre ile sınırlı olarak muhafaza eder. Büro, mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri siler, yok eder veya anonim hale getirir. 

2. KİŞİSEL VERİ İŞLEME FAALİYETLERİNİN VERİ İŞLEME ŞARTLARINA UYGUN OLARAK GERÇEKLEŞTİRİLMESİ 

Büro, kişisel verilerin işlenmesi faaliyetlerini yürütürken, temel ilkelere uymak kaydıyla, KVKK’nın 5. ve 6. maddeleri ile Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelikte belirlenen veri işleme şartlarına uygun hareket eder.

3. Kişisel Verilerin Aktarılması: 

Büro tarafından gerçekleştirilecek kişisel veri aktarımlarında (kişisel verilerin aktif olarak üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişime açılması) KVKK’nın 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilir. Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel veriler, ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabilir.

1. Yurt içi aktarım: Kişisel veri ve özel nitelikteki kişisel verilerin yurt içinde aktarımına ilişkin ayrıntılar Kişisel Verilerin Aktarılması Prosedüründe düzenlenmiştir.

2. Yurt dışı aktarım : İlgili kişinin açık rızasının bulunması şartıyla Kanunda belirtilen hallerin varlığı halinde Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımı yapılabilir. 

4. Kişisel Verilerin Güvenliğinin Sağlanması 

Büro, kişisel verilerin hukuka aykırı olarak açıklanmasını, aktarılmasını, kişisel verilere hukuka aykırı olarak erişilmesini, veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbiri alır. Bu kapsamda Büro tarafından her türlü gerekli idari ve teknik tedbirler alınır ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVKK’da öngörülen tedbirler alınır.

2. VERİ KATEGORİLERİ: 

Büro, aşağıdaki veri kategorilerine ilişkin verileri kaydedebilir, işleyebilir veya aktarabilir:

• Kimlik (ad soyad, doğum tarihi, doğum yeri, tc kimlik no)

• İletişim (adres, e-posta adresi, iletişim adresi, telefon no)

• Lokasyon (Bulunduğu yerin konum bilgileri)

• Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler)

• Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları)

• İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgiler)

• Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)

• Finans (bilanço bilgileri, finansal performans bilgileri gibi)

• Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)

• Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)

• Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)

• Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)

• Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)

3. KİŞİSEL VERİ İŞLEME AMAÇLARI: 

Büro aşağıdaki amaçlara göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir.

1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi

2. Bilgi Güvenliği Süreçlerinin Yürütülmesi

3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

8. Denetim / Etik Faaliyetlerinin Yürütülmesi

9. Erişim Yetkilerinin Yürütülmesi

10. Faaliyetlerin Mevzuata Uygun Yürütülmesi

11. Finans Ve Muhasebe İşlerinin Yürütülmesi

12. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

13. Fiziksel Mekan Güvenliğinin Temini

14. Görevlendirme Süreçlerinin Yürütülmesi

15. Hukuk İşlerinin Takibi Ve Yürütülmesi

16. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

17. İletişim Faaliyetlerinin Yürütülmesi

18. İnsan Kaynakları Süreçlerinin Planlanması

19. İş Faaliyetlerinin Yürütülmesi / Denetimi

20. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

21. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

22. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

23. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

24. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

25. Mal / Hizmet Satış Süreçlerinin Yürütülmesi

26. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

27. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

28. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

29. Performans Değerlendirme Süreçlerinin Yürütülmesi

30. Risk Yönetimi Süreçlerinin Yürütülmesi

31. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

32. Sözleşme Süreçlerinin Yürütülmesi

33. Stratejik Planlama Faaliyetlerinin Yürütülmesi

34. Talep / Şikayetlerin Takibi

35. Taşınır Mal Ve Kaynakların Güvenliğinin Temini

36. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

37. Ücret Politikasının Yürütülmesi

38. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

39. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

40. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

41. Yönetim Faaliyetlerinin Yürütülmesi

42. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

4. Kişisel Veri Aktarım Alıcı Grupları: Büro aşağıdaki Kişisel Veri Aktarı Alıcı gruplarına kişisel verileri aktarabilir.

• Gerçek Kişiler Ve Özel Hukuk Tüzel Kişileri

• Herkese Açık

• İş Ortağı

• İştirak Ve Bağlı Ortaklıklar

• Tedarikçi

• Yetkili Kamu Kurum Ve Kuruluşları

5. Kişisel Veri Konusu Kişiler

Büro aşağıdaki kişi türlerine göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir. 

• Çalışan Adayı

• Çalışan

• Habere Konu Kişi

• Hissedar/Ortak

• Potansiyel Ürün Ve Hizmet Alıcısı

• Stajyer

• Tedarikçi Çalışan

• Tedarikçi Yetkilisi

• Ürün Veya Hizmet Alan Kişi

• Veli/Vasi/Temsilci

• Ziyaretçi

6. Kişisel Veri Saklama Süreleri: Kişisel verileri saklama süreleri Kişisel veri Saklama ve İmha Politikasında ayrıntılı olarak düzenlenmiştir.

7. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi:

Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. 

Bu hususlara ilişkin yapılması gereken işlemler Kişisel veri saklama ve imha politikasında ayrıntılı olarak açıklanmıştır.

8. KİŞİSEL VERİ İŞLEME FAALİYETİNE İLİŞKİN YÜKÜMLÜLÜKLER

Büro, KVKK’nın veri sorumluları için öngördüğü yükümlülüklere uyar. Bu kapsamda Büro’nun uymakla yükümlü olduğu başlıca hususlar aşağıda sıralanmaktadır:

1. Aydınlatma yükümlülüğü: 

Büro, KVKK’nın 10. Maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütür. Aydınlatma Prosedüründe ayrıntılı olarak düzenlendiği üzere bu bilgilendirme asgari olarak aşağıdaki konuları içermektedir.

• Veri sorumlusunun ve varsa temsilcisinin kimliği,

• Kişisel verilerin hangi amaçla işleneceği,

• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

• Kişisel veri toplamanın yöntemi ve hukuki sebebi,

• İlgili kişinin Kanunun 11. maddesinde sayılan diğer hakları.

1. İlgili Kişinin Hak Arama Yöntemleri: 

İlgili kişilerin, Büro’ya başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin içeriğinin eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. İlgili kişi ayrıntıları İlgili Kişinin Hak Arama Prosedürü’nde belirtildiği üzere başvuru ve şikayet haklarını kullanabilir.

2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü 

Büro, KVKK’nın 12. maddesine uygun olarak, kişisel verilerin güvenliğinin sağlanmasının ve veri sahiplerinin temel hak ve özgürlüklerinin gözetilmesinin öneminin bilinciyle; 

• Kişisel verilerin hukuka aykırı işlenmesini önlemek, 

• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve 

• Kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. 

1. Kişisel Veri Güvenliği Tedbirleri : 

Büro; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri Büro yapısına uygun düzeyde almaktadır.

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

• Anahtar yönetimi uygulanmaktadır.

• Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Çalışanlar için yetki matrisi oluşturulmuştur.

• Erişim logları düzenli olarak tutulmaktadır.

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

• Gizlilik taahhütnameleri yapılmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri güvenliğinin takibi yapılmaktadır.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

• Mevcut risk ve tehditler belirlenmiştir.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

• Saldırı tespit ve önleme sistemleri kullanılmaktadır.

• Sızma testi uygulanmaktadır.

• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

• Şifreleme yapılmaktadır.

• Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.

• Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

• Veri kaybı önleme yazılımları kullanılmaktadır.

3. Veri Sahibi Başvurularına Cevap Verme Yükümlülüğü 

Büro; veri sorumlusu sıfatıyla KVKK’nın 13. maddesi gereğince, veri sahiplerinin kişisel verilerine ilişkin taleplerini, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırır. Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirir.

4. Kişisel Verileri Hukuka Uygun Olarak Aktarma ve Elde Etme Yükümlülüğü 

Büro, KVKK’nın 4. maddesi gereğince, kişisel verileri hukuka ve dürüstlük kuralına uygun bir biçimde işler. Bu kapsamda, kişisel verilerin elde edilmesi ve aktarılması faaliyetleri de hukuka uygun olarak yürütülür.

5. Kişisel Verilerin Muhafazasına ilişkin Düzenlemelere Uygun Davranma Yükümlülüğü 

Büro, KVKK’nın 7. maddesi gereğince; hukuka uygun olarak işlenmiş olmasına rağmen işleme sebebi ortadan kalkan kişisel verilerin silinmesi, anonim hale getirilmesi veya yok edilmesine yönelik gerekli iç sistemlerini kurar.

9.  GÖZDEN GEÇİRME 

Bu Politika dokümanı, Büro tarafından onaylandığı andan itibaren yürürlüğe girer. Başta KVKK olmak üzere yürürlükteki mevzuat ile işbu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Büro, yasal düzenlemelere paralel olarak Büro KVKK Politikasında değişiklik yapma hakkını saklı tutar. Büro KVKK Politikası’nın güncel versiyonuna Büro’nun web sitesinden (www.nghukuk.org) erişilebilir. 

Veri Sorumlusu Bilgilendirmesi

Veri sorumlusu Unvan : NG HUKUK VE DANIŞMANLIK BÜROSU 

E-mail Adresi : kvkk@nghukuk.org     

Fiziki Posta adresi : Kızılırmak Mah. Dumlupınar Bulvarı Next Level No:3/A Kat:4 D.No:10 Çankaya/ANKARA