KİŞİSEL VERİLERİN İŞLENMESI, KORUNMASI VE İMHA
POLİTİKASI
A.
Giriş
İzmir Kalkınma Ajansı (“Ajans”) olarak, 6698
sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) uyarınca
kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına önem veriyoruz.
Bu doğrultuda, yürütmekte olduğumuz tüm dijital süreçlerde ve faaliyetlerde
kişisel verilerin güvenliğine ve şeffaflığa azami hassasiyet göstermekteyiz.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”),
Kurumumuz tarafından işletilen https://ecocycle.tr/ alan adlı tanıtım sayfası
kapsamında toplanan kişisel verilerin işlenmesine ilişkin usul ve esasları
açıklamak; ilgili kişileri Kanun’un 10. maddesi uyarınca bilgilendirmek ve
Kurumumuz tarafından alınan teknik ve idari tedbirleri paylaşmak amacıyla
hazırlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 07.04.2016
tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak
yürürlüğe girmiştir. Kanun, kişisel verilerin işlenme şartlarını, korunmasına
ilişkin yükümlülükleri, veri sahiplerinin haklarını ve uyulmaması halinde
uygulanacak idari ve cezai yaptırımları düzenlemektedir.
B.
Politikanın
Amacı
İşbu Politika’nın temel amacı, 6698 sayılı Kişisel Verilerin
Korunması Kanunu’na uygun olarak, Ajans tarafından işletilen https://ecocycle.tr/ alan adlı tanıtım sayfası kapsamında toplanan kişisel
verilerin işlenmesi ve korunmasına ilişkin esasları açıklamaktır.
Politika
ile Kurum tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin
hukuka, dürüstlük kurallarına ve şeffaflık ilkesine uygun biçimde yürütülmesi,
ilgili kişilerin bilgilendirilmesi ve veri sahiplerinin Kanun’dan doğan
haklarının korunması amaçlanmaktadır.
C.
Politikanın
Yürürlüğü
İşbu Aydınlatma Metni ve
ilgili Çerez Politikası, İzmir Kalkınma Ajansı (“Ajans”)
tarafından düzenlenerek yayımlandığı tarihte yürürlüğe girer. Metin, https://ecocycle.tr alan adlı tanıtım sayfasında yayımlanmakta olup, talep edilmesi halinde
kişisel veri sahiplerinin erişimine sunulmaktadır.
Ajans, yürürlükteki
mevzuatta meydana gelen değişiklikler veya veri işleme faaliyetlerinde
yaşanacak güncellemeler doğrultusunda, bu metinlerde değişiklik yapma
hakkını saklı tutar. Yapılan değişiklikler, güncellenmiş versiyonun aynı
sayfa üzerinden yayımlanması ile yürürlüğe girer.
D.
Politikanın Kapsamı ve Kişisel Veri Sahipleri
İşbu Politika, Ajans
tarafından işletilen https://ecocycle.tr/ alan adlı tanıtım sayfası üzerinden, otomatik
yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla işlenen tüm kişisel verilere uygulanır.
Politika, yalnızca
Kurumumuz tarafından veri sorumlusu sıfatıyla yürütülen veri işleme
faaliyetlerini kapsar ve kişisel verileri işlenen gerçek kişilere
yöneliktir. Bu kişisel veri sahipleri, aşağıda belirtilen kategorilerden
oluşmaktadır:
|
Veri Sahibi Grubu |
|
Tanım |
|
Ziyaretçi |
: |
Kurumun işlettiği tanıtım sayfasını ziyaret eden,
çerezler veya iletişim formları aracılığıyla sınırlı kişisel verileri
paylaşılan tüm gerçek kişilerdir. |
|
İletişim Talebinde
Bulunan Kişi |
: |
Tanıtım sayfası üzerinden Kurumla iletişime geçen;
ad, soyad, e-posta gibi bilgileri paylaşarak soru,
öneri veya iş birliği talebinde bulunan gerçek kişilerdir. |
|
Kullanıcı Adayı
(Firma Yetkilisi) |
: |
Ecocycle platformuna,
firmaları, hizmet sağlayıcı firmaları veya hizmet sağlayıcı uzmanları
temsilen kayıt başvurusunda bulunan ve bu kapsamda kişisel verileri işlenen
gerçek kişidir. Bu kişi, kayıt sürecinde yetkili olarak işlem yapan temsilci,
yönetici veya iletişim yetkilisi olabilir. |
|
Üçüncü Kişi |
: |
Yukarıdaki gruplara doğrudan girmemekle birlikte,
dolaylı olarak verisi işlenebilecek olan diğer gerçek kişilerdir (örn. iletişim talebinde bulunan kişinin referans verdiği
bir üçüncü kişi, teknik destek alan kişi vb.) |
Veri sahibi
kategorileri genel bilgi paylaşımı amacıyla belirtilmiştir. Veri sahibinin, bu
kategorilerden herhangi birinin kapsamına girmemesi, Kanun’da belirtildiği
şekilde veri sahibi niteliğini ortadan kaldırmamaktadır.
E.
Tanımlar
a) Açık rıza: Belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka
verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya
belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
d) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
e) Kişisel veri: Kimliği belirli veya belirlenebilir
gerçek kişiye ilişkin her türlü bilgiyi,
f) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlemi,
g) Kurul: Kişisel Verileri Koruma Kurulunu,
h) Kurum: Kişisel Verileri Koruma Kurumunu,
i) Veri işleyen: Veri sorumlusunun verdiği yetkiye
dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
j) Veri kayıt sistemi: Kişisel verilerin belirli
kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
k) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan gerçek veya tüzel kişiyi ifade eder.
Veri
Sorumlusu bu kapsamda İzmir Kalkınma
Ajansı’dır.
Ayrıca;
l) İmha: Kişisel verilerin silinmesi, yok edilmesi veya
anonim hale getirilmesini,
m)
Kayıt ortamı:
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin
bulunduğu her türlü ortamı,
n) Kişisel veri işleme envanteri: Veri sorumlularının iş
süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme
faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi,
aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek
oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan
azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel
verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdıkları envanteri,
o) Kişisel veri saklama ve imha politikası: Veri
sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami
süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için
dayanak yaptıkları politikayı,
p) Periyodik imha: Kanunda yer alan kişisel verilerin
işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri
saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen
gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, ifade
eder.
F.
Kişisel Veri
6698 sayılı KVKK uyarınca “Kişisel Veri”; kimliği
belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına
gelir. Kişisel veriler KVKK ve diğer kanunlarca öngörülen usul ve esaslara ve
KVKK Madde 4’te sıralanan ilkelere uygun olarak işlenir.
Kişisel veriler ilgili kişinin açık rızası olmaksızın
işlenemez. Ancak Ajans KVKK kapsamında aşağıda belirtilen istisnai hallerde
ilgili kişinin açık rızası olmaksızın kişisel verilerini işleyebilir;
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak
durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin
ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu
olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan
doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin
işlenmesinin gerekli olması.
d) Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) İlgili kişinin kendisi tarafından alenileştirilmiş
olması.
f) Bir hakkın tesisi, kullanılması veya korunması için
veri işlemenin zorunlu olması.
g) İlgili kişinin temel hak ve özgürlüklerine zarar
vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin
zorunlu olması.
G.
Özel Nitelikli
Kişisel Veri
“Özel
nitelikli kişisel veriler” ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, sağlık, cinsel hayata ilişkin veriler, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.
https://ecocycle.tr/ alan adlı tanıtım sayfası üzerinden, Ajans tarafından
özel nitelikli kişisel veri işlenmemektedir.
İlgili
kişilerin tanıtım sayfası üzerinden bu nitelikte veri paylaşmaması beklenmekte
olup, bu tür verilerin iletilmesi hâlinde söz konusu veriler sistem tarafından
işlenmeksizin silinecek ya da anonim hale getirilecektir.
H.
Veri Güvenliği
Ajans,
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere
hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını
sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirleri alır. Kurum, KVKK hükümlerinin uygulanmasını
sağlamak amacıyla gerekli denetimleri yapar.
İ.
Kişisel
Verilerin Toplanması
Ajans, tanıtım sayfasını ziyaret eden veya sayfa üzerindeki formlar
aracılığıyla Kurumumuzla iletişime geçen kişilerin kişisel verilerini doğrudan
ilgili kişilerin kendisinden ve çerezler, iletişim formları gibi dijital
araçlar aracılığıyla toplamaktadır.
Kişisel veriler, 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen
şartlar doğrultusunda, aşağıda sayılan yöntemlerle toplanabilir:
·
Tanıtım sayfası üzerindeki
iletişim formlarının doldurulması,
·
E-posta veya benzeri
dijital yollarla Kurumla iletişime geçilmesi,
·
Ziyaretçi hareketlerinin
çerezler yoluyla analiz edilmesi,
·
Kurumumuzun kamu görev ve
yetkilerinin ifası kapsamında başvuru veya iletişim süreçlerinin yürütülmesi.
Toplanan kişisel veriler, bu Politika’da
belirtilen amaçlar doğrultusunda, ilgili mevzuat kapsamında Kurumumuzun yasal
görevlerinin yerine getirilmesi amacıyla ve/veya açık rızaya dayalı olarak
işlenmekte olup, gerektiğinde Kurum tarafından yetkilendirilmiş veri işleyenler
nezdinde de işlenebilir.
J.
Ajans
Tarafından İşlenen Kişisel ve Özel Nitelikli Kişisel Veriler
Kurumumuz tarafından işlenen kişisel veriler aşağıda
yer alan EK-1 numaralı tabloda ayrıntılı bir şekilde gösterilmektedir.
K.
Kişisel
Verilerin İşlenmesine İlişkin İlkeler
Ajans tarafından
işlenen Kişisel Veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara
uygun olarak işlenir. Ajans, kişisel verileri aşağıda yer alan ilkeler
çerçevesinde işlemektedir.
·
Hukuka ve
dürüstlük kurallarına uygun olma
·
Doğru ve
gerektiğinde güncel olma
·
Belirli, açık
ve meşru amaçlar için işlenme
·
İşlendikleri
amaçla bağlantılı, sınırlı ve ölçülü olma
·
İlgili
mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme
L.
Kişisel
Verilerin İşlenme Amaçları
Tanıtım
sayfası kapsamında toplanan kişisel veriler, 6698 sayılı Kişisel Verilerin
Korunması Kanunu’nun 5. ve 6. maddelerinde belirtilen veri işleme şartlarına
uygun olarak, aşağıdaki amaçlarla işlenmektedir:
·
Tanıtım
sayfası aracılığıyla “Ücretsiz Dene” veya benzeri başvuru formları üzerinden
iletilen kullanıcı verilerinin alınması, değerlendirilmesi ve başvuru sürecinin
yönetilmesi,
·
Ajansın faaliyet
ve hizmetlerine yönelik olarak kamuoyunun bilgilendirilmesi ve tanıtım
süreçlerinin yürütülmesi,
·
Kurumsal
iletişim faaliyetlerinin yürütülmesi ve ilgili taleplerin yanıtlanması,
·
Ziyaretçilerin
dijital hareketlerinin analiz edilerek kullanıcı deneyiminin iyileştirilmesi,
·
Dijital
altyapının güvenliği ile bilgi güvenliği süreçlerinin planlanması ve icrası,
·
Başvuru yapan
ilgili kişilere gerektiğinde geri dönüş sağlanması,
·
İlgili kişi
başvurularının kaydedilmesi, arşivlenmesi ve gerektiğinde delil olarak
kullanılması,
·
Ajansın kamu
görevi ve kanuni yükümlülüklerinin yerine getirilmesi
M.
Kişisel
Verilerin Yurtiçinde Aktarılması
Ajans
tarafından tanıtım sayfası üzerinden elde edilen kişisel veriler, yalnızca 6698
sayılı Kişisel Verilerin Korunması Kanunu’nun 8. maddesi kapsamında ve kişisel
veri işleme amaçlarıyla sınırlı olarak, gerekli güvenlik önlemleri alınmak
suretiyle üçüncü kişilere aktarılabilmektedir. KVKK’nın
8. maddesi uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın
ancak aynı Kanun’un 5. maddesinin ikinci fıkrası veya yeterli önlemler alınmak
kaydıyla 6. maddesinin 3. fıkrasında belirtilen şartlardan birinin bulunması
hâlinde aktarılabilmektedir. Buna göre; aşağıda belirtilen hallerde kişisel
veri aktarılabilmektedir.
·
Veri sahibinin
açık rızası bulunması,
·
Veri işlemenin
kanunlarda açıkça öngörülmesi,
·
Fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı
veya beden bütünlüğünün korunması için ilgili verilerin işlenmesinin zorunlu
olması,
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
·
Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin
zorunlu olması,
·
Kişisel
verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
·
Bir hakkın
tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
§
İlgili kişinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması, halinde mümkündür.
N.
Kişisel
Verilerin Yurtdışına Aktarılması
Ajans tarafından
işlenen kişisel veriler, işbu Politika’nın yürürlükte
olduğu tarihte yurt dışına aktarılmamaktadır.
Bununla
birlikte, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesi
uyarınca kişisel veriler, ilgili kişinin açık rızası bulunmaksızın yurt dışına
aktarılamaz. Ancak, Kanun’un 5. maddesinin ikinci fıkrası ile 6. maddesinin
üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verilerin
aktarılacağı ülkede yeterli korumanın bulunması hâlinde, açık rıza aranmaksızın
da yurt dışına aktarım mümkündür. Yeterli korumanın bulunup bulunmadığına
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından karar verilir.
Yeterli
korumanın bulunmaması hâlinde ise, veri sorumlusu tarafından Türkiye ile ilgili
ülke arasında kişisel veri aktarımına ilişkin uygun güvencelerin sağlanması ve
Kurul’un izninin alınması şartıyla yurt dışına aktarım yapılabilecektir. Bu
uygun güvencelerden bazıları şunlardır:
·
Taraflar
arasında Kurul tarafından ilan edilen standart sözleşmelerin imzalanması,
·
Kurul
tarafından onaylanmış bağlayıcı şirket kurallarının mevcut olması,
·
Yazılı
taahhütname sunulması ve Kurul’dan aktarım izni alınması.
Ayrıca,
KVKK’nın 9. maddesinin 6. fıkrası uyarınca, kişisel
veriler yalnızca aşağıdaki istisnai hâllerde ve arızi olmak kaydıyla Kurul
iznine gerek olmaksızın yurt dışına aktarılabilir:
·
İlgili
kişinin, aktarımın muhtemel riskleri hakkında bilgilendirilerek açık rıza
vermesi,
·
Bir
sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması,
·
Kamu yararının
söz konusu olması,
·
Bir hakkın
tesisi, kullanılması veya korunması için zorunlu olması,
·
Hayati bir
durum nedeniyle aktarımın zorunlu olması,
·
Kamuya açık
bir sicilden veri alınması ve aktarılması.
Ajansımız,
kişisel verilerin yurt dışına aktarımına yönelik bir uygulama
gerçekleştirmemektedir. Ancak gelecekte böyle bir aktarım söz konusu olacak
olursa, aktarımın hukuka uygun şekilde gerçekleştirilebilmesi adına yukarıda
belirtilen yasal düzenlemelere, Kurul kararlarına ve ilgili mevzuatta öngörülen
tüm idari ve teknik yükümlülüklere tam uyum sağlanacaktır.
O.
Kişisel
Bilgilerin Muhafazası, Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
Kişisel Veriler KVKK ve 28.10.2017 Tarihinde Resmî Gazete’de yayınlanan Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik usul ve esasları
uyarınca silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin
silinmesi, kurul kararlarına ve işbu politika kapsamında kişisel veri saklama
ve imha politikasına uygun olarak gerçekleştirilir.
Kurum, kişisel verileri işbu politikada belirtilen
amaca uygun olarak gerektiği kadar muhafaza eder. KVKK ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin
talebi üzerine Kurum tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel
verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel
verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir,
yok edilir veya anonim hâle getirilir.
Türk
Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği
üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen,
işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kurum kendi kararına
istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir,
yok edilir veya anonim hale getirilir.
Ajans
kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya
çıktığı takdirde, yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik
imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik
imha süresi 6 aydır.
İlgili
kişi, Kuruma başvurarak kendisine ait kişisel verilerin silinmesini veya yok
edilmesini talep ettiğinde bu talebi yerine getirilmek üzere hemen
değerlendirmeye alınır.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmışsa; Kurum talebe konu kişisel
verileri siler, yok eder veya anonim hale getirir. Kurum, ilgili kişinin
talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel
veriler üçüncü kişilere aktarılmışsa Kurum bu durumu üçüncü kişiye bildirir;
üçüncü kişi nezdinde bu politika kapsamında gerekli işlemlerin yapılmasını
temin eder.
Kişisel
verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Kurum
tarafından gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en
geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan
bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki
yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Saklamayı
gerektiren işleme amaçları;
·
Kullanıcı
taleplerinin karşılanması ve başvuru süreçlerinin yürütülmesi,
·
Kurumsal
iletişim faaliyetlerinin yürütülmesi,
·
Tanıtım ve
bilgilendirme hizmetlerinin sunulması,
·
İstatistiksel
analizler ve raporlama faaliyetlerinin gerçekleştirilmesi,
·
Hizmet
sözleşmelerinden veya hukuki yükümlülüklerden doğan işlemlerin ifası,
·
Yasal
düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak,
·
Gelecekte
doğabilecek uyuşmazlıklarda delil olarak kullanılmak üzere ispat yükümlülüğünün
yerine getirilmesi.
·
İmzalanan
sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
·
Kurum ile iş
ilişkisinde bulunan gerçek/ tüzel kişilerle irtibat sağlamak,
İmhayı
gerektiren sebepler;
·
Kişisel
verinin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi
veya ilgası,
·
Kişisel
verinin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
·
Kişisel veriyi
işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili
kişinin açık rızasını geri alması,
·
İlgili kişinin
hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin
yaptığı başvurunun Kurum tarafından kabul edilmesi,
·
Kurumun,
ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim
hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği
cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi
hallerinde; Kişisel Verileri Koruma Kuruluna şikâyette bulunması ve bu talebin
Kurul tarafından uygun bulunması,
·
Kişisel
verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel
verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut
olmaması.
Kişisel
verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili bütün
işlemler yetkili kişiler tarafından politika ve prosedürlere uygun olarak
yapılır ve kayıt altına alınır.
P.
Kişisel Verilerin İmhası
i
Kişisel
Verilerin Silinmesi Teknikleri
Ajans,
Kurul tarafından aksine bir karar alınmadıkça, kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesi yöntemlerinden veri türüne ve ortamına en
uygun olanını seçmekte serbesttir. Silme işlemi, kişisel verilerin ilgili
kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale
getirilmesini ifade eder. Bu kapsamda, Ajans tarafından gerekli her türlü
teknik ve idari tedbir alınmakta ve silme işlemleri yalnızca yetkilendirilmiş
kişilerce yürütülmektedir.
·
Elektronik
Ortamda Yer Alan Kişisel Verilerin Silinmesi
Yazılım
Yoluyla Güvenli Silme:
Otomatik ya da kısmen otomatik sistemlerde tutulan kişisel veriler, özel
yazılımlar aracılığıyla, sistemden geri getirilemeyecek biçimde kalıcı olarak
silinir.
Veri
tabanı Komutlarıyla Silme (SQL vb.):
Kişisel veriler, veritabanı düzeyinde DELETE veya
eşdeğer komutlarla silinmekte, bu işlem gerçekleştirilirken silme işlemini
yapan kullanıcının veritabanı yöneticisi olmamasına
özen gösterilmektedir.
Bulut
ve Taşınabilir Medya Ortamlarında Silme:
Flash disk, harici disk veya bulut tabanlı depolama sistemlerinde tutulan
kişisel veriler, bu ortamlara uygun özel yazılımlar kullanılarak şifreli
biçimde saklanmakta, sonrasında kalıcı olarak silinmektedir.
Sunucu
Sistemlerinde Silme:
Sunucu sistemlerinde tutulan ve saklama süresi sona eren kişisel veriler,
sistem yöneticisi tarafından erişim yetkileri kaldırılarak, geri getirilemez
şekilde sistemlerden kaldırılmaktadır.
Uzman
Tarafından Güvenli Silme:
Gerektiğinde Ajans, kişisel verilerin silinmesi işlemini bu alanda uzmanlaşmış
dış hizmet sağlayıcılara devredebilir. Bu durumda silme işlemleri, özel yazılım
ve donanımlar kullanılarak, teknik olarak geri getirilemeyecek biçimde
gerçekleştirilir.
ii
Kişisel
Verilerin Yok Edilmesi Teknikleri
Kişisel
verilerin yok edilmesi, söz konusu verilerin hiç kimse tarafından hiçbir
şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi
işlemidir. Bu işlem, ilgili verinin tutulduğu ortamın niteliğine göre farklı
tekniklerle gerçekleştirilir. Ajans, kişisel verilerin yok edilmesine ilişkin
işlemleri yalnızca yetkili personel aracılığıyla, yürürlükteki veri imha
politikalarına uygun şekilde ve teknik/idarî önlemler eşliğinde yerine
getirmektedir.
·
Fiziksel
Ortamda Yer Alan Kişisel Verilerin Yok Edilmesi
Otomatik
olmayan yollarla işlenen ve fiziksel (basılı) ortamlarda tutulan kişisel
veriler, kullanımı veya saklanması gerekli olmaktan çıktığında, geri
getirilemeyecek ve yeniden kullanılamayacak şekilde fiziksel olarak yok edilir.
Örnek
yöntemler:
Evrak
öğütücü cihazlarında parçalama,
Yakma
veya eritme,
Geri
dönüşüm öncesi veriye erişimi engelleyecek şekilde fiziksel tahrip.
·
Optik /
Manyetik Medyada Yer Alan Verilerin Yok Edilmesi
Bu tür
ortamlarda saklanan kişisel verilerin yok edilmesi aşağıdaki teknikler
vasıtasıyla gerçekleştirilir:
De-manyetizasyon:
Manyetik
ortamlar, özel cihazlarla yüksek manyetik alana maruz bırakılarak veriler
okunamaz hâle getirilir. (Örn: HDD, manyetik bantlar)
Fiziksel Tahrip:
CD,
DVD, disket gibi optik ya da manyetik ortamlar; eritilerek, yakılarak, toz
hâline getirilerek ya da metal öğütücülerde parçalanarak kalıcı olarak yok
edilir.
Üzerine Yazma (Overwriting):
Veri
barındıran medya üzerine özel yazılımlar vasıtasıyla en az 7 kez rastgele “0”
ve “1” değerlerinden oluşan yeni veriler yazılarak, mevcut verilerin
kurtarılamayacak şekilde silinmesi sağlanır.
Bu
yöntem özellikle yeniden yazılabilir diskler ve taşınabilir bellekler için
kullanılmaktadır.
iii
Kişisel
Verileri Anonim Hale Getirme Teknikleri
Kişisel
verilerin anonimleştirilmesi; söz konusu verilerin, başka verilerle
eşleştirilse dahi, kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesi işlemidir. Anonimleştirme işlemi,
kişisel verilerin tanımlanabilirlik niteliğini kalıcı
biçimde ortadan kaldırmayı amaçlamakta olup, geri döndürülemez biçimde
yapılmalıdır.
Ajans,
hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde, veri sorumlusu sıfatıyla söz konusu kişisel verileri
silme, yok etme veya anonimleştirme yükümlülüğünü yerine getirir. Bu işlemler,
Politikanın “Periyodik İmha” bölümünde belirlenen takvim uyarınca
gerçekleştirilir.
KVKK
madde 28(1) (ç) hükmü uyarınca, anonim hâle getirilmiş veriler resmî
istatistik, araştırma, planlama ve istatistiksel analiz gibi amaçlarla
işlenebilir ve bu tür veri işleme faaliyetleri Kanun kapsamı dışında
değerlendirilir. Bu nedenle, anonim hâle getirilmiş verilere ilişkin olarak
veri sahibinin KVKK kapsamında sahip olduğu haklar ileri sürülemez.
Veri Maskeleme (Data Masking):
Kişisel
verilerin tanımlayıcı kısımlarının kalıcı şekilde çıkarılması veya yerine
anlamsız içerik konulması suretiyle gerçekleştirilir. Örneğin; bir veri
kümesindeki ad, soyad, T.C. kimlik numarası, telefon
numarası gibi belirleyici verilerin maskeleme yoluyla çıkarılması sağlanır.
Veri Toplulaştırma (Data Aggregation):
Bireysel
veriler, gruplandırılarak istatistiksel kümeler haline getirilir ve böylece
belirli bir kişiye ait veri ile bağ kurulması imkânsız hale gelir. Örneğin,
"2020 doğumlu birey sayısı: 74" ifadesi, kişisel veri içermez.
Veri Türetme (Data Derivation):
Mevcut
kişisel verilerden daha genel içerikli veriler elde edilerek ilgili kişi ile
olan bağın zayıflatılması ve belirlenebilirliğin ortadan kaldırılması
hedeflenir. Örneğin, “12.02.1990” doğum tarihi yerine “1990 doğumlu” şeklinde
genel veri sunulması.
Veri Karma (Data Shuffling):
Veri
kümesindeki belirli veri alanlarının satırlar arasında karıştırılması yoluyla,
kişisel veri bileşenleri arasındaki bağlantı koparılır. Bu sayede aynı kişiye
ait veriler başka kişilerle rastgele eşleşmiş gibi görünür hale getirilir.
Gürültü Ekleme (Noise Injection):
Verilere
belli oranlarda rastgele ve kontrollü sapmalar (bozulmalar) eklenerek, bireysel
düzeyde analiz yapılabilirliğin ve kişiyle eşleştirmenin imkânsız hale
getirilmesi sağlanır. Bu yöntem özellikle büyük veri kümeleri ve istatistiksel
analizlerde tercih edilir.
Ajans
kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya
çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler,
yok eder veya anonim hale getirir.
R.
Veri Sahiplerinin Hakları
Kurum, Kanun’un 10.
maddesine uygun olarak, Kişisel Veriler’in elde
edilmesi sırasında Kişisel Veri Sahipleri’ni
aydınlatmaktadır. KVKK Aydınlatma metnine https://ecocycle.tr/ adresinden ulaşabilirsiniz.
Bu kapsamda varsa, Kurum
temsilcisinin kimliği, Kişisel Veriler’in hangi
amaçla işleneceği, işlenen Kişisel Veriler’in kimlere
ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki
sebebi ile Kişisel Veri Sahibi’nin sahip olduğu
hakları konusunda aydınlatma yapmaktadır. Kurum, Kanun’un 10.maddesi uyarınca
size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair
yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik
düzenlemeleri gerçekleştirmektedir.
Kişisel
veri sahipleri KVKK’nın 11. maddesi uyarınca aşağıda
belirtilen haklara sahiptir;
a)
Kişisel veri işlenip işlenmediğini öğrenme,
b)
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c)
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
ç) Yurt
içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d)
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme,
e) KVKK
7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya
yok edilmesini isteme,
f) (d)
ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
g)
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ)
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması
hâlinde zararın giderilmesini talep etme.
S.
Veri
Sorumlusuna Başvuru
Kişisel veri
sahiplerinin yukarıda sayılan haklarına ilişkin taleplerini aşağıda yer alan
başvuru formunu doldurarak, noter ihtarnamesi ya da iadeli taahhütlü posta yoluyla
İzmir Kalkınma Ajansına iletmesi gerekmektedir. Kişisel veri sahipleri adına üçüncü kişilerin
başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak
kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
Veri
sorumlusu olan Ajans başvuruda yer alan talepleri, talebin niteliğine göre en
kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak,
işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki
ücret alınabilir.
T.
Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma
Hakkı
Başvurunun
reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hâllerinde; veri sahibi, cevabı öğrendiği tarihten itibaren otuz ve
her halde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma
Kurulu’na şikâyette bulunma hakkına sahiptir.
U.
Güncelleme, Uyum ve Değişiklikler
Ajans, Kanun’da yapılan
değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da
bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika ’ya
bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
İşbu Politika ’da
yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin
açıklamalar Politika’nın sonunda açıklanır.
Veri Sorumlusu; İzmir Kalkınma Ajansı
Adres: Megapol Çarşı Kule Halkapınar Mahallesi, 1203/11. Sk. No: 5-7, Kat: 1935170 Konak/İzmir
EK-1: VERİ TABLOSU
|
VERİ TÜRÜ |
VERİ AÇIKLAMASI |
VERİ BİLGİLERİ |
|
|
Kimlik Bilgisi |
Gerçek
kişiye ait ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği,
evlilik cüzdanı vb. bilgiler |
ad-soyad, |
|
|
İletişim Bilgisi |
Gerçek
kişiye ait olan ve o kişiyle iletişim kurmak için kullanılan bilgiler |
e-mail |
|
|
Pazarlama Bilgisi |
Kullanıcı izni ile toplanan, bilgilendirme ve tanıtım faaliyetlerine dair tercihler. |
Ticari
elektronik ileti onayı, kampanya izni, ilgi alanları (varsa) |
|
|
Çerez Verileri |
Site
içi kullanıcı deneyimini geliştirmek ve istatistiksel ölçümler yapmak
amacıyla kullanılan veriler. |
Tarayıcı
tipi, sayfa gezinme verileri, oturum süresi, kullanıcı tercihleri |
EK-2:
KVKK BAŞVURU FORMU
İZMİR KALKINMA
AJANSI
KİŞİSEL VERİ
BAŞVURU FORMU
GENEL
AÇIKLAMALAR
A. Başvuru Sahibi iletişim bilgileri:
|
İsim: |
|
|
Soy isim: |
|
|
TC Kimlik Numarası: |
|
|
Telefon Numarası |
|
|
E-posta |
|
|
Adres: |
|
|
|
B. Başvuru Sahibi’nin Kurumumuz ile ilişkisi:
|
Müşteri 󠄉 |
İş Ortağı |
Ziyaretçi |
Diğer:……………. …………………… |
|
Eski Çalışan 󠄉 |
İş Başvurusu/Özgeçmiş paylaşımı yapan 󠄉 󠄉 |
Üçüncü kişi firma çalışanı 󠄉 |
|
|
Kurumumuz içerisinde iletişimde olduğunuz
birim: |
|
||
|
Çalıştığım yıllar (Eski çalışanlar için): |
|
||
|
Çalıştığım firma ve pozisyon (Üçüncü kişi firma
çalışanları için): |
|
||
|
Konu: |
|
||
1.
Lütfen KVK Kanunu kapsamındaki
talebinizi detaylı olarak belirtiniz:
|
Talep No |
Talep Konusu |
Kanuni Dayanak |
Seçiminiz |
|
1 |
Kurumunuzun hakkımda kişisel veri işleyip işlemediğini öğrenmek istiyorum |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (a) |
|
|
2 |
Eğer Kurumunuz hakkımda Kişisel Veri işliyorsa bu veri işleme
faaliyetleri hakkında bilgi talep ediyorum |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (b) |
|
|
3 |
Eğer Kurumunuz hakkımda Kişisel Veri işliyorsa bunların işlenme amacını
ve bu amaca uygun kullanılıp kullanılmadığını öğrenmek istiyorum |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (c) |
|
|
4 |
Eğer Kişisel Verilerim Yurtiçinde veya Yurtdışında üçüncü kişilere aktarılıyorsa ,bu üçüncü kişileri bilmek istiyorum. |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (ç) |
|
|
5 |
Kişisel Verilerimin eksik ya da yanlış işlendiğini düşünüyorum ve
bunların düzeltilmesini istiyorum |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (d) |
|
|
6 |
Kişisel Verilerimin kanun ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalktığını düşünüyorum ve bu çerçevede kişisel verilerimin
silinmesini veya yok
edilmesini talep ediyorum |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (e) |
|
|
7 |
Eksik veya yanlış işlendiğini düşündüğüm Kişisel Verilerimin aktarıldığı
üçüncü kişiler nezdinde de düzeltilmesini istiyorum. |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (f) |
|
|
8 |
Kişisel Verilerimin kanun ve ilgili diğer kanun hükümlerine uygun olarak
işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalktığını düşünüyorum ve bu çerçevede kişisel verilerimin
üçüncü kişiler nezdinde de silinmesinin veya yok
edilmesinin bildirilmesini talep
ediyorum |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (f) |
|
|
9 |
Kurumunuz tarafından işlenen Kişisel Verilerimin münhasıran Otomatik
Sistemler vasıtasıyla analiz edildiğini ve bu analiz neticesinde Şahsım
aleyhine bir sonuç doğduğunu
düşünüyorum. Bu sonuca itiraz ediyorum. |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (g) |
|
|
10 |
Kişisel Verilerimin Kanuna aykırı işlenmesi nedeniyle zarara uğradım. Bu
zararın tazminini talep ediyorum. |
Kişisel Verilerin Korunması Kanunu Madde 11/1 (h) |
|
|
11 |
Diğer Belirtiniz: |
||
Lütfen başvurunuza vereceğimiz
yanıtın tarafınıza bildirilme yöntemini seçiniz:
|
Adresime gönderilmesini istiyorum. |
|
|
E-posta adresime gönderilmesini istiyorum. |
|
|
Elden teslim almak istiyorum. |
|
Not: (E-posta yöntemini seçmeniz
halinde size daha hızlı yanıt verebileceğiz.)
(Vekâleten teslim alınması durumunda noter tasdikli vekâletname veya yetki
belgesi olması gerekmektedir.)
İşbu başvuru formu, Kurumumuz ile olan ilişkinizi tespit ederek, varsa, Kurumumuz
tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek, ilgili
başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim
edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından
kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel
verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Kurumumuz
ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme
hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin
doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Kurumumuz,
söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı
mesuliyet kabul etmemektedir.
Yukarıda belirttiğim talepler doğrultusunda, Kurumumuza yapmış olduğum
başvurumun Kanun’un 13üncü maddesi uyarınca
değerlendirilerek tarafıma bilgi verilmesini rica ederim.
İşbu başvuruda tarafınıza sağlamış olduğum belge ve bilgilerimin doğru ve
güncel olduğu, şahsıma ait olduğunu beyan ve taahhüt ederim.
İşbu başvuru formunda sağlamış olduğum bilgi ve belgelerin 6698 Sayılı
Kişisel Verilerin Korunması Kanunun 13üncü maddesi
uyarınca yapmış olduğum başvurunun değerlendirilmesi, cevaplandırılması,
başvurumun tarafıma ulaştırılması, kimliğimin ve adresimin tespiti amaçlarıyla
sınırlı olarak Kurumunuz tarafından işlenmesine izin veriyorum.
Başvuru Sahibi (Kişisel Veri Sahibi) Adı Soyadı:
Başvuru Tarihi:
İmza: