Kişisel Verilerin Korunması Kanunu Hakkında Aydınlatma Metni ve Gizlilik Politikası

İş Merkezleri Yönetim ve İşletim A.Ş. ("İŞMER") olarak sadece gerçek kişilere ait herhangi bir şekilde edindiğimiz her türlü kişisel verinin korunmasını ve bu çerçevede 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") ve ilgili mevzuat kapsamındaki gerekliliklerin eksiksiz olarak yerine getirilmesini kurum politikalarımızdan biri olarak benimsemiş bulunuyoruz. İşbu Kişisel Verilerin Korunması Kanunu Hakkında Aydınlatma Metni ve Gizlilik Politikası ("KVK Politikası"), İŞMER tarafından herhangi bir şekilde toplanan kişisel verilerin kaydedilmesi, kullanılması, paylaşılması, saklanması, silinmesi ve imhası süreçleri ile bunlara ilişkin prensipler hakkında İŞMER çalışanlarını, aday çalışanlarımızı, mevcut ve muhtemel müşterilerimizi, iştirakler dahil grup şirketi çalışan veya müşterilerini, www.ismer.com.tr sitemizi kullananları, ziyaretçilerimizi ve İŞMER ile ilişki içinde bulunan diğer gerçek kişileri bilgilendirmek amacıyla hazırlanmış ve ilan edilmiştir.

İŞMER, yürürlükteki ilgili mevzuat hükümleri gereğince bilginin gizliliğinin ve bütünlüğünün korunması amacıyla gerekli organizasyonu kurmak ve teknik önlemleri almak ve uyarlamak konusunda veri sorumlusu sıfatıyla sorumluluğu üstlenmiştir.

İŞMER, kişisel verilere yetkisiz erişimi engellemek veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı kişisel verileri korumak için gerekli önlemleri almaktadır.

İŞMER, herhangi bir ihlali fark ettiği anda kullanıcıları bu konuda vakit kaybetmeksizin bilgilendirir, yasalara uygun bir şekilde takibinin yapılmasına olanak tanır ve bilgilerinin güvenliğini elinden gelen en iyi şekilde sağlar.

1. Kişisel Veri Tanımı

İşbu KVK Politikası'nda kullanılan "Kişisel Bilgiler" terimi, bir gerçek kişinin sadece kimliğini ortaya koyan, adı, soyadı, doğum tarihi ve doğum yeri gibi bilgiler olabileceği gibi; telefon numarası, motorlu taşıt plakası, TC kimlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm verileri de olabilir. Ayrıca Kanunun 6. maddesi gereğince özel nitelikli kişisel veriler; "Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri"dir.

2. Kişisel Verilerin Toplanmasının Yasal Dayanağı

Kullanıcıların kişisel verilerinin kullanılması konusunda çeşitli kanunlarda düzenlemeler bulunmaktadır. En başta Anayasa'nın 20. maddesi, 5651 sayılı "İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun", 6331 sayılı "İş Sağlığı ve Güvenliği Kanunu", 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer kanunlar ile bağlı mevzuatta kişisel verilerin korunması esasları belirlenmiştir.

3. Kişisel Verilerin Toplanma Yöntemleri

İŞMER kişisel verileri, bina ziyaretçilerinin ziyareti sırasında kendisinden, çalışanların veya adayların işe giriş başvuru ve kabul sürecinde sağladığı belge ve bilgilerden, çalışanların özlük dosyaları için temin ettikleri belge ve bilgilerden, sigorta evraklarından, tedarikçiler ve iş ortaklarıyla yapılan sözleşmelerden, www.ismer.com.tr internet sitesinden, yardım masasından, bağlı bulunduğu grup şirketlerinden, kamu kurum ve kuruluşlarıyla ve yargı yerlerinden ve diğer meşru, yasal yollarla ve Kanuna uygun olarak toplamaktadır.

4. Kişisel Verilerin İşlenmesine İlişkin Temel Kurallar

İŞMER kişisel verileri Kanun çerçevesinde ve aşağıda belirtilmiş olan temel kurallara uygun olarak işlemektedir.

  1. Hukuka ve dürüstlük kurallarına uygun olması,
  2. Doğru ve güncel olması,
  3. Şeffaflık ve aydınlatma yükümlülüğünün yerine getirilmesi,
  4. Veri azaltılması ve veri ekonomisinin sağlanması,
  5. Belirli, açık ve meşru amaçlar için işlenmesi,
  6. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
  7. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.

5. Kişisel Verilerin İşlenme Amaçları

Kişisel Bilgiler KVK Politikamızın parçası olan ve www.ismer.com.tr internet sitemizde ilan edilmiş diğer metinlerde ve aşağıda yazılı amaçlar için kullanılacaktır, hiçbir durumda öngörülen amacın dışında kullanılmayacaktır.

İŞMER, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
  3. Çalışan Adayları ve Stajyer Başvuru Süreçlerinin Yürütülmesi
  4. Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
  5. Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  6. Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  7. Denetim / Etik Faaliyetlerinin Yürütülmesi
  8. Eğitim Faaliyetlerinin Yürütülmesi
  9. Erişim Yetkilerinin Yürütülmesi
  10. Faaliyetlerin Mevzuata Uygun Yürütülmesi
  11. Finans ve Muhasebe İşlerinin Yürütülmesi
  12. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
  13. Fiziksel Mekan Güvenliğinin Temini
  14. Görevlendirme Süreçlerinin Yürütülmesi
  15. Hukuk İşlerinin Takibi ve Yürütülmesi
  16. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
  17. İletişim Faaliyetlerinin Yürütülmesi
  18. İnsan Kaynakları Süreçlerinin Planlanması
  19. İş Faaliyetlerinin Yürütülmesi / Denetimi
  20. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  21. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
  22. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
  23. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  24. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  25. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  26. Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
  27. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  28. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  29. Organizasyon ve Etkinlik Yönetimi
  30. Performans Değerlendirme Süreçlerinin Yürütülmesi
  31. Sözleşme Süreçlerinin Yürütülmesi
  32. Talep / Şikayetlerin Takibi
  33. Taşınır Mal ve Kaynakların Güvenliğinin Temini
  34. Ücret Politikasının Yürütülmesi
  35. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  36. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  37. Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  38. Yönetim Faaliyetlerinin Yürütülmesi
  39. Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
  40. Şirketimizin tabi olduğu Kanunlara Uyum Sağlanabilmesi

6. Kişisel Verilerin İşlenme Şartları

Kişisel veriler, ilgili kişinin açık rızasının bulunduğu durumda işlenebilir. Açık rıza olmayan hallerde kişisel veriler ancak aşağıdaki şartların varlığı halinde işlenebilir:

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  5. Kişisel verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Ayrıca İŞMER olarak özel nitelikli verileri ilgili kişinin açık rızası olmadan işlemiyoruz. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir: 

  1. Kamu sağlığının korunması,
  2. Koruyucu hekimlik,
  3. Tıbbî teşhis,
  4. İşyeri hekimliği kapsamında tedavi ve bakım hizmetlerinin yürütülmesi,
  5. Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

7. Kişisel Verilerin Saklanma Süreleri

İŞMER kişisel verileri gerek faaliyet konusunun gerçekleştirilmesi gerek hukuki süreçlerin gereği ve gerekse de resmi kurum, kuruluş ve yargı yerlerinin muhtemel talepleri nedeniyle, fiziki evrak ve/veya dijital ortamda, ancak gerekli olduğu kadar ve güvenli ortamda saklamaktadır. İŞMER, bir kişisel verinin kanun ve mevzuat gereği daha uzun süre saklanmasını gerektiren haller dışında ya o kişisel verinin işlenme amacı sona erdiği veya -kanun ve mevzuata aykırı olmamak kaydıyla- kişisel veri sahibinin talebi üzerine, söz konusu veriyi silecek, imha edecek veya anonimleştirilecektir. Bu şekilde silinen veriler artık herhangi bir şekilde kullanılamayacaktır.

İŞMER, kanunlar ve ilgili mevzuat daha uzun bir süre öngörmediği sürece kişisel verileri aşağıda yazılı süreler kadar saklar:

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Sözleşmelerin hazırlanması Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Faaliyetlerinin İcrası Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi Sisteme giriş tarihinden itibaren 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi ve Toplantı Katılımcılarının Kaydı Etkinliğin sona ermesini takiben 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri İşlem Faaliyetleri Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hukuki İşlem Muhaberattan çıkış tarihinden itibaren 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans Ticari ilişkinin/Faaliyetin sonlanmasından itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

8. Kişisel Verilerin Güvenliğinin Sağlanması İçin Alınan Teknik ve İdari Tedbirler

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği, özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde İŞMER tarafından teknik ve idari tedbirler alınır.

8.1. Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.

8.2. İdari Tedbirler

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.

9. Kişisel Bilgilerinin Paylaşımı

İŞMER olarak herhangi bir şekilde temin edilen Kişisel Bilgiler, verilen hizmetin amacına yönelik olup, ilke olarak üçüncü kişilerle hiçbir suretle paylaşılmaz. Bununla birlikte kişisel veriler aşağıda belirtilen kişi ve kurumlara belirli amaçlarla aktarılabilir;

  • İŞMER iştiraklerine,
  • İŞMER'in denetimini yapan kişi ve kurumlara,
  • İlgili mevzuat hükümlerine göre İŞMER'in ticari faaliyetlerine ilişkin stratejilerin tasarlanması ve denetim amaçlarıyla sınırlı olarak Türkiye İş Bankası A.Ş.'ye,
  • Kanuna uygun olarak talep ettiği amaçla sınırlı olarak Kamu kurum, kuruluşları ile yargı yerlerine,
  • Hizmet kalitemizin artırılması ve/veya kişisel veri güvenliği amacına hizmet etmek üzere danışman firmalara (örn. Sızma testi).

10. Kişisel Verilerin Korunması Kanunu Uyarınca Kullanıcıların Hakları

Kanun uyarınca kişisel verilerinizin;

  1. işlenip işlenmediğini öğrenme,
  2. işlenmişse bilgi talep etme,
  3. işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. yurt içinde/yurt dışında aktarıldığı 3. kişileri bilme,
  5. eksik/yanlış işlenmişse düzeltilmesini isteme,
  6. Kanunun 7. maddesinde öngörülen şartlar çerçevesinde silinmesini/yok edilmesini isteme,
  7. aktarıldığı 3. kişilere yukarıda sayılan (d) ve (e) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme,
  8. münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  9. Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahip olduğunuzu hatırlatmak isteriz.

11. Kişisel Verilerinizin Kaydedilmesine ilişkin Rızanız

İŞMER'e açık rıza verdiğiniz veya işbu www.ismer.com.tr adlı internet sitemizi kullandığınız andan itibaren sizden toplanan tüm bilgileri yukarıda belirtilen şekilde ve nedenlerle, bu KVK Politikasında anlatıldığı gibi, kullanmamızı kabul etmiş olursunuz. Yukarıdaki amaç için elde edilen bilgiler, tamamen sizin özgür iradenizle tarafımıza sağlanmaktadır. Bu Kişisel Bilgileri bize verip vermemekte kullanıcılar serbesttir.

12. KVK Politikasının güncellenmesi

KVK Politikamızı ve Kişisel Bilgileri işleme şeklimizi muhtelif zamanlarda gözden geçirebilir, tadil edebilir veya yenileyebiliriz. Güncellenmiş politikayı www.ismer.com.tr adresinde bulunan internet sitemizden yayımlayacağız. Yenilenen şartlar, yayımlandıkları tarihten itibaren yürürlüğe gireceklerdir.

Yukarıda yapılan açıklamalar çerçevesinde ve www.ismer.com.tr adresinde yer alan aydınlatma yükümlülüğü dahilinde Kanuna uygun olarak İŞMER tarafından kişisel verilerimin toplanmasına, işlenmesine, güncellenmesine, periyodik olarak kontrol edilmesine, veri tabanında tutulmasına ve saklanmasına ve 9. maddede belirtilen kurum ve kuruluşlarla paylaşılmasına ve kişisel verilerimin bunlar tarafından da tutulmasına ve saklanmasına muvafakat ediyorum.

İşbu bilgilendirme yazısı, Kanunun 10. maddesi uyarınca aydınlatma yükümlülüğünü yerine getirmek üzere hazırlanmıştır.

İŞMER tarafından atanacak Veri Sorumlusu Temsilcisi, Veri Sorumluları Sicilinde ve bu belgenin bulunduğu internet adresinde ilan edilecektir.  Kişisel Veri Sahipleri, sorularını, görüşlerini veya taleplerini yazılı olarak This email address is being protected from spambots. You need JavaScript enabled to view it. adresine iletmelidir. Bu halde 30 gün içerisinde yazılı şekilde cevap verilecektir.

13. İletişim bilgilerimiz

KVK Politikası veya diğer veri koruma uygulamalarımıza ilişkin sorunuz olması halinde, bize aşağıdaki adresten ulaşabilirsiniz:

E-posta: This email address is being protected from spambots. You need JavaScript enabled to view it.
İletişim adresi: Levent Mah. Meltem Sk.İş Kuleleri Kule 2 Kat:22 Beşiktaş.İstanbul-Türkiye
Telefon numarası: 0212 3164999

İş Merkezleri Yönetim ve İşletim A.Ş.